31 de enero de 2009

Identity Management

Repasando el capítulo de Tendencias TIC 2009 creo que cometí un despiste, existe una demanda del negocio de la cual todavía no os he hablado. Más que una demanda es el caballo de troya de cientos de empresas de tamaño medio y grande, es el “headache” de los administradores de Directorios Activos, es el no podemos ofrecer “Single Sign On” con este producto, es el ¿Qué usuarios dices que quieres meter en los nuevos equipos? Y es la cuestión que nunca sabemos exactamente como abordar los Consultores de Seguridad.

La llaman Gestión de la Identidad, un mercado próspero y rico que nadie parece haber conquistado, porque nadie parece tener la panacea de las soluciones para nuestra identidad digital. Pero, ¿Qué es la Gestión de la Identidad? Gestión de Identidad es un concepto que abarca gestión de cuentas, control de accesos, gestión de contraseñas, single sign-on, gestión de derechos y permisos a los usuarios, auditoría y monitorización de estas actividades y todo ello de la forma más centralizada posible para ahorrar el máximo en costes y que provea al usuario un entorno sencillo donde administrar aquellos aspectos de sus “identidades digitales” que pueda administrar. Exacto, esto es un problemón.

Sin embargo las empresas hace ya tiempo que detectaron este mercado y ofrecieron sus servicios, tenemos el Directorio Activo de Microsoft, su Microsoft Identity Integration Server que ha derivado en Microsoft Identity Lifecycle Manager:

Oracle tampoco se ha quedado atrás, y tiene su propia suite de Gestión de la Identidad , Novell hace lo propio y los consultores juntamos montones de información y tenemos que elegir la solución que mejor se adapte a nuestro negocio.

¿Qué tenemos que tener en cuenta a la hora de analizar las soluciones de gestión de identidad que hay en el mercado?  Pues como en muchos aspectos de la vida debemos conocer lo que tenemos en la casa para saber qué es lo que queremos implementar, eso significa conocer:

  •  ¿Cómo se realizan los controles de acceso a los diferentes servicios, ¿cómo es la autenticación Web?, ¿tenemos soluciones tipo getAccess
  • ¿ Qué tecnología utilizamos para nuestros Directorios Activos?, cómo están estructurados, sus DN, CN, etc.
  • ¿ Cómo es la gestión de las identidades, ¿tenemos una Normativa que regularice a todos los usuarios de todos los sistemas?, ¿Cómo se realiza la provisión de esos usuarios?
  •  ¿Disponemos de Single  Sign-On?
  • ¿Cómo gestionamos las contraseñas?, ¿Son sincronizadas en todos los sitemas al cambiarse?, ¿Qué políticas nos apoyan?, ¿tenemos contraseñas? ;-)
  • ¿Cómo se actualizan los perfiles de usuarios?
  • ¿Disponemos de un meta-directorio?
  •  ¿Disponemos de federación de identidades?, ¿la necesitamos?

Cuando tengamos toda esta información es posible que empecemos a dimensionar correctamente el proyecto de Gestión de Identidad en el que nos embarcamos, proyecto que no puede realizarse de un día para otro y que probablemente nos costará varios años de trabajo, de ahí que a pesar de no ser un mercado nuevo, siga siendo un mercado fructífero.

Más información en:

http://www.opengroup.org/projects/idm/uploads/40/9784/idm_wp.pdf

http://www.borrmart.es/articulo_redseguridad.php?id=819&numero=20

http://en.wikipedia.org/wiki/Identity_management

Despedimos Enero, 1/12 ;-)

Salu2!

23 de enero de 2009

Off-Topic

Cuando uno está en la Universidad, se supone que está por que le gusta aprender, aprender y poner en práctica lo aprendido. Hacer cosas chulas, diseñar tus primeras aplicaciones, hacer tus jueguecillos, y luego disfrutar con lo creado. Por que el caso es crear, innovar, traer algo a este mundo y dejar un buen sembrado a nuestro paso, y si a su vez nos preparamos para el mundo laboral, mejor que mejor.

Hace un par de años que dejé ya la Universidad, pero todavía mantengo contacto con un montón de gente de aquellos años, en su mayoría buenos amigos que las circunstancias de la vida ha separado.

Uno de esos amigos (Teleco en este caso) publicó en youtube un pequeño corto que me recuerda muchas cosas, el “habitat” de los pisos de estudiante, las clases en la Uni, las partidas en red hasta las tantas, los jueves…(ahh, los jueves, y los viernes, y los sabados,,, ahh)

Saliéndome de la temática del blog, y confiando en que compartís conmigo muchos de esos recuerdos (cada uno en su entorno claro), espero que os guste:
El Lunes volvemos, más seguros que nunca ;-)

21 de enero de 2009

RunAway From a Secure World

Será la explosiva mezcla de trabajar en seguridad y estudiar el CISSP. Será que la concienciación de la gente en esta materia está unos puntitos por encima de la media, o será que la pelis de hackers hacen su función, pero el caso es que veo seguridad en todos sitios:



Si, es un videojuego, concretamente una aventura española del año 2001 llamada Runaway, la cual viene de regalo comprando Runaway2 por el escandaloso precio de 9.95€, así que mientras salvo a mi chica y a parte del mundo de la mafia italiana, resulta que aplico técnicas de ingeniería social combinadas con detección de huellas dactilares en el control de acceso a un laboratorio para apañármelas al entrar:


Pero no acaba ahí la cosa, sino que me encuentro con sistemas biométricos que me impiden acceder al codiciado diamante que necesito para que mi aventura prospere. ¡jÁ! Nada que un segurata no pueda superar, y es que después de haber pasado las Navidades practicando la seguridad física en Left 4 Dead:
Esto es un juego de niños! ;-)

20 de enero de 2009

Caminando al CISSP (2)

Siguiendo el sinuoso camino al CISSP, hoy os voy a contar los requisitos necesarios para realizar el examen y certificarse. Concretamente los mismos son:
  • Tener 5 años de experiencia a tiempo completo en 2 de los 10 dominios de conocimiento de CISSP.*
  • Pagar los gastos de matrícula del examen.**
  • Aprobar el examen con un 70% de respuestas correctas.***
  • No disponer de historial criminal.****
  • Subscribir el código ético de ISC2.*****

* Estos 5 años se quedarán en 4 si por ejemplo tenemos unos estudios superiores (Ingeniería Técnica o Superior). Desde el momento que apruebas el examen dispones de 6 años para obtener esos 4 (o los que te falten).
** 510 € (50 más que el año pasado, estos no conocen la crisis xd).
*** Esto es lo realmente chungo, y en eso estamos ;-)
**** Al menos conocido :_D
***** Prometiendo que nos portaremos bien, tal como hacemos ya ;-)

Y cuando tengamos todo esto podremos perpetuarnos como CISSP mediante:

  • Pagar el mantenimiento anual de la certificación.*
  • Obtener 120 créditos cada de 3 años.**

* Esto no se cuanto es (todavía).
** Hay muchas formas de obtener estos créditos, formación, charlas, lectura (o escritura) de libros de seguridad, se supone que el ISC2 hace auditorias a sus CISSP para verificar todo esto, aunque no conozco a nadie que se la hayan hecho :)

Y esto es todo por hoy!

Salu2!

Caminando al CISSP (1)

Caminando al CISSP (2)

16 de enero de 2009

Hot CPU

Al hilo del caso de la tetera caliente, y amenizando un poco la llegada del fin de semana, me he encontrado con una viñeta que resuelve el eterno problema de refrescar nuestras CPUs:
Está claro que le voy a dejar el mainframe al pescadero :D. Por cierto, ya que estamos enfrascados en la extraña mezcla de refrigerar la CPU y el fin de semana, os dejo este otro:

Pasadlo bien!

El Lunes volvemos ;-)

13 de enero de 2009

Caminando al CISSP (1)

El ISC2 (International Information Systems Security Certification Consortium, Inc) es una organización internacional que permite certificarse como expertos en Seguridad de la Información. Para ello disponen de varias certificaciones, siendo las más famosas el CISSP y el nuevo CSSLP (Certified Secure Software Lifecycle Professional). Estas certificaciones (sobretodo CISSP) junto con CISA y CISM ofrecen al experto en Seguridad de la Información de títulos reconocidos a nivel internacional que gozan de cierto prestigio.

CISA es una certificación encarada a auditores de seguridad, mientras que en CISM se escuchan más voces relacionadas con el buen Gobierno de la Información, a grosso modo una es para auditores y otra para gerentes, directores de seguridad, etc. Aunque si no es tu empleo directamente, no significa que no te convenga tenerlas.

CISSP (Certification Information Systems Security Professional) es quizás la certificación que mejor encaja con mi perfil, o que más me gusta a priori, y digo a priori por que dentro de 3 meses igual me gusta un poquito menos ;-) Esta certificación tiene lo que ellos llaman “dominios de conocimiento”, en total son 10:
  • Seguridad de la información y Gestión de riesgos (Information Security and Risk Management)
  • Sistemas y metodología de control de acceso (Access Control Systems and Methodology)
    Criptografía (Cryptography)
  • Seguridad física (Physical Security)
  • Arquitectura y diseño de seguridad (Security Architecture and Design)
  • Legislación, regulaciones, cumplimiento de las mismas e investigación (Legal, Regulations, Compliance, and Investigation)
  • Seguridad de la red y las telecomunicaciones (Telecommunications and Network Security)
  • Continuidad de actividad y Planificación de recuperación de desastres (Business Continuity and Disaster Recovery Planning)
  • Seguridad de aplicaciones (Applications Security)
  • Seguridad de operaciones (Operations Security)

Repartidos convenientemente en un libro de unas 1100 paginas en perfecto inglés. Por suerte el examen tiene la opción de hacerse en los dos idiomas en lugar de solo inglés, dura unas 6 horas y en España solo puede hacerse en Madrid y Barcelona, ciudad esta última donde ya han publicado las fechas del examen, que serán el 28 de Marzo. En Madrid la convocatoria será presumiblemente en Octubre, igual que ocurrió el año pasado.

Voy a iniciar mi andadura hacia esta certificación, la cual os iré contando poco a poco, y vosotros, ¿sois ya CISSP?, ¿Qué se siente? ;-)

Salu2!

12 de enero de 2009

Preparad los codos...

Comenzamos la semana con la publicación de los cursos que el CEIM (Confederación empresarial de Madrid) va a realizar este año. Para todos aquellos que como yo trabajéis en la Comunidad de Madrid, queráis reciclar vuestro conocimiento o aprender nuevas disciplinas, y todo ello de forma gratuita, estos cursos os serán de interés.

Concretamente relacionados con Seguridad hay unos cuantos:

  • Seguridad en las WLAN.
  • Introducción a la seguridad: Criptografía.
  • ISO 27000.
  • Seguridad en equipos informáticos.
  • Instalación y configuración de sistemas operativos.
  • Japonés para principiantes ;)

Indirectamente relacionados hay de todo, desde Coaching, gestión empresarial, Ingles, Alemán, Chino, Desarrollo en Java, Ing. Software, AJAX, Oracle, .NET, Ofimática, etc. etc.

Si sois de los que comenzasteis el 2009 con buenos propósitos, no tenéis excusa ;-)

Salu2!

9 de enero de 2009

7,,2,,1,,¡14!

Numerosos periódicos nacionales han jubilado a Windows Vista comentando lo malo que le ha salido a Microsoft, y lo mal que lo ven los usuarios, al mismo tiempo que anunciaban que la Beta de Windows 7 era liberada oficialmente hoy Viernes 9 de Enero.

Pululando por la pagina oficial de Microsoft, concretamente en el site de Windows 7 y alrededores me ha sido imposible encontrarlo, supongo que será por el desfase horario,,, el caso es que me he impacientado y he realizado la busqueda en sitios “no oficiales”, donde tan solo poniendo “Windows 7 Beta Download” en vuestro buscador os saldrán muchas pistas…

Y mientras se descarga y lo toqueteo he estado buscando videos en Youtube, alguno tan decepcionante como este, donde ¡oh sorpresa! Windows 7 incorpora multitouch a lo ayfone! 

La verdad hay muchos videos y es dificil separar el trigo de la paja, por ahora poquitas cosas interesantes.

Seguiremos informando, Salu2!

PD: Torrent Windows 7

8 de enero de 2009

Intrusiones y demás amistades.

En los últimos coletazos de 2008, primeros de 2009 tuve la oportunidad de participar en varias sesiones comerciales de los distintos distribuidores de IPS / IDS que hay en el mercado, en concreto estuve en charlas de Juniper, Tipping-point y Checkpoint. Independientemente de las bondades que cada uno de los productos podía ofrecer y de cual podía ser mejor según que red o que compañía pude encontrar frases de bombo y platillo como “mi producto no ofrece falsos positivos”, algo que a mi particularmente me impactó, no obstante tenía razón el comercial, el IPS solo detectaba los ataques que coincidían con firmas o patrones de ataque conocidos, lo que ocurre es que en ciertos entornos, por ejemplo desarrollo, es necesario hacer ciertas consultas que quizás no sean un ataque (al menos en ese entorno específico en esas circunstancias).


IPS Tipping Point
Familia IPS Juniper

IPS de Checkpoint, no veais el ruido que hacen los cacharros xD

Falsos positivos aparte, lo que me quedó bastante claro es que el despliegue de los IDS/IPS suponían una capa de seguridad adicional que formaba parte de la arquitectura de seguridad que estábamos aplicando. Por ejemplo nunca podrá suplir ni detener la propagación de un virus (archivo .exe normalmente) ya que suelen trabajar a nivel 3 de la pila de protocolos TCP/IP.

Otras preguntas que nos planteabamos eran, ¿Dónde lo ubicaremos?, ¿delante de nuestro router de salida a Internet?, ¿delante del firewall que protege al router?, ¿en tal DMZ?, Una forma de saber la respuesta a esta pregunta es hacernos otra, ¿qué queremos proteger?, ¿los Proxy, router, switch, granja de servidores?, ¿puestos de trabajo?, Es fundamental saber la grunularidad que vamos a dar, no es lo mismo saber que este ataque provino de la VLAN 118 que saber que el PC 191.168.10.99 de fulanito está haciendo SYN FLOOD a nuestro switch y tiene a todos los compañeros tomando café y roscón de reyes. Por que no lo olvidemos, ataques desde dentro o ataques desde fuera, siguen siendo ataques al fin y al cabo.

Cambiemos de tercio, ya tenemos el flamante detector de intrusiones (que también previene) en producción, ¿qué políticas aplicamos?, hay que recordar que lo más importante es proteger los servicios, ¿seguro que queremos cortar cierto tipo de tráfico con origen o destino nuestras granjas de servidores?. Es fundamental que un equipo de trabajo analice / estudie la ingente cantidad de información que va a generar nuestro aparato, la filtre, separe el trigo de la paja y “tunee” las políticas, constantemente. Primero cada semana (modo monitor, fail-open activado, lo que necesitemos), cada 15 días, cada meses (existen flujos que solo se dan una vez al mes, o al año), así hasta que todo quede perfectamente engrasado, los flujos que se corten deben ser bien conocidos, inteligentes, la información de las alarmas debe ser util, las estadísticas también, etc.

Solo entonces comenzaremos a tener esa capa adicional de seguridad, solo entonces nos sentaremos un poquito más cómodos, pero sin relajarnos mucho ;-)

Salu2.

3 de enero de 2009

Simulacros de Voto electrónico

Comenzamos el 2009 con los resultados del referéndum electrónico que se realizó en Paterna (Valencia) en las últimas semanas de 2008. La noticia  es sorprendente ya que es la primera vez que se otorga validez legal a los resultados de una votación utilizado el conocido como voto electrónico

Existen precedentes en nuestro país de voto electrónico, si recordamos en las votaciones para la constitución europea Indra se llevó el concurso público, tal y como también ocurrió en las elecciones del pasado año, aunque estas fueron por el método “tradicional”, entre comillas tradicional por que los resultados se transportaban en unas PDA de las cuales solo ellos saben que contenían.

También existen otros precedentes de los cuales el más famoso puede ser el de las elecciones de Estados Unidos en 2004, que llevó a la presidencia de EE.UU. a George Bush, donde se “sospechó” que pudieron existir irregularidades en el uso del voto electrónico, miento, en el uso del sistema de voto electrónico de registro directo (que no es lo mismo), si recordáis este era el sistema que usaban en Springfield:

 

No obstante el “método” en Paterna, con los excasos datos que he encontrado en Internet parece más cercano al voto electrónico por Internet que cada ciudadano puede realizar desde su casa / cibercafé / ordenador de la oficina / Iphone, imagino que implicará el uso de certificados electrónicos, o quizás hayan aprovechado para darle uso al Dni digital, lo que desconozco es si este proceso se ha sometido a la debida auditoría, que empresa ha ofrecido el apoyo tecnológico a esta iniciativa, y como es posible que no haya salido nadie a reclamar que este tipo de votaciones hoy por hoy, por mucho que nos pese a los informáticos, todavía no ofrecen garantías de confiabilidad, privacidad y legalidad (esto último me mojo sin siquiera tener delante el manual de derecho informático de Carlos Almeida o a mi abogado detrás). 

Considero que es necesario un apoyo mucho más fuerte de entidades como el Centro Criptológico Nacional (que provean métodos que garanticen la confidencialidad), Centro Nacional de Inteligencia (que revise el código usado en estas aplicaciones, sea libre, privado, o el hello World), la Frábrica Nacional de Moneda y Timbre(como emisora de certificados digitales), así como auditorías independientes y aleatorias de los sistemas y procedimientos utilizados en estas votaciones, todo ello apoyado con un marco legal firme que nos asegure el respaldo de la justicia a estos métodos así como la persecución de los posibles fraudes electorales (por descontado).

Nos jugamos muchísimo y no podemos andarnos con tonterias, nos jugamos la confianza en nuestra democracia.