InfoSecMan Blog

En uno de los foros a los que pertenezco he descubierto un site con información muy interesante sobre las distintas certificaciones de seguridad existentes en el mercado.

Se trata de una guía web sobre las cualificaciones de seguridad existentes, perteneciente a la Asia-Pacific Economic Cooperation. En ella se incluyen la mayoría (es muy completa) de las certificaciones de seguridad existentes, catalogadas por sus características (auditoría, planificación, gestion, etc.) y además permite compararlas entre sí en lo que a sus contenidos se refiere (mapeados contra los controles de ISO17799).

Nos permite realizar búsquedas suponiendo que somos profesionales de IT (haciendo lo que ya he comentado) o PYMEs, en cuyo caso nos permite buscar certificaciones que cumplan nuestras necesidades, mapeadas en este caso contra las secciones de ISO17799 o de FIPS 200.

Interesante. No dejéis de echarle un vistazo en www.siftsecurity.net

Como siempre, Raúl Siles no deja de sorprendernos con nuevos contenidos y estudios muy interesantes.  En este caso de la mano del Spanish Honeynet Project ha publicado un interesantísimo artículo sobre el despliegue de honeypots inalámbricos (HoneySpots, como él los llama) en el que comenzando con una introducción a los honeypots a lo largo de  la historia, pasa después a analizar sus objetivos y su taxonomía.

Aquellos que estén interesados en el diseño y arquitectura de un honeypot inalámbrico (por el momento 802.11, más adelante parece que incluirán otras tecnologías, como bluetooth o WiMAX), sus componentes, requisitos o simplemente en ampliar sus conocimientos en seguridad inalámbrica, tienen en este artículo una lectura obligada.

Podéis acceder al artículo completo aquí.  En el blog que comparte con David y Jorge,  ha incluído un resumen del mismo y un par de enlaces bastante interesantes a 2 informes (gartner, ABI) publicados recientemente en los que se recoge lo mejor y peor de distintos fabricantes de tecnología inalámbrica. Echadle un vistazo. Es interesante.

A través del boletín mensual de Segu-Info descubro un artículo bastante interesante de Gina Trapiani, editora de LifeHacker, que ha sido traducido por Fernando Spettoli sobre distintos métodos y fuentes para buscar información sobre personas en la red.

Todos sabemos que únicamente con Google y sus distintas opciones de búsqueda (os recomiendo el curso que SANS imparte sobre este tema, Google Hacking and Defense) se puede obtener información muy variada de una persona (los resultados son a veces sorprendentes). Pero Google no es la única fuente de información, hay diversos servicios como LinkedIn, Pipl, Wink y otros, que en este artículo se incluyen y describen brevemente.

Es un artículo generalista, pero divertido e interesante para vuestras labores de ingenieros sociales.

Podéis acceder al artículo original aquí y a la traducción aquí. 

Cuando alguien me pregunta que cuál es el método más eficaz para obtener una clave de acceso, por ejemplo de una red inalámbrica, mi respuesta siempre suele ser la misma: pregúntasela a algún empleado. De igual forma, si quieres entrar en algún lugar, lo mejor es pedírselo a alguien que tenga a acceso o directamente entrar con él. En muchas ocasiones la opción más sencilla es la más eficiente.

En Noviembre RSA publicaba el resultado de una encuesta sobre acciones que los trabajadores llevaban a cabo habitualmente que podían comprometer información sensible y los resultados van muy en la línea de lo que comentaba más arriba:

– el 32% dijo que en alguna ocasión habían dejado abierta una puerta de seguridad a alguien que no conocían de nada.

– el 34% confesó haber olvidado en alguna ocasión su llave de acceso y alguien a quien no conocían les había dejado entrar.

– el 41% descubrió a alguien que no conocía trabajando en un despacho vacío en su área del edificio

– sólo el 63% de los anteriores le solicitó que se identificase o informó de la existencia de un extraño en esa oficina.

… podéis calcular relativamente fácil las probabilidades que tenéis de colaros en una oficina, acceder a un despacho vacío, obtener información y salir sin ser, ya no descubierto, sino “interceptado”… por si os sirve de referencia yo conozco personalmente un caso que es fiel reflejo de lo que estoy contando.  🙂

Hace ya unos meses comentaba en este medio que echaba de menos en el mercado de la seguridad innovación. Me preguntaba entonces, ¿para cuándo algo nuevo? , porque las únicas novedades venían (vienen) de la mano de incrementar la potencia de cálculo del hardware que soporta los distintos dispositivos de seguridad, pero que hace mucho mucho tiempo que no surge algo realmente novedoso, una aproximación diferente, en seguridad.

De la mano de Javier Cao descubro en su blog un nuevo dispositivo de seguridad que sin hacer algo demasiado espectacular, sí que aborda el problema de una forma novedosa. Se trata del “Yoggie Gatekeeper Pico”, un dispositivo portátil (tipo llave USB) que incorpora un sistema de seguridad hardware que incluye entre otras cosas AntiVirus, AntiSpam, AntiPhishing, AntiSpyware, Control de Contenidos, IPS, IDS, etc. y hasta cliente VPN en alguno de sus modelos, con la ventaja consiguiente de liberar al equipo personal de la carga de trabajo que todas estas aplicaciones supondrían (se trata de un microPC con un linux que contiene aplicaciones como Snort, Kaspersky, MailShell, etc.).

Podríamos decir que sería una especie (esto me lo invento yo) de “mini-UTM” portátil que pinchado en nuestro equipo personal nos protegería de las distintas amenazas existentes en la red y hasta nos permitiría conectarnos de forma segura a nuestra red corporativa (con el modelo que soporta cliente VPN).

Podéis acceder a más detalles en el post original de Javier aquí o en la página oficial del dispositivo aquí.

No he tenido oportunidad de probarlo y como bien comenta Javier, no se puede confiar en todo lo que digan los “datasheets” y presentaciones, pero al menos, por mi parte ya tiene un positivo: una forma de abordar el problema radicalmente distinta a las existentes.

En otro orden de cosas, en este caso desde “el otro lado” aparece también algo “novedoso”. Se trata del nuevo “malware troyano” que hace uso del registro de arranque del ordenador para albergarse en el mismo al más puro estilo de los antiguos virus de MBR (Master Boot Record). Una prueba más de que la innovación en el “otro lado” no es sólo hacer cosas nuevas, sino evolucionar métodos antiguos hacia las nuevas tecnologías. Este nuevo especimen (Trojan.Mebroot) ha pillado a los fabricantes de antivirus con el pie cambiado… esperemos su reacción.

Innovación, innovación! A ver si este 2008 nos trae más sorpresas en esa línea… (la primera, claro 😉 )

Aquellos que viajamos bastante y además tenemos que realizar intervenciones diversas en clientes, solemos tener cierta obsesión en llevar de casi todo con nosotros. Que si el portátil, unos discos de arranque, máquinas virtuales, cables varios, el (o los) teléfonos móviles, un bloc de notas… y sí, también algo de ropa limpia nunca está de más 😉

A raíz de unos comentarios en un foro, he llegado a un artículo bastante completo sobre el “kit” que un profesional de la seguridad debe llevar consigo para la respuesta a un incidente, o como suele llamársele allende los mares, el “computer security jump bag”.

El artículo es bastante completo y se centra quizás más en las herramientas necesarias para un informático forense, pero la mayoría es de aplicación para casi todos nosotros.

En el foro que me llevó a este artículo existe un “thread apasionante” sobre el tipo de bolsa a llevar, donde hay defensores a ultranza de las mochilas (de todo tipo, número de bolsillos, tamaños y precios) mientras que los más clásicos optan por los maletines y los más presumidos por las maletas rígidas de aluminio (algunas de más de 500$!!). En este caso, la bolsa la dejo a vuestra elección… mientras resista 😉

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

A través de una de las listas a la que estoy subscrito, me he enterado que en el canal de televisión (por cable, en Estados Unidos) Court TV han estrenado (creo que la primera emisión fue el día de Navidad) una nueva serie llamada “Tiger Team” en la que se abordan distintos casos relacionados con lo que habitualmente se llama “Penetration Testing”, Tests de Intrusión o Penetración.

No se trata de una serie de ficción, sino algo casi tipo documental. La serie aborda todo tipo de temas relacionados con la seguridad (física, lógica, ingeniería social, etc.) de una forma muy entretenida y efectista, pero siendo bastante fiel a la realidad.

Se trata de un grupo de profesionales de élite contratados para infiltrarse en importantes negocios y corporaciones con el objetivo de mostrara las debilidades de los sistemas de seguridad más sofisticados utilizados habitualmente.

Tiger Team está compuesto de los especialistas en auditoría de seguridad Chris Nickerson, Luke McOmie y Ryan Jones, quienes emplean diversas técnicas cada vez que reciben un nuevo “encargo” en cada episodio.

Para aquellos que no tenemos la oportunidad de verlo en televisión, habrá que escudriñar la red en busca de algún episodio 😉

En YouTube tenéis accesible un breve anuncio de la misma.

[Actualización 07-Ene-2008]

Según parece la serie no va a continuar de momento. Fuentes de la cadena de TV han comentado que se trataba de un especial y que posiblemente no haya continuación (probablemente la falta de audiencia tenga la culpa).

Richard Bejtlich se hace eco de esta posibilidad aquí.

Estamos en tiempo de felicitaciones, de resúmenes y recopilaciones de las mejores “jugadas” y eventos, de balances anuales, de predicciones y sobre todo, seamos sinceros, de vacaciones (o casi 😉 ).

Y desde aquí no quería desaprovechar el momento para desearos lo mejor para este nuevo año que comienza, que creo que sería muy interesante en nuestro campo: con todo un nuevo reglamento de la LOPD “recién estrenado” que dará mucho que hablar, un mercado incipiente de certificaciones SGSI que estoy seguro que veremos durante el año, y sobre todo, mucho mucho mucho que decir y comentar sobre las distintas áreas de la seguridad, tanto técnica (prevención de fuga de información, consolidación de registros, etc.) como organizativa (más y más certificaciones de gestión y continuidad).

Por ello, espero veros a todos aún más a menudo, no sólo en este punto de encuentro electrónico para aquellos que leéis con cierta asiduedad este medio,  sino en aquellos momentos en los que podamos coincidir en eventos o lugares en los que podamos intercambiar una buena charla y compañía agradable.

Como propuesta de enmienda, intentaré estar más presente en este medio que en las últimas semanas 😉 , e intentaré estar más presente físicamente con todos vosotros, siempre que las circunstancias lo permitan (no dudéis en proponerme alternativas, estaré encantado siempre que pueda).

Feliz Año 2008 para todos vosotr@s, entre otros muchos a Nacho, Fernando, Raúl, Agustín, Joseba, Julian, Vicente, Goyo, Carlos, Jose, Aurea, Yuly, Tamara, Sergio, Antonio, Javier,  José Manuel, Héctor, el Gura, Sergio, Allan, Olof, Delia, José Vicente, Carmelo, Susana, Dani, Josín, Beatriz, Alex y muchos más amig@s y compañer@s con los que compartiremos nuevos buenos momentos en el nuevo año.

Cuidado con las uvas esta noche… y nada de colarse en las fiestas suplantando la identidad o haciendo uso de nuestras habilidades como ingenieros sociales eh! que nos conocemos 😉

A través del SANS Reading Room he llegado a un documento bastante entretenido en el que se realiza una introducción a lo que llaman Corporate Espionage (y que nosotros podríamos llamar Espionaje Industrial), muy relacionado con la ingeniería social, que sabéis que me apasiona.

Su autor, Shane W. Robinson, después de introducir brevemente el tema, describe algunos de los métodos utilizados habitualmente por los “espías corporativos” (o espías industriales) para conseguir la información que quieren. Incluye desde métodos clásicos como los “keyloggers” o el buceo en la basura, hasta otros más novedosos como la utilización de dispositivos EoP (Ethernet over Power) para transmisión de datos a través de la red eléctrica que, como indica son mucho más complicados de detectar que un punto de acceso inalámbrico no autorizado (buena idea, verdad? 😉 ). También menciona temas clásicos de “espionaje” como el “bolígrafo-grabadora” con capacidad de grabación de hasta 9 horas (disponible por 159$) mediante el cuál basta con dejarlo “inadvertidamente” olvidado en una sala de reuniones y recogerlo a la finalización de una importante reunión para conocer todo la información divulgada en la misma (este regalo sí que me apetecería para Reyes 😉 ).

Una lectura entretenida y rápida (son 10 páginas) para esta época de fiestas que puede daros alguna idea de regalo para estas Navidades 🙂 (este blog últimamente parece una lista de los Reyes Magos). No esperéis nada especialmente novedoso o técnico, y tomadlo como un texto entretenido.

Podéis acceder al artículo completo aquí.

Como sé que a estas alturas muchos de vosotros tendréis dudas sobre qué pedir a los Reyes Magos o a Papa Noel, me permito recomendaros un posible regalito que os será de mucha utilidad en esas sesiones de “croqueteo” en los distintos eventos de seguridad a los que asistimos 😉

No me digáis que no habéis vivido el momento de tener una copa de vino en una mano, un plato en la otra y tener que saludar amigablemente a un compañero… pues aquí tenéis la solución… se me ocurren otras pero no es este el lugar ni el momento adecuado para exponerlas 😉

… ah! también os puede servir para los eventos familiares de estos días 🙂

¡Felices Fiestas!

Nota: Si queréis comprarlo, podéis hacerlo aquí 🙂