29 de enero de 2010

User Assist en Windows 7

Un rápido vistazo al registro de Windows 7 nos muestra que hay algunas cosas que dentro del sistema operativo de Microsoft no han cambiado mucho desde el Windows 2000 y sucesores. El menu contextual y las herramientas del registro son prácticamente las mismas, sin embargo el contenido del registro va cambiando poco a poco. En la entrada de hoy vamos a presentar una clave del registro que suele pasar desapercibida, el UserAssist:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Este registro es el encargado de almacenar estadísticas y datos del principal proceso de todo Windows. El explorer.exe, si echamos un rápido vistazo a su contenido:

El "nuevo" registro de Windows

Vemos que no entendemos nada, ¿por qué? Bueno, la respuesta es obvia: está cifrado. Microsoft utiliza el algoritmo rotativo ROT13, que lo único que hace es rotar 13 posiciones (podían ser 12 o 14, pero no), un cifrado débil que permite a cualquiera descifrar fácilmente esa clave. Con Windows 7 esto no ha cambiado, se sigue utilizando ROT13 aunque si hubo algún cambio, concretamente en el formato. Por suerte hay gente como el belga Didier Stevens que ya se ha puesto a hacer Ingeniería Inversa para averiguar qué clave ROT13 hay que utilizar y en qué formato se guardan los registros, podeis encontrar más información aquí, y no solo eso, también se han currado una herramienta para descifrar vuestras claves y saber qué programas son lanzados por el explorador, cuando fue la última vez que se lanzó, etc. Por tanto viene muy bien no solo para satisfacer vuestra curiosidad, sino como herramienta de apoyo de análisis forense en Windows:

Interfaz del User Assist: Ultimo programa ejecutado, User Assist

Incluye datos sobre el tiempo que una aplicación tiene el foco, ultima vez que se ejecutó, número de veces ejecutadas y ,,,, la habilidad de con un click deshacer este registro de vuestras actividades (pone a 1 el valor de no logging en el la entrada UserAssist).

Los secretos de W7 van saliendo a la luz,,, ¡Salu2!

22 de enero de 2010

Metricas Seguras

Cumplidas las tres primeras semanas del año en muchas empresas la cúpula directiva se sienta, prepara los proyectos del 2010 y entre otras muchas preguntas, a los que nos dedicamos a la seguridad nos dicen, “bueno, ¿cómo estamos este año?, ¿hemos mejorado en seguridad?, ¿se ha invertido suficiente?, ¿estamos mejor que la competencia?”

Desde que la seguridad dejó de ser una asignatura pendiente a convertirse en un “must do it” ya sea por requisitos legales, por que tus servicios han tenido verdaderos problemas para ofrecerse con normalidad o por que se ha visto oportunidad de negocio la inversión en la misma se ha parecido a la siguiente gráfica:

Retorno de la Inversión en Seguridad

Muy propia de aquellos campos donde la incertidumbre es alta, o dicho de otra forma, donde la madurez del gobierno de la información es baja. Más inversión solo puede significar a ojos de la dirección más seguridad o más negocio o ambas, y nunca se entenderá otra cosa (como es lógico). De ahí que ante las preguntas de ¿como estamos este año? Tengamos que presentar unos datos que si no hemos hecho los deberes parecerán magia borras. Si, estamos hablando de METRICAS DE SEGURIDAD.

When you can measure what you are speaking about, and express it in numbers, you know something about it; but when you cannot measure it, when you cannot express it in numbers, your knowledge is a meager and unsatisfactory kind; it may be the beginning of knowledge, but you have scarcely, in your thoughts, advanced to the state of science.

—William Thomson, Lord Kelvin, 1883

Esta acertada frase de William Thomson (quien por cierto, jamás vio un ordenador) viene a decirnos, si tu conocimiento sobre una materia es tal que lo puedes expresar en cifras, entonces es que sabes algo, pero si no puedes medir aquello de lo que estás hablando entonces te queda mucho por aprender,,, perfecto. ¿Como medimos un concepto tan abstracto como la seguridad?, ¿por número de ataques?, ¿por número de incidentes de seguridad?, ¿como sabrá nuestra dirección si está invirtiendo bien? Es necesario caracterizar nuestras métricas:

1.- ¿Cuál es el objeto a medir? → Nivel de conformidad LOPD (atributo) de un sistema (objeto), grado de riesgo de mis sistemas, etc.
2.- ¿Por qué quiero medir ese objeto?, ¿cuál es la necesidad? → Tenemos un mayor control sobre mis servicios, mejorar la gestión de la seguridad, etc.
3.- ¿Con respecto a qué voy a medir? → Toda métrica necesita de un objeto contra el que comparar, por ejemplo, un estándar de buenas prácticas, los controles de mi Normativa, etc.

Es imprescindible que lo que se mida sea importante, y no solo eso, sino que los datos que nos muestren las mediciones sean significativos, teniendo claros estos principios y una vez identificados los tres puntos básicos, podemos abordar otros asuntos propios del proceso, qué método voy a utilizar para obtener esos datos (entrevistas, auditorías, obtención de logs, etc.), cada cuanto tiempo voy a recoger los datos (muchos datos pueden generar ruido, pocos datos inexactos), responsables de proporcionar los datos, personal involucrado, etc.

Como veis, una tarea cuanto menos ardua. Es parte imprescindible de un Sistema de Gestión de la Seguridad de la Información (SGSI) disponer de esta serie de datos (indicadores) que te diga como estás en lo que a seguridad se refiere, hasta hace unos años esto no estaba siquiera regulado, por suerte con la serie 27000 de ISO apareció la 27004. Este será nuestro cuaderno de consulta obligatorio si este año no hemos hecho los deberes y tenemos que decir, ¡estamos mejor que el año pasado! Mientras cruzamos los dedos por detrás y esperamos que no pase nada y haber sido convincentes :-p

Una vez que empezamos a recoger esos valiosos indicadores, sabemos el grado en que vamos cumpliendo con los objetivos estratégicos surge el concepto de “Cuadro de Mando”, que no es más que una herramienta para poder tener en todo momento una foto del estado de la seguridad y del grado de cumplimiento con respecto a los objetivos a medio y largo plazo.

Esta entrada es un pequeño resumen y recordatorio de lo que hace 3 años se homologó y regularizó dentro de la serie 27000, curiosamente en la actualidad surge con fuerzas renovadas dada la necesidad imperiosa de producir con eficiencia. Nuestros jefes, gerentes y directores ya saben que hay que invertir en seguridad (lo ven en las noticias a diario), pero también quieren saber que lo están haciendo bien.

Sin duda un campo muy interesante.

Salu2!

20 de enero de 2010

Rooted Con

Como a estas alturas ya casi todo el mundo sabe, se va a celebrar un importante congreso de seguridad en España (no, no es la Blackhat de Barcelona) donde irá lo mejor del panorama nacional y como no podía ser de otra forma desde este pequeño blog quisiera aplaudir esta iniciativa que está levantando cada vez más expectación.

Será del 18 al 20 de Marzo, pillará puente en varias comunidades autónomas y el precio actual (hasta el 31 de Enero) es de 75 € (40 si eres estudiante), aunque puedes consultarlo aquí. Conforme se acerque el evento la presencia en los medios puede ser importante, y es que es la primera vez (que a mi me conste) que se monta algo así, y tiene muy buena pinta. Gente como Eduardo Abril y Pedro Sanchez harán un análisis forense en sus ponencias, el Maligno (que nunca se pierde una) presenta la versión 2 de su herramienta favorita de captura de metadatos en documentos de ofimática, la foca. Además habrá cositas que casi nadie ha visto hasta ahora, como el zero-day que presentará Ruben Santamarta.

La idea inicial es hacer un congreso donde se vean cosas chulas del mundo de la seguridad, donde se aprendan que ataques se pueden hacer pero también como ponerlos en práctica, viendo casos reales. Veremos como sale esta primera edición, a priori la relación precio / calidad es muy buena por lo que no hay excusa para perdérselo.

Volvemos pronto, salu2!!

17 de enero de 2010

Beautiful Security

Lo primero es lo primero, bienvenidos 1 añito después a todo es seguro (all is sec, como dicen mis colegas), espero que al igual que yo estéis descansados y con ganas de leer cositas interesantes, desde aquí trataré de aportar mi granito de arena.

Comenzamos esta nueva temporada con un libro, y no va a ser el único ya que inauguro una nueva categoría, “Libros Seguros”, donde os contaré un poquito lo que aporta la literatura de la Seguridad Informática (de ayer y hoy) y qué libros son “must read” y cuales no tanto.

Beautiful Security no es un libro para hackers, ni siquiera puede serlo para consultores de seguridad o informáticos. Es un libro para quien puede estar dudando sobre si trabajar en Seguridad de la Información (¿merece la pena, no la merece?, ¿me dedico a otras áreas?) o para aquel que trabajando dentro de Seguridad (como consultor, auditor, hacker, comercial, etc.) se encuentra desencantado y siente que su trabajo es duro, agotador, que tapa un agujero y le salen 10 más, que discute y discute con otras áreas tratando de concienciar en vano. Es un libro bonito, que ayudará a ver a través de otros ojos la belleza de esta profesión. Un must read.

El libro se divide en 16 capítulos, el orden no tiene mucho sentido ya que son independientes, cada uno está escrito por un experto distinto en seguridad que va desde los creadores de PGP o L0pthcrack hasta profesores de Harvard y cada uno aborda un tema distinto explicando brevemente el estado del arte, qué no funciona, qué habría que mejorar y hacia donde avanza la Seguridad en ese campo, casi todos los capítulos aportan alguna idea refrescante donde muchas veces diréis, ¡ey!, esto no se me había ocurrido:

1.- Psychological Security Traps: El nombre es muy descriptivo, el creador de L0pthcrack cuenta como se le ocurrió la idea, cómo se revolucionó el gobierno americano y cómo pasó a estar sentado con los principales responsables de seguridad del estado tras hacer esta herramienta.
2.- Wireless Networking: Fertile Ground for Social Engineering: Probablemente estéis aburridos de seguridad wifi, en este capítulo se puede ver como un problema de seguridad inalámbrica originó el mayor robo de tarjetas de crédito de la historia (en un principio 30 millones, hoy se estima que fueron más de 100), el caso de TJX.
3.- Beautifull Security Metrics: Un soplo de aire fresco en el siempre complicado mundo de las métricas de seguridad, una analogía con la sanidad nos muestra que no somos los únicos con ese problema y como ellos lo resolvieron.
4.- The underground economy of security breaches: Aquí veremos con cifras y letras lo que mueve la industria del mal, la complejidad de las botnets, etc.
5.- Beautiful Trade: Rethinking E-Commerce Security: Análisis de los sistemas de comercio electrónico actuales y las operaciones que implica comprar por internet, propone un sistema de comercio electrónico alternativo.
6.- Securing Online Advertising: Rustlers and Sheriffs in the New Wild West. ¿Qué ocurre en ese mundo que sustenta Internet, llamado publicidad?, ¿podemos fiarnos?, ¿pueden infectarnos?, ¿es legal la publicidad engañosa? Aquí responderemos todas estas cuestiones.
7.- The Evolution of PGP's: Web Of Trust. El creador de PGP nos cuenta como funciona y qué aspectos siguen siendo problemáticos. Por ejemplo, la caducidad de las firma de una clave.
8.- Open Source Honeyclient: Proactive Detection of Client-side exploits. El creador del primer honeyclient cuenta como se le ocurrió la idea y cómo utilizó este software junto con tripware para evaluar la seguridad de visitar una página web.
9.- Tomorrow's Security Cogs and Levers: Este capítulo aborda la seguridad en la nube y los webservices. Quizás uno de los más flojos del libro.
10.- Security by Design: Todos sabemos que abordar la seguridad en las fases tempranas de un proyecto supone un importante ahorro con respecto a futuros cambios y vulnerabilidades.
11.- Forcing Firms to Focus: Is Secure Software in Your Future. ¡Un sistema debe ser seguro igual que una hamburguesa debe estar caliente! Esa frase creo que explica muchas cosas, aunque aquí viene otra de impacto: “Los mejores desarrolladores del mundo crean código vulnerable” Este capítulo es una continuación del anterior, se muestra el caso de una empresa de desarrollo (de nombre ficticio ACME) que realmente incorporó este atributo y de cómo ahorró tiempo y dinero aumentando la calidad de sus productos.
12.- Oh No, Here Come the Infosecurity Lawyers. Los abogados junto con la alta dirección son los mejores amigos de un experto en Seguridad, en este capítulo muestra leyes americanas, si las sustituimos por las españolas (o las que os apliquen) veremos como obtener un fuerte respaldo a nuestros requisitos.
13.- Beautifull Log Handling. El sistema de logs puede ser un auténtico problema, crear logs que proporcionen datos importantes, que sean válidos, que no den demasiada información ni tampoco eliminen la necesaria puede ser un quebradero de cabeza. La falta de estándares al respecto es un verdadero problema, pero incluso con el se pueden realizar análisis forenses con éxito.
14.- Incident Detection: Finding the other 68%. Este capítulo no me convenció mucho, asume que solo el 32% de las amenazas y ataques son detectados por nuestros antivirus, IDS, etc. y da ciertas soluciones para aumentar ese ratio. Nada nuevo para los tiempos que corren.
15.- Doing Real Work Without Real Data: Este capítulo presenta el caso de las bases de datos translúcidas, un interesante concepto sobre el que habrá que profundizar. Must read.
16.- Casting Spells: PC Security Theater. Un análisis de las tradicionales soluciones de seguridad y sus fallos, muestra la tendencia actual a unificar sandboxes (virtualización) + chequeo de firma antivirus + análisis de amenaza por inteligencia artificial.

Y con esto cerramos Beautiful Security, 300 páginas para refrescar tu visión de la Seguridad Informática :)

Salu2!