InfoSecMan Blog

Al fin, y coincidiendo casi casi con los Reyes, el Consejo de Ministros ha aprobado hoy el Real Decreto por el que se aprueba el esperado Reglamento. Acabo de enterarme por mis amigos de ISO27000.es quienes recogen la noticia:

“El Consejo de Ministros español ha aprobado hoy un Real Decreto por el que se aprueba el -largamente esperado- Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.”

Para aquellos que no hayais tenido acceso a alguno de los borradores que han circulado, podéis acceder a un resumen de los puntos más destacados también elaborado por Agustín y Javier aquí. Os lo recomiendo.

Preparaos para el aluvión de comentarios en los medios, blogs, etc.  sobre el mismo… 😉

Recoger buenas noticias y además conocer a sus protagonistas siempre es agradable, y si encima tienen su origen en mi “tierrina”, el tema no puede ser mejor 🙂 Este es el caso con que me encuentro hoy.

Desde Asturias un grupo de profesionales englobados en la compañía SIGEA, a alguno de los cuales tengo el gusto de conocer, ha desarrollado una herramienta de buena calidad para el análisis de riesgos llamada GxSGSI que recientemente ha sido incluída en el catálogo de ENISA de este tipo de herramientas en el que sólo aparece por el momento otra herramienta española.

Desde aquí mi más cordial enhorabuena al equipo de SIGEA, en especial a Paco, y mucha suerte y ánimo para seguir avanzando en esa línea.

Podéis acceder a la nota de prensa aquí,  y a una demo de GxSGSI aquí.

Estamos de enhorabuena. Hace muy pocos días los chicos de Remote Exploit han publicado la versión 3.0 Beta de la conocida (y excelente) distribución de seguridad de Linux.

Las principales novedades son (extraído textualmente):

* We will be releasing a ~ 1 GB USB / DVD image, as well as a stripped down 700 MB iso.
* Dual core issues have been fixed.
* Wireless card compatibility has maximised, and injection patches applied wherever possible.
* Xorg configuration scripts have been improved.
* Updated exploit repositories, updated metasploit exploit framework and dependencies.
* PXE network boot feature finally added (USB Version)
* PwnSauce Instant John the Ripper Cluster feature finally added (USB version)
* Compiz with ATI/Intel Drivers (USB version)
* Linux bt 2 6 21 5 #2 SMP

Podéis descargar BackTrack 3.0 Beta aquí.

En el anterior post incluía una referencia a la visión de la seguridad de la información que 2 gurús de nuestro campo daban para los próximos 10 años.

En esta ocasión, recojo otra referencia a una serie de respuestas de Bruce Schneier a los lectores de Freakonomics. Son una serie de respuestas breves y concisas a los más diversos temas (sobre seguridad, tecnología, economía, etc.), todas ellas muy interesantes.

Si sois lectores asíduos de Schneier no descubriréis nada nuevo en esta recopilación, aunque sí un resumen muy entretenido de sus posturas y de algunas ideas interesantes (yo diría que es como un resumen tipo los programas de “zapping” de la televisión).

Si por el contrario no seguís muy de cerca a Mr. Bruce, este resumen os resultará una lectura muy interesante que os dará una visión clara de algunos de los temas clave que destacan en nuestra sociedad (tecnológica).

Podéis acceder a las preguntas y respuestas aquí. También hay un hilo (thread) sobre las mismas en Slashdot.

De todos es conocido Mr. Bruce Schneier, uno de los gurús reconocidos de la seguridad, y a muchos también os sonará Marcus Ranum, otro gran nombre dentro de este mundillo que nos rodea.

Pues bien, los señores Bruce y Marcus, “ni cortos ni perezosos” se han puesto a dialogar sobre el futuro de la seguridad (en realidad de la sociedad) en los próximos 10 años, y qué cosas nos esperan y veremos muy pronto. Todo un reto que Schneier anticipa en su Blog antes de que salga publicada en la próxima Information Security Magazine.

Interesante la idea de Bruce de que la tecnología evoluciona, pero no los humanos: los fraudes y crímenes que existen hoy en día, son básicamente los mismos que hace 10 años (yo diría los mismos que hace 5o), sólo que han evolucionado a los nuevos medios. Por tanto, aparentemente dentro de 10 años tendremos las mismas amenazas, pero adaptadas al mismo entorno…

Interesante también cómo finaliza Marcus aventurando que probablemente en el 2017 sea más habitual que existan accidentes por la enorme complejidad de los sistemas que por actuaciones hostiles o maliciosas. Esta idea se alinea a la comentada por Bruce en el pasado ISMS Forum: “a medida que la complejidad de los sistemas crece, crecen aún más los riesgos asociados a los mismos”.

Y a todo esto añado yo, ¿volveremos a tropezar nuevamente en las mismas piedras o estaremos aprendiendo de estos años de innovación tecnológica desenfrenada? Por el momento, todo sigue igual y no vemos nada nuevo en el horizonte, lo que no deja de ser bastante preocupante.

Puesto que es la tecnología la que evoluciona, pero los humanos parece que no tanto, creo que uno de los retos para los próximos 10 años es la evolución y adaptación de las personas a las nuevas tecnologías (y sus riesgos). Como siempre he dicho desde hace años: “hagas lo que hagas, lo importante es ser consciente de lo que estás haciendo”…

Os recomiendo la lectura del artículo. Muy interesante y entretenido. Podéis acceder al mismo aquí.

Como habréis notado por la falta de presencia en este medio, estos días he estado bastante ocupado.

Entre otras cosas, he tenido la oportunidad de asistir a la II Jornada de ISMS Forum en la que además de disfrutar de alguna ponencia muy interesante como la de Bruce Schneier o la de Enrique Polanco, Director de Seguridad Corporativa del grupo PRISA, también tuve oportunidad de conocer personalmente a buenos amigos como Vicente Aceituno o de saludar a otros amigos como Agustín López de ISO27000.es.

El evento estuvo bien organizado y en él tuvimos oportunidad de asistir a algunas reflexiones bastante interesantes y a frases que merecieron mi atención.

A modo de “collage”, os incluyo algunas frases y conceptos mencionados que merecieron mi atención:

– Enrique Martínez, Director General de INTECO presentó los resultados de un estudio realizado por este organismo, que concluían que el 72% de los ordenadores domésticos con acceso a Internet, presentan algún tipo de código maliciosos, que el 50% alojan troyanos y que el 40% tienen adware publicitario. Cifras apabullantes y preocupantes. El resultado del estudio está accesible desde la web de Inteco.

– Bruce Schneier realizó una presentación muy bien estructurada, clara y sin apoyo visual (a un buen orador como él no le hace falta) en la que mencionó cosas como las siguientes (entre comillas “capturas textuales”):

– “La Complejidad es el Enemigo de la Seguridad”.
“La aparición de nuevas complejidades supone la aparición de nuevos riesgos”.- “La tecnología ha crecido enormemente, ha mejorado y avanzado, pero la seguridad no la ha acompañado con el mismo ritmo”.  Continuando con la misma idea, por tanto, podemos concluir que “la complejidad de la tecnología crece a mayor velocidad que la seguridad, y por tanto cada vez existen más riesgos asociados”.

– “Patching is an impossible problem” (el “parcheo” es un problema imposible). Para publicar un parche debe procederse a realizar las pruebas correspondientes con cada posible configuración del sistema. Así mismo se pretende ofrecer su disponibilidad y publicarlo lo antes posible, sin embargo estos dos objetivos son incompatibles. No queda otro remedio que elegir entre Rápido y Probado (Fast Vs Test).

– “Slower Patch Cycle”: es necesario mencionar también que hay dispositivos prácticamente imposibles de parchear (hardware por ejemplo) y por tanto es preferible desecharlo y adquirir otro nuevo.

– “Regulations drives the Security Industry”. Esto es algo que todos tenemos claro y es que el cumplimiento, las normativas y las leyes recientemente se han convertido en un motor para la industria de la seguridad que dinamiza lo que las organizaciones deben implantar. Habitualmente se llevarán a cabo proyectos porque el cumplimiento obliga, y no porque se crea que los mismos sean o no necesarios.

– “La Seguridad trata menos sobre Tecnología y más sobre el USO de la Tecnología” (algo que venimos diciendo desde aquí desde hace ya mucho tiempo…).

– “El valor de una red de comunicaciones aumenta proporcionalmente al cuadrado del número de usuarios que la utilizan” (Ley de Metcalfe)

– “Los productos y fabricantes de seguridad que sobreviven en el mercado no son necesariamente los mejores sino que habitualmente son los más baratos o fáciles de usar”. El comprador normalmente no tiene el criterio suficiente para diferenciar entre varios productos (dos firewalls por ejemplo, en cuanto a su funcionamiento como dispositivo de ese tipo serán muy difíciles de distinguir por un usuario medio, salvo por su apariencia, su uso, etc.), y por lo tanto se guía por señales: por la reputación de la compañía, su cuota de mercado, Gartner, revisiones en revistas, etc. Realmente no conoce la diferenciafuncional entre uno y otro producto.

– “Para mitigar los riesgos, uno debe ser responsable de ellos”.

– “Hemos enseñado y convencido a todos para tener un ordenador, pero no a mantenerlo”. Esto se traduce también en las organizaciones, no sólo en las personas, y de ahí que cada vez se hagan más necesarios (y populares) los servicios gestionados (seguridad gestionada, etc.).

– Joaquín Reyes Vallejo, Director de Sistemas de Información del Grupo CEPSA, se centró principalmente en la evolución de la tecnología y la madurez asociada con ideas como las siguientes:

– La seguridad no ha progresado a la misma velocidad que la tecnología.

–  Los procesos no han alcanzado el nivel de madurez semejante (sirva como ejemplo que según estudios publicados recientemente, sólo el 57% de las organizaciones tienen una estrategia global en su compañía). Esto es sumamente importante puesto que la madurez en los procesos disminuye el riesgo. Estos procesos son necesarios para gestionar el riesgo y generar confianza.

– Las personas y la organización de la seguridad empiezan a consolidarse, aunque aún queda un camino importante que seguir.

– Enrique Polanco, Director de Seguridad Corporativa del Grupo PRISA, nos deleitó con una charla muy interesante que supo hacer amena como buen orador que es, acercando más al público y manteniendo una actitud más cercana a la tierra (y a los oyentes) y no tan teórica u oficial como el resto del panel. Algunas perlas compartidas  en su charla:

– “Primero nos asustan y luegos nos dicen que es muy fácil solucionarlo”, pero “¿quién le pone el cascabel al gato?”

– “El problema que te roben el postit con la contraseña escrita no es que se la lleven, ¡es que después tú no la recuerdas!” 🙂

– “El personal no es una amenaza, es una vulnerabilidad”. Con formación y concienciación intentamos solventarla.

– “No es posible ponerle airbags o control de tracción a un seat 600”. Seamos realistas…

Espero que estas breves notas os hayan servido para que tengáis una pequeña idea de lo comentado ese día allí.

Después tuve la oportunidad de visitar ENISE, el I Encuentro Nacional de la Industria de la Seguridad en León, de la mano de la Comisión de Seguridad de ASIMELEC. Un evento con sus pros y contras, pero que al menos tiene de positivo que ha logrado congregar a buena parte de la industria en lo que podría ser una “foto de familia” (en el marco incomparable además del Parador Nacional de San Marcos en León).

Finalmente por temas profesionales también asistí, aunque brevemente, a las Jornadas Técnicas de RedIris que en esta ocasión se celebraron en Mieres (Asturias)… ya os imagináis cuál es la causa entonces de mi ausencia “electrónica” en este Blog.

Seguiremos informando… cuando el tiempo lo permita 😉

Continuando con la línea (algo somera, seamos sinceros, hasta que tenga algo más de tiempo) de los posts anteriores, incluyo a continuación el ranking con los ordenadores más malvados que he descubierto a través de Microsiervos y que bien merecen una revisión tras las posibilidades que comentaba en mi anterior artículo 😉

Podéis acceder al artículo completo aquí (desde CNET) donde incluyen vídeos de las películas (YouTube) y comentarios interesantes.

En cualquier caso os adelanto la clasificación:

1. HAL 9000: de 2001, Una Odisea en el Espacio

2. Proteus IV: de El Engendro Mecánico

3. Nomad: de Star Trek

4. The Ultimate Computer: de Superman III (lo siento, no recuerdo su nombre en español)

5. Max: de El Piso 13

6. GLaDOS: de Portal

7. MODOK: de los Comics Marvel

8. Queeg 500: de la serie Red Warf

9. SkyNet: de Terminator

10. BOSS: de la serie Doctor Who, La Muerte Verde

Personalmente echo de menos a Héctor, el robot gigante de Saturno 3… qué gran película, echadle un vistazo…

Hacía referencia en mi reflexión anterior al gran número de errores existentes en el software que se desarrolla actualmente y en los problemas que ello trae asociados, habitualmente de huecos de seguridad, rendimiento o fallo en funcionalidades.

Esto habitualmente afecta al funcionamiento de nuestras aplicaciones y por tanto a nuestra productividad, pero no suele ir más allá.

Sin embargo, cada vez más elementos de nuestra vida diaria están controlados por aplicaciones y sistemas: centrales eléctricas, controles de tráfico, nuestras comunicaciones… y muy pronto (si no ya) nuestro armamento.

¿Qué ocurriría si alguien introdujese un software malicioso en esos sistemas? ¿y si en el propio desarrollo de los mismos se incluyese algún tipo de malware? Ese tipo de amenazas “lógicas”, se convertirían inmediatamente en consecuencias físicas que podrían atentar incluso contra la vida.

En eso precisamente esté pensando estos días el Pentágono según “The Register”. Y es que el Consejo del Departamento de Defensa de los Estados Unidos está advirtiendo que los “robots de guerra” cuya disponibilidad está prevista para dentro de 10 años, podrían ser afectados por código malicioso puesto que estas máquinas de guerra utilizarán software que en su gran parte está desarrollado fuera del país.

El equipamiento militar al que hacen referencia es el incluído en el programa “Future Combat Systems”, que incluye dispositivos tales como un helicóptero armado autónomo (no tripulado), un tanque robot armado con misiles y cañón, o sistemas de transporte tipo “muladroides” para llevar cargas y otros objetos, entre otras cosas, todos ellos supuestamente enlazados por una red de datos.

La oficina del programa FCS ha admitido que existe un riesgo de bajo a medio de que código malicioso pueda ser insertado (y explotado) en los mecanismos de control de estos dispositivos. También comentan que existe una tendencia irresistible a sustituir las comunicaciones propietarias relativamente seguras por el protocolo IP (valga la redundancia) de propósito general (con lo que todo esto supone, añado yo).

Preocupante, cuando menos… ¿o estamos exagerando? Porque todo esto ya puede ocurrir ahora mismos con los mecanismos de control que ya comentaba (centrales nucleares, controles de tráfico, aéreos, … y de momento no ha pasado nada… demasiado importante).

Esperemos que no tengamos oportunidad de ver alguna de estas consecuencias y todo se quede en falsas alarmas.

Podéis acceder al informe completo del FCS aquí.

Buen fin de semana (especialmente a la gente de Madrid, con viernes festivo 😉 ).

Acaba de salir el MacOS X Leopard y ya tiene problemas, sale Windows Vista y a los 2 días ya existen un montón de bugs y problemas de seguridad. Lo mismo ocurre día tras día con las distintas aplicaciones y sistemas operativos que todos manejamos, y esa es la base de la gran mayoría de ataques existentes en la red hoy por hoy: sus agujeros de seguridad, sus “errores” o bugs.

Parece impensable que se publique una aplicación de uso “masivo” en Internet que pueda estar libre de estos problemas de seguridad. Si existiese algo así y lo tuviese un gigante como Microsoft (por nombrar el más evidente) o cualquier otro fabricante de renombre, estoy seguro que lo veríamos a diario en prensa, sería una ventaja competitiva imbatible: nuestra aplicación NO tiene problemas de seguridad.

¿Os imagináis un servidor de correo así? … pues existe (estoy seguro de que muchos de vosotros lo conocéis) y este año ha cumplido la friolera de 10 años sin un cambio de versión, parche o actualización… porque no le ha hecho falta.

¿Y si os digo que hay más de 1.000.000 de instalaciones de este servidor? ¿y si os cuento que es el servidor de correo que soporta Yahoo! mail, Yahoo! Groups, USA.net, Network Solutions o MessageLabs (que analiza 100 millones de correos a la semana en búsqueda de malware) entre otros?

Pero aún hay más. Si os digo que desde su publicación el 15 de Junio de 1998 no se le ha descubierto ninguna vulnerabilidad ni error aún cuando su autor tiene ofrecida una “recompensa” de 1000$ a aquel que pueda encontrar un hueco en el mismo ¿qué me decís entonces? IM-PRE-SIO-NAN-TE ¿verdad?

Sí. No es otro que el eficiente, versátil y seguro servidor de correo qmail desarrollado por Daniel J. Bernstein, autor también de otra aplicación de similares características: djbdns, en este caso un servidor DNS con muchos mejores resultados en seguridad y gestión de recursos que los ya conocidos bind u otros similares.

Por distintas razones, he tenido la oportunidad de instalar y administrar este servidor en distintas ubicaciones desde su lanzamiento (allá en 1998) y os puedo asegurar que, sin duda alguna, es una auténtica joya. Eso sí, no es nada “amigable” desde el punto de vista de usuario (no esperéis una interfaz gráfica o cosas similares), pero se pueden hacer auténticas “virguerías” con el mismo. Os lo recomiendo (e igualmente, el servidor DNS djbdns, a años luz del bind).

Todo esto viene porque tras 10 años de este servidor retando al tiempo y a la comunidad en búsqueda de errores, su autor, Daniel J. Bernstein ha publicado un artículo muy interesante con algunas reflexiones sobre su desarrollo y lo que me parece aún más importante, algunas ideas sobre la programación segura y cómo disminuir los bugs y errores de una aplicación, aproximado siempre de una forma distinta como suele hacerlo el señor Bernstein (que por otra parte, como toque rosa a esta reseña, hemos de comentar que no es una persona extremadamente extrovertida o socialmente “afable”).

Podéis acceder al artículo completo de Dan J. Bernstein aquí.

Desde aquí, ¡Felicidades qmail! y claro, ¡Felicidades Sr. Bernstein!

Hace unos días comentábamos en la lista de distribución del GIAC Advisory Board de SANS Institute cuáles eran en nuestra opinión (varios cientos de profesionales de la seguridad de la información de todo el mundo) los mejores libros de seguridad de la información publicados hasta el momento.

En aquel momento no pude hacerme eco de los mismos por tener que cumplir el acuerdo de confidencialidad de los participantes en dicha lista, pero ahora que se ha publicado el resultado en la web de SANS recojo a continuación los resultados, muy recomendables para tener en cualquiera librería que se precie (o que pueda permitírselo, claro):

– The Art of War for Security Managers – Scott A. Watson
– Beyond Fear – Bruce Schneier
– Botnets: The Killer Web App – Schiller, Binkly et al
– Counter Hack Reloaded: A Step-by Step Guide to Computer Attacks and Effective Defenses (2nd Edition) – Edward Skoudis and Tom Liston http://www.amazon.com/Counter-Hack-Reloaded-Step-Step/dp/0131481045/
– Extrusion Detection – Richard Bejtlich
– Google Hacking for Penetration Testers, Vol. 1 – Long, Skoudis, Eijkelenborg
– Gray Hat Hacking: The Ethical Hacker’s Handbook – Harris, Harper, Eagle, Ness, Lester
– Hacker’s Challenge I, II, III Series – Schiffman, Pennington, Pollio, O’Donnell
– The Hacker’s Handbook: The Strategy Behind Breaking Into and Defending Networks – Susan Young and Dave Aitel
– Hacking Exposed-VOIP – David Endler and Mark Collier
– Hacking: The Art of Exploitation – Jon Erickson
– Inside Network Perimeter Security – Stephen Northcutt and Judy Novak
– Internet Forensics – Robert Jones
– Metasploit Toolkit for Penetration Testing, Exploit Development, and Vulnerability Research – James Foster
– The Oracle Hacker’s Handbook: Hacking and Defending Oracle – David Litchfield
– Network Intrusion Detection, 3rd Edition – Stephen Northcutt and Judy Novak
– Professional Pen Testing for Web Applications – Andres Andre
– RailsSpace: Building a Social Networking Website with Ruby on Rails – Michael Hartl and Aurelius Prochazka
– Real Digital Forensics: Computer Security and Incident Response – Jones, Bejtlich, Rose
– Reversing: Secrets of Reverse Engineering – Eldad Eilam
– Secrets and Lies – Bruce Schneier
– Security Data Visualization Graphical Techniques for Network Analysis – Greg Conti
– Security Metrics: Replacing Fear, Uncertainty, and Doubt – Andrew Jacquith http://www.amazon.com/Security-Metrics-Replacing-Uncertainty-Doubt/dp/0321349989
– Security Warrior – Anton Chuvakin
– Securing VoIP Networks: Threats, Vulnerabilities, and Countermeasures – Peter Thermos and Ari Takanen
– The Shellcoder’s Handbook, 2nd Edition – Chris Anley
– Silence on the Wire: A Field Guide to Passive Reconnaissance and Indirect Attacks – Michal Zalewski http://www.amazon.com/Silence-Wire-Passive-Reconnaissance-Indirect/dp/1593270461
– The Tao of Network Security Monitoring: Beyond Intrusion Detection – Richard Bejtlich http://www.amazon.com/Tao-Network-Security-Monitoring-Intrusion/dp/0321246772
– The TCP/IP Guide – Charles M. Kozierok (No Starch Press)
– The Web Application Hacker’s Handbook – Dafydd Stuttard and Marcus Pinto
– Wi-Foo: The Secrets of Wireless Hacking (and Wi-Foo, 2nd edition) – Andrew Vladimirov, Konstantin V. Gavrilenko, Andrei A. Mikhailovsky
– 802.11 Wireless Networks: The Definitive Guide (Second Edition) – Matthew S. Gast. ISBN 0-596-10052-3