31 de diciembre de 2008

Una puerta que se cierra es una puerta que se abre.


Feliz año nuevo a todos, que vuestros mejores deseos se hagan realidad.
Un abrazo.

29 de diciembre de 2008

De Virus y Ordenadores Domésticos Seguros

En estas fechas tan señaladas quien más quien menos se toma unos días de descanso. En eso me encontraba yo cuando me llamaron por un ordenador “maligno” que se había vuelto hostil hacia su dueño. Rápidamente me presenté en la escena del crimen, donde un año atrás había dejado un XP SP2 con el Spyboot, el Firewall activado y los programas justos para no encontrarme sorpresas.

El panorama fue desolador, no era posible ni pasar de la pantalla de login, al teclear el usuario y la pass directamente te mostraba la ventanita de salir de Windows (¿??¿). Los modos a prueba de fallos y símbolo de sistema tampoco funcionaban (¿?). No quedaba más remedio que acudir al rescate por medio de un live! CD o un USB autoarrancable, aquí como siempre nuestro amigo el Hiren’s Boot nos puede echar una mano.

Identifiqué entre otros a los:

Replicados hasta 32 veces. Se me cayó la cara al suelo, en 1 año rara vez recibo / detecto más de 2 – 3 virus, supongo que el tener todo actualizado gracias a programas como Secunia PSI, sospechar cuando recibo correos invitándome a espiar a mis contactos del msn, utilizar Windows Vista SP1 en lugar XP SP2-SP3 o mantener un antivirus gratuito actualizado es demasiada Sensibilización y roza la paranoia (de trabajar sin ser administrador, mejor no hablamos).

Es más fácil pensar que Windows = Caca, que Linux es lo mejor (solo para frikys claro) y que es obligatorio formatear 1 vez al año. Mientras tanto, ¿a quién le interesan nuestros datos?, ¿Qué van a querer de mi?, pues nos lo contó Symantec a principios de año, decía que depende, pero una cantidad con la que nos podíamos pagar las copas esta nochevieja:

Pero ya sabeis que los mismos que hacen los virus son los que venden antivirus, y que no existen mafias en Internet, etc. Somos nosotros los alarmistas, que hay que garantizarse el empleo y sueldo en 2009 ;-).

Salu2!

25 de diciembre de 2008

IT Governance

Por una vez y sin que sirva de precedente (que luego os acostumbráis), voy a hacer una entrada en un día tan especial como hoy. Por que es quizás ahora, cuando has pasado buenos momentos con la familia, amigos, alejado del caos de la ciudad, cuando puedes repasar con calma algunos aspectos de tu vida (trabajo incluido) y reflexionar.

Me encontraba estos días repasando unas Normativas que tenía que actualizar, junto con unos Procedimientos a redactar de 0 y pensaba… desde luego los “Seguratas” tenemos nuestra propia pirámide de Maslow, Políticas, Normativas, Procedimientos, Controles, etc. etc. y lo que está claro es que la Ley de Murphy se cumple en ella.

Una política “mal redactada”, una Normativa ambigua, un procedimiento que no contempla responsabilidades en determinadas situaciones y… empiezan los problemas. ¿Qué significa que los usuarios se autenticarán mediante usuario y contraseña?, ¿Cómo serán los identificadores de esos usuarios?, ¿Qué consideraremos una contraseña robusta?, Y si tengo un usuario máquina, ¿también tiene que autenticarse?. Como imaginareis y seguramente habréis vivido en vuestras carnes (los administradores de sistemas, seguro), no tener claras estas cosas tan sencillas pueden provocar conversaciones de besugo y jaquecas prolongadas, amén de riesgos mal cubiertos, o incorrectamente asumidos.

¡Claro que no es la parte más divertida de la Seguridad Informática! Te enfrascas a redactar con tu sublime prosa documentación y piensas en hacer “Hacking documental” a ti mismo previendo casos no cubiertos, interpretaciones erroneas etc. Pero está claro que es el comienzo de todo lo demás, es vital Gobernar la Información, definir qué vamos a hacer con ella, es sin duda uno de nuestros activos más importantes y… por desgracia, si no lo hacemos bien no se cumplirá la Ley de Gary (esta me la he inventado yo), donde todo será un camino de rosas y lo que puede salir bien,,, ¡saldrá bien!, sino que vendrá el tito Murphy a darnos donde más nos duele. 

COBIT es sin duda el manual de referencia si queremos coger el timón del barco de la información, va por su versión 4.1 y es descargable directamente desde la página de Isaca, vieja compañera de aquellos que estéis certificados como CISA o CISM.

Creo que me voy por un polvorón… mientras tanto, ¡Gobernad!, el 2009 se avecina y… tiene buena pinta, ¿o no? ;-)

Salu2

17 de diciembre de 2008

Navidad (Segura)

Nos vamos acercando a esos días en que se puede comenzar a hacer balance de 2008. Personalmente ha sido muy interesante, entre otras cosas por que he aprendido un montón, y aparte he podido compartirlo. Creo que ese era el espíritu que trataba de lanzar y –lo más difícil– perpetuar, cuando allá por el mes de Mayo os hablaba de mis primeras andaduras en este mundo.

Mis comedoras de cabeza con Citrix, con getAccess, con ControlSA, tecnologías VPN de Juniper, etc. han sido cuantiosas, hace poco se repitió esa sensación cuando en unas reuniones me hablaron de Provider-1, de unos IDS de Checkpoint y de no se cuantas cosas más. Eso es algo que siempre me proporciona una gran satisfacción por que APRENDO, luego me desarrollo personalmente realizando mi profesión. Me siento todo un afortunado, lo confieso. Para quien piense que está leyendo alfabeto etrusco le diré que Provider-1 es a groso modo un sistema de Check Point de correlación de eventos en nuestra red, alertas, etc. Los IDS de Checkpoint son un sistema de detección / prevención de intrusiones en la red, algo que nos garantiza que los ataques tanto entrantes como salientes sean bloqueados, ya sean SQL Injection, XSS, o la propagación del último gusano.

Todo esto he tratado (y trato) de ir transmitiéndolo un poquito en el blog, sin hablar chino para los no tecnólogos, y sin parecer aburrido para los frikys, en ese equilibrio imposible que me gusta alcanzar, es posible que no contente completamente a nadie, pero supongo que es mi estilo personal.

Para el 2009 trataré de mantener una media de 10 entradas al mes, donde seguramente os contaré los caminos al CISSP del cual espero certificarme a la primera oportunidad que tenga (me interesa más que CISA, CISM u otros, también os contaré por qué). También para comenzar el año fuerte espero asistir a las Jornadas de la Agencia Española de Protección de Datos el 28 de Enero y el Up to Secure que Microsoft organiza en Madrid, por que para entonces espero que las vacaciones Navideñas hayan hecho su trabajo, el 2009 nos traiga como mínimo lo de 2008 y podamos estar por aquí para contarlo.

Y como la Navidad es para jugar, y no para probar el parsing de etiquetas XML en la libreria mshtml.dll de Internet Explorer 7 para explotar esta última vulnerabilidad, os dejo un juego al más puro estilo de esta época:


http://turbonavidad.com/

Felices Navidades…¡Seguras!

11 de diciembre de 2008

Laboratorio Forense

Parece que nuestros Análisis Forenses están más de moda que nunca, publica El País un par de artículos relacionados con evidencias electrónicas y el lío que muchas veces se hacen los propios magistrados a la hora de obtenerlas, que si debe hacerse en el juzgado, que si tiene que haber alguien mirando (que no se enterará de nada claro), etc.

Todo ello nos lleva a la cuestión que ya existe en otras disciplinas, Metodología, Regularización, Normativa, etc. ¿Acaso para levantar un cadáver no es preciso que un juez se presente siempre en la escena del crimen? Evidentemente no digo que este caso sea similar, habrá que seguir el procedimiento correcto. Esto está bien pero, ¿cuál es? En el artículo se puede ver que AENOR está trabajando ya en algo, también descubro la existencia de una asociación española de evidencias electrónicas (AEDEL), cosa que a uno le produce un… ¡ya está bien!, ¡la gente comienza a preocuparse!

La ISO 17025:2005 arroja un poquito de luz en nuestros análisis forenses. Habla largo y tendido de cómo debe ser un laboratorio, cómo calibrar, etiquetar, que procedimientos seguir. Como estamos en una época mitad de vacaciones, mitad de arduo trabajo, aprovecharé algunos de los párrafos que escribí en mi PFM de Análisis Forense para introduciros en esta ISO desconocida para la mayoría, y de paso no dejar muy parado el blog:

***************************

La ISO / IEC 17025:2005, también conocida como “Requisitos generales para la competencia de los laboratorios de ensayo y de calibración” puede parecer a simple vista bastante lejana a la Informática Forense, nada más lejos de la realidad, resulta lógico la necesidad de un laboratorio para poder investigar y trabajar con elementos que muy posiblemente estén implicados en asuntos legales, todo debe estar controlado al milímetro para evitar manipulaciones, errores no deseados y negligencias. Esta norma establece los requisitos generales para la competencia en la realización de ensayos o pruebas, calibraciones y muestreos, ya sea utilizando métodos normalizados, métodos no normalizados o métodos desarrollados por el propio laboratorio. La misma comienza hablando del factor más importante a la hora de ponerse a trabajar:

Gestión del laboratorio
Para llevar a cabo la gestión de un laboratorio de Análisis Forense es principal que el laboratorio tenga responsabilidad legal como un todo o como parte de la organización a la que pertenece. Siendo imperativo que se definan las responsabilidades y el sistema de gestión del mismo tanto dentro como fuera de sus instalaciones –habrá ocasiones en las que tendremos que trabajar fuera-, por ello el laboratorio debe disponer de personal directivo y técnico que independientemente de otras responsabilidades esté encargado de disponer, establecer, implementar y mantener las políticas y procedimientos que aseguren la protección de la información confidencial y los derechos de propiedad de sus clientes así como procedimientos para la protección del almacenamiento y la transmisión electrónica de los resultados. Mención aparte merecen las políticas de sistema de gestión concernientes a la calidad, incluida una declaración de la política de la calidad definida en su manual correspondiente, esta política y las anteriores debe ser emitida bajo la autoridad de la alta dirección, incluyendo como mínimo el compromiso de la dirección del laboratorio con la buena práctica profesional, el propósito de que todo personal será conocedor y estará familiarizado con la documentación del laboratorio y el compromiso de la dirección de cumplir la Norma Internacional y mejorar continuamente la eficacia del sistema de gestión.

La normativa define muchas otras actividades de control de cambios, revisión de pedidos y ofertas, contratos, etc. Que alargarían en demasía este documento, seguiremos centrándonos en las partes más relevantes a nuestros intereses, ya se sabe que la misma está disponible y resultará mejor, en caso de querer un análisis más exhaustivo acudir a la misma fuente.

Control de registros
Registrar, apuntar, clasificar, evaluar, todas estas palabras dan una idea de la cantidad de control y organización necesaria en el laboratorio. Este debe establecer y mantener procedimientos para la identificación, la recopilación, la codificación, el acceso, el archivo, el almacenamiento, el mantenimiento y la disposición de los registros de la calidad y los registros técnicos. Los registros de calidad incluirán informes de las auditorías internas así como las revisiones de la dirección con acciones preventivas y correctivas.
Los registros técnicos deben ser conservados un tiempo prudencial, los registros de las observaciones originales, de los datos derivados y de información suficiente para establecer un protocolo de control que, pasado un tiempo de la realización de una investigación nos permita saber que personal realizó la investigación, que material usó, fechas concretas así como cualquier dato relevante a la investigación en concreto.

Requisitos técnicos de personal y de instalaciones
Al realizar un análisis resulta crucial el concepto de “repetibilidad” es decir, que si habíamos realizado un procedimiento que nos llevó a un descubrimiento, al esclarecimiento de un caso, podamos volver a hacerlo obteniendo los mismos resultados, este factor es determinante para poder presentar ante un juez una determinada prueba en el informe de un perito judicial.

En alas de preservar esa repetibilidad nuestro laboratorio forense deberá presentar unas características particulares que determinen la exactitud y confiabilidad de los ensayos o de las calibraciones realizados. Los factores influyentes pueden venir de:

- Factores humanos.
- Instalaciones y condiciones ambientales.
- De los métodos y la validación de los mismos.
- De los equipos.
- De la trazabilidad de las investigaciones.
- De la manipulación de los objetos de investigación.

Por todo ello resulta comprensible que la dirección del laboratorio asegure la competencia del personal que opera con los equipos, evalúa los resultados y firma los informes. Ni que decir tiene que si se emplea personal en formación el mismo debe tener una supervisión apropiada, para el resto de personal se le exigirá una base de educación, formación, experiencia apropiada y habilidades demostradas según sea requerido.

En cuanto a las instalaciones deben poseer las condiciones idóneas de energía, iluminación y condiciones ambientales que faciliten la realización correcta de las investigaciones, asegurándose en todo momento que dichas condiciones no invaliden los resultados ni comprometan la calidad requerida de las mediciones. Esto puede parecer utópico pero a poco que imaginemos un laboratorio forense, aislado del resto de departamentos, en el cual no se controla la humedad adecuadamente y un dispositivo de almacenamiento magnético pierde información vital para la investigación que puede dar al traste con cientos de horas de trabajo y con el proyecto. No se trata de ponernos en el peor caso, se trata de estar preparados para lo esperable y para lo que no lo es, en la medida en que se pueda. Por ello estas condiciones ambientales deberán ser especificadas, aplicarse los métodos y procedimientos correspondientes para que nunca puedan influir en la calidad de los resultados. Presentándose especial cuidado en:

- Esterilidad biológica.
- Polvo.
- Interferencia electromagnética.
- Humedad.
- Suministro eléctrico.
- Temperatura.
- Ruido y vibración.

Todo ello en función de las actividades técnicas en cuestión, es muy importante adaptar la normativa a nuestras necesidades, para ello es redactada de forma general, según definamos el alcance que nuestras investigaciones forenses tendrán, así se definirán y aplicarán los métodos y procedimientos acordes, todo ello sin olvidar el punto de vista del cliente, de forma que se satisfagan sus necesidades y conforme a los criterios de calidad internos y que la normativa internacional tiene vigentes.

Control de datos y equipos

Hasta ahora parece que todo sigue la lógica que la importancia y privacidad de nuestro trabajo requiere, se trata de trabajar sistemáticamente, minimizando las fuentes de riesgos detectadas, pero para hacer esto nos falta la presencia de los necesarios controles que garantizan el cumplimiento de la norma y los procedimientos establecidos. Estos controles cuando hablamos de datos se refieren a que el cálculo la transferencia de los mismos deben estar sujetos a verificaciones llevadas a cabo de forma metódica. El laboratorio debe asegurarse que el software desarrollado por el usuario esté documentado con el suficiente nivel de detalle y que ha sido validado convenientemente. A su vez deben implementarse procedimientos para proteger los datos preservando la integridad y confiabilidad así como garantizando su almacenamiento transmisión y procesamiento. Algo similar ocurre con los ordenadores y equipos automatizados, los mismas deben llevar el mantenimiento que asegure que funcionan adecuadamente así como que se encuentran en las condiciones ambientales y de operación necesarias para preservar la integridad de los datos con los que trabajan.

En ayuda de todo esto conviene el establecimiento y redacción de un inventario que clasifique unívocamente todos los activos, tal como establece la ISO 17799 un inventario de activos ayuda a garantizar la vigencia de una protección eficaz de los recursos siendo, además, la base de los procesos de gestión de riesgos, ya que a partir de éste se asignarán niveles de protección proporcionales al valor e importancia de los activos. De igual manera, un inventario de activos es un factor crítico de éxito para un gran número de proyectos de seguridad. Por ello se considera de suma importancia conocer con exactitud los activos presentes en una entidad (en este caso concreto hablamos del laboratorio, pero esto debe extenderse a toda organización), así como su correcta clasificación. Este conocimiento debe comprender desde los sistemas para el tratamiento de información, hasta la información propiamente dicha, incluyendo todos los soportes no informáticos como pudiera ser el papel.

Informe de resultados

Llegado este punto nuestro laboratorio dispone de las directrices generales para comenzar a trabajar según la norma, ahora bien, ¿qué ocurre con los resultados de nuestra investigación? Si estamos trabajando como peritos informáticos, deberemos adaptar nuestro informe al de un dictamen pericial, si nuestro cliente es privado trabajaremos de acorde al contrato que se llegó y a lo que el esperaba obtener de nuestros servicios, sea la prueba del incumplimiento de la normativa interna de un empleado, o cualquier otro. En todo caso resulta imprescindible recordar que todos los resultados deben ser informados de forma exacta, no ambigua y objetiva, sobretodo al hablar de peritaje, es el llamado código deontológico del perito. Estos resultados incluirán toda la información requerida por el cliente y necesaria para la interpretación de los resultados de la investigación, aquella que no sea necesaria para el cliente deberá ser almacenada internamente y estar accesible para un futuro. Toda esta información, archivada por nosotros deberá contener al menos los siguientes puntos:

- Nombre y dirección del laboratorio.
- Identificación única del informe de ensayo.
- Nombre y dirección del cliente.
- Identificación del método utilizado.
- Descripción, condición e identificación unívoca de los objetos analizados o utilizados.
- Fecha de recepción de los objetos sometidos a investigación cuando ésta sea esencial para la validez y la aplicación de los resultados.
- Los resultados de las investigaciones.
- El nombre, funciones y firmas o identificación equivalente de las personas que autorizan el análisis forense.
- Cuando corresponda una declaración de que los resultados sólo están relacionados con los objetos analizados.

***************************

Especialmente interesante el concepto de "repitibilidad". Esto es todo por hoy, espero que os haya gustado.

¡Salu2!

9 de diciembre de 2008

Abusos Informáticos

Aprovecho la vuelta de vacaciones para traeros un poco de humor, en estos días que tanto se habla de la regulación de los Ingenieros Informáticos, recordar este video del Camera Cafe me ha sacado una sonrisa:



Si tu ordenador es gris! El gris afecta al merkel de la red, y se nos cae el sistema!!
Por otro lado, y ahora en tono más serio, leo en huelgainformatica algunas "novedades" que nos afectan:
1º- El ministerio de Educación ha aprobado que entre las atribuciones de la especialidad de TECNOLOGIA esté la informática, cuando en sus temarios de oposiciones sólo aparecen algunos temas de informática. Además, en ESO/bachiller los catedráticos de instituto de MATEMÁTICAS podrán impartir informática. ¿Esta es la calidad de enseñana que va a dar el Gobierno? BOE
2º- Algunas universidades como la de Extremadura ya dicen explícitamente que habrá que cursar asignaturas y la realización de un proyecto para que a las personas que tengan los actuales títulos se les conceda los futuros títulos de grado y master. Colegio Oficial de Ingenieros Informáticos de Extremadura. El ministerio de Ciencia debería defender una convalidación directa. ¿Cómo se puede proponer algo de ese tipo?
3º- El director General de Administración Autonómica de Valencia ha realizado una resolución por la que se modifican ciertos puestos informáticos. La resolución elimina la titulación Informática como requisito expreso para las plazas de Ingenieros Informático de Grupo A, mientras que se incluye explícitamente la titulación de telecomunicaciones como requisito para acceder a ese tipo de plazas. De este modo, un titulado Ingeniero de Telecomunicación que ocupe una plaza en la Generalitat se puede presentar a un concurso para los puestos "Analista de Sistemas Físicos" y "Técnico de Sistemas Físicos", mientras que no podría hacerlo un Ingeniero Informático. Esto supone que un Ingeniero en Telecomunicación adquiriría la "condición" de Informático de Grupo A, lo que le permitiría acceder a concurso de plazas de "Técnico de Sistemas Lógicos" y "Analista de Sistemas Lógicos", a las cuales no podría haber accedido con su titulación. Colegio Oficial de Ingenieros Informáticos de la Comunidad Valenciana. ¡¡Por dios!!, Valencia el 18-D en la calle!!!

Quedémonos con el video y sigamos reclamando lo que nos corresponde por derecho.

Un saludo!

5 de diciembre de 2008

Holidays

No, no he muerto, de hecho estoy más vivo que nunca.

Me fuí sin avisar (había unas ganas ya), pero volveré pronto.

Aviso ;-)

Salu2!