La certificación CISSP – I

Hace ya unos cuantos años (2011), nuestro compañero José Luis Villalón nos hablaba de la certificación CISSP, de (ISC)2. Como las cosas han cambiado algo desde entonces, y aprovechando que aprobé recientemente el examen, vamos a echar un vistazo a esta certificación, a los cambios que ha sufrido y (en el siguiente post) a algunos consejos que personalmente me han servido para superar el examen.

Introducción

La certificación CISSP (Certified Information Systems Security Professional) de (ISC)2 es en la actualidad una de las principales certificaciones (básica para mí, aunque eso depende de la experiencia y recorrido profesional de cada persona) en materia de seguridad de la información, aunque tiene una mayor difusión en EEUU que en el resto de países, si echamos un vistazo al número de certificados por país. Mientras que a 31 de diciembre de 2018 EEUU contaba con cerca de 84500 certificados, entre Alemania (2100), Francia (1000), Italia (400) y España (650) sumaban poco más de 3000. Esto es probablemente debido a que muchos departamentos de Recursos Humanos en EEUU lo consideran un prerrequisito básico en el ámbito de la ciberseguridad, además de la significativa mayor aceptación que los certificados de (ISC)2 tienen en el mercado estadounidense.

[Read more…]

Military Financing Maldoc: análisis

Recientemente, desde Lab52 de S2 Grupo hemos detectado una campaña de infección a través de un documento malicioso que nos ha llamado especialmente la atención debido a su contenido y título.

El documento en cuestión, llamado “Military Financing.xlsm” y con hash “efe51c2453821310c7a34dca3054021d0f6d453b7133c381d75e3140901efd12”, destaca principalmente por su nombre y la imagen que contiene, que hace referencia a un documento con información secreta del departamento de estado de EEUU.

Ilustración 1 Captura de la imagen que contiene del documento

[Read more…]

Cómo escribir informes de incidentes de seguridad

Los incidentes de seguridad son un caso muy interesante de informe técnico, ya que tienen unas características particulares que debemos tener en cuenta a la hora de plasmarlas en un informe.

Os mostramos a continuación unos consejos (adicionales a los ya vistos en artículos anteriores) para que vuestros informes de incidentes de seguridad salgan “niquelados”.

Conoce tus tipos de informe

Los incidentes de seguridad tienen varias fases, existiendo varios tipos de informe en función de la audiencia y el objeto del mismo. Conocer qué es lo que esperan recibir en su informe es la mitad del éxito. [Read more…]

OPSEC básico para viajeros

Este post es, si no nos fallan las cuentas, el quinto (ver el primero, segundo, tercero y cuarto) del colaborador David Marugán Rodríguez. Agradecer una vez más su colaboración con Security Art Work con estos artículos tan interesantes. Si quieres saber más sobre David, aquí te dejamos su perfil en twitter. @radiohacking.

En esta ocasión me gustaría dar algunos consejos sobre seguridad operacional u OPSEC durante los viajes. Debo advertir que no soy ningún gurú de nada, y estos pequeños consejos o advertencias son fruto de la experiencia personal, de mi trabajo y de amigos profesionales de la seguridad que me han asesorado en muchas ocasiones cuando he ido a algún destino. Seguro que tú conoces otros y puede que más adecuados a tu situación personal o profesión. Toma por tanto esta pequeña guía con precaución.

Por mi actividad, he tenido que viajar a algunos países donde he observado riesgos que pueden ser fácilmente evitados o reducidos. Otros, por desgracia, son imposibles de evitar, sobre todo si hablamos de amenazas con actores gubernamentales implicados o países donde la vigilancia es total. No hay nada 100% seguro, pero a veces vale la pena gastar un poco de tiempo y dinero en estudiar nuestras amenazas en viaje. Incluso en algunos casos muy especiales, deberías contratar alguna empresa o perfil especializado que valore las medidas o te proporcione un producto de inteligencia real del sitio que vas a visitar y su contexto.

La idea de este pequeño artículo surge de las preguntas que me han hecho sobre las medidas que se pueden tomar en viajes a congresos de seguridad y hacking en otros países, pero estas medidas pueden aplicarse también a cualquier evento o viaje de trabajo; también en tus viajes de ocio, por supuesto. Debemos recordar que el OPSEC siempre es preventivo, si ha fallado no se puede volver a la situación anterior, no hay “back-up” en estos temas. [Read more…]

Cómo escribir informes técnicos y no morir en el intento (IV)

Consejos “espirituales”

Segundas y terceras lecturas nunca fueron malas

Cuando se está redactando un informe hay dos situaciones que se presentan con cierta frecuencia: las interrupciones (estás un día entero con un informe, pero te llaman o interrumpen cada 10 minutos) y el “entrar en zona” (te puedes pegar 2-3h escribiendo sin parar y te marcas 40 páginas de un tirón).

Ambas situaciones tienen su peligro: en el primero de los casos es fácil perder el hilo de lo que estabas contando, dando por supuesto cosas u obviando datos importantes. Y en el segundo puedes “engorilarte” sin problemas, yéndote de excursión por los cerros de Úbeda, Mordor y el chino de la esquina, e introduciendo un montón de paja en tu documento.

Releer tu informe una vez terminado es algo muy importante, porque en ese momento estás centrado en leerlo, no en escribirlo. Una segunda lectura te muestra las frases que no tienen del todo sentido, puntos que puedes reescribir para que se entiendan mejor, aspectos del análisis que no han quedado reflejados… vamos, que una segunda lectura SIEMPRE va a hacer que tu informe quede mejor.
[Read more…]

Intimidad del trabajador vs Control empresarial

Seguro que todos hemos oído hablar en alguna ocasión o, conocemos algún caso en el que un trabajador ha sido monitorizado, se ha accedido a su correo electrónico corporativo o, se ha ejercido cualquier tipo de fiscalización por parte del empresario sobre los dispositivos que éste pone a disposición del empleado mientras exista relación laboral.

Desde el punto de vista del empleado, podríamos pensar que el empresario no puede utilizar medios que atenten contra tu privacidad porque, por el mero hecho de firmar un contrato no pierdes o renuncias a los derechos que te son inherentes. Y, por otro lado, desde el prisma del empresario, éste podría pensar que el trabajador desde el momento en el que comienza a formar parte de la entidad, todo lo que hace es propiedad de la empresa y, por ende, tiene derecho a acceder por cualquier medio a la información que contienen los dispositivos.

Como sería de imaginar, no todo es blanco o negro sino que existen escalas de grises. Aunque si bien es cierto que el empresario podrá ejercer su poder de control en base al interés legítimo y la relación laboral que une al trabajador con éste, no podrá ejecutarlo como él quiera pues siempre tendrá que tener en consideración diferentes principios como son:
[Read more…]

Cómo escribir informes técnicos y no morir en el intento (III)

Consejos de redacción

El corrector ortográfico no cuesta dinero

Tenemos que reconocer que da un poco de vergüenza tener que poner este consejo, pero la cruda realidad obliga: pasar el corrector ortográfico es OBLIGATORIO en todo documento sobre el que tengáis la mínima autoría.

Hay pocas cosas que destruyan más rápidamente un informe que ver un “vamos haber las fases” o un “llendo a las conclusiones”. Pasar un corrector ortográfico cuesta muy poco y te puede salvar de fallos épicos.

Uno de los problemas cuando escribimos informes técnicos reside en que el procesador de texto no reconoce nuestra terminología (ni tampoco los términos en inglés). Un consejo muy interesante es el de ir añadiendo poco a poco estas palabras al diccionario personal de vuestro usuario, de modo que no se vuelvan a mostrar en siguientes ocasiones. De esta forma, cualquier falta de ortografía saltará a la vista y será más fácil de corregir.

Consejo 12: Guarda 10 minutos para pasar el corrector ortográfico. Hazlo SIEMPRE.

[Read more…]

Reina roja

El error humano sigue estando presente de forma alarmante en los incidentes de ciberseguridad (IBM X-Force Threat Intelligence Index). Varía el entorno, evolucionan las amenazas y el usuario sigue siendo un vector de ataque… y ni siquiera sabe que lo es, o cuáles son esos ataques.

A la pregunta de qué es un phishing, todavía encontramos demasiada gente que no sabe responder o lo hace de manera incorrecta (2018 User Risk Report). Hemos podido constatar personalmente este hecho durante múltiples sesiones a personas de distintos sectores laborales y en una gran variedad de lugares colaborando con el CSIRT-CV, formulando a la gente la misma pregunta. Por no hablar de conceptos como spear-phishing, phishing as a service o whaling; no se han escuchado nunca y se consideran algo lejano (cosas de informáticos). Pero son ataques reales que pueden comprometer la integridad de cualquier empresa por causa del usuario. ¿Cómo va a estar correctamente securizado un sistema con semejante brecha?

[Read more…]

Analizando nuestra red (IV)

Hace ya tiempo hablamos en este blog del uso de Netflow para analizar nuestra red y la posibilidad de detectar patrones de tráficos sospechosos.

Dado que para analizar tráfico, una de las formas habituales es disponer de un port mirror configurado en la electrónica de red enviando el tráfico interesante hacia nuestro NIDS, y no siempre existe la posibilidad de recibir tráfico Netflow directamente de los dispositivos, si no necesitamos el payload de la comunicaciones, por ejemplo para sacar información estadística o buscar anomalías, podemos usar herramientas para enviar el tráfico recibido como flujo Netflow y proceder a analizarlos. Para este post, usaremos Softflowd para realizar dicho envío.

[Disclaimer: existen otras herramientas, seguramente más actualizadas o con mayores funcionalidades, pero he decidido usar esta por sencillez.]

Una vez instalada la herramienta a través de nuestro gestor de paquetes favorito, indicamos en el fichero /etc/default/softflowd la interfaz a través de la cual voy a recibir el tráfico y el destino donde enviamos el flujo Netflow:

[Read more…]

IoT en la industria 4.0 – Nuestros datos ¿colaboración o aprovechamiento?

El pasado 7 de febrero se celebró en Madrid un encuentro en el Observatorio Vodafone de la Empresa en el que expertos en cloud, inteligencia artificial, robótica y transformación digital dieron una visión sobre cómo afrontar los retos de la industria 4.0. Ya en anteriores artículos de Joan Balbastre acerca de la industria 4.0, podíamos ver qué caracteriza esta revolución industrial y sus principios de diseño básicos. En estos artículos, se nombran hasta seis diferentes principios y uno de ellos, nos permite centrarnos en este texto: la orientación al servicio. Esta orientación resultó ser el eje fundamental de todo el evento.

Bien es cierto que, ante las fuertes competencias entre empresas de diferentes sectores, la optimización de los productos o servicios prestados se ha convertido en prioridad. Existen muchas maneras de mejorar una empresa o producto. En los últimos años, la recopilación de información ha pasado a ser uno de los pilares fundamentales en los que se basa la revolución de la industria 4.0. Los datos recopilados de los consumidores permiten a las empresas realizar diferentes acciones como el mantenimiento preventivo, aseguramiento de la calidad, gestión de defectos en tiempo real, gestión de operaciones, etc. Un claro ejemplo del cambio que están sufriendo las empresas de la industria es el caso de Quality Espresso, que ha pasado de producir únicamente un producto, diseñando, produciendo y comercializando cafeteras, a la prestación de un servicio añadido gracias a la recopilación de información. Las máquinas de café de Quality Espresso no solo permiten tener conectividad con diferentes dispositivos, sino que también son capaces de recabar información estadística para la empresa, a fin de mejorar los productos o incluso influir en el diseño de nuevos, tal y como se indicó en el evento.

[Read more…]