16 de agosto de 2010

Payment Card Industry Data Security Standard v2

Buenos días,

Para empezar la semana una de evolución normativa / regulatoria. En Octubre se va a publicar la siguiente versión del estándar de seguridad de la industria de pago con tarjeta (la del dinero de plástico, vamos), algunos cambios ya se han adelantado a alto nivel, los cuales os pego por aquí. Todo ello dentro de un ciclo de vida que se ha extendido de 2 a 3 años, más acorde con los criterios de madurez en el gobierno de la información actuales:

Requirement Impact

Reason for Change

Proposed Change

Category

PCI DSS Intro

Clarify Applicability of PCI DSS and cardholder data.

Clarify that PCI DSS Requirements 3.3 and 3.4 apply only to PAN.

Align language with PTS Secure Reading and Exchange of Data (SRED) module.

Clarification

Scope of Assessment

Ensure all locations of cardholder data are included in scope of PCI DSS assessments

Clarify that all locations and flows of cardholder data should be identified and documented to ensure accurate scoping of cardholder data environment.

Additional Guidance

PCI DSS Intro and various requirements

Provide guidance on virtualization.

Expanded definition of system components to include virtual components.

Updated requirement 2.2.1 to clarify intent of “one primary function per server” and use of virtualization.

Additional Guidance

PCI DSS

Requirement 1

Further clarification of the DMZ.

Provide clarification on secure boundaries between internet and card holder data environment.

Clarification

PCI DSS

Requirement 3.2

Clarify applicability of PCI DSS to Issuers or Issuer Processors.

Recognize that Issuers have a legitimate business need to store Sensitive Authentication Data.

Clarification

PCI DSS

Requirement 3.6

Clarify key management processes.

Clarify processes and increase flexibility for cryptographic key changes, retired or replaced keys, and use of split control and dual knowledge.

Clarification

PCI DSS

Requirement 6.2

Apply a risk based approach for addressing vulnerabilities.

Update requirement to allow vulnerabilities to be ranked and prioritized according to risk.

Evolving Requirement

PCI DSS

Requirement 6.5

Merge requirements to eliminate redundancy and Expand examples of secure coding standards to include more than OWASP.

Merge requirement 6.3.1 into 6.5 to eliminate redundancy for secure coding for internal and Web-facing applications.

Include examples of additional secure coding standards, such as CWE and CERT.

Clarification

PCI DSS

Requirement 12.3.10

Clarify remote copy, move, and storage of CHD.

Update requirement to allow business justification for copy, move, and storage of CHD during remote access.

Clarification

PA DSS

General

Payment Applications on Hardware Terminals.

Provide further guidance on PA-DSS applicability to hardware terminals.

Additional Guidance

PA-DSS

Requirement 4.4

Payment applications should facilitate centralized logging.

Add sub-requirement for payment applications to support centralized logging, in alignment with PCI DSS requirement 10.5.3.

Evolving Requirement

PA-DSS

Requirements

10 & 11

Merge PA-DSS Requirements 10 and 11

Combine requirements 10 and 11 (remote update and access requirements) to remove redundancies.

Clarification


Esto se traducirá en Objetivos de Control, Controles y requisitos de seguridad. Hay cosas curiosas como no basarse solo en OWASP para los test de intrusión de aplicaciones web, gestión del ciclo de vida de claves criptográficas, mayor separación de capas y clara definición de las DMZ, etc.

Habrá que estar atentos en los próximos meses. Más información aquí.

4 de agosto de 2010

Darik's Boot and Nuke

Cuantas veces os ha ocurrido de encontraros en un edificio en llamas acompañados de una bella mujer (recién rescatada) y perseguidos por maleantes mientras extraíais los planos del diseño de la última cangre burguer del PC del señor cangrejo, pero no, habéis dejado demasiadas pistas y sabéis que seréis capturados, rastreados, torturados,, o no.

Ejem, también si os ha ocurrido que os toca reciclar un disco duro o PC, tenéis que devolver un equipo prestado de un cliente o queréis vender el Pen Drive que os han regalado en eBay o quizás vais a hacer algo como Virginia, que se yo. En resumen, es preciso deshaceros de un dispositivo de almacenamiento, ¿Qué necesitáis para hacer esto con garantías? Es decir, que esa información sea eliminada de forma segura tal y como vimos en el post de Safe Destroy y no recuperable en un Data Carving Challenger. Pues estuve buscando algo que me sirviera para llevar siempre encima, en el pack de los imprescindibles junto al Hiren’s Boot, el Kon Boot, etc. Hasta que encontré el Darik’s Boot and Nuke. Una ISO de 10 MB que cumple con su cometido, auto arrancable, las opciones por defecto garantizan un borrado seguro y además configurable según los métodos “seguros” de borrado, esto es, DoD, Guttman, etc.

Os dejo unos pantallazos del DBAN CD en acción, acabando con una de mis máquinas virtuales:

Menu de "Inicio"

Entramos al Menu Interactivo y seleccionamos.

¡¡Y a destruir!!

Ya sabéis, por si un día hay que salir por patas.

Salu2

3 de agosto de 2010

Hackers are here, Where are you?

Con este conocido eslogan del Ec-Council doy paso a esta breve entrada donde por fin, tras unas breves vacaciones, he decidido ponerme con el CEH a saco, tal y como ocurriera con el CISSP el año anterior.

El CEH, o Certified Ethical Hacking es una certificación enfocada en la parte más técnica de la Seguridad Informática y como tal es ideal para que pen testers o auditores aprendan las técnicas de hacking más habituales. Al contrario que con CISA, CISSP, etc. el proceso de certificación es mucho más sencillo, el único requisito es tener dos años de experiencia en seguridad informática e incluso dejan la puerta abierta a que si no los tienes pueden estudiar tu caso (por ejemplo, recién licenciados). Con ello y tras prepararte el examen (por tu cuenta o pagando un curso de formación) te presentas, haces un examen tipo test al uso y ya estás certificado. Es decir:


De forma un tanto curiosa una vez aprobada la certificación no te exigen créditos CPE para mantenerla (leer comentarios), lo cual personalmente es de agradecer ya que no debes estar preocupándote cada año por demostrar que estás reciclado permanentemente. Os dejo algunos datos de interés:

Dominios de conocimiento:

  1. Introduction to Ethical Hacking
  2. Hacking Laws
  3. Footprinting
  4. Google Hacking
  5. Scanning
  6. Enumeration
  7. System Hacking
  8. Trojans and Backdoors
  9. Viruses and Worms
  10. Sniffers
  11. Social Engineering
  12. Phishing
  13. Hacking Email Accounts
  14. Denial of Service
  15. Session Hijacking
  16. Hacking Webservers
  17. Web Application Vulnerabilities
  18. Web Based Password Cracking Techniques
  19. SQL Injection
  20. Hacking Wireless Networks
  21. Physical Security
  22. Linux Hacking
  23. Evading IDS, Honeypots and Firewalls
  24. Buffer Overflows
  25. Cryptography
  26. Penetration Testing Methodologies

Estos dominios se dividen en 66 módulos. Tenéis el brochure del material aquí. En cuanto al examen:

  • Se puede realizar en cualquier centro prometric de España.
  • El calendario de exámenes es flexible, no son dos convocatorias cerradas de forma anual como ocurre en otras certificaciones.
  • El coste del examen son 200€.
  • 150 preguntas multi respuesta.
  • 70% de acierto para aprobar.

Ahora paciencia y a estudiar. Por cierto, y a colación del mundo de las certificaciones, os referencio una entrada del blog segu-info ayer publicaban el escrito de Shon Harris donde discute y da respuesta a muchas preguntas sobre CISSP que la gente se plantea. Shon es Consultora de Seguridad y da clases de formación CISSP, publicó un libro / manual / guía para prepararse la certificación, no es el oficial de ISC2 pero tiene tanto tirón (es bastante más entretenido) que mucha gente (como yo, por ejemplo) se preparan la certificación solo con el.

Salu2