Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

¿Qué ocurriría si un código malicioso se extendiese con la misma facilidad que la gripe?. Hasta ahora la transmisión de todos los gusanos, troyanos, etc. se basa en las redes de comunicaciones existentes y vulnerabilidades en los distintos sistemas (personales y servidores). Pero con la aparición de las redes inalámbricas surge un nuevo posible medio de transmisión de estos “virus”: el aire.

Un equipo de investigadores de la Universidad de Indiana ha publicado un estudio bastante revelador  que advierte que un ataque que tuviese como objetivo los routers inalámbricos y se propagase por este medio a otros routers cuyas coberturas coincidiesen en algún punto se transmitiría rápida y fácilmente a toda una ciudad en muy poco tiempo.

El equipo de la Universidad de Indiana mapeó las redes inalámbricas existentes en diversas ciudades (como Chicago, Boston, Nueva York o San Franciso) y para el modelado del ataque tuvo en cuenta el estado de seguridad de las mismas (libre acceso, con WEP, WPA, con la password por defecto, etc.).  El resultado, aun siendo lugares de distinto tamaño, composición y geografía, fue muy semejante. Inicialmente se veía una fase de infección muy rápida en la que eran los routers de redes de libre acceso los primeros infectados, para continuar con una segunda fase de crecimiento más lento que afectaba a los routers con encriptación WEP. Aquellos con WPA y autenticación fuerte, para la naturaleza de este ataque, eran inmunes.  Una vez que las distintas fases de la infección tuvieron lugar, entre el 10 y 55% de todos los routers existentes en el área analizada habían sido infectados.

Curiosamente, los patrones de infección del ataque modelado se asemejan mucho a aquellos correspondientes sus equivalentes biológicos. Es algo similar a una infección que se transmita “por el aire” o por contacto o proximidad. Accidentes geográficos como un río o una montaña (sin cobetura ) pueden contener la infección, así como la existencia de un router “frontera” entre 2 áreas de cobertura que tenga configurado WPA.

Interesante, ¿verdad? Hasta el momento no se ha descubierto aún ningún ataque similar, pero es sólo cuestión de tiempo que aparezca alguno, especialmente ahora que empiezan a existir gran número de routers buena parte de los cuáles pertenecen a, probablemente, menos de 10 fabricantes y modelos.

Y yo me pregunto, ¿qué pasaría si se desarrollase algo parecido, ya no para wireless 802.11, sino para una red GSM o UMTS?… Tremendo!

Podéis acceder al estudio completo aquí (muy interesantes los gráficos de propagación en una ciudad real a las 6 horas, a las 24 horas, etc..)

Aquellos que estén interesados en el diseño y arquitectura de un honeypot inalámbrico (por el momento 802.11, más adelante parece que incluirán otras tecnologías, como bluetooth o WiMAX), sus componentes, requisitos o simplemente en ampliar sus conocimientos en seguridad inalámbrica, tienen en este artículo una lectura obligada.

Podéis acceder al artículo completo aquí.  En el blog que comparte con David y Jorge,  ha incluído un resumen del mismo y un par de enlaces bastante interesantes a 2 informes (gartner, ABI) publicados recientemente en los que se recoge lo mejor y peor de distintos fabricantes de tecnología inalámbrica. Echadle un vistazo. Es interesante.

Las principales novedades son (extraído textualmente):

* We will be releasing a ~ 1 GB USB / DVD image, as well as a stripped down 700 MB iso.
* Dual core issues have been fixed.
* Wireless card compatibility has maximised, and injection patches applied wherever possible.
* Xorg configuration scripts have been improved.
* Updated exploit repositories, updated metasploit exploit framework and dependencies.
* PXE network boot feature finally added (USB Version)
* PwnSauce Instant John the Ripper Cluster feature finally added (USB version)
* Compiz with ATI/Intel Drivers (USB version)
* Linux bt 2 6 21 5 #2 SMP

Podéis descargar BackTrack 3.0 Beta aquí.

En esta ocasión, recojo otra referencia a una serie de respuestas de Bruce Schneier a los lectores de Freakonomics. Son una serie de respuestas breves y concisas a los más diversos temas (sobre seguridad, tecnología, economía, etc.), todas ellas muy interesantes.

Si sois lectores asíduos de Schneier no descubriréis nada nuevo en esta recopilación, aunque sí un resumen muy entretenido de sus posturas y de algunas ideas interesantes (yo diría que es como un resumen tipo los programas de “zapping” de la televisión).

Si por el contrario no seguís muy de cerca a Mr. Bruce, este resumen os resultará una lectura muy interesante que os dará una visión clara de algunos de los temas clave que destacan en nuestra sociedad (tecnológica).

Podéis acceder a las preguntas y respuestas aquí. También hay un hilo (thread) sobre las mismas en Slashdot.

Retomamos de nuevo este tema gracias a un espléndido trabajo de Joshua Wright, formador senior del SANS Institute y autor del curso “Assessing and Securing Wireless Networks” al que tuve el honor de asistir en Londres el año pasado, y que en esa ocasión impartió otro gran profesional de SANS, Raúl Siles.

En este caso demuestra cómo se puede “secuestrar” un dispositivo manos libres Bluetooth de forma que podamos capturar (escuchar) lo que su micrófono esté recogiendo en ese momento o “inyectar” audio en su auricular para hacer que su dueño escuche lo que nosotros deseemos. Interesante, ¿verdad?.

En el Blog de Gospel tenéis una explicación en español bastante completa y en la web de Josh tenéis todos los detalles, desde la presentación que hizo en el NS2007 de SANS en Las Vegas hace unas semanas, hasta el código fuente de las utilidades que utilizó o la descripción del hardware.

Y por si fuera poco, aquí tenéis un vídeo en el que el propio Joshua explica y hace una demo de esta técnica. Muy bueno!

Según he podido comprobar en algunos de mis viajes y como confirma también Steve Gold en su blog comienzan a aparecer numerosos puntos de acceso no autorizados (rogue access points) y redes inalámbricas falsas que hacen que el usuario principiante se conecte a ellas (se publican como acceso a internet gratuito, etc.) para a continuación obtener información del mismo, capturar información personal, etc.

En mi caso yo ya he visto redes “cebo” de este tipo en España en hoteles, cafeterías e incluso en el aeropuerto de Madrid, Barajas (estoy seguro que caminando por la calle podemos encontrar muchas más).

Según un artículo de The MetroWest Daily News, se han descubierto puntos de acceso inalámbrico no autorizados en los aeropuertos de Estados Unidos de Los Angeles, Atlanta, La Guardia de Nueva York y O’Hare de Chicago. En el aeropuerto de Chicago se han descubierto más de 20 redes ofreciendo acceso gratis a Internet simultáneamente.

Cada vez más es un riesgo el uso de este tipo de tecnología (como de todas) sin una adecuada precaución, máxime cuando el sistema operativo más difundido entre los usuarios se conecta de forma automática del “punto de acceso” con más potencia que detecte… cuidadín con llevar la tarjeta inalámbrica activada por descuido en nuestros viajes ya que sin ninguna intervención por nuestra parte, puede ocurrirnos que nos hayamos conectado al equipo de un eventual atacante… (tienen que cumplirse ciertas premisas, pero es posible)…

Pues bien,  según distintas fuentes (la noticia ha tenido cierta repercusión también fuera de España) la policía ha detenido al “primer creador de virus para móviles” (esto no es estrictamente cierto, pero bueno estamos hablando de prensa “generalista” ). Esta noticia tampoco es que sea nada excesivamente importante, pero es curioso que sin demasiado esfuerzo el indivíduo haya conseguido, según parece, infectar 115.000 móviles de “gama alta” (con sistema operativo Symbian).

… espero que no haya utilizado los aeropuertos para lanzar la “infección”, en ese caso podrían pedirme responsabilidades por dar ideas … ¿será el último virus de este tipo que veamos?…

Nuestras diversas ocupaciones nos han venido impidiendo publicarlo con la prontitud que nos gustaría, pero en los próximos días esperamos darlo a conocer a la comunidad y publicarlo en diversos foros. Y por qué no comenzar difundiendo la introducción del mismo en este Blog, de uno de los autores.

Por ello, como anticipo, os incluímos aquí la introducción de IS2ME: Seguridad de la Información a las Medianas Empresas (Information Security to Medium Enterprises). Durante la semana que viene publicaremos la totalidad del documento y podréis bajároslo directamente desde esta web y algún otro enlace que haremos público.

En cualquier caso estaremos encantados de recibir vuestros comentarios, opiniones, críticas (o felicitaciones ).

Aquí tenéis la introducción:

“Los términos PYME (Pequeñas y Medianas Empresas) o SME (Small and Medium Enterprises) representan un concepto muy difundido en todo el mundo para hacer referencia a un tipo de empresa con un número reducido de trabajadores y cuya facturación es moderada, factores estos determinantes para identificar una organización de este tipo. Teniendo en cuenta estos parámetros, existen diferentes criterios dependiendo de cuál sea el país elegido,  por lo que en este documento se identificarán como medianas empresas aquellas organizaciones con un número de empleados inferior a 500 (aproximadamente) lo que, de forma general, engloba a más del 90% del total de las empresas existentes en el mundo y a más del 99% de las existentes en la Unión Europea.

Los profesionales de la seguridad de la información habitualmente involucrados en temas como el gobierno y la gestión de la seguridad de la información, sus métricas, estándares, proyectos de firma digital e infraestructuras de clave pública o consolidación de registros, entre otros, sufren cierta pérdida de perspectiva al asumir como cierto y existente el conocimiento, implantación y la cultura en seguridad de la información en las empresas en general, cuando la situación real, en el caso de las medianas empresas, es otra. Un pequeño número de empresas tienen unos niveles muy altos de implantación de seguridad de la información mientras que la gran mayoría tiene carencias importantes en el conocimiento de la seguridad en general, y en la implantación de las medidas técnicas y organizativas asociadas, en particular, existiendo una clara falta de madurez en las organizaciones de este tipo en lo que a seguridad de la información se refiere.

Habitualmente no existe en estas empresas una estructura organizativa adecuada, careciendo en muchos casos de la figura del responsable de seguridad, cuyo rol asume  la misma persona responsable de IT (sistemas y/o comunicaciones), lo que unido a la falta de responsabilidad explícita y a las importantes carencias formativas en el área de seguridad de la información, hace que las medidas de seguridad implantadas suelan ser muy básicas y respondan en casi todos  los casos, a necesidades puntuales para solventar un problema existente, o a la implantación de una nueva funcionalidad o aplicación dentro de la organización.

La labor diaria, el “día a día”, no permite a sus responsables tomar una visión de conjunto o realizar una planificación y gestión adecuada de la seguridad, lo que a su vez se traduce en una falta de concienciación de la alta dirección en estos temas y por ende, en la asunción de unos niveles de riesgo inaceptables para la organización que desafortunadamente, suelen materializarse en el momento de la ocurrencia de un incidente de seguridad o de la necesidad de cumplimiento de una ley o norma, que habitualmente tiene asociado un importante impacto en el negocio. Es en ese momento de forma inmediata, o de forma más planificada si la organización cuenta con una mente preclara que logre impulsar una iniciativa previa en ese sentido, cuando se requiere la presencia de los profesionales de la seguridad de la información para, por una parte solucionar los problemas existentes en esa materia, y por otra comenzar el camino hacia la disminución del riesgo y la implantación de las medidas de seguridad adecuadas.

Suelen ser requisitos indispensables marcados por la compañía en estos casos, la pronta disponibilidad de resultados que disminuyan el riesgo existente, la implantación de medidas de seguridad críticas a corto plazo y con total certeza, la presentación de un plan de acción que permita tanto a la alta dirección como al actual responsable de seguridad (camuflado como responsable de tecnologías de la información) identificar qué recursos serán necesarios y cuál será el camino que deban seguir para incorporar la seguridad como un requisito más en sus procesos de negocio.

Ante tamaño reto, el profesional de la seguridad de la información siempre podrá abordarlo mediante un enfoque tradicional siguiendo las metodologías y estándares existentes (ISO 27001 principalmente) y por tanto comenzar con el proceso de implantación del SGSI (Sistema de Gestión de la Seguridad de la Información) mediante las consabidas fases, cuya descripción no es objeto de este documento, pero que como referencia se mencionan a continuación:

Definición de la política y alcance del SGSI
Establecimiento de Responsabilidades y Recursos
Registro de activos
Gestión del riesgo
Selección de controles aplicables
Establecimiento de aplicabilidad
Implantación

El seguimiento estricto de estas fases en este tipo de empresas suele ser muy complicado debido a la falta de concienciación de la alta dirección y a la inexistencia del entorno inicial sobre unas bases mínimas en lo que a seguridad de la información se refiere. La implantación de medidas de seguridad (controles) no comienza hasta bien avanzado el proyecto (varios meses después probablemente) y por tanto, uno de los fines (justificado, al fin y al cabo) perseguidos por la compañía, la implantación de medidas de seguridad críticas a corto plazo, no es tenido en cuenta inicialmente.

Este enfoque, acertado y completo por otra parte, no suele ser aceptado generalmente, ya que se buscan unos resultados más “inmediatos” y prácticos a corto plazo (“queremos seguridad, y la queremos ahora”), si bien sí que se acepta como el camino a seguir a medio o largo plazo.

Es aquí donde surge la necesidad de una metodología o aproximación que ante escenarios como el mencionado (no debe olvidarse que las empresas que estamos tratando suponen un 99% de las existentes en la Unión Europea), ofrezca una alternativa puente entre el incumplimiento total y la implantación metodológica de la gestión de la seguridad mediante un estándar como ISO 27001.

En este sentido se presenta IS2ME, Information Security to the Medium Enterprise (Seguridad de la Información a la Mediana Empresa) como solución y aproximación para el camino a seguir hacia la implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es maduro y desean acometer la labor de implantación de la seguridad de la información y de su sistema de gestión asociado de una forma eficiente, eficaz y práctica, de forma que permita disminuir el riesgo de la organización a corto plazo a la vez que se inicie el camino hacia el cumplimiento de los estándares deseados.

IS2ME persigue también un objetivo social ambicioso: el acercamiento de la seguridad de la información a las medianas (y pequeñas) empresas, fomentando así su penetración en la cultura organizacional del tejido empresarial existente y disminuyendo en general el nivel de riesgo asumido por las organizaciones, aumentando con ello su valor y rentabilidad y elevando, por tanto, el nivel económico de la mayoría de las empresas existentes en la actualidad.”

¿Interesante, verdad? Más información aquí.