Términos ambiguos

Algunos de los requisitos de la norma no son muy claros:

• El punto 4.3.1 c) indica que la documentación del SGSI debe incluir… “procedimientos y controles que respalden el SGSI”. ¿Esto significa que se debe redactar un documento para cada uno de los controles que se aplican (hay 133 controles in el Anexo A)? En mi opinión, no es necesario. Generalmente sugiero a mis clientes que redacten solamente las políticas y procedimientos que son necesarios desde el punto de vista operativo y para disminuir los riesgos. Todos los demás controles pueden ser detallados en la Declaración de aplicabilidad ya que esta declaración debe incluir la descripción de todos los controles que se implementan.
• Políticas y procedimientos (no) documentados: en muchos controles del Anexo A se mencionan políticas y procedimientos sin la palabra “documentado”. En efecto, ello implica que no es necesario redactar esas políticas y procedimientos, pero esto no queda claro para el 95% de quienes leen la norma.
• Entidades externas y terceros: se utilizan indistintamente estos términos, lo que puede generar confusión. Sería mucho mejor si se utilizara solamente un único término.

Organización de la norma

Algunos de los requisitos de la norma están dispersos o innecesariamente duplicados:

• Algunos controles directamente están ubicados en el lugar incorrecto; por ejemplo, el punto A.11.7 Computación móvil y tele-trabajo está ubicado en la sección A.11 Control de acceso. Si bien cuando se trabaja con computación móvil es necesario tener cuidado con el control de acceso, la sección A.11 no es el lugar más natural para definir temas relacionados con computación móvil y tele-trabajo.
• Los temas relacionados con las entidades externas están dispersos por toda la norma: se los puede encontrar en A.6.2 Entidades externas, en A.8 Seguridad relacionada con el personal y en A.10.2 Gestión de entrega de servicios de terceros. Con el avance de la “computación en la nube” y otros tipos de tercerización, es aconsejable reunir todas esas reglas en un documento, o en un conjunto de documentos, que se encargue de las entidades externas.
• La formación y concienciación de los empleados es requerida tanto por el punto 5.2.2 de la parte principal de la norma como por el control A.8.2.2. Esta duplicación no solamente es innecesaria, sino que genera mayor confusión. En teoría, cada control del Anexo A podría ser excluido, pero usted podría terminar excluyendo un requisito que en realidad no se puede excluir porque es requerido por la parte principal de la norma. Lo mismo ocurre con la Auditoría interna (punto 6 de la parte principal de la norma) y el control A.6.1.8 Revisión independiente de la seguridad de la información.
• Algunos de los controles del Anexo A pueden ser aplicados en forma realmente amplia y pueden incluir otros controles; por ejemplo, el control A.7.1.3 Uso aceptable de los activos es tan general que podría abarcar, por ejemplo, a los controles A.7.2.2 (Manejo de información clasificada), A.8.3.2 (Devolución de los activos después de terminar el trabajo), A.9.2.1 (Protección de los equipos), A.10.7.1 (Gestión de medios removibles), A.10.7.2 (Eliminación de medios), A.10.7.3 (Procedimientos de manejo de la información), etc. Generalmente, les aconsejo a mis clientes que redacten un único documento que comprenda a todos estos controles.

¿Problemas o no?

Estos son algunos temas que a menudo aparecen como problemáticos; sin embargo, para mí no es así:

• La norma es muy imprecisa, no contempla el nivel de detalle suficiente. Si fuera más detallada sobre la tecnología que se utilizará, en poco tiempo quedaría desactualizada y si fuera más detallada sobre los métodos y/o soluciones organizativas, no podría aplicarse a todos los tamaños y tipos de organizaciones (un gran banco debe ser organizado de una forma bastante diferente que una pequeña agencia de mercadotecnia; sin embargo, ambas instituciones podrían implementar la norma ISO 27001).
• La norma permite demasiada flexibilidad: con esto, los críticos apuntan al concepto de evaluación del riesgo, en el que determinados controles de seguridad pueden ser excluidos si no existen riesgos relacionados. Entonces preguntan “¿Cómo es posible excluir la creación de copias de seguridad o la protección antivirus?” En realidad, con el progreso de las tecnologías del tipo “computación en la nube”, esta clase de protección podría no ser responsabilidad de la organización que implementa la norma ISO 27001; aunque, en el caso que los riesgos de tercerización sean un poco elevados, se necesitaría otro tipo de controles de seguridad.

¿Y ahora qué?

Esta norma seguramente necesitará un cambio. La versión actual de la ISO/IEC 27001:2005 ya tiene seis años y es de esperar que la próxima revisión (para 2012 o 2013) se ocupe de la mayoría de los temas mencionados arriba.

Aunque estas falencias muchas veces pueden provocar confusiones, creo que todos los aspectos positivos de la norma valen mucho más que los negativos. Y sí, estoy realmente convencido de que esta norma es, por mucho, el mejor marco para la gestión de la seguridad de la información.

Fuente: Blog ISO27001 Standard

Una traducción del anuncio lo tenemos aqui:

• ¿Cuáles son los distintos roles relacionados con seguridad de la información y gestión del riesgo?
• ¿Dónde deben ubicarse los mismos dentro del organigrama?
• ¿Cómo están formados los departamentos de seguridad?
• Grados de madurez de las áreas de seguridad informática
• Modelo de adopción de la seguridad en las organizaciones

La presentación puede descargarse desde aquí.

Cristian de la Redacción de Segu-Info

Al Buró Federal de Investigaciones de los Estados Unidos (FBI, por sus siglas en inglés) no le ha quedado otra alternativa que recurrir a la astucia del público para tratar de resolver un crimen impune desde hace casi doce años y cuyas principales pistas son dos notas que contienen mensajes tan bien encriptados que nadie ha podido leerlos aún.
El 30 de junio de 1999, la policía de St. Louis, Missouri, descubrió el cuerpo de un hombre de 41 años, Ricky McCormick, en un campo. El FBI dice que, pese a un extenso trabajo de su Unidad de Análisis Criptográfico y Antifraude (CRRU, por sus siglas en inglés) y de la asistencia de la American Cryptogram Association, los significados de estos dos textos -hallados en los bolsillos del muerto- siguen en el misterio.
En la página del Federal Bureau puede leerse: “Las más de 30 líneas codificadas usan una exasperante variedad de letras, números, guiones y paréntesis. McCormick era un desertor de la escuela secundaria, pero sabía leer y escribir y se decía que era ‘street smart’ [tenía calle, era vivo]. Según su familia, McCormick había usado ese tipo de notas encriptadas desde que era un niño, pero aparentemente ninguno de sus parientes sabe descifrarlos y se desconoce si alguien más, aparte de la víctima, podía traducir su lenguaje secreto. Los investigadores creen que las notas halladas en los bolsillos de McCormick fueron escritas tres días antes de su muerte”.

El jefe del CRRU, Dan Olson, reconoció que “los procedimientos habituales del decriptaje haber chocado contra una pared”. Para avanzar, los analistas necesitan otra muestra del código de McCormick o alguno similar que pueda ofrecer un contexto a las misteriosas notas o permitir una valiosa comparación. Pero, a falta de nueva evidencia, dice Olson, “tal vez alguna mirada fresca pueda aportarnos una idea brillante”.

El FBI asegura que no es la primera vez que confía en la ayuda de la gente para la resolución de un crimen, pero sería la primera vez que pide asistencia para penetrar en los secretos de un código.

No se ofrece recompensa, dice el FBI, “sólo un desafío -y la satisfacción de saber que con su poder mental usted habrá, quizás, ayudado a llevar a un asesino ante la justicia”.

El que tenga una idea, conozca códigos similares o, ¿por qué no?, posea información adicional sobre Ricky McCormick, debe escribir al CRRU a la siguiente dirección:

FBI Laboratory
Cryptanalysis and Racketeering Records Unit
2501 Investigation Parkway
Quantico, VA 22135
Attn: Ricky McCormick Case

Fuente: Infobae

Por lo tanto, si quieren aprovechar el día de la fecha para comenzar a realizar copias de respaldo en sus sistemas, comparto con ustedes las tres preguntas que deben realizarse antes de comenzar a realizarlos:

• ¿Qué información debo respaldar? Un backup no es simplemente el almacenamiento indiscriminado de todos los archivos del sistema, sino que es importante de alguna forma (al menos sencilla) valorizar la información y decidir qué información necesita tener una copia de respaldo. Por ejemplo, en una carpeta de imágenes no es lo mismo las fotos familiares y de los hijos, que una carpeta de fondos de pantalla interesantes. Seguramente la primera de estas deba ser sometida a un proceso de backup mientras que la segunda puede ser información que el usuario está dispuesto a perder en caso de un incidente, por la facilidad para recuperarla o re-armarla.
• ¿Cómo la voy a respaldar? En segundo lugar, es importante definir cómo será almacenada y respaldada la información. Hay gran cantidad de métodos y tecnologías disponibles para esto, y entre las más frecuentes podemos mencionar, por el lado del hardware, utilizar dispositivos USB (tanto un pen drive como un disco rígido externo), dispositivos ópticos (CD o DVD) como así también discos rígidos en la nube. Cualquiera de estas posibilidades es víable, y dependiendo del tamaño del backup, los costos y otros factores; el usuario podrá optar por cualquiera de estos. Por otro lado, desde el lado del software, podríamos decir que en el ámbito hogareño la decisión más importante es si utilizar una aplicación para este fin, o no. En muchos casos, las tareas pueden ser realizadas manualmente de forma periódica.
• ¿Cuándo la voy a respaldar? En tercer lugar, las copias de respaldo deben ser realizadas periódicamente, pero hay que definir cada cuánto serán realizadas. ¿Todos los días? ¿todas las semanas?  En lineas generales, eso dependerá de cada cuánto la información es modificada. Si uno almacena en un archivo los avances diarios de un proyecto, seguramente todos los días será necesario realizar una copia de respaldo. Una carpeta de imágenes quizás sólo es necesario respaldarla cuando se guardan nuevas fotografías, y así sucesivamente según el caso.

En el ámbito corporativo, vale agregar una pregunta más, y no por ello menos importante: ¿quién realizará el backup? Me ha tocado conocer y visitar empresas donde se han implementado costosos sistemas de backup (tanto a nivel hardware como software), y sin embargo estos no se aprovechan o no se utilizan ya que no está claro quién es el responsable de dicha tarea. Por otro lado, vale destacar que en estos entornos empresariales, es necesario implementar un sistema de backup que, como ya se dijo, preferiblemente debe estar apoyado en hardware o software diseñados para tal fin, como por ejemplo herramientas que permitan hacer copias de respaldo incrementales para no almacenar información que ya fue respaldada anteriormente, y que no ha cambiado desde el último backup.

Las copias de respaldo son parte de las medidas correctivas en torno a los controles de seguridad, por lo que vale destacar que su importancia viene dada por la necesidad de que sea acompañada de medidas preventivas ante incidentes que atenten contra la información. Por ejemplo, ante una infección por ransomware, un código malicioso que bloquea el acceso a los archivos del usuario y pide dinero a cambio para devolverlos, un backup podría ser de mucha utilidad para que el usuario recupere su información. No obstante, la presencia de un software antivirus u otra medida preventiva, podría evitar directamente la infección y así también los riesgos asociados a no tener toda la información necesaria en la copia del respaldo.

Hoy es el Día del Backup, lo que nos pareció un buen motivo para recordar la importancia de hacer copias de respaldo y, desde el lado del lector, lo invitamos a hacerse estas tres preguntas, y recordar que hacer un backup puede ser más sencillo de lo que uno se imagina y, fundamentalmente, es una gran medida de seguridad que seguramente le ahorrará algún dolor de cabeza.

Fuente: ESET Latianoamérica

El sitio se encuentra en la URL: Overflowed minds y, de momento, tienen publicados tres papers muy interesantes sobre exploiting, y en castellano, además de un Foro. Estos son los que están disponibles… (en formato PDF…)

- Introducción a la explotación de software en sistemas Linux
- Local Linux x86 Shellcoding without any high-level language
- Bypassing local Linux x86 ASLR protection

De momento es una comunidad joven, y os animo a todos a los que queráis aprender que os leáis los documentos y, a los que podáis aportar algo, que ayudéis con el proyecto, que al final todos salimos ganando. Tanto los que publican, como los que leen. ¡Suerte con el proyecto!

Fuente:UnInformaticoenelLadodelMal

Vamos a ver algunas medidas que se pueden tomar, aunque como ya he dicho, en algunos casos su efectividad es más que relativa.

Problemas con el programa P2P
Muchos programas P2P ocasionan bastantes problemas en el computador, incluso algunos de gran renombre. Ante esto poco podemos hacer, salvo instalar otro. Las medidas que podemos tomar son las siguientes:

• Descargarlos siempre de la web oficial del programa.
• Tener especial cuidado con programas P2P que, amparándose en la popularidad y renombre de otros, nos ofrecen supuestas ventajas sobre ellos. Normalmente lo que realmente incrementan… son los riesgos que se corren al utilizarlos.
• Utilizar programas de los que tengamos buenas referencias. Dado que hay muchísimos programas de este tipo, seguro que encontramos uno.
• Asegurarnos de que el programa y versión que vamos a instalar (aunque normalmente la versión va a ser siempre la última) es totalmente compatible con nuestro sistema operativo (y con su versión).
• Crear un punto de restauración antes de instalar el programa.

En el caso de detectar problemas, desinstalarlo totalmente y probar con otro programa.

Virus y malware
Este tema, a pesar de su gravedad, es casi el más fácil. Las medidas a tomar son las siguientes:

• Asegurarnos de tener el antivirus correctamente actualizado.
• Siempre que nos sea posible, utilizar un antivirus que ofrezca protección en descargas P2P. Casi todos los actuales ofrecen unos resultados aceptables en este sentido, pero hay algunos que ofrecen más seguridad que otros.
• Verificar que el programa P2P que utilizamos no instale otras aplicaciones.
• Nada más instalar el programa (e incluso antes de hacer la primera conexión), escanear el computador con un buen antivirus. Se han detectado programas P2P en los que es el propio programa el que instala algunos tipos de malware. Hay que recordar a este respecto los ya famosos spyware que instalaba uno de los más célebres programas de intercambio (P2P), el conocido KaZaa. Un aporte de seguridad a este respecto lo dan los programas P2P de código abierto, como es el caso de Emule, en el que es posible descargarse el código fuente y analizarlo (evidentemente, si se tienen los conocimientos necesarios para ello).
• Verificar la extensión de los archivos, ya que en muchos casos utilizan como método de engaño archivos con doble extensión.
• Asegurarnos de que la carpeta de intercambio de archivos contenga sólo los archivos que deseamos compartir. Muchos troyanos y gusanos crean copias de sí mismos con nombres e iconos llamativos en las carpetas de intercambio.
• Una vez descargado un archivo, y antes de ejecutarlo, analizarlo con nuestro antivirus (los antivirus permiten analizar un archivo en concreto).

Tamaño que debería tener.
Analizar periódicamente nuestro equipo en busca de malware.

Contenido de la descarga
Antes de nada, debemos asegurarnos de que lo que hemos descargado es realmente lo que queríamos descargar. Son muchos los casos en los que, bajo nombres de apariencia totalmente inocente, se esconden archivos que nada tienen que ver con dicho nombre. Una vez escaneado dicho archivo en busca de malware, y comprobado que está limpio, debemos revisar su contenido cuidadosamente.
Debemos tener especial cuidado en la legalidad de dicha descarga y de su contenido.

Salvaguarda de nuestros datos
En este aspecto ya depende totalmente de nosotros el defendernos en lo posible, pero hay sobre todo una regla básica, y es compartir tan solo la carpeta de intercambio de archivos del programa en cuestión, asegurándonos de que no compartimos ninguna otra carpeta. Si el programa que vamos a utilizar no permite aislar esta carpeta totalmente, mejor que utilicemos otro programa P2P.

Algunos programas crean esta carpeta en Archivos de programas y otros incluso dentro de nuestro usuario, en Usuarios o en Documents and Setting. Debemos sacar de estas ubicaciones dicha carpeta y colocarla o bien en el directorio raíz (si tenemos una sola partición) o bien, y mejor aún, en otra partición. Algunas reglas básicas serían:

• Todos estos programas piden un nick de conexión. Es muy importante que ese nick no guarde ninguna relación con nosotros, y, por supuesto, que no esté relacionado con nuestro nombre u otro dato de este tipo.
• Si el programa incluye un servicio de mensajería o de chat, no utilizarlo. Es uno de los sistemas más fáciles de averiguar cuál es nuestra IP.
• Como ya hemos dicho, utilizar exclusivamente una carpeta para guardar nuestras descargas y archivos a compartir.
• Asegurarnos de que dicha carpeta tan solo contiene los archivos que vamos a compartir.
• Asegurarnos de que por error no hayamos guardado en dicha carpeta ningún archivo con información personal.
• Revisar muy a menudo esa carpeta, y a la más mínima duda, mejor eliminar que correr riesgos innecesarios.
• Asegurarnos de que no estamos compartiendo ningún elemento (unidades, carpetas, archivos…) que contengan información sobre nosotros, cuentas bancarias, contraseñas, claves de acceso, etc.
• Controlar exhaustivamente y en todo momento cuales son los archivos que se están descargando de nuestro computador. Solemos controlar los archivos que estamos descargando nosotros, pero no los que se están descargando los demás, y a efectos de privacidad el controlar estos últimos es muchísimo más importante.

Evitar accesos indeseados
Por la misma idiosincrasia y funcionamiento de este tipo de programas, evitar estos accesos es sumamente difícil, ya que si queremos que funcionen no tenemos más remedio que mantener una serie de puertos abiertos, con una autorización explícita de acceso a nuestro equipo. No obstante, sí que hay una serie de medidas que podemos tomar para paliar en lo posible estas situaciones.
Estas medidas son más fáciles cuando nuestra IP pública es dinámica, pero esto tampoco es un factor determinante.

Veamos algunas de estas medidas:

• No mantener conectado un programa de este tipo durante demasiado tiempo seguido. Es en especial peligroso el hábito de algunos usuarios de mantener estos programas conectados durante horas, e incluso días enteros.
• Apagar el router durante al menos 5 minutos de vez en cuando, para que se refresque la IP pública.
• Cambiar la contraseña de acceso al setup del router (esta medida no solo es válida para utilizar este tipo de programas, es una medida indispensable y básica de seguridad en conexiones de red.
• Cuando nos desconectemos de un programa de este tipo, no basta con desconectarse, ni tan siquiera a veces con cerrar el programa. Es indispensable al menos reiniciar el computador. Si lo apagamos durante unos minutos, muchísimo mejor.
• Si tenemos varios computadores en red, asegurarnos de configurar las excepciones del Firewall para que estos programas solo sean accesibles en el computador en el que están instalados. En estos casos es muy aconsejable tener estos programas instalados en un solo computador de la red.

Resumen:
Dentro de los peligros que entrañan este tipo de programas en cuanto a seguridad se refiere, y a lo difícil (a veces imposible) que resulta protegerse contra estos, hemos visto una serie de medidas que, si bien no van a garantizar nuestra seguridad, sí que van a hacer que esta sea al menos un poco mayor.

Si siempre insisto en que el principal antivirus que hay es el propio usuario, esto se pone de manifiesto con mayor fuerza cuando se trata de la seguridad en programas P2P. Son programas por lo general muy fáciles de utilizar, pero en los que debemos conocer muy bien los riesgos que corremos en cuanto a seguridad se refiere. Hay que tener muy presente que es la mejor vía para distribuir un malware de forma rápida y efectiva, ya que cualquier código malicioso que se distribuya por este medio está disponible globalmente de forma inmediata, a tan solo un golpe de ratón del usuario que utilice este tipo de programas, y la mayoría de las veces este código malicioso nos va a venir envuelto en archivos con nombres sugerentes, inocentes o conocidos, por lo que debemos extremar las precauciones.

En cuanto a la salvaguardia de nuestra intimidad y datos, es una labor que depende exclusivamente de nosotros mismos, del buen uso que se haga de estos programas y de su correcta configuración en cuanto a seguridad se refiere.

También le recomendamos a leer el blog Los riesgos y peligros que hay que tener presente cuando usa software pirata o ilegal que tiene que ver con este mismo tema.

Fuente: Configurar equipos

Como en cualquier otra tecnología, existen riesgos asociados a la virtualización y que pueden dividirse en tres grupos distintos:

• Ataques en la infraestructura
• Ataques en características propias del entorno virtualizado
• El cumplimiento y gestión de los retos

ISACA ha publicado Virtualization: Benefits and Challenge (PDF) para explicar los beneficios pero sobre todo los desafíos que plantea un entorno virtualizado.

Cristian de la Redacción de Segu-Info

Websense detectó que cada día se enviaron 200.000 millones de mensajes basura en agosto, pero sólo 50.000 millones en diciembre.

Según el último informe del último año de Symantec, el spam ha disminuído, aunque las razones de dicha caída aún son desconocidas, quienes observan el fenómeno aseguran que la reducción podría ser temporaria.

Una de las razones para explicar lo ocurrido puede ser que las botnets han disminuido su caudal o los spammers simplemente se estén reagrupando para lanzar una nueva campaña.

Una empresa local analizada por Segu-Info, también muestra una disminución en los niveles de correos no deseados:

La motivación de quienes están detrás del correo basura es la ganancia económica, dijo Karl Leonard, un investigador de la empresa de seguridad Websense: “si una campaña no genera los ingresos que esperan, se detienen, reagrupan e intentan algo nuevo”, añadió.

Según spamcop, también se puede apreciar el descenso anual en la cantidad de envíos:

Según Leonard, también existe la posibilidad de que estos grupos estén desviando su atención hacia Facebook y Twitter.

Si Ud. quiere recibir menos spam siga estos consejos.

Referencias consultadas:

• http://community.websense.com/blogs/websense-insights/archive/2011/01/06/bbc-news-global-spam-e-mail-levels-suddenly-fall.aspx
• http://www.websense.com/content/threat-report-2010-introduction.aspx?intcmp=Homepage_ThreatReportBanner_11092010?cmpid=prblog
• http://www.symantec.com/business/security_response/landing/spam/index.jsp
• http://www.senderbase.org/home/detail_spam_volume?displayed=lastmonth&action=&screen=&order=
• http://www.senderbase.org/home/spam_watch
• http://www.senderbase.org/home/detail_spam_volume
• http://www.senderbase.org/home/detail_get_type
• http://www.messagelabs.co.uk/intelligence.aspx
• http://www.spamcop.net/spamgraph.shtml?spamyear

Cristian de la Redacción de Segu-Info

El objetivo es inyectar nuevos parámetros o duplicar los parámetros existentes, para poder cambiar el comportamiento de una aplicación web. Esto puede ser utilizado para acceder a configuraciones ocultas de una aplicación o saltar filtros de control a la hora de generar exploits entre otras cosas. Esta presentación fue la que nos dio la idea de polucionar cosas, que acabó en las técnicas de Connection String Parameter Pollution.

La historia es que ha salido un proyecto para detectar vulnerabilidades HPP en aplicaciones web haciendo fuzzing a las URLs de una aplicación web y, solo por el nombre, merecía pasar por este blog, pero es que además en él trabaja Carmen Torrano, una joven investigadora del CSIC, especializada en seguridad informática y que hemos tenido el placer de tener en varios eventos, como el Asegúr@IT Camp 2, debatiendo de sus cosas.

El proyecto, del que me avisó cuando se puso online el gran Peter Lagoon, se llama PAPAS, y aunque tiene muy poco tiempo de vida, permite hacer el envío de una URL para que sea procesada según se describe en el paper del motor del sistema: Automated Discovery of Parameter Pollution Vulnerabilities inWeb Applications

Puedes enviar tu URL desde el siguiente formulario: PAPAS Online. De momento el sistema está pensado para que solo los webmasters puedan escanear sus paginas web, por lo que, una vez solicitado el escaneo de un sitio se debe crear un fichero PAPAS.TXT en la raíz del dominio con un token generado para cada sitio.

Fuente: El Lado del Mal