InfoSecMan Blog

Una imagen (en este caso un vídeo) vale más que mil palabras. Ya lo había visto hace tiempo pero ahora Bruce Schneier me lo ha recordado en su Blog 🙂

Mason Pokladnik publica a través de SANS un documento bastante interesante sobre la gestión de incidentes en pequeñas y medianas empresas y cómo implantar un proceso de este tipo en las mismas.

Personalmente, y como ya sabéis por la publicación de IS2ME, creo que queda mucho por hacer en la labor de acercar la seguridad de la información a las pequeñas y medianas empresas y son interesantes trabajos como el de Mason para demostrar que, con ciertas adaptaciones, es posible implantar sistemas de gestión de la seguridad, de respuesta a incidentes, etc. de forma adecuada en organizaciones de cualquier dimensión.

Podéis acceder al documento completo aquí.

Ahora que ya me había acostumbrado a decir en español y en inglés 17799, 7799, etc. hablando de las normativas de gestión de la seguridad, resulta que definitivamente hemos cambiado ya de nomenclatura hacia las 27000 (más fáciles de pronunciar para alguien que habitualmente habla muy rápido, como yo 😉 ).

Citando textualmente a Paloma Llaneza creo que queda muy claramente expresado:

“El pasado 10 de Julio, ISO publicó lo que llaman un “Technical Corrigendum” (en concreto el “ISO/IEC 17799:2005/Cor.1:2007-07-01 – Information technology ― Security techniques ― Code of practice for information security management”).

Con este acto administrativo desaparece la 17799:2005, que ya no se usará más. La referencia adecuada es, a partir de ahora, ISO/IEC 27002:2005.”

Tomen (tomemos) nota señores y actualicen sus documentaciones, ofertas, etc. no nos vaya a pasar como a algún alto cargo de alguna organización conocida que aún habla de la LORTAD casi una década después de su derogación  😛

Como algunos ya sabéis estoy enfermo estos días, por lo que no puedo actualizar como me gustaría este espacio. Espero recuperarme en breve. Gracias por vuestra paciencia.

Hace un tiempo, en uno de los cursos a los que asistí, el formador (estadounidense) me comentaba lo sencillo que era aún hoy en día suplantar la identidad telefónica, el identificador de llamada, en una llamada telefónica.

La posibilidad de realizar esto es especialmente interesante para realizar ataques de ingeniería social llamando por ejemplo a una compañía de forma que al receptor de la llamada le aparezca en su “display” como origen de la llamada, otro número interno o bien conocido de la misma compañía, evitando así sospechas y haciendo mucho más fácil la labor de recolección de información.

Es obvio que la credebilidad de una llamada haciéndose pasar por alguien de nuestra compañía, o incluso de nuestro entorno, crece mucho si el origen de la llamada es aparentemente para nosotros un número conocido, interno o familiar.

Ahondando en el tema, me comentaba que por lo visto, el identificador de llamada (Caller-ID) habitualmente no lo establece la central del operador sino que de forma habitual se “delega” en el equipo de cliente (el teléfono o centralita, en su caso) y una vez más, por “sencillez” en la configuración, falta de previsión o de tiempo, los operadores (al menos en EE.UU.) no suelen hacer ninguna validación del “Caller-ID” enviado, lo que maliciosamente, podría permitir que yo, al realizar una llamada a una víctima objetivo, enviase como “Caller-ID” por ejemplo el número 091 (o 911 allí) haciendo parecer que la llamada proviene de la policía (esto podría hacerse haciendo que el dispositivo cliente, centralita o similar enviase un valor arbitrario dentro de ese campo).

Tras aquella charla, quedó anotada en mi lista de tareas pendientes (enorrrme, por otra parte) investigar cuál es el estado de esta posible vulnerabilidad en los sistemas telefónicos en España (siendo sincero, aún no he podido hacerlo).

Todo había quedado ahí hasta que esta mañana he leído un comentario que me hace confirmar que, al menos en Estados Unidos, esta posibilidad sigue existiendo y de hecho se utiliza. No sólo se utiliza, sino que existen empresas como Telespoof, que se dedican a ello y a hacer más fácil aún esto (su mercado objetivo son gente como investigadores privados, ingenieros sociales… y fisgones 😉 ).

Pero vienen malos tiempos para este tipo de empresas y para aquellos que querramos utilizar esta “argucia” para obtener información o probar la inseguridad de nuestras compañías, y es que por lo visto el Congreso de Estados Unidos  va a declarar ilegal precisamente esa acción: la manipulación de la información contenida en el “Caller-id”.

¿Alguno de vosotros sabe cómo está este tema, tanto técnica como legalmente, en España o LatinoAmérica?

Podéis acceder a la propuesta en la librería del Congreso aquí,  y a un comentario muy interesante sobre sus efectos para la ingeniería social aquí.

… la próxima vez que alguien os llame solicitando alguna información, no confiéis sólo en ello por identificar el número de origen… ya sabéis lo que puede estar ocurriendo… 😉

De todos es ya conocida mi afición a todo lo que tiene que ver con el comportamiento humano y su relación con la seguridad de la información, la ingeniería social y posibles métodos de “ataque” no tecnológicos.

Pues bien, muy recientemente hemos asistido a un experimento que demuestra cómo, sin ningún tipo de avance tecnológico más allá de la explotación de las vulnerabilidades intrínsecas a nuestro comportamiento, es capaz de difundir una noticia a nivel mundial, de la que se hacen eco no sólo blogs personales, sino importantes medios de comunicación supuestamente reputados, causando cierta inquietud y un montón de reacciones en distintos foros.

Se trata de la supuesta intrusión en los servidores del último libro de Harry Potter y la publicación de posibles y distintos finales alternativos. Todo ello confirmado ya como un bulo y como un experimento social realizado intencionadamente.

He de confesar que siento cierta envidia ante la ocurrencia y el éxito de semejante experimento 🙂  y me parece una demostración de todo lo que muchos de nosotros predicamos una y otra vez.

Javier Cao incluye un resumen de este caso junto con unos enlaces a alguna herramientas interesantes sobre redes sociales aquí.

El artículo completo podéis leerlo a través de Noticiasdot.com aquí. ¡Os lo recomiendo!

Hace ya un tiempo había comentado por aquí la indefensión a que pueden estar expuestos nuestros hijos, adolescentes (y en algunos casos nosotros mismos) ante el uso indiscriminado de Internet como medio de comunicación.

A través del último resumen de Criptored, llego a una presentación bastante interesante sobre “La Seguridad en Internet para los Menores” de Javier Megías Terol en la que describe cuáles son los problemas que pueden encontrarse y se aproxima a su solución a través de un triángulo de protección cuyos vértices son la Tecnología, la Legislación y la Formación e Información.

Como no podía ser de otra forma, y de forma análoga con lo que ocurre en el resto de las áreas de seguridad, finaliza la presentación concluyendo en que la solución clave es la comunicación y educación, no existiendo ninguna otra herramienta más poderosa.

Podéis acceder a la presentación aquí.

Dentro del último número de la revista Sistemas, de la Asociación Colombiana de Ingenieros de Sistemas, Jeimy Cano incluye una editorial interesante con el título de este mismo post: “Rastreando la Inseguridad”. 

Como siempre, Jeimy realiza una aproximación interesante y distinta, exponiendo algunos datos y resultados de distintos informes sobre inversiones e investigaciones forenses y analizándolos mediante un prisma original, llegando a una conclusión que, considerablemente mejor escrita 🙂 , resume muy bien lo que hace unos días comentaba yo en la reflexión “¿Para cuándo algo nuevo?”, y que con el permiso de Jeimy me permito incluir textualmente a continuación:

“Así como plantea Ackoff [2007, pág.35] que “los buenos docentes producen profesionales escépticos que construyen sus propias preguntas y encuentran mejores respuestas”, se requieren investigadores y profesionales en seguridad informática y cómputo forense que en forma constante reten de manera inteligente los horizontes establecidos por los proveedores de tecnologías de información y los estándares conocidos, pues sólo así es posible evidenciar el rastro de la inseguridad de la información.”

Podéis acceder al artículo completo aquí.

En primer lugar, disculpad la ausencia de estos días, debida en buena parte a una alta carga de ocupación tanto profesional como personal que me ha impedido atender este espacio como debe, y que continuará durante la semana que viene, aunque ello también me permitirá tener la oportunidad de asistir a este evento que a priori parece tan interesante.

Ya lo había comentado hace un par de meses pero por su interés lo incluyo de nuevo como recordatorio.

De todos son conocidas mis preferencias por este campo de la seguridad de la información, lo mucho que me gusta la ingeniería social y, en general, las personas, sus actuaciones y como éstas afectan a la seguridad de nuestras organizaciones (y a la nuestra propia).

El martes de la semana que viene, día 10 de Julio, se celebrará un simposium en Plymouth (UK) con el atractivo nombre “Human Aspects of Information Security and Assurance” (HAISA), que promete lo bastante como para intentar asistir y, aunque sólo es un día, puede ser un gran momento para conocer otras impresiones y personas que estén interesadas en ese mismo campo.

Aprovechando que la semana que viene tendré que estar en Londres por otros temas profesionales, he extendido desde ya mi estancia y aprovecharé para acercarme a Plymouth (no era consciente de que estuviese tan lejos…) e intentar aprender algo más sobre el eslabón más débil. A la vuelta prometo una crónica sobre el evento (que espero que esté interesante).

Si os animáis o tenéis pensado asistir, avisadme. Estaré encantado de compartir unas cervezas con vosotros/as.

El programa oficial es el siguiente:

¡Nos vemos allí!

Cheryl Currid publica en NetworkWorld un artículo generalista bastante entretenido en el que introduce la labor del “detective digital” y enumera una serie de reglas sencillas que deben seguirse al investigar un incidente que brevemente os resumo a continuación:

1. Ten un plan de acción.

2. No contamines la escena del “crimen”.

3. Toma posesión (física) del equipo.

4. Asegura los registros/logs del sistema.

5. Obtén registros/logs telefónicos.

6. Obtén registros/logs de teléfonos móviles.

7. Trata los PDAs cuidadosamente, pueden tener información muy valiosa.

8. Confisca los dispositivos de almacenamiento portátiles (llaves USB, etc.).

9. Revisa los registros/logs de las impresoras.

10. Revisa los registros/logs de las tarjetas de acceso (si se utilizan).

Finalmente el artículo, como guiño, comenta que Cheryl vive en una casa con más de 20 cámaras de seguridad que graban a varios dispositivos… ¿un tanto incómodo, no?… desde luego habrá que pensárselo más de una vez si esta chica te invita a cenar… 😉

Podéis acceder al artículo completo aquí.