InfoSecMan Blog

Las 2 próximas semanas estaré ausente de este medio por vacaciones. Nuevamente estaré en un par de lugares donde Internet brilla por su ausencia, así que iré guardando en mi memoria las ideas que me puedan surgir para después reflejarlas a la vuelta aquí.

Espero que paséis unas semanas excelentes. Nos vemos a la vuelta!

Una vez más nuestros amigos de RaDaJo (en este caso David y Carlos Pérez) no defraudan. En este caso David y Carlos han publicado gratuitamente algo realmente útil: una única imagen de máquina virutal VMware que contiene, preparadas para funcionar, una sere de máquinas virtuales “User-mode Linux” (UML), que cuando se inicia, forman una red completa de equipos dentro a la máquina virtual VMware (con red externa, DMZ, red interna, etc.). A continuación podéis ver la topología:

Una herramienta realmente útil para utilizar como laboratorio de pruebas, como herramienta de formación en redes y seguridad, y en cualquier otro uso que podéis imaginar.

Han llamado a este proyecto NETinVM, y está accesible públicamente para su descarga con más información, documentación, etc. aquí.

David, Carlos, gracias desde aquí por vuestra contribución!

De la mano de Sergio Hernando, descubro un interesante artículo desarrollado por la gente de Websense en el que analizan en detalle y muy claramente el comportamiento de ese tipo de software malicioso que tanto está proliferando últimamente en la red.

Está descrito muy clara y didácticamente, así que os recomiendo su lectura, aquí.

Sergio incluye hoy una referencia a la aparición de otro troyano similar, en este caso aprovechándose de una noticia falsa como reclamo sobre un supuesto accidente de Fernando Alonso.

Gracias a Sergio por tan buenos contenidos!

Hace tiempo ya, comenzando a estudiar para alguna de las certificaciones que tengo, descubrí algo que nunca había visto ni oído hablar de ello en nuestro país: los CPDs móviles. Se trata de remolques de camión o contenedores totalmente equipados que suponen en sí mismos un CPD con alta capacidad de procesamiento, líneas de comunicaciones, tomas de suministro eléctrico, etc. y que, puesto que es un camión, puede estar disponible en tiempos muy razonables en distintas ubicaciones.

Ya en aquel momento fue algo que me sorprendió y jocosamente comparé con los “camiones-escenario” que muchas orquestas de fiestas de verano han comenzado a utilizar en los últimos años (y que conozco tan bien por mis otras vidas “paralelas” 😉 ), facilitando así su montaje y eliminando costes a las comisiones de festejo.

Pues algo así es lo que pretenden estos Datacenters móviles. Si investigáis un poco, veréis que en Estados Unidos se utilizan bastante, hay compañías que se dedican a ello y es una opción a tener en cuenta de cara a continuidad de negocio, contingencia IT, etc.

Hasta hace poco, de los fabricantes “conocidos”, solo me constaba que Sun Microsystems tuviese un producto de este estilo, al que llaman Sun Modular Datacenter. Espectacular su contenedor cargado de procesamiento hasta los bordes. Echad un vistazo, merece la pena.

Sin embargo creo que la reciente incursión en este campo de otro de los gigantes de la informática a nivel mundial, como es HP, puede ser un dinamizador para el mercado de este tipo de soluciones. HP llama a su contenedor POD, Performance Optimized Datacenter, y al contrario que otros competidores, soporta equipamiento no HP de otros fabricantes. Algunas características clave (textualmente):

• Capacity for 3,520 compute nodes & 12,000 LFF hard drives, or any combination, in a 40-foot container
• Delivers the equivalent of 4,000 square feet of traditional data center space, providing customers with support for HP and 3rd party technologies, providing ultimate container flexibility
• Power capacity up to 27kW per rack (1,800+ watts / sq. ft.)
• Conventional access to all IT equipment, including front and rear rack access, and overhead, serviceable, pod components
• Full it and POD management capability, either remotely or locally, throughout the technology lifecycle

Impresionante, ¿verdad? Si queréis echar un vistazo a otras soluciones, buscad en Google Imágenes “Mobile Dadacenter”. Vereis qué camiones más chulos… ¿tendrán posters pegados por dentro también? 😉

¿Lo véis como una solución para alguna compañía que conozcáis? Parece una alternativa viable, ¿verdad?

Estamos en verano y como siempre, es muy probable que muchos de nosotros nos vayamos de vacaciones dejando nuestras casas “desatendidas” y “vulnerables”. Pues bien, Pete Herzog de ISECOM, intenta ayudarnos a minimizar los riesgos asumidos en estos casos y para ello ha publicado una “Guía de Vacaciones sobre Metodología para la Seguridad en el Hogar” en la que, en forma de completas checklists aborda la mayoría de los puntos a tener en cuenta categorizados en distintos apartados: visibilidad, confianza, acceso, autenticación, indemnización, subyugación, continuidad, resistencia, no repudio, confidencialidad, privacidad, integridad y alarmas.

Merece la pena echarle un vistazo. Hay algunos puntos bastante orientados a la sociedad americana (como no dejar botellas de leche en la puerta y cosas similares) que probablemente no sean de mucha aplicación en el resto del mundo, pero en general sí que es una labor de reflexión importante sobre el tema.

Hace algo más de un año hablábamos aquí de la continuidad de negocio “personal”, cómo “asegurar” nuestras pertenencias e información en caso de robo o extravío por ejemplo, de nuestra cartera… quizás debería pararme y hacer un documentillo al respecto… 😉 … tendrá que ser cuando esté muuucho más ocioso 🙂

Hace un par de días comentaba por aquí lo crítico de estos sistemas de informática industrial y lo importante que es tomar conciencia de su seguridad, el nivel de inmadurez del mercado de servicios de seguridad en torno a este tema en nuestro país, etc.

Pues bien, si primero lo digo, primero veo dos días después una entrada al respecto en el blog de uno de los proveedores de referencia en nuestro país (S21sec) 😉

Echad un vistazo a las referencias que incluye Elyoenai Egozcue en el artículo. El simulador es muy bonito. Podéis acceder al mismo aquí.

En noviembre del año pasado escribía aquí sobre lo difícil que es encontrar una aplicación que resista el paso del tiempo sin vulnerabilidades asociadas y lo robustas, fiables y SEGURAS que son las aplicaciones que Dan J. Bernstein ha escrito como servidores de correo (Qmail) y de DNS (DJBDNS) y que son utilizadas en muchos más sitios de los que nos imaginamos.

Pues bien, como todos sabréis están levantando gran revuelo las vulnerabilidades asociadas al DNS que recientemente Dan Kaminsky ha descubierto y que parecen afectar a la casi totalidad de Internet.

No voy a entrar aquí en describirlas o explicar el impacto que esto tiene, ya que está ampliamente comentado en otros medios, blogs, etc. pero sí quiero felicitar desde aquí nuevamente al “otro Dan” (J. Bernstein) porque nuevamente sale más que airoso de este posible problema: su servidor DNS, DJBDNS (que por cierto es el que siempre he montado o recomendado donde se ha necesitado uno público) es por el momento el único que se libra de dicha vulnerabilidad. IMPRESIONANTE!

Dan Kaminsky ha prometido desvelar más información en su próxima charla en Defcon el próximo 10 de Agosto a las 11:00h… mientras tanto no os perdáis la lección en compañía de Sarah…

La informática industrial, y entre ella los sistemas SCADA (Supervisory Control and Data Acquisition, en español, control supervisor y adquisición de datos) llevan utilizándose muchos años en sistemas y aplicaciones muy variadas, para las que en su momento se recogieron numerosos requisitos de comunicaciones, usabilidad e incluso seguridad física y laboral (estos sistemas suelen estar situados en entornos industriales poco “amigables” ambientalmente hablando). Sin embargo, hasta hace muy poco, pocos eran los sistemas (y siguen siendo) en los que se introducía la seguridad de la información como un requisito más en el funcionamiento de estas plataformas.

Las consecuencias de esta ausencia de “seguridad” en este tipo de sistemas es más crítica si cabe que en los sistemas tradicionales de tratamiento de información, ya que en estos casos pueden correr peligro vidas humanas (creo que no hace falta comparar el fallo de un servidor web con el de un sistema de control de una grúa de descarga portuaria, por ejemplo).

Como en muchos otros casos, especialmente a raíz de los atentados contra las Torres Gemelas de Nueva York, en general se ha comenzado a tomar conciencia de los riesgos asociados a estos sistemas y el propio gobierno de Estados Unidos y la Unión Europea han desarrollado marcos regulatorios en torno a los mismos (un breve resumen aquí ), con el fin de disminuir los riesgos asociados a estos sistemas.

En nuestro país no soy consciente de que existan aún empresas dedicadas a ofrecer servicios de seguridad de informática industrial (que realicen por ejemplo SCADA Security Assessments) lo cuál quiere decir bastante del nivel existente, como podéis suponer. En Estados Unidos, sin embargo, sí que existe un mercado de seguridad alrededor de esta área, celebrándose incluso congresos monográficos dedicados al tema (como el promovido por SANS, Process Control & SCADA Security Summit ), profesionales especializados en este área de seguridad y compañías con servicios activos al respecto.

Recientemente he entrado en contacto ligeramente con este tipo de sistemas e instalaciones y estoy viendo que, en efecto, la seguridad de la información brilla por su ausencia de forma generalizada en este tipo de instalaciones: redes planas sin filtrado entre “servidores” y “usuarios”, accesos remotos indiscriminados sin control aparente, ubicaciones desatendidas que un atacante o usuario malicioso podría utilizar para ganar acceso, redes de producción o monitorización compartiendo medio con las redes ofimáticas e incluso los accesos a Internet… y una larga lista de vulnerabilidades esperando a que alguien decida explotarlas (o sean explotadas accidentalmente).

Se hace por tanto necesaria la incorporación de la seguridad de forma explícita en estos sistemas. ¿Cómo hacerlo? El primer paso sin duda es crear la consciencia en sus propietarios de que los mismos están incompletos y que están asumiendo riesgos que en muchos casos pueden ocasionar grandes pérdidas económicas e incluso humanas. Por supuesto, una formación de base en seguridad a todos aquellos profesionales implicados en el diseño de estos sistemas sería un punto muy positivo como medida preventiva pero, ya en este punto, una medida adicional puede ser la de evaluación independiente de la seguridad de estos sistemas (si lo hacemos ya para otras infraestructuras IT por qué no para estos??).

¿Qué experiencias tenéis vosotros en este ámbito? ¿Cuál es vuestra opinión al respecto? Comentarios (públicos o privados) bienvenidos!

Como complemento, un pequeño artículo que trata sobre este tema: leedlo aquí.

Julian Inza ha compartido con todos nosotros un artículo que recientemente ha publicado en ISV Magazine y que os recomiendo a todos aquellos que queráis tener una idea clara a través de una introducción breve de lo que supone la factura electrónica y en qué punto se encuentra en estos momentos.

Como siempre Julian, gracias a su amplia experiencia en este tema, describe de una forma sencilla y clara las bases de este tema que, como podréis ver, dará (y está dando) mucho de que hablar.

Podéis acceder al artículo completo aquí.

Mañana asistiré en León a la jornada que organiza INTECO y el Consejo Superior de Cámaras de Comercio para presentar a consultoras de implantación y organismos certificadores de ISO 27001 el proyecto que se supone, dinamizará y promocionará la implantación y certificación de esta norma en las PYMES españolas.

Textualmente, desde la web de INTECO:

En este evento, se presentará a las consultoras de Implantación y a las empresas Certificadoras de ISO 27001, el proyecto que ambas entidades están llevando a cabo bajo la encomienda de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) dentro del marco del Plan Avanza del Ministerio de Industria, Turismo y Comercio y que tiene como objetivo promocionar e impulsar la implantación y la certificación de la norma ISO 27001 entre las PYMES españolas. El acto tendrá lugar el martes 8 de Julio en León, a partir de las 10.30 de la mañana, en la sede de INTECO en la Avda. José Aguado 41

Si alguno de vosotros asiste, allí nos vemos. Eso sí tendré que regresar nada más que se termine ya que tengo otros compromisos por la tarde en Gijón, así que las cañitas habrá que dejarlas para otro día 😉