Análisis de riesgos con PILAR

2 de noviembre de 2012 Por

Si tienen algo de memoria, recordarán que no hace mucho hicimos una breve introducción a PILAR (Deconstruyendo a PILAR y que en otras ocasiones nos hemos introducido en las metodologías de análisis de riesgos: primera parte y segunda parte).

Si conocen PILAR, sabrán que es una mujer que allá por donde va levanta odios o pasiones; lo pudimos comprobar en los comentarios de la anterior entrada. Será quizá porque puede ser complicada, un poco caprichosa e incluso a veces poco amigable. No obstante, tengo que decir que tiene su encanto y me atrevería a decir que se le coge cariño. Lo que está claro es que no es de las que te cautiva a primera vista.

Bromas aparte, podemos decir que PILAR es la herramienta de análisis de riesgos por excelencia al menos en el sector público (español), por diversas razones y por ser una de las principales implementaciones de MAGERIT. En esta entrada vamos a tratar de continuar la introducción anterior, explicando de modo breve y somero cómo llevar a cabo un análisis de riesgos. Para esto vamos a realizar ejemplo analizando nuestro blog favorito: Security Art Work.

[Read more…]

Android Log Forensics

31 de octubre de 2012 Por

El uso del sistema operativo Android está creciendo a una velocidad que asusta. Los últimos datos dicen que cada día se activan 1,3 millones de dispositivos Android y que, si sigue este ritmo, en 4 años habrá más sistemas de Google en funcionamiento que sistemas Windows. Dedicar esfuerzo de investigación hacia este sistema se hace totalmente necesario, y en seguridad, un área importante e interesante es el estudio forense.

Un analista forense debe ser capaz de extraer el máximo de información disponible del dispositivo. Dependiendo del propósito de la investigación, se centrará en extraer unos determinados datos u otros. Por ejemplo, un investigador que analiza un posible smartphone infectado con malware necesitará los procesos en memoria, las conexiones activas, el tráfico entrante y saliente, mientras que en el análisis de un móvil cuyo dueño es sospechoso de un delito, buscará datos que pueda ayudar a la investigación a aportar evidencias, como las llamadas realizadas, emails, posición GPS, fotos, historial de chat, etc.

Tenemos varios métodos para extraer información en un dispositivo android: volcado de memoria RAM, imagen de memoria NAND, de la memoria externa SD-card y extracción de datos en caliente. El post de hoy se va a centrar en recuperar datos mediante comandos propios del sistema de Android, y concretamente, en los logs generados por el sistema.

[Read more…]

Auditorías de segunda parte: seguridad en las compras y contrataciones (2)

30 de octubre de 2012 Por

Como continuación a la entrada sobre auditorías que publicamos hace algunos días, en esta entrada vamos a dar un repaso a los distintos tipos de auditoría que existen y después hablaremos sobre las auditorías internas. Tal como indicamos, más adelante profundizaremos en las auditorías de segunda parte y hablaremos sobre sus efectos en el incremento de la seguridad desde los procesos de compras y contratación.

Con independencia del marco normativo que pueda resultar de aplicación (ISO 27001, ISO 9001, ISO 20000-1 o la norma que sea, incluso una combinación de ellas) las auditorías se pueden clasificar en auditorías de primera, de segunda y de tercera parte en función de su origen y objetivos.

Además, desde el punto de vista de su programación podemos distinguir entre auditorías ordinarias o programadas y auditorías extraordinarias, las cuáles suelen llevarse a cabo entre dos auditorías ordinarias para realizar comprobaciones ulteriores, frecuentemente ligadas a la confirmación del cierre de problemas identificados en la auditoría ordinaria anterior. También pueden ser motivo de inicio de una auditoría extraordinaria la confirmación o sospecha de posibles problemas de cierta relevancia o impacto o la introducción de cambios importantes en los procesos de negocio (reingenierías de procesos, adquisición de nueva tecnología, cambios en CRMs y ERPs, fusiones, reformas, traslados, ampliaciones, implantaciones, etc.).

[Read more…]

No mezclemos churras con Paula Vázquez

29 de octubre de 2012 Por

Damos por supuesto que a estas alturas todo el mundo se ha enterado de que la semana pasada Paula Vázquez publicó por error su número de teléfono personal en Twitter, lo que degeneró en que empezase a recibir llamadas, sms y mensajes vía Whatsapp de un gran número de internautas. La situación se le fue de las manos cuando, como intento de medida disuasoria, empezó a publicar los teléfonos de quienes ella consideró que le estaban acosando. No tardaron en lloverle criticas y avisos de que estaba incumpliendo la omnipresente LOPD que todos conocemos.

Pues bien, si es cierto que parece que cada vez somos más cautelosos a la hora de custodiar nuestros datos personales también cada vez nos estamos volviendo más quejicas por temas de poca entidad, y cada dos por tres recurrimos a las faldas de “mama LOPD” para cosas que ni tienen sentido, ni aplican a la LOPD (recordemos aquí algunos ejemplos).

Como muy bien explican en diariojuridico hay opiniones encontradas sobre si se ha incumplido o no la LOPD, ya que por un lado se puede alegar que eran comunicaciones personales “en el ejercicio de actividades exclusivamente personales o domésticas” (RDLOPD Título I, Artículo 4) y por otro existen sentencias en las que se pone en duda la existencia de una línea definida que separe lo personal de lo profesional, especialmente en casos como este en los que la cuenta de Twitter era PaulaVazquezTV claramente asociada a su perfil profesional.

Tenemos pues, por un lado un caso de acoso (acoso light, pero acoso al fin y al cabo) a una persona que tendrá que cambiar de número de teléfono con las molestias que esto le pueda ocasionar, y por otro a internautas que no quieren que su número se publique para que no se haga un uso indebido de sus datos, precisamente lo que ellos mismos han hecho a un tercero.

Sobre la polémica principal de si se ha incumplido o no la LOPD, profesionalmente voy a opinar que yo ya no doy opiniones (gran frase que escuche la semana pasada y voy a empezar a utilizar mucho) ya que en temas legales todos sabemos que hay que cumplir con lo que dice la ley hasta que muchos jueces/resoluciones digan lo contrario (el número de jueces/resoluciones necesarios lo desconocemos), pero personalmente opinaré que utilizando el sentido común se deberían dejar las disputas legales para temas más serios, y no para acosar a alguien y encima quejarse.

El concello de Cerdedo, 200.000 € y muchas dudas

26 de octubre de 2012 Por

No es raro, en los tiempos que corren, recibir continuos mensajes sobre las precauciones a tomar cuando accedemos a una web o recibimos un correo que pueden ser potencialmente falsos, hasta el punto de que el concepto de phishing es cotidiano para cualquiera que sea un usuario habitual de Internet. Bueno, es o debería ser. Tampoco resulta raro oír de vez en cuando que éste o aquél han sido estafados haciendo uso de esta técnica.

Lo que quizá no resulte tan familiar es que el robo ascienda a 200.000 euros, que se trate de una entidad pública como es el caso del concello de Cercedo y que salga en prensa. Aunque teorías conspirativas no han faltado al parecer en las redes sociales, vamos a centrarnos en lo que sabemos, que no es mucho y con el prisma distorsionador de la prensa generalista podemos afirmar que es todavía menos.

Resumiendo mucho, la cuestión es que el personal municipal intentó entrar el pasado lunes al portal de banca online y al no poder acceder, lo postergó al día siguiente, cuando descubrió que no quedaba ni un euro de los 200.000 € que debería haber en la cuenta. La investigación apunta a que el fraude fue realizado vía phishing, aunque no está claro. Déjenme exponer varias reflexiones en voz alta.

Lo primero con lo que nos encontramos es con el bloqueo de la cuenta bancaria. El artículo apunta a que a pesar (y gracias a que) el personal del concello no podía acceder a su cuenta, los ladrones tenían más tiempo para realizar las transferencias. Aunque como pueden imaginarse no conozco todos los servicios de banca electrónica de este país, voy a asumir por lógica que cuando una cuenta se bloquea, se bloquean (o deberían hacerlo) todas las operaciones sobre ella, o al menos las que se pueden realizar desde el interfaz de usuario. En este caso, existen varias posibilidades.

La primera opción es el artículo es incorrecto o inexacto y que a pesar de lo que indica (“los estafadores dispusieron de unas veinte horas en las que realizaron transferencias de cantidades aleatorias a diferentes cuentas“) las transferencias sí se llevaron a cabo durante el lunes y el martes, pero en realidad se habían programado con anterioridad a ese lunes. Seguramente poca gente revisa las transferencias periódicas de su cuenta bancaria, y este podría ser el caso. Programo el sábado una transferencia bancaria y bloqueo la cuenta el día que se va a realizar, con lo que además se evita un potencial bloqueo de las funcionalidades del interfaz de usuario, pero seguramente no de aspectos como las transferencias periódicas ya que se presume que se programaron mientras la cuenta no estaba bloqueada. Sí, ya sé que son muchas conjeturas, pero es todo lo que tenemos.

La segunda opción es que el artículo es correcto y que a pesar de encontrarse la cuenta bloqueada, o bien continuaba siendo operativa para un usuario que permaneciese registrado en la página, o los ladrones habían conseguido “saltarse” ese bloqueo. En el primer caso se trataría de un problema de seguridad funcional y en el segundo un problema de seguridad lógica. Incluso en el primer caso (la cuenta bloqueada es operativa si estabas registrado antes del bloqueo), parece razonable considerar el control 11.5.6 de la norma 27001: “Deben usarse limitaciones en el tiempo de conexión en aplicaciones de alto riesgo para añadir seguridad adicional“, que en mi variada experiencia como usuario en portales de banca a distancia no he encontrado todavía implementado (si bien sí es habitual el 11.5.5: “Las sesiones interactivas deben terminar tras un periodo establecido de inactividad“). Lo cierto es que aun considerando el control 11.5.6, realizar una transferencia y conseguir bloquear la cuenta mediante intentos de acceso fallidos no puede llevar un tiempo demasiado grande. No obstante, el artículo habla de veinte horas y múltiples transferencias.

Lo que nos lleva al siguiente punto: la elección del momento.

Según plantea el artículo, “En la cuenta acababa de ingresar la Xunta cantidades importantes correspondientes a subvenciones que la Administración local esperaba desde hacía meses“. Vale, quizá sea casualidad que el fraude se realizase justo en ese momento, pero es cuanto menos sospechoso y puede despertar sospechas fundadas sobre la potencial existencia de un insider (el alcalde ha defendido a los empleados del concello: “Poño as mans no lume por todos os empleados“), bien en el entorno del concello o en cualquier entidad pública o privada que fuese conocedora de que dicha transferencia se iba a realizar. No conocemos el número de personas que estaban al tanto de la transferencia en cuestión, y podríamos estar hablando de decenas de personas o quizá incluso más de un centenar; dada la crisis actual, no es descartable que el concello estuviese esperando el dinero para abonar algunos retrasos a proveedores, a los que habría podido tranquilizar informando de que estaban esperando una transferencia. Al final, el resultado es que esta información podría haber sido casi de ámbito público.

Hemos de tener en cuenta que a pesar del momento concreto en el que se realiza el acto delictivo, siendo conocedor de que dicha transferencia se iba a realizar, el delincuente podría haber obtenido las credenciales semanas o meses antes y mantenerse a la espera; no sé si se habrán percatado, pero por la razón que sea las claves utilizadas habitualmente en banca a distancia, ya sea la de acceso o la que permite realizar operaciones (a través de claves o tarjetas de coordenadas), no es algo que suela cambiarse con frecuencia, sino más bien al contrario. Si este fuese el caso, no hablaríamos de una casualidad sino de un delito perfectamente planificado.

El siguiente aspecto a tener en cuenta es el método de acceso a las credenciales. Según el artículo, los primeros indicios apuntan hacia el phishing. No obstante, si atendemos a la “idoneidad” del momento, estaríamos ante un caso de phishing dirigido y no el típico correo masivo mal redactado, pobremente diseñado y cuya similitud con el original es fruto de la casualidad. Esto complica enormemente las posibilidades de que un usuario pudiera detectar que se trataba de una página fraudulenta ya que el nivel de “esmero” que los delincuentes podrían haber puesto en el diseño del ataque y el portal falso lo haría casi indetectable y más si había algún tipo de control sobre la infraestructura tecnológica del concello que permitiese modificar registros del DNS o similares.

Sin embargo, las claves de acceso suelen ser diferentes a las claves de operación, por lo que o bien los atacantes llevaban el tiempo suficiente escuchando para obtener dichas claves, o el usuario introdujo por ignorancia todas las claves que se le solicitaron. Tengamos también en cuenta que suplantar una web permite cierta “libertad” a la hora de solicitar información adicional, como por ejemplo podría ser el caso de una verificación “rutinaria” de comprobación de claves de operación.

Aunque vamos a ir acabando, hay diversos puntos adicionales a señalar.

Por un lado, está el hecho de que los delincuentes cambiasen la clave y el concello no se percatase, ya sea porque no existe esa alarma en Novagalicia o porque el destinatario no recibió dicha alarma: En el caso del Concello de Cerdedo, se presume que se pudo haber operado en un falso portal de Caixanova, facilitando a través de él las claves a los piratas. Estas fueron luego sustituidas por otras para ganar tiempo para vaciar la cuenta. Confieso que ignoro si este tipo de alarmas existen, pero es evidente que el cambio de clave de acceso debería remitir un SMS al teléfono especificado para ello, y ese teléfono estar especialmente protegido. De igual forma, la ejecución de una transferencia suele (ignoro si es el caso de Novagalicia) generar una alarma. Desgraciadamente, disponiendo de las claves de operación, es sencillo cambiar el teléfono, por lo que alguien que dispone de dichas claves puede evitar sin ninguna dificultad que el legítimo dueño de la cuenta reciba el SMS (pero no si este cambio también genera una alarma). Esto evidencia que con la existencia de determinadas alarmas, hay algunos fraudes que se evitarían y al mismo tiempo, que hay algunos datos y uno de ellos es el de alarma y notificación que no deberían poder ser configurados desde el portal de banca electrónica. A pesar del usuario.

Por otro lado, llama la atención que mientras el Concello no recuperó el control, los estafadores dispusieron de unas veinte horas en las que realizaron transferencias de cantidades aleatorias a diferentes cuentas. Quizá la transferencia de 200.000 € en dos días a diversas cuentas debería haber despertado cierta alarma en los sistemas de correlación bancaria y más tratándose de un organismo oficial. Cierto es que puede tratarse de una operativa legítima, pero podemos plantearnos si sería razonable que desde el banco alertasen sobre este tipo de situaciones.

Por último, me preocupa la frase “el personal municipal intentó acceder a la cuenta el lunes y no fue capaz. Creyendo que se trataba de algún problema informático, dejaron la operación para el martes“. Con ese planteamiento, no se me ocurren muchos problemas informáticos que desemboquen en un problema de acceso a un portal remoto de banca a distancia, por lo que cabe pensar que la formación en materia de seguridad informática del personal que manejaba estas cuentas no era todo lo buena que cabría esperar. También es razonable plantearse si el personal habría actuado igual si el acceso bloqueado hubiese sido el de acceso a sus cuentas bancarias personales. Lo cierto es que probablemente no; si nos ponemos nerviosos hasta cuando no podemos acceder a nuestro perfil de Facebook (hasta que nos damos cuenta de que las mayúsculas están activadas), ¿por qué nadie llamó al servicio de atención telefónica del banco? Si se pensó que era un problema informático, ¿por qué no se avisó al personal informático? Y si se avisó, ¿qué se hizo luego?

Evidentemente, no tenemos más que un artículo periodístico con múltiples lagunas y desconocemos hasta qué punto los hechos son tal y como se cuentan. Sin embargo, aun en ese caso y evitando caer en acusaciones infundadas, hay varias lecciones que podemos aprender. Pasen un buen fin de semana y no pierdan de vista sus ahorros, estén donde estén. Nos vemos de nuevo el lunes.

Auditorías de segunda parte: seguridad en las compras y contrataciones (1)

25 de octubre de 2012 Por

No es ésta la primera vez que hablamos en este blog sobre auditorías, especialmente en su relación con los procesos y entidades de certificación. En el pasado hemos hablado sin mordernos demasiado la lengua del doble juego de las entidades de certificación, del doble juego de los auditores de las entidades de certificación, así como de algunos aspectos del proceso de certificación de la seguridad (parte I y parte II)

Durante las próximas semanas iremos publicando algunas entradas sobre este asunto, pero desde un punto de vista de la propia auditoría. Es nuestra intención en primer lugar reflexionar sobre el concepto de auditoría. En próximas entradas pasaremos aunque sea de puntillas por los distintos tipos de auditoría que existen en función de su origen y objetivos y, finalmente, profundizaremos en las auditorías de segunda parte como herramienta para elevar los niveles de calidad y seguridad de los procesos de negocio desde los procesos de compras y contratación, tanto en la dimensión de su eficacia como en la de su eficiencia y de ahorro de costes y problemas.

A estas alturas ya todos sabemos bien de qué va el tema y la mayoría seguramente hasta hemos “sufrido” auditorías en primera persona. No obstante vamos meternos en materia ofreciendo en primer lugar una aproximación al concepto de auditoría. Desde el punto de vista formal, la normativa de gestión define la auditoría como un “proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.

Vale. De acuerdo. Pero esta definición, seguramente correcta desde el punto de vista formal, resulta a todas luces insuficiente ya que una vez leída cualquiera puede quedarse igual que al principio. O peor. Además, la misma definición introduce ruido incluyendo dos veces el propio término que intenta definir. Resumiendo: si no sabes qué es y en qué consiste una auditoría con total seguridad seguirás sin saberlo después de leer la definición de la norma.

Por otro lado, el diccionario de la RAE define el término auditoría como “Empleo de auditor” y para el término auditor indica “Que realiza auditorías” por lo que el casi infalible diccionario oficial tampoco nos sirve de gran ayuda en este caso.

Vamos pues a intentar aclarar el concepto ofreciendo una aproximación más práctica.

Una auditoría, con independencia de sus objetivos (los cuáles pueden ser muy diferentes en función del tipo de auditoría, hablaremos de ello) consiste o debería consistir en un examen metódico, concienzudo, riguroso, independiente, completo y repetible el cual es realizado a una organización o a una parte de la misma (un proceso, un departamento, una línea de fabricación, un programa de clientes, un contrato, un proyecto, etc.).

Vamos por partes:

  • Examen: efectivamente, aunque una auditoría es mucho más que una simple evaluación no deja de tener una buena dosis de examen y como tal suele entenderlo, en general, la parte auditada, con sus preocupaciones, sus nervios y su estrés incluidos. Por fortuna no siempre es así; también hay auditados que tienen claro el objetivo de la auditoría, que facilitan el trabajo al máximo y que llegan incluso a sentirse cómodos durante todo el proceso. Esto es lo deseable ya que facilita mucho el trabajo al auditor y la auditoría resulta más provechosa, además de hacerla desde el punto de vista personal sin duda más agradable.
  • Metódico: para llevar a cabo con garantías una auditoría ésta debe ser realizada por una persona debidamente capacitada, bien entrenada y con experiencia, abarcando la totalidad del alcance previsto (muy ligado a los objetivos de la auditoría de los que insisto en que hablaremos más adelante) y aplicando técnicas de auditoría, de una manera sistemática y sin dejar lugar a la improvisación.
  • Concienzudo y riguroso: además de las capacidades, entrenamiento y experiencia de la(s) persona(s) responsable(s) de llevar a cabo la auditoría, es decir, de las aptitudes de los auditores, hay que tener muy en cuenta también su actitud, la cual es directamente proporcional a la profesionalidad de las personas. Desde el punto de vista técnico el trabajo de auditoría resulta más o menos complejo en función de las actividades objeto de evaluación; obviamente no es lo mismo auditar un proceso comercial sencillo o la gestión de un pequeño almacén de recambios que auditar los procesos de explotación de una empresa de servicios TIC o el proceso de I+D en una empresa de diseño aeronáutico, por ejemplo.

    Pero con independencia de la posible complejidad inherente a la actividad, la auditoría puede convertirse en una tarea ardua, delicada, tediosa, en ocasiones incluso tensa e ingrata, por lo que a veces lo que te piden cuerpo y mente es no andar metiéndote en camisas de once varas, no emplearte a fondo y pasar deprisa y sin profundizar demasiado sobre algunas actividades o procesos concretos. Esta postura, sin duda mucho más cómoda, es la elegida en ocasiones por los auditores quienes, obviamente, no estarán haciendo bien su trabajo. También puede resultar más cómodo para la parte auditada la cual pocas veces se quejará por no ser auditada con todo el rigor y extensión deseables, de la misma manera que nunca nadie se quejará de un precio demasiado bajo, de un sueldo demasiado elevado o de que no se le haya llevado la grúa el coche habiéndolo dejado mal aparcado.

    Es aquí donde entra en juego la profesionalidad del auditor antes mencionada. El auditor tiene que auditar a conciencia y con rigor pese a la dificultad técnica y a lo peliagudo de las situaciones con las que tenga que lidiar. No es admisible mirar para otro lado ni pasar de puntillas por un tema, relajando el nivel de muestreo o eligiendo registros a priori más cómodos o menos problemáticos de auditar (diseños sencillos, contratos de poco importe, proyectos de poca entidad, actividades con poca complejidad técnica, etc.) aunque no hacerlo te pueda complicar y mucho la vida.

  • Independiente: el de la independencia es un requisito importante y que también tiene relación con la profesionalidad y honestidad del auditor. Los auditores han de ser independientes y no tener responsabilidades ni intereses sobre la organización o procesos auditados. Es una de las reglas básicas del juego: no se puede ser juez y parte. Una auditoría que incumpla el requisito de independencia incumple las normas de gestión, como no puede ser de otra manera. Sin embargo, también es cierto y está ampliamente demostrado que puede resultar mucho más provechosa y eficaz una auditoría llevada a cabo por un auditor experto, riguroso, honesto y profesional, aunque no sea independiente de la organización o proceso auditados, que una llevada a cabo por un auditor con menor capacidad y experiencia, con una actitud inadecuada o que no dispone del tiempo suficiente, por mucha independencia que pueda demostrar.

    Si el auditor tiene algún tipo de vínculo con el ámbito de la auditoría puede que se pierda la deseable visión externa, pero no necesariamente se tiene que perder el rigor ni la imparcialidad si se trata de una persona honesta, ecuánime y que actúa con total imparcialidad. El problema es que eso sólo lo sabe él. De ahí que resulte imprescindible el requisito de la independencia. Una reflexión: si usted perdiese su cartera con sus datos de contacto y mil euros en su interior, ¿quién preferiría que la encontrase?, ¿una persona de su círculo y con recursos o un desconocido que pasa apuros económicos y no llega a final de mes? Yo preferiría que la encontrase una persona honesta que me la devolviese intacta. Por ello para una auditoría yo prefiero a una persona preparada, con una gran dosis de prurito profesional y con el tiempo suficiente, aunque pudiera no ser tan independiente. Y es que el hábito no hace al monje; profesionalidad y honestidad van con la persona.

  • Completo: si asumimos que el equipo auditor cuenta con las aptitudes necesarias y las actitudes adecuadas ya sólo resta que dicho equipo auditor disponga del tiempo necesario para desarrollar su trabajo en toda su extensión. Hay que resaltar que en toda auditoría el tiempo es un factor fundamental para alcanzar los objetivos esperados. De hecho se trata de la tercera dimensión de una auditoría (aptitud, actitud, tiempo). No sólo debe abarcarse todas las actividades incluidas en el alcance previsto para la auditoría si no que además deben auditarse en profundidad. Es algo obvio por lo que huelgan demasiadas explicaciones acerca de la importancia del factor tiempo en una auditoría.

    Es este aspecto uno de los tendones de Aquiles de los esquemas de certificación sobre los que ya escribimos en este mismo blog: los auditores de las entidades de certificación frecuentemente están vendidos ya que se les suele dejar bastante menos tiempo del requerido para poder llevar a cabo una auditoría con las debidas garantías. Este hecho es consecuencia del mercadeo de certificados del que ya hablamos en su día. Además, la falta de tiempo, unida al necesario prurito profesional antes indicado, tiene una componente importante de desgaste personal y profesional lo cual termina por llevar a algunas personas, como es comprensible, a adoptar la actitud cómoda (e inadecuada) mencionada más arriba. Para que la auditoría resulte de utilidad los criterios de muestreo aplicados deben asegurar que la muestra elegida es representativa. Una vez seleccionados los registros a auditar hay que auditarlos concienzudamente. Además, finalmente habrá repasar y analizar las notas tomadas durante el trabajo de campo (páginas y páginas en ocasiones), revisar algunos documentos, realizar algunas comprobaciones finales y registrar los resultados del trabajo de campo en un informe completo. Y para todo esto hace falta tiempo. Bastante tiempo.

  • Repetible: por último, un concepto un tanto más teórico es el de la repetibilidad de la auditoría. La idea es que, como consecuencia de todo lo indicado anteriormente (es decir: si se han hecho las cosas como Dios manda), el resultado de una auditoría debería ser prácticamente el mismo y deberían identificarse los mismos problemas y virtudes con independencia de que la pudiese llevar a cabo un equipo auditor u otro diferente. También que una auditoría llevada a cabo con rigor y con el tiempo suficiente debería arrojar los mismos resultados si (aunque carezca de sentido) fuese realizada dos veces consecutivas; los informes de dos auditorías consecutivas o de dos auditorías realizadas por diferentes equipos auditores deberían identificar los mismos problemas y virtudes (± un pequeño delta ligado a la incertidumbre inherente a todo proceso de muestreo). Otra cosa no tendría sentido. Insistir en que la repetibilidad es consecuencia directa de todo lo anterior (compleción, metodología, profesionalidad, rigor, etc.).

Bien: pues, como ya dijimos, si una auditoría es realizada conforme a la aproximación indicada en este artículo su resultado puede reportar muchos beneficios en función de los objetivos perseguidos por la misma. Sirva este artículo como introducción. En próximas entregas haremos un repaso a los diferentes tipos de auditoría y hablaremos sobre la aplicación de técnicas de auditoría a los procesos de compras y contratación y sobre los beneficios que pueden reportar.

DarsonChem Inc. vs. GruM GmbH (I)

24 de octubre de 2012 Por

Michael Henning nació el 7 de abril de 1954 en una pequeña ciudad del Oeste de Estados Unidos en, como suele decirse, el seno de una familia de corte rural. Sin novedades durante sus primeros años, se matriculó en Química en la Universidad de Berkeley (California). Aunque ésta no era en realidad su primera opción, la escogió debido a la existencia de un pequeño negocio familiar de plásticos y la presión de su familia.

Michael salió de la universidad como uno de los cinco mejores estudiantes de su promoción, con un título en química —especialización en bioquímica— y para desgracia de su madre, un puesto de trabajo bien remunerado como ingeniero químico para Darson Chemicals, Inc., una de las 20 primeras compañías químicas de Estados Unidos con una facturación de aproximadamente 72 millones de dólares según datos de 1974. La empresa de plásticos de su padre se vendería unos años más tarde a un competidor local.

Trabajó para DarsonChem durante 17 años, tiempo durante el cual llegó hasta el puesto de responsable ejecutivo y estratégico para Europa Occidental, donde la compañía comenzó a introducirse en 1981 y tras una rápida expansión inicial experimentó una fuerte contracción a causa de la competencia agresiva de varios competidores alemanes. La salida de Michael Henning de DarsonChem tuvo lugar durante dicho periodo de declive aparentemente por diferencias internas, momento en el cual la facturación de la compañía ascendía a 5570 millones de dólares, siendo el mercado europeo el 17% del montante total en ese momento, desde el pico del 27% mostrado en 1984.

Michael se incorporó en 1992 a Grunwald und Metzger GmbH, la segunda empresa química alemana y quinta a nivel mundial, en un puesto intermedio como analista estratégico para el mercado asiático. Gracias a su experiencia y la fuerte amistad que mantenía con parte del equipo directivo, a partir de 1995 comenzó informalmente a participar en las reuniones del comité ejecutivo, lo que le valió diferentes privilegios y le proporcionó acceso a información sensible para la compañía. Henning se prejubiló anticipadamente en julio de 2006.

El 7 de diciembre de 2008 GruM acusó a Michael Henning y DarsonChem de espionaje industrial, en la mayor trama de este tipo conocida hasta la fecha. Según se demostró, la entrada de Michael Henning en GruM fue un movimiento orquestado conjuntamente por éste y DarsonChem, con el propósito de debilitar no sólo la expansión de GruM en América del Norte, el mercado principal de DarsonChem, sino también de reducir la competencia que DarsonChem tenía en Europa e influir negativamente en las agrupaciones empresariales del sector debilitándolas.

Aunque teóricamente Henning tenía en GruM un perfil de puesto intermedio con acceso limitado a la información estratégica fuera de su ámbito de actuación, la documentación aportada por la empresa alemana durante el juicio demostró que Henning disponía de acceso a información confidencial no sólo del mercado asiático, sino también del europeo y norteamericano: planes estratégicos y de expansión, líneas de mercado, listados de proveedores y clientes, proyectos de I+D, tecnología y márgenes de producción entre otros. Adicionalmente, Henning no sólo participaba a nivel ejecutivo sino que se descubrió que diferentes directivos le incluían en su círculo de confianza y le proporcionaban información sensible. Se comprobó que muchas de estas personas ignoraban cuál era el puesto real de Henning y su nivel de acceso.

A finales de 2005, poco antes de la jubilación de Henning, la compañía alemana se encontraba estancada en el mercado americano y en clara contracción en el europeo, mientras que la empresa estadounidense había incrementado en 41 puntos su cuota en el mercado europeo y se afianzaba como la segunda compañía química mundial. Al comienzo del juicio contra Darson Chemicals, Inc. sus cuentas presentaban una facturación de 48440 millones de dólares, un crecimiento de más del 800% desde la salida de Henning, con una cuota del 71% en el mercado americano y del 64% en el europeo, mientras que GruM había descendido al puesto 17 en el ranking de empresas químicas.

DarsonChem fue obligada a pagar 2450 millones de dólares y aunque Michael Henning fue inicialmente condenado a catorce años de cárcel y una multa de 7 millones de euros, algunas omisiones en su contrato de confidencialidad e irregularidades en la obtención de las pruebas redujeron la condena a dos años de cárcel y una multa de 250.000 €. Actualmente está jubilado con una pensión vitalicia a cargo de DarsonChem.

* * *

Tras este incidente, en mayo de 2009 GruM contrató a Kornel Seiler como CSO para mejorar la seguridad y evitar problemas similares en el futuro. En próximas entradas veremos algunos detalles de la investigación y diferentes medidas que Kornel decidió implementar para evitar incidentes de este tipo en el futuro.

Malas ideas: El móvil que se pierde sin querer queriendo

23 de octubre de 2012 Por

(N.d.E. Nótese que parte de los ataques a continuación descritos pueden y deben ser considerados actos delictivos, con las consecuencias que ello implica para la persona que los lleva a cabo. La presente entrada tiene como propósito poner de manifiesto la facilidad con la que una persona malintencionada podría obtener información valiosa de una potencial víctima, si ésta no tiene unas mínimas precauciones en la gestión de la información que maneja)

Continuando con la serie de artículos sobre posibles malas ideas con las que nos podemos encontrar, esta vez quiero dejaros caer una idea que llevo dándole vueltas desde hace tiempo y cualquier parecido con la realidad, es pura coincidencia ;)

Introducción

Cuántas aplicaciones existen para Android (desconozco iOS) que te permiten encontrar el móvil cuando lo perdemos. Cuántas de esas, además, permiten tomar una fotografía de la persona que está sujetando el móvil o de su entorno, gracias a la cámara trasera. Seguro que muchos de vosotros ya lo habéis pensado: Cerberus, esa aplicación para Android que tanto te permite hacer… incluso podríamos decir que demasiado.

Cerberus

[Read more…]

Instalando Touchatag en 2012

22 de octubre de 2012 Por

En septiembre de 2010, realizamos entre Roberto y yo una serie de entradas que profundizaban en la seguridad de las tarjetas RFID Mifare Classic. Han pasado los años, y los visitantes siguen intentando seguir el manual al pie de la letra. Como es normal, actualmente las cosas han cambiado y las versiones utilizadas ya no son compatibles en 2012.

Por ello, he decidido actualizar aquel artículo y mostrar cómo he conseguido instalar en mi máquina todo el software necesario para jugar con nuestro lector favorito: el touchatag. Para ello, he utilizado una Ubuntu 12.04 (no me ha dado tiempo a probar Ubuntu 12.10 todavía) aunque la instalación se puede hacer en otras distribuciones con cambios mínimos.

El primer paso es la instalación de las librerías y programas que vamos a necesitar:

dlladro@vm:~$ sudo apt-get install build-essential subversion automake autoconf libusb-dev 
libpcsclite-dev libusb-0.1-4 libpcsclite1 pcscd pcsc-tools libtool flex libccid doxygen libacsccid1

Una vez hecho esto, pasamos a descargar e instalar las librerias LibNFC:

dlladro@vm:~/rfid$ wget https://libnfc.googlecode.com/files/libnfc-1.5.1.tar.gz
dlladro@vm:~/rfid$ tar -xvzf libnfc-1.5.1.tar.gz
dlladro@vm:~/rfid$ rm libnfc-1.5.1.tar.gz
dlladro@vm:~/rfid/libnfc-1.5.1$ cd libnfc-1.5.1
dlladro@vm:~/rfid/libnfc-1.5.1$ autoreconf -vis
dlladro@vm:~/rfid/libnfc-1.5.1$ ./configure --enable-doc
dlladro@vm:~/rfid/libnfc-1.5.1$ make
dlladro@vm:~/rfid/libnfc-1.5.1$ sudo make install
dlladro@vm:~/rfid/libnfc-1.5.1$ cd ..

Ahora podemos conectar el lector, y utilizar los siguientes comandos para asegurarnos que lo hemos instalado bien:

dlladro@vm:~/rfid$ pcsc_scan 
dlladro@vm:~/rfid$ nfc-list

Vamos ahora a instalar las herramientas que necesitaremos. La primera de ellas se llama mfcuk e implementa el ataque llamado “darkside” descrito en http://eprint.iacr.org/2009/137.pdf. Este ataque aprovecha la poca entropía que se utiliza en el cifrado Crypto-1 para obtener mediante fuerza bruta la clave de un sector.

dlladro@vm:~/rfid$ svn checkout http://mfcuk.googlecode.com/svn/trunk/ mfcuk-read-only -r r62
dlladro@vm:~/rfid$ cd mfcuk-read-only
dlladro@vm:~/rfid/mfcuk-read-only$ autoreconf -is
dlladro@vm:~/rfid/mfcuk-read-only$ ./configure

Editar el fichero src/Makefile y dejar la linea 112 como la siguiente:

LIBS = $(LIBNFC_LIBS)

Compilamos e instalamos:

dlladro@vm:~/rfid/mfcuk-read-only$ make
dlladro@vm:~/rfid/mfcuk-read-only$ sudo make install
dlladro@vm:~/rfid/mfcuk-read-only$ cd src

Una vez instalado, lo ejecutamos con la orden:

dlladro@vm:~/rfid/mfcuk-read-only/src$ ./mfcuk -C -v 2 -R 3:A -M 8

-C     Para realizar la conexión
-v 2   Modo very verbose
-R 3:A Recuperar la clave A del sector 3
-M 8   Tipo de tag Mifare Classic 1K

Obtenemos el siguiente resultado:

Donde vemos que ha encontrado la clave A del sector 3. Este ataque, según los creadores dura unos 5 minutos, pero en mis pruebas no ha bajado de 20. Como veis, obtener las 30 claves (en el caso que sean todas diferentes) nos podría tomar demasiado tiempo.

Ahora vamos a utilizar el programa mfoc para obtener todas las demás claves. Mfoc utiliza el llamado “Nested-Authentication attack” que se basa en el conocimiento de una clave para atacar a los sectores restantes. Su instalación es la siguiente:

dlladro@vm:~/rfid/mfcuk-read-only/src$ cd ../../libnfc-1.5.1
dlladro@vm:~/rfid$ svn checkout http://nfc-tools.googlecode.com/svn/trunk/ nfc-tools-read-only 
   -r r1090
dlladro@vm:~/rfid$ cd nfc-tools-read-only/mfoc
dlladro@vm:~/rfid/nfc-tools-read-only/mfoc$ autoreconf -vis
dlladro@vm:~/rfid/nfc-tools-read-only/mfoc$ ./configure
dlladro@vm:~/rfid/nfc-tools-read-only/mfoc$ make 
dlladro@vm:~/rfid/nfc-tools-read-only/mfoc$ sudo make install
dlladro@vm:~/rfid/nfc-tools-read-only/mfoc$ cd 
dlladro@vm:~$ sudo bash -c "echo /usr/local/lib >> /etc/ld.so.conf.d/loc_lib.conf"

Para usar la clave que hemos obtenido anteriormente hay que volver a compilar el archivo mfoc.c que está en ./mfoc/src/mfoc.c y buscar el vector de claves por defecto:

Solo hay que añadir la clave siguiendo el mismo patrón. Luego hacemos un:

dlladro@vm:~/rfid/nfc-tools-read-only/mfoc/src$ make

y ya lo tenemos a punto.

La ejecución del programa la hago de la siguiente forma:

dlladro@vm:~/rfid/nfc-tools-read-only/mfoc/src$ ./mfoc -P 100 -O salida.mdf

-P 100   Reintentos
-O         Archivo de salida

Veremos algo como esto:

Esta parte todavía no es el ataque, aquí mfoc está comprobando si las claves que tiene por defecto funcionan con algún sector.

Primero hace una pasada probando las claves A. Como se deduce, la clave a884…. es la clave A del sector 0.

Después de esto, empezará el ataque donde irá obteniendo las claves una a una. En el caso de que las obtenga todas en las 100 repeticiones, hará el volcado del tag en el archivo salida.mdf , sino, yo recomiendo apuntar las claves e ir introduciéndolas en el archivo mfoc.c.

Por último, una vez tengamos todas las claves podemos crearnos con un editor hexadecimal un archivo llamado keys.mdf. Este archivo lo podemos crear a partir del salida.mdf poniendo todo a ceros excepto los sectores tráiler de cada bloque.

Y con el archivo keys.mdf ya podemos operar con el tag con las funciones de la librería libnfc:

dlladro@vm:~$ nfc-mfclassic w a contenido_nuevo.mdf keys.mdf

w                     Escritura
a                     Clave A
contenido_nuevo.mdf   Archivo de entrada
keys.mdf              Archivo con las claves

Con esta última orden hemos escrito un tag Mifare Classic con un contenido modificado.

Espero que esta entrada ayude a los lectores que han intentado “jugar” con su touchatag y han tenido problemas con la instalación.

Seguridad en la pista (II)

19 de octubre de 2012 Por

(Para este viernes tenemos una entrada con un enfoque ligeramente diferente a la temática habitual, aunque sin duda es un entorno en el que la seguridad y el correcto funcionamiento de los equipos juega un papel esencial)

Tras el primer post de calentamiento y una vez conocidas las herramientas de las que disponemos (todo el dispositivo explicado anteriormente), estamos dispuestos para afrontar los incidentes de seguridad que se vayan presentando a lo largo de la jornada.

Hoy tenemos por delante varias sesiones con automóviles en la pista, donde cada una de una de ellas presente una criticidad diferente:

  • Los incidentes durante las sesiones libres, donde se realizan las pruebas necesarias para que todo lo relacionado con el equipo (dirección, piloto, mecánicos y técnicos, automóvil, etc.) funcione a la perfección. Se puede comparar este tipo de preparación con la formación y las tareas cotidianas de un equipo de seguridad TI, donde el trabajo de cada uno de los miembros es fundamental para obtener los resultados esperados.

    [Read more…]