Medición de un SGSI: diseñando el cuadro de mandos

12 de enero de 2011 Por

La entrada de hoy es la segunda colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones.

Su carrera profesional se ha desarrollado alrededor de la gestión de la seguridad de la información en todas sus vertientes: ISO 27002/27001, Continuidad de Negocio, Protección de datos, etc., tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de Firma, Proyectos y Formación y participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

Como segundo post relacionado con la medición y evaluación de la seguridad de la información (véase el post anterior), quiero reflexionar sobre varios aspectos esenciales que deben ser tenidos en cuenta a la hora de desplegar nuestro posible cuadro de mandos de la seguridad.

Como ya comentamos en el post anterior, los objetivos se estratifican a diferente altura teniendo como niveles las decisiones estratégicas, tácticas y operativas.

En este contexto y dentro del marco de trabajo de la serie ISO 27000, se publicó el año 2009 la norma ISO 27004 Information technology — Security techniques — Information security management – Measurement que tal como se expresa en la introducción, tiene por objetivo permitir a las organizaciones dar respuesta a los interrogantes de cuán efectivo es el SGSI y qué niveles de implementación y madurez han sido alcanzados por los controles seleccionados en la declaración de aplicabilidad. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte del proceso de mejora continua servirá para evaluar los avances del proceso de mejora continua.

[Read more…]

Ese gran invento llamado Pendrive

11 de enero de 2011 Por

Recientemente me llego a mis manos un pendrive, cuyo dueño no usaba desde verano, para que le copiara un par de archivos de mi equipo personal de casa a su pendrive. Al conectarlo me llamaron la atención un par de cosas del pendrive, por lo que decidí echarle un vistazo a ver que me encontraba.

Primero me hice una copia en raw de nombre imagen:

# dc3dd if=/dev/sdb1 of=imagen bs=512 conv=noerror,sync hash=sha256 hashlog=ressha

Luego me puse a analizar que ficheros se habían eliminado del pendrive (símbolo *) y… ¡voilà! Un fichero “_autorun.inf” y “_gt.exe” no paraba de eliminarse, y si consultábamos el inodo, no paraba de ejecutarse:

[Read more…]

27c3

10 de enero de 2011 Por

(N.d.E. Tendrán que disculparnos por la prolongada ausencia de entradas, pero los compromisos navideños, los polvorones y los Reyes Magos nos han tenido ocupados más tiempo del esperado. Sea como fuere, retomamos la actividad habitual del blog esperando que tal interrupción no se repita, al menos, hasta el 30 de diciembre de 2011.)

La última semana de 2010 se celebró en Berlin, un año más, la 27 edición de la CCC, uno de los congresos de scene underground de más renombre y tradición de Europa. El evento tuvo lugar en el Berliner Congress Center, y ofrece cada año una gran variedad de charlas repartidas en cantidad de temáticas: comunidad, cultura, hacking, creación, ciencia y sociedad. Se pueden ver las conferencias y los slides en su wiki o en este otro enlace.

Security Art Work estuvo en Berlin (a pesar del frío y la nieve ;) para conocer de primera mano las últimas novedades que se hicieron públicas en el congreso. Destacable la charla de SMS-o-Death, donde demostraron los bugs que presentan la mayoría de los actuales smartphones a la hora de manejar SMS, donde debidamente modificados a bajo nivel, pueden dejar una terminal sin servicio, o incluso brickearlo, con sólo recibir un SMS. Otra esperada charla fue la Console Hacking 2010, donde el equipo fail0verflow (compuesto por entre otros el español marcan), dieron un repaso a las vulnerabilidades de la PlayStation3 y publicaron nuevos métodos de evasión de las protecciones hasta hace poco infranqueables.

[Read more…]

ProtegITs

30 de diciembre de 2010 Por

Hace unas semanas les comentábamos que el Presidente de la Generalitat, D. Francisco Camps, había inaugurado el proyecto ProtegITs, en el cual les dábamos algo de información sobre esta iniciativa. Aprovechando que el pasado domingo se abrió la web al público y estamos presentes en ExpoJove (Feria Juvenil de Valencia, típicamente navideña), creo que es el momento de dar algunos detalles.

ProtegITs es un proyecto que nació hace ya casi dos años a partir de una preocupación de José Rosell, uno de los socios directores de S2 Grupo, sobre la seguridad de los menores en Internet. Tras varias experiencias no muy agradables en peritajes, la cada vez más frecuente aparición de noticias de pederastia y pedofilia en prensa, y tras un periodo de maduración, se decidió dar forma al proyecto, y proponerlo a la Generalitat Valenciana como proyecto social. Como es evidente, ésta se mostró tremendamente interesada en él y fue lo que le dio el respaldo definitivo a un proyecto, ProtegITs, cuyo propósito es hacer conscientes a niños y niñas de entre 9 y 16 años de los riesgos que existen en el uso de Internet, y enseñarles cómo evitarlos. Algún tiempo después, entidades de la importancia de Consum Cooperativa y la Fundación Bancaja se unieron al proyecto, mostrando un apoyo clave para un proyecto de clara repercusión social. Adicionalmente, tal y como se puede ver en la página del proyecto, se cuenta con la participación de diversas empresas de carácter tecnológico y deportivo, tanto del ámbito local como nacional e internacional.

Dicho esto, ¿qué es ProtegITs? Pues ProtegITs es un proyecto que, a través de tres iniciativas claramente delimitadas, intenta cubrir todos los componentes de un modelo de seguridad en relación con los menores en Internet. Dichas iniciativas son las siguientes:

[Read more…]

Otras tecnologías de posicionamiento… y de más cosas

29 de diciembre de 2010 Por

Leía anoche el post de Damià sobre tecnologías de posicionamiento y no pude por menos que pensar -una vez más, no era la primera- en el nivel de control que las nuevas tecnologías pueden llegar a tener sobre nosotros y nuestra privacidad, si es que aún nos queda algo de eso. Acerca de degradaciones de la privacidad hemos hablado largo y tendido en este mismo blog, desde múltiples puntos de vista -incluso incluyendo los menos tecnológicos-, con lo que toca ahora el turno de las tecnologías de posicionamiento; en este caso, basadas en algo que, como el teléfono móvil, no está pensado exclusivamente para posicionar pero puede usarse con cierta facilidad para ello: me refiero a las tarjetas de crédito (o débito, por supuesto ;)

Las tarjetas de crédito no sólo nos posicionan en un momento determinado, a nosotros o al poseedor de nuestra tarjeta (que suele interesar que coincidan ;) sino que dicen mucho de nuestra vida; sin ir más lejos, si yo pago habitualmente la gasolina de mi coche con mi tarjeta, y casualmente suelo llenar el depósito, y además suelo hacerlo de camino al trabajo, cualquiera con acceso a esos datos puede saber (o imaginar) ya unas cuantas cosas sobre mí:

  • Zona habitual de paso. Aparentemente, Valencia; en concreto, la zona norte de la ciudad.
  • Misma gasolinera, mismo horario: suelo hacer ese recorrido a diario; si alguien quiere asesinarme, ya sabe dónde encontrarme :) Además, soy un tipo de costumbres…
  • Horario: completamente laboral, con lo que presumiblemente tengo trabajo y no puedo irme de fiesta todos los martes. Muy interesante para el banco de cara a concederme una hipoteca (¿cuál sería mi nivel de riesgo si usara la tarjeta habitualmente en zonas de copas, por las noches y de vez en cuando tuviera descubiertos?).
  • Importe. Como he dicho, suelo llenar el depósito y gracias al precio del combustible, eso se traduce en casi sesenta euros, con lo que a priori tengo un coche grande (y con estos precios, afianzo la hipótesis de que por fortuna tengo trabajo).
  • Frecuencia de repostaje. Suelo llenarlo una vez al mes, con lo que o hago pocos kilómetros o mi coche consume poco. Podría comprobarlo si tuviera acceso a los datos de otras estaciones de servicio… pero la frecuencia de repostaje, unida al importe repostado y a que teóricamente tengo un coche grande me hace pensar en pocos kilómetros. Ya os confirmo que es así (fuera de temporada de setas, claro está ;)

En resumen, simplemente con el repostaje habitual de camino al trabajo, alguien ya puede saber de mí en qué zona vivo, qué ruta sigo, mis horarios, mi tipo de coche, si trabajo o no… Evidentemente, se trata de un ejemplo simple; si nos queremos complicar, podemos fijarnos en movimientos globales durante, pongamos por caso, un mes: si me he ido de viaje, dónde he ido, si suelo comer o cenar fuera de casa, en qué tiendas compro y dónde están… Con el análisis de estos movimientos no sólo posiciono en cada uso al titular de la tarjeta -o a la tarjeta en sí- sino sus gustos, lugares frecuentados, nivel de gastos, estilo de vida, etc. Geoposicionado. Y tanto :)

Este tipo de geoposicionamiento, o simplemente información, puede resultar muy interesante en aspectos como la lucha antiterrorista (por ejemplo, para saber en qué ciudad se encuentra un sospechoso que acaba de sacar dinero de un cajero) o la detección de tarjetas duplicadas (no puedo comprar en Valencia y en Vigo con una diferencia de una hora entre ambas operaciones), pero, como siempre, tenemos el mal uso que podamos hacer de los datos derivados del uso de las tarjetas; desde publicidad dirigida hasta intromisiones en la privacidad difícilmente justificables (¿qué sucede si suelo pagar en locales de alterne o en un sex shop?). Los sistemas de detección del fraude implantados en redes de medios de pago hacen uso de esta información con fines lícitos, pero si cayera en malas manos… en fin, lo de siempre, el WikiLeaks de los pobres :)

Para acabar, si alguien se aburre, que invierta una horita en analizar los movimientos de sus tarjetas durante el último mes, verá como dicen muchas cosas de él.

Se dónde estás: tecnologias de posicionamiento en dispositivos de hoy en dia

28 de diciembre de 2010 Por

Dado que aspectos como la movilidad y el geoposicionamiento están poniéndose cada vez más de moda, en este post me gustaría repasar las diferentes tecnologías existentes y las implicaciones de privacidad, que en algunos casos son muy importantes. Veamos pues de qué estamos hablando.

  • Métodos de posicionamiento por parte de “la red”
    • Posicionamiento por célula telefónica: La red de telefonía móvil sabe en cada momento dónde está cada teléfono móvil, con una precisión que varía según las células pero que puede estar entre 1 Km y 35Km. Así pues, la compañía de teléfonos sabe dónde estas, y si eso no fuese suficiente, esta información la almacenan, por lo que si llevas tu móvil encima, saben donde has estado en cada momento de tu vida. ¿Se puede acceder a esta información? Sí. Las Fuerzas de Seguridad del Estado están autorizadas para ello si lo solicitan a las operadoras mediante orden judicial. Por ejemplo, tras el atentado del 11-M, sea accedió a dicha información que fue clave para encontrar a los terroristas, ya que un móvil fue encendido antes del atentado en otra ubicación donde tenían su base.

      [Read more…]

Feliz Navidad

25 de diciembre de 2010 Por

Wikileaks y la seguridad portuaria

24 de diciembre de 2010 Por

Este pasado fin de semana leía en ElPaís.com una noticia sobre la Iniciativa MEGAPORTS, una iniciativa norteamericana encaminada a la detección de sustancias radioactivas en contenedores con destino los Estados Unidos.

Esta iniciativa, que ahora luego les detallo, surge como un complemento a la iniciativa CSI (Container Security Initiative), también norteamericana, que lanzó la U.S. CBP (Customs and Border Protection), algo así como la Agencia de Aduanas norteamericana, que tiene competencias tan variadas como el control de inmigración ilegal, la protección de la propiedad intelectual de empresas norteamericanas, el control del tráfico de entrada de armas o dispositivos terroristas en los EEUU, la prevención del terrorismo o el control de aranceles aduaneros.

¿Por qué se plantearon los Estados Unidos crear la iniciativa CSI? Como consecuencia de los atentados del 11S en Nueva York, y tras replantearse muchos de los sistemas de protección que hasta entonces tenían implantados, e imagino que abordar innumerables análisis de escenarios de riesgos y evaluar amenazas hasta entonces no valoradas con la suficiente consideración, descubrieron que tenían un importante agujero de seguridad: alrededor del 90% de las mercancías que se mueven por el mundo lo hacen en transporte marítimo “containerizado”, y sólo el 2% de los contenedores que entraban en los puertos de los Estados Unidos eran revisados. Teniendo en cuenta la gran cantidad de “amigos” que los Estados Unidos tienen repartidos por el mundo, evidentemente tenían un problema.

[Read more…]

Recopilación Local File Inclusion LFI

22 de diciembre de 2010 Por

Este post no pretende ser una introducción o revisión exhaustiva de las vulnerabilidades de inclusión de código local o remoto. Por el contrario sí opino que la información concretamente de la explotación de un LFI se encuentra repetida hasta la saciedad, así como cada investigador ha aportado de forma dispersa pequeños trucos que amplían el espectro de explotación. Por lo tanto, creo que es interesante realizar una recopilación de estas mencionadas artimañas para conseguir el control de una máquina, permitiendo ésta la inclusión de código de forma local. Algunas de ellas son bastante conocidas, pero por el contrario, durante el trabajo de recopilación he dado con varias que desconocía y que me han sorprendido.

Muy brevemente comentaremos el punto de partida: un servidor Web que por ejemplo presenta una inclusión de código no sanitizada o filtrada correctamente. Aislando el código podría ser lo siguiente:

<?php
$param = $_GET[‘PARAM’];
include( $param . ‘.php’ );
?>

[Read more…]

Una de seguridad en las redes sociales

20 de diciembre de 2010 Por

(N.d.E. Después de una semana menos activa de lo habitual, volvemos a la carga al menos hasta que el turrón haga acto de presencia de forma oficial)

En los últimos años las redes sociales se han extendido de forma masiva y ya resulta extraño encontrar personas que no hagan uso de estos servicios de forma habitual, eso sí, debo reconocer que yo soy uno de ellos y que únicamente tengo mi cuenta para mi comunidad de vecinos, por lo que seguro que cualquiera de ustedes sabe más de las redes sociales que yo mismo.

Sin embargo, lo que sí tengo claro es que mucha de nuestra información se encuentra disponible en estas redes y en muchos casos a la vista de mirones no deseados, aspecto que ya se ha tratado numerosas veces en entradas anteriores y en las que no voy a entrar en esta entrada. Lo que sí me gustaría hacer es aprovechar este post para felicitar a Facebook, la red social más conocida y utilizada, por su iniciativa de organizar la primera hacker cup, una competición dotada con 5000$ en un único premio, que intentará reunir a personas interesadas en la seguridad de todo el mundo. La competición se encuentra dividida en 4 fases, las 3 primeras online y la última en las oficinas de Facebook ubicadas en Palo Alto (California, EEUU) donde se encontraran los 25 mejores clasificados; esperemos que se encarguen ellos de pagar el viaje.

La primera prueba consistirá en una ronda de clasificación de 72 horas, que da comienzo el Viernes 07 de enero de 2011 a las 16:00h, horario de España, en la que se presentarán tres problemas, de los cuales al menos habrá que conseguir resolver uno para poder clasificarse para la siguiente ronda. Poco más se sabe de la competición, así que sólo queda esperar al próximo 20 de Diciembre para que se abra la inscripción y ver cómo se desarrolla.

A mí ya me han convencido para dedicarle algún tiempo a este tipo de redes, ¿nos vemos en California?