InfoSecMan Blog

Tras 2 semanas de la publicación de “IS2ME: Seguridad de la Información a las Medianas Empresas”, podemos afirmar que el método está teniendo una muy buena acogida dentro de la comunidad, habiendo superado ya las 500 descargas del documento PDF de IS2ME en Español y recogida su publicación en distintos medios del sector.

Queremos agradecer desde aquí las muestras de apoyo a la iniciativa, felicitaciones y referencias que distintos medios y profesionales nos han transmitido, tanto desde nuestro país, como desde distintos países de Latino-América. En breve procederemos a su publicación en inglés e iremos informando de alguna otra novedad.

Podéis acceder a más información sobre IS2ME, referencias, etc. en la web oficial: http://www.is2me.org/

Y como es viernes, un vídeo muy entretenido sobre las distintas vulnerabilidades a las que habitualmente nuestras oficinas están expuestas y que un atacante, mediante ingeniería social, puede explotar. Lo mejor… el “actor” que lo protagoniza 😉

Esta semana estuve en Barcelona en un cliente en el que tenía implantado un control de acceso biométrico en su CPD. Se trataba de un lector de huellas que iba complementado con la introducción de un código numérico.

Mientras estaba por allí, me interesé por el funcionamiento del control y el cliente me confirmó que es raro que funcione “a la primera”, que la mayoría de las veces tienen que intentarlo 2 o 3 veces, que depende de la posición en la que se tomó la huella la primera vez, etc. etc. ¿Conclusión? Muchas veces esa puerta estaba abierta.

Eso me recordó que hace un tiempo había leído cómo superar un control de ese tipo utilizando un dedo de gominola (como base, digamos que había que hacer alguna otra cosilla). Buscando algo más de información, he encontrado este fragmento del conocido programa “Cazadores de Mitos” donde superan un control de acceso de ese tipo con una solución bastante similar. Echadle un vistazo 🙂

La Unión Internacional de Telecomunicaciones (ITU, International Communications Union) ha publicado un excelente trabajo en el que se recogen brevemente las distintas instituciones que han publicado estándares de seguridad, cuáles son, además de algunos códigos y guías de buenas prácticas.

El artículo tiene 5 partes:

1. Organizaciones que desarrollan estándares de seguridad TIC y su trabajo.

2. Estándares de seguridad TIC aprobados.

3. Estándares de seguridad en desarrollo.

4. Necesidades futuras y propuestas de nuevos estándares de seguridad.

5. Buenas prácticas.

Podéis acceder al artículo completo aquí.

Hace un par de días publicaban en Kriptópolis un ejemplo de una aplicación “maliciosa” que de forma silente copia el contenido de cualquier llave USB que sea pinchada en el equipo. La aplicación se llama USBDumper y su forma de uso es trivial, basta con ejecutar el programa y elegir un par de parámetros de configuración para que, en adelante, cualquier llave USB que se pinche en el equipo, sea copiada sin la autorización de su dueño.

Ayer publicaba la otra cara de la monera, USB Switchblade, una herramienta similar que funciona “en el otro sentido”. En este caso recolecta información del equipo anfitrión aprovechando diversas vulnerabilidades de Windows (siempre y cuando esté corriéndose como un usuario administrador).

Herramientas de este estilo hay varias, unas más fáciles, otras más complicadas en su uso, pero casi todas bastante efectivas para el fin que se han desarrollado.

Pero a veces, no nos hace falta nada de esto y la forma de obtener un usuario y clave de acceso, por ejemplo, es infinitamente más sencillo. Sin ir más lejos ayer, en mi visita el centro comercial, “descubrí” un equipo desatendido, en una zona con muy poco tránsito, sin ningún tipo de vigilancia y con acceso a la red interna de esa compañía con las credenciales de acceso pegadas en un PostIt en la pantalla… tan típico, ¿verdad?

… voy a tener que crear un blog alternativo para estas cosas, porque últimamente me las encuentro a diario 😉

Somos unos ladrones que queremos robar un banco. Entre las investigaciones que llevamos a cabo, descubrimos algo que nos indica los procedimientos que existen en el banco, las normativas que están cumpliendo y la existencia de los distintos procedimientos que desarrollan esas normativas, además de descubrir la existencia de un rol de seguimiento de todos esos procesos y conocer claramente los procesos existentes en la organización para el cumplimiento de todos esos requisitos.

Junto a todo esto, conocemos cuál debe ser la respuesta de su centro de atención de usuarios ante una incidencia, sabemos que las registran y por tanto debe existir un registro. Y por si fuera poco, sabemos que la organización, sus responsables y empleados están especialmente concienciados con el cumplimiento de todos esos requisitos.

Todo esto lo sabemos gracias a que en la mayoria de sus folletos comerciales aparece un sello: Certificados en BlaBlaBla, una norma que nos dice claramente cuál es la estructura organizacional de esta compañía, la existencia de revisiones periódicas por profesionales independientes y todo lo que ya hemos dicho, además de otras muchas cosas.

¿Supone para la organización una vulnerabilidad el publicar ese sello? ¿No proporciona muchísima informacion no necesaria a un eventual atacante? ¿Es por tanto esa certificación (o su publicación) más una vulnerabilidad que una contramedida?
Y si lo consideramos asi, ¿no lo es más aún la difusion de que una empresa esté certificada en ISO 27001?

Aparte de los beneficios comerciales o de marketing, ¿en qué medida debería recomendarse a una compañía la no difusión de su certificación si lo que realmente desea es mejorar sus niveles de seguridad y disminuir el riesgo asumido? ¿Qué haríais vosotros?

Conociendo ese dato (su certificacion), ¿qué método de “ataque” o de captación de información intentaríais primero? ¿cuál creeis que es la mayor vulnerabilidad asumida por una organización que hace pública su certificación ISO 27001?

Esta noche tras ir al cine, debido al hambre y la prisa, acabamos cenando algo en una conocida cadena internacional de comida rápida. Cuando estaba pidiendo la cena en el mostrador, me sorprendí observando la puerta de acceso a la parte privada del establecimiento donde está la cocina, almacén, acceso a las cajas, etc.

Sorprendentemente (es la primera vez que lo veo en un establecimiento así) la puerta tenía un control de acceso numérico. No pude evitar sentarme en la mesa de al lado de la puerta desde donde veía perfectamente el teclado (podéis verlo a continuación).

En primer lugar lo observé al sentarme y pude comprobar lo mismo que vosotros probablemente (aunque la imagen no esté muy nítida): las teclas 3, 6 y 9 estaban considerablemente más gastadas que el resto (el resto estaban impecables).

Mientras cenábamos (en apenas 15 minutos, todo hay que decirlo) entraron y salieron varios empleados y, efectivamente, el código de acceso no sólo era muy sencillo con 3 dígitos, sino que era el mismo para todos los empleados. ¿Qué cuál era? … el más sencillo utilizando las 3 teclas, así que ya lo sabéis 🙂

Y digo yo, ¿no le habría salido mucho más barato y efectivo al dueño el haber instalado un simple botón para abrir la puerta? o más allá, ¿sin botón, con un mero “resbalón”?… la única explicación que puedo buscarle es que se trate de un requisito de implementación por parte de la “matriz” para la adjudicación de la franquicia o algo similar.

Aquí tenéis un ejemplo de una espantosa forma de abordar el cumplimiento de una norma… la próxima vez que vaya, ¿me visto de traje, entro en esa zona y me hago pasar por inspector de la “matriz”?… si lo hiciese y llevase una cámara podría ponerlo en youtube como esos de “cómo conseguir una hamburguesa gratis”… uy! se me ha escapado 😉

Si primero comento que el Blog de Google sobre seguridad no tenía nada nuevo, primero lo actualizan, todo hay que decirlo, con un artículo bastante interesante sobre virtualización.

El autor, Tavis Ormandi, hace referencia a un “paper” que presentó en CanSecWest en el que explica algunas de las vulnerabilidades y posibles ataques ante las plataformas de virtualización. Bastante interesante.

Me gusta especialmente la analogía que propone sobre el asegurado de máquinas virtuales y servicios de red, en cuanto a que deberían implementarse, al menos, medidas de seguridad similares en ambos, por ejemplo que no se ejecuten como un usuario privilegiado, que no tengan acceso a todo el sistema de ficheros, que exista un rígido control de acceso a las mismas, que se tenga actualizada la plataforma de virtualización con los últimos parches, etc.

Recordemos todos esto cuando estamos utilizando esas máquinas virtuales para probar malware, utilizar herramientas maliciosas, etc. etc… no olvidemos que la separación entre un sistema “virtual” y su anfitrión no deja de ser… “virtual”… 

Hace algo más de una semana salía a la luz un nuevo Blog de seguridad.  Esta noticia no sería nada sorprendente si no fuese que el “patrocinador” y “quien lo hace”, no es otro que Google. Su nombre es “Google Online Security Blog” y de momento sólo tiene una especie de artículo inaugural.

Cuando me enteré la semana pasada le eché un vistazo y lo incluí en mis “feeds”, sin embargo no ha habido nuevas actualizaciones desde entonces. Ya en ese momento me pregunté por dónde saldrían ahora los chicos de Google…

Cuál ha sido mi sorpresa al leer hoy que Google ha adquirido a Green Border. Se trata de un fabricante de un producto de seguridad bastante interesante. Lo que hace es crear una especie de máquina virtual donde se ejecuta nuestro navegador y todo el código asociado en la navegación (java, active-x, descargas, etc.) de forma que nuestro equipo personal está “a salvo” de todas esas amenazas y cuando salimos, tenemos la opción de que sea eliminado totalmente (no dejando así rastro alguno en el equipo). Según parece (yo no lo he probado) no carga la máquina demasiado y funciona muy bien.

¿Será este el primer paso de Google para entrar en el mercado de la seguridad y los antivirus? ¿qué pasaría si, por ejemplo, Google ofreciese como un servicio más la utilización de Green Border, o algo similar?

No sé, no sé, cuando el río suena, agua lleva… algo se está cociendo en Google… seguro 😉

Como ya había prometido hace unos días, incluyo a continuación la nota de publicación de IS2ME. Espero que sea de vuestro interés. Estaremos esperando vuestros comentarios, opiniones, críticas y/o felicitaciones 🙂 

IS2ME: Seguridad de la Información a la Mediana Empresa

Un Método para Acercar e Implementar la Seguridad de la Información en las Pequeñas y Medianas Empresas

Los términos PYME (Pequeñas y Medianas Empresas) o SME (Small and Medium Enterprises) hacen referencia a un tipo de empresa con un número reducido de trabajadores (habitualmente menor de 500) cuya facturación es moderada que, debido a su propia idiosincrasia, escasez de recursos y en muchos casos falta de información, tienen importantes carencias en el conocimiento de la seguridad en general, y en la implantación de las medidas técnicas y organizativas asociadas en particular, existiendo una clara falta de madurez en lo que a seguridad de la información se refiere.

Este hecho es aún más preocupante si se tiene en cuenta que este tipo de organizaciones engloban a más del 90% de las empresas existentes en el mundo y a más del 99% de las existentes en la Unión Europea. Es aquí, por tanto, donde surge la necesidad de una metodología o aproximación que ante escenarios como el mencionado, ofrezca una alternativa puente entre el incumplimiento total y la implantación metodológica de la gestión de la seguridad mediante un estándar como ISO 27001.

IS2ME trata de cubrir este hueco, surgiendo como un método de implementación de la seguridad de la información en las medianas empresas que conjuga por una parte, las necesidades de cumplimiento y desarrollo de un sistema de gestión de la seguridad de la información según estándares internacionalmente reconocidos, y por otra, la obtención de resultados a corto plazo que permiten disminuir el riesgo que este tipo de organizaciones están asumiendo, proporcionando a su vez prontos resultados a la alta dirección.

IS2ME ha sido desarrollado por Samuel Linares e Ignacio Paredes, expertos en seguridad de la información con una extensa carrera profesional en distintas áreas, tanto técnicas como de gestión. Ambos son BS 7799 Lead Auditor desde 2002 y cuentan con numerosas certificaciones como CEH, GSNA, GAWN, CCSA, CCSE, SCNA, SCSA o Experto Universitario en Protección de Datos, entre otras. Son miembros de ISACA, ISSA, ISMS Forum Spain, Advisory Board de SANS Institute y vocales de la Comisión de Seguridad y Confianza de ASIMELEC.

Pueden obtener más información y descargar de forma gratuita una copia electrónica de IS2ME en su sitio web oficial: http://www.is2me.org