10 consejos para asegurar los datos alojados en Amazon S3

El uso de Amazon Simple Storage Service S3 está cada vez más extendido, utilizándose en multitud de casos de uso: repositorios de datos sensibles, almacenamiento de logs de seguridad, integración con herramientas de backups…, por lo que debemos tener especial atención en la forma en la que configuramos nuestros buckets y como los exponemos a internet.

En este post hablaremos sobre 10 buenas prácticas de seguridad que nos permitirán gestionar de una forma correcta nuestros buckets S3.

Empecemos.

1 – Bloquea el acceso público a los buckets de S3 en toda la organización

Por defecto los buckets son privados y únicamente pueden ser utilizados por los propios usuarios de nuestra cuenta, siempre que tengan establecido correctamente los permisos para ello.

Adicionalmente, los buckets tienen una opción “S3 Block Public Access” que impide que los buckets puedan ser considerados públicos. Esta opción se puede activar o desactivar en cada bucket de la AWS Account. Para prevenir que un usuario pueda desactivar dicha opción, podemos crear una política SCP en nuestra organización para que ninguna AWS Account miembro de la organización pueda hacerlo.

[Read more…]

Sincronización de navegadores en equipos corporativos… that is the question!

La lucha por la cuota de mercado de los navegadores web es un relato tan viejo como la propia internet. A lo largo de esta crónica, distintos protagonistas han pugnado por atraer a los usuarios con nuevas y diferenciadoras funcionalidades que, cuando han resultado exitosas, han sido posteriormente adoptadas también por los competidores.

La publicidad, la privacidad, la explotación de los datos del usuario, la incorporación de nuevas extensiones, el consumo de recursos, vienen siendo, entre otros, algunos de los diferentes argumentos en esa confrontación.

En los últimos tiempos una nueva funcionalidad ha emergido en el terreno de los navegadores web: la sincronización de datos. De manera genérica, esta función permite acceder a los mismos favoritos, contraseñas, historial, extensiones,… desde cualquier dispositivo del usuario; es decir, estará disponible la misma información independientemente del dispositivo utilizado.

Así pues, por ejemplo, si usted sincronizara los “Favoritos” de su navegador entre el ordenador de casa y el de la empresa, accedería a los mismos “Favoritos” en ambos equipos.

[Read more…]

La certificación OSEP (Offensive Security Experienced Penetration Tester)

PEN-300 and the OSEP Certification | Offensive Security

En esta entrada vamos a hablar de una de las nuevas certificaciones ofrecidas por Offensive Security, en concreto de OSEP (Offensive Security Experienced Penetration Tester).

Esta certificación forma parte del nuevo OSCE junto con las, también nuevas, OSED (Offensive Security Exploit Developer) y OSWE (Offensive Security Web Expert).

Como todas las certificaciones de Offensive Security, es obligatorio realizar el curso asociado a la certificación, denominado “Evasion techniques and breaching defenses” del que hablaremos más adelante también.

A día de hoy, el precio del curso es de 1299$, el cual incluye 2 meses de acceso al laboratorio y la convocatoria del examen (de 48 fantásticas horas :P).

Supongo que, si estás leyendo esta entrada, todo lo anterior ya lo conocías, así que ¡vamos a profundizar en lo que probablemente no sabes!

[Read more…]

La operación Escudo de Troya: cómo las fuerzas y cuerpos de seguridad están a la caza de los delincuentes en el ciberespacio.

Operación encubierta de ANOM - Wikipedia, la enciclopedia libre
Fuente: FBI

En un mundo altamente hiperconectado, la tecnología avanza con una rapidez sin precedentes, que obliga tanto a policía como investigadores a innovar constantemente. Los ataques resultan ser cada vez más agresivos, al igual que la propia ciberdelincuencia evoluciona a un ritmo que puede resultar muy difícil seguir.

La guerra digital ha llegado para quedarse, y las nostálgicas persecuciones de película entre delincuentes y policías por las calles de la ciudad se han trasladado al ciberespacio. Esto hace que “los buenos” deban ser creativos a la hora de perseguir el crimen y establecer nuevos métodos de investigación.

Por todo ello, las trampas tecnológicas son ahora una realidad, especialmente dirigidas a identificar y capturar a miembros del crimen organizado, cibercriminales y terroristas, convirtiéndose esto en una nueva táctica de represión muy presente en la actualidad.

La Operación Escudo de Troya ejemplifica bien esta nueva modalidad de lucha contra el crimen en la red. Esta ofensiva policial ha contado con la colaboración de más de una decena de países, donde miembros de las fuerzas del orden se han infiltrado en bandas delictivas que operan online. Así, aquellos individuos interceptados resultaron ser usuarios de una aplicación concreta de comunicaciones cifradas, la cual había sido pinchada por el FBI, interceptando así todos los mensajes que los cibercriminales circulaban a través de la aplicación.

[Read more…]

Ciberseguridad en el entorno Ferroviario – ERTMS

Veíamos en el anterior capítulo anterior una introducción al concepto de la ciberseguridad en el entorno ferroviario y por qué solamente en los últimos años ha conseguido la atención de expertos en el sector.

En este capítulo, en primer lugar daremos una visión superficial de la señalización tradicional, para seguir explicando qué es el sistema ERTMS, su utilidad y relación con la señalización y terminar dando algunas consideraciones relacionadas con la ciberseguridad.

En la señalización tradicional tenemos una serie de sistemas encaminados a proteger a los trenes mediante una serie de principios que son:

  • Evitar el alcance o colisión entre trenes.
  • Autorizar la circulación de los trenes si previamente se ha considerado un itinerario y este es seguro.
  • Impedir los descarrilamientos de trenes por circular por encima de una velocidad permitida (por las condiciones de vía, tal como su curvatura, proximidad a una estación etc.).
  • Contar una serie de modos de conducción degradados dependiendo de las necesidades.

Igualmente se busca:

  • La eficiencia en el uso y capacidad de la vía.
  • El buen mantenimiento de la infraestructura viaria.

La manera de implementar esto es mediante una serie de elementos que son: enclavamientos, circuitos de vía (o contadores de ejes), agujas, señales luminosas, balizas etc. A continuación, daremos unas pinceladas de la funcionalidad de cada elemento.

[Read more…]

Ciberseguridad en el entorno Ferroviario – Introducción

Fotografía por Nikolay

Las infraestructuras ferroviarias han estado enfocadas hacia la consecución de objetivos relacionados con la eficiencia en la ocupación de las líneas, la velocidad, el coste y por supuesto, la seguridad.

Sin embargo, el concepto de seguridad que se ha manejado tradicionalmente en el ámbito de los sistemas ferroviarios ha estado relacionado con la seguridad en la circulación.

Tratemos de ver este concepto en más detalle.

En castellano hablamos del término seguridad, pero dicho término puede tener varias acepciones en el mundo de la ingeniería, por lo que en ocasiones puede resultar confuso. Utilizaremos pues los términos anglosajones safety y security para entender los matices.

En el ámbito safety nos vamos a enfocar hacia el tratamiento de los riesgos derivados de fuentes con origen accidental, tal como los fallos en el comportamiento de un sistema (sistema de protección automática embarcada por poner un ejemplo).

Por otro lado, en el campo security nos orientaremos hacia los riesgos derivados de acciones deliberadas para causar un daño en una infraestructura, sistema o inmueble.

[Read more…]

La certificación CISSP – I

Hace ya unos cuantos años (2011), nuestro compañero José Luis Villalón nos hablaba de la certificación CISSP, de (ISC)2. Como las cosas han cambiado algo desde entonces, y aprovechando que aprobé recientemente el examen, vamos a echar un vistazo a esta certificación, a los cambios que ha sufrido y (en el siguiente post) a algunos consejos que personalmente me han servido para superar el examen.

Introducción

La certificación CISSP (Certified Information Systems Security Professional) de (ISC)2 es en la actualidad una de las principales certificaciones (básica para mí, aunque eso depende de la experiencia y recorrido profesional de cada persona) en materia de seguridad de la información, aunque tiene una mayor difusión en EEUU que en el resto de países, si echamos un vistazo al número de certificados por país. Mientras que a 31 de diciembre de 2018 EEUU contaba con cerca de 84500 certificados, entre Alemania (2100), Francia (1000), Italia (400) y España (650) sumaban poco más de 3000. Esto es probablemente debido a que muchos departamentos de Recursos Humanos en EEUU lo consideran un prerrequisito básico en el ámbito de la ciberseguridad, además de la significativa mayor aceptación que los certificados de (ISC)2 tienen en el mercado estadounidense.

[Read more…]

Publicación del Reglamento de ejecución NIS (para proveedores de servicios digitales)

(Esta entrada ha sido elaborada en colaboración con Ana Marzo, de Equipo Marzo, que proporcionó buena parte de la información).

Hace apenas un par de semanas se ponía en contacto conmigo Ana Marzo, de Equipo Marzo, una abogada por la que tengo un gran respeto profesional, para comentarme acerca de la publicación, no esperada (al menos por mí), de un nuevo reglamento de la Comisión relacionado con la Directiva NIS, que he llamado en un alarde de originalidad Reglamento de ejecución NIS.

En efecto, el pasado 30 de enero se publicó el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo.

Al menos a mí me pilló por sorpresa (y estoy seguro de que a algunos de nuestros lectores les pasará lo mismo), ya que esperaba una transposición de la directiva, no un reglamento que emanara directamente de la Comisión (lo que no quita que, por supuesto, vayamos a disfrutar de nuestra propia legislación NIS-compliant, que al legislador hay que tenerlo ocupado…). Dado que, aunque en ambitos diferentes, ambos habíamos coincidido en un mismo cliente que encajaba en el concepto de proveedor de servicios digitales y por tanto podría verse afectado, nos preguntamos por la aplicabililidad del reglamento a este cliente en concreto. Por ejemplo, ¿está afectado un periódico online? ¿Y una web de venta online? ¿Un bingo online? ¿Y la compra-venta entre particulares? Derimir la respuesta a estas preguntas es el objeto de esta entrada.

[Read more…]