InfoSecMan Blog

Continuando el hilo de lo que comentaba en el artículo sobre el uso de los patrones de tecleo como parámetro adicional en la autenticación, os incluyo a continuación un enlace al comentario de Javier Cao sobre otro sistema que, en este caso, utiliza la selección del usuario de unos determinados puntos de una imagen. Creativo, sencillo … y una vez más otro mecanismo adicional (en este caso podría sustituir o complementar a la clave) para mejorar la autenticación de usuarios (y hacerla más sencilla a los mismos).

Podéis acceder al artículo de Javier aquí.

Pues lo mismo que estás haciendo es lo que han hecho un montón de personas en un “experimento” ¿sociológico? hecho por Didier Stevens. Es decir, picar con la curiosidad.

Didier publicó el siguiente anuncio mediante la publicidad de Google durante 6 meses y obtuvo un total de 409 accesos a un sitio donde claramente se indicaba que sería infectado por un virus bastante conocido:

Evidentemente la página a la que accedían no tenía ningún software malicioso puesto que era sólo una prueba. El ratio de accesos fue del 0,16%, lo que aparentemente es muy bajo, pero el número total (409 accesos) no es nada despreciable.

Esto, como siempre, demuestra que somos (las personas y nuestro comportamiento) un punto clave en la implementación de la seguridad, que muchos no se leen realmente lo que dicen muchos mensajes y que a otros les puede la curiosidad.

Podéis acceder a su artículo completo aquí.

… aunque a mí, personalmente siempre me ha encantado mucho más esta otra página, que ya tiene unos cuantos años por cierto, y que se basa en el mismo comportamiento… 😉

Mucho se habla de los controles de acceso biométricos y la cantidad de falsos positivos que presuntamente presentan. Lectores de huellas dactilares, del iris del ojo, reconocedores de voz y otros muchos dispositivos tienen grandes problemas de implantación por diversas causas.

Por una parte su alto coste. Habitualmente, son dispositivos caros (aunque esto como siempre, va disminuyendo) que, si tenemos en cuenta el problema de los “falsos positivos” (y también, “falsos negativos”), hacen que las compañías no acaben de desplegar este tipo de controles ampliamente, dejándolo solo para grandes corporaciones que invierten ingentes cantidades de dinero en proyectos muy avanzados con necesidades de control realmente importantes.

Otro de los problemas es el de la reticencia del usuario a la hora de “dejar reconocerse”. Hay personas que no soportan tocar cosas que otros hayan tocado por cuestiones de higiene, o incluso por puras manías. No hablemos ya de escanearse la córnea o el iris… “El Perro Andaluz” ha marcado siempre mucho 😉

Hace ya un par de años que nuestro “predicador” Schneier ya hablaba de un método de reconocimiento biométrico sencillo y barato, pero que en aquel entonces aún estaba algo verde: “el reconocimiento por los patrones de tecleo” (o tecleado? 😉 , keystroke patterns, vamos).

El tiempo ha pasado y parece que ahora la tecnología está más madura. En este artículo, indican que BioPassword, la compañía que está comercializando este control está consiguiendo muy buenos resultados y ha sacado ya su versión 3.0 que se integra con Citrix, OWA y Windows XP, entre otros sistemas.

Este método me parece una solución muy interesante porque no se introduce ningún disposito “extraño” al usuario ni éste tiene que hacer nada especial, simplemente se añade un parámetro o característica más a los credenciales que el usuario habitualmente teclea: su forma de teclearlo, su patrón, la velocidad con que lo escribe, cómo se retrasa más o menos al escribir determinadas teclas, etc.

Lo único que se necesita es un pequeño agente software que se incrusta y une a la GINA de Windows (el control de acceso gráfico inicial) y que identifica el usuario o no dependiendo de sus credenciales de acceso (usuario/password) y su forma de teclearlo.

No he tenido la oportunidad de probarlo, pero a priori me parece algo sumamente interesante por la rapidez de implantación, la nula intrusión en el entorno del usuario (como persona) y, según parece, lo económico de la solución (desde 19US$ por usuario y año).

Probablemente no sea un control extremadamente seguro, pero es una forma sencilla, rápida y eficaz (creo) de incorporar un nivel adicional de seguridad en los ya conocidos usuarios y claves que todos utilizamos en casi todos nuestros controles de acceso… ¿o no? 😉

Como parece que la referencia que incluí sobre TEMPEST y cómo “fisgar” lo visualizado por una pantalla a distancia (TFT, CRT) ha tenido bastante éxito, os incluyo a continuación otra referencia a un artículo muy interesante que entra en más detalle sobre este tema y que incluye una buena bibliografía y enlaces, además de algún vídeo ejemplo (cómo averiguar el voto efectuado en una máquina de votos alemana a 25 metros de distancia…).

¿Interesante, verdad? Más información aquí.

De todos son conocidas mis preferencias por este campo de la seguridad de la información, lo mucho que me gusta la ingeniería social y, en general, las personas, sus actuaciones y como éstas afectan a la seguridad de nuestras organizaciones (y a la nuestra propia).

El próximo día 10 de Julio se celebra un simposium en Plymouth (UK) con el atractivo nombre “Human Aspects of Information Security and Assurance” (HAISA). Tiene muy buena pinta y, aunque sólo es un día, puede ser un gran momento para conocer otras impresiones y personas que estén interesadas en ese mismo campo.

Aprovechando que esa semana tenía que estar en Londres por otros temas profesionales, he extendido desde ya mi estancia y aprovecharé para acercarme a Plymouth (no era consciente de que estuviese tan lejos…) e intentar aprender algo más sobre el eslabón más débil. Aún falta mucho, pero ya os adelanto que a la vuelta incluiré una crónica sobre el evento (espero que merezca la pena).

Si os animáis o tenéis pensado asistir, avisadme. Estaré encantado de compartir unas cervezas con vosotros/as.

El programa oficial es el siguiente:

Hace unos días mencionaba el término TEMPEST y cómo es posible visualizar los contenidos de un monitor “tradicional” (CRT) a larga distancia mediante la recepción de sus “emanaciones”. Ya había tenido oportunidad de ver un par de demos en vídeo y de disfrutar leyendo como un personaje lo utilizaba para obtener información en la excelente novela de Neal Stephenson, Criptonomicon.

Recientemente Markus Kuhn, un joven investigador aleman (hay que ver cómo está Alemania en el campo de la seguridad y cuántos “talentos” están surgiendo ultimamente), ha demostrado que es posible hacer lo mismo con las pantallas planas. De hecho ha conseguido visualizar la información de una pantalla a través de varias paredes a varios metros (en el CEBIT asegura que lo consiguió hacer a más de 25 metros).

Para ello, y de forma general y rápida, se ha centrado no en las emanaciones de la propia pantalla, sino del cable que la une al ordenador (listillo eh! 😉 ) y ha conseguido resultados francamente interesantes. Allá en 1985 cuando Wim Van Eck  demostró que podía hacer lo mismo hizo a la OTAN gastar una fortuna para no ser vulnerable a este tipo de ataque… creo que voy a montar una empresita de cables VGA “hipermega-aislados” y voy a hacer llegar una tarjeta a la OTAN, al Ministerio de Defensa… 😉

Para evitar esta vulnerabilidad la mejor defensa es un excelente aislamiento… si por el contrario se quisiera conseguir que un equipo fuese más vulnerable (caso del posible atacante), bastaría con añadir pequeños trozos de cable o metal para que la señal sea mejor.

A revisar cablecitos toca! 🙂

Podéis acceder a su artículo completo aquí.

En el campo de la protección de datos todos hemos visto (y vemos) auténticas “burradas” en el cumplimiento de la legislación, en los documentos para el ejercicio de los derechos o en las “interpretaciones” de la normativa.

Pues bien, un familiar mío involucrado en una selección de personal para una de las mayores superficies comerciales del país ha sido rechazado y han tenido la amabilidad (y esto no va con segundas, ya que habitualmente casi nadie lo hace) de enviarle una carta comentándole que habían elegido otro candidato…. y ya de paso informándole de que sus datos pasan a estar en un fichero bla bla bla…

Os propongo un pequeño juego. A ver quién detecta más errores en el cumplimiento de la LOPD en el siguiente párrafo de la carta fechada en Abril de 2007:

“No obstante, dado el interés que ofrece tu historial, y con el fin de dar cumplimiento a la LORTAD le informamos que sus datos pueden formar parte de un fichero para posibles futuras selecciones, quedando salvaguardados sus derechos de acceso, rectificación, cancelación y oposición.”

😉

Ayer estuve dando una ponencia en AsturSec sobre el tema que indico en el título. Os adjunto la presentación para aquellos que no habéis podido asistir. Se admiten (y solicitan) comentarios.

Podéis bajarla directamente aquí.

De todos son conocidas las numerosas y completas guías del NIST (National Institute of Standards and Technology de EEUU), y muchos las hemos utilizado como referencia para diversos aspectos de seguridad de la información.

Pues bien, de la mano de Noticias ISO27000.es, descubro que han publicado un nuevo documento resumen de todas las referentes a Seguridad de la Información.

Podéis obtenerlo aquí (muy interesante).

(Se nota que estoy bastante ocupado estos días, ¿verdad?… volveré con nuevos contenidos, y alguna que otra sorpresa 😉 )

La fibra óptica no es tan segura como se pueda esperar. Todos conocemos las posibles vulnerabilidades de “captar” la señal que transmite un par de cobre o cable coaxial, sin ni siquiera pincharse (algo parecido a las señales que podemos captar de lo emitido por las pantallas, buscad algo sobre TEMPEST en Google, por ejemplo).

Hasta ahora si queríamos “esnifar” la señal transmitida por una fibra óptica teníamos que “pincharnos” e introducir en medio algún dispositivo, sin embargo con la alta sensibilidad de los nuevos receptores, ahora basta con “doblar” ligeramente la fibra y “acercarla” a un nuevo dispositivo para captar la señal que se está transmitiendo y, por tanto, la información que va en ella.

¿Lo mejor? Que este método no deja ni rastro siendo un ataque pasivo para la víctima. He tenido la oportunidad de ver una demo y es francamente espectacular: se “pinza” la fibra en algo parecido al cabezal de un cassette y automáticamente obtenemos la señal que se está transmitiendo por esa fibra.

… ¿qué pasaría si me fuese con un dispositivo como este a una caseta de alguno de los operadores, en medio del monte, de los muchos cientos que hay repartidas por el país y capturase el tráfico que está transcurriendo por esas líneas?

… y lo que es peor, ¿qué pasaría si lo hiciese lícitamente como “mantenedor” de esos equipos?… no estaría afectando al servicio, ni desconectando nada, alterando ningún equipo, su funcionamiento….

Más información aquí.