Georgia: Blogueando la Guerra

agosto 31, 2008 § Deja un comentario

El conflicto entre Georgia y Rusia sobre el territorio escindido de Osetia del Sur fue acompañado de ciber-ataques sobre varios sitios de medios del gobierno georgiano e independientes. Pero más que impedir a los periodistas de utilizar internet para informar sobre la guerra, se consiguió lo contrario. Muchos georgianos -profesionales de los medios y periodistas ciudadanos también- utilizaron los blogs para informar o comentar sobre el conflicto.

El Editor Regional para el Cáucaso de Global Voices Online, Onnik Krikorian, habló con Giga Paitchadze, un veterano bloguero local. también conocido como Dv0rsky. El Instituto de Nuevos Medios, de Paitchadze, organizó recientemente el BarCamp del Cáucaso en la capital georgiana, Tiflis.

Seguir leyendo

Presiones corporativas impidieron programa televisivo sobre vulnerabilidades en RFID

agosto 31, 2008 § Deja un comentario

Seguro que muchos conoceréis (y seguiréis) el programa MythBusters (reconvertido a “Cazadores de mitos”, en español), emitido por Discovery Channel, y en el que cada episodio analiza de forma experimental algún tema técnico-científico con vistas a descubrir si es cierto o falso.

Pues bien; en el transcurso de la última convención HOPE (Hackers on Planet Earth, patrocinada por la mítica 2600 Magazine), Adam Savage (copresentador de programa) hizo las delicias del público asistente cuando fue interrogado acerca de si el programa había preparado algún capítulo dedicado a poner a prueba la tecnología RFID y qué había ocurrido con él.

Savage afirma que el episodio sobre RFID murió antes de nacer debido a las presiones ejercidas por ejecutivos de VISA, American Express y la propia Discovery. “Aún siento escalofríos al recordar aquella reunión”, afirmó Savage.

Paradójicamente, y en la misma línea “molaware” que afectó a la última Black Hat, los propios asistentes a HOPE también fueron monitorizados mediante tarjetas RFID…

Nota de Bruce Sterling en Wired. Enlaza al vídeo de la intervención de Savage (ver minutos 0:00 a 2:00].

Fuentes:
http://meneame.net/story/empresas-tarjetas-credito-impidieron-cazadores-mitos-sobre-rfid-eng
http://blog.wired.com/sterling/2008/08/arphid-watch-my.html
http://www.youtube.com/v/-St_ltH90Oc&hl=en&fs=1
http://www.kriptopolis.org/un-banco-distribuye-millones-de-tarjetas-de-credito-rfid
http://www.kriptopolis.org/detectan-fugas-de-informacion-en-las-nuevas-tarjetas-de-credito-con-rfid
http://www.kriptopolis.org/la-caixa-visa-con-rfid

Una investigación a las redes P2P conduce a la captura de pedófilos

agosto 31, 2008 § Deja un comentario

52 personas en el estado de California, EE.UU. han sido arrestadas en el transcurso de este año bajo el cargo de almacenamiento de pornografía infantil en sus computadores, material al cual habrían accedido mediante el uso de aplicaciones peer to peer (P2P).

En la investigación, realizada por una brigada del FBI conocida como SAFE (Sexual Assault Felony Enforcement) en conjunto con otras entidades norteamericanas, se utilizaron “sofisticadas aplicaciones computacionales” para identificar pornografía infantil en directorios compartidos de programas de descargas P2P tales como Limewire, Ares, eMule, etc. Hasta ahora, los investigadores habían utilizado software de reconocimiento de patrones, similares a los escáners antivirus para buscar rápidamente imágenes y archivos en los grupos de Usenet (una red de IRC) que coincidan con este tipo de material.

De acuerdo a las palabras del oficial Thomas O’Brien “los criminales utilizan la tecnología para realizar sus crímenes, ya sea…

robo de identidad, estafas por internet o pornografía infantil, y por lo mismo siempre se están desarrollando nuevas tecnologías que permitan rastrear este tipo de situaciones”.

Lo novedoso de este sistema es que hasta ahora la captura de los pedófilos se basaba en el rastreo de elementos identificatorios (como dirección IP, navegador, sistema operativo, etc) recogidos de sitios webs donde se podía acceder a contenido de pedofilia, sin embargo las redes P2P no ofrecían el mismo tipo de detalles lo cual hacía dificultuoso rastrear a personas que descargaban material ilícito.

Por otro lado, han habido dos casos donde los oficiales arrestaron a personas equivocadas lo cual originó rápidamente un llamado a una mejor preparación de los investigadores de esta materia.

Fuente:
http://www.seguridad-informatica.cl/home/content/una-investigaci%C3%B3n-las-redes-p2p-conduce-la-captura-de-ped%C3%B3filos
http://www.securityfocus.com/brief/801

Proceso de Elaboración de las Políticas de Seguridad

agosto 31, 2008 § Deja un comentario

Especial de Apokalyptica79 para Segu-Info

1. Introducción a las Políticas de Seguridad
2. La necesidad de definir políticas de seguridad
3. Proceso de Elaboración de las Políticas de Seguridad

El post de hoy va a tratar de abarcar ciertos puntos y criterios que deben ser considerados a la hora de elaborar las políticas de seguridad.

Al ser un tema muy amplio traté de poner algunos puntos específicos y desarrollarlos de una manera que sean entendibles y comprensibles.

El post anterior hacía referencia a La necesidad de definir políticas de seguridad una vez que entendimos la importancia de las políticas de seguridad llegó la hora de elaborarlas.

Pero para poder llevarlo a cabo debemos determinar cuan segura o insegura, que funcionalidades va a ofrecer y cuan fácil va a ser de utilizar la red. No podremos tomar buenas decisiones sobre seguridad sin primero determinar los cuales son los objetivos de nuestra política, tampoco podremos hacer uso de herramientas específicas porque no sabremos que chequear y que restricciones imponer.

Éstos puntos pueden ser muy útiles a la hora de la elaboración de las políticas:

  • Servicios Ofrecidos vs Servicios Proveídos.
  • Cada servicio ofrecido al usuario trae consigo un riesgo de seguridad.
  • Para algunos servicios el riesgo supera el beneficio del servicio y el administrador puede elegir eliminar el servicio en lugar de tratar de asegurarlo.

Fácil de usar vs Seguridad:

El sistema más fácil de usar sería aquel que permita el acceso a cualquier usuario sin requerir password, eso quiere decir que no habría seguridad.

Requerir password hace que el sistema sea menos práctico, pero más seguro. Requerir de un dispositivo generador de contraseñas únicos hace el sistema un poco más difícil de usar, pero mucho más seguro.

Costo de Seguridad vs Riesgo de Pérdidas:

Hay diferentes costos de seguridad: monetarios (ej: el costo de comprar hardware de seguridad y software como firewall y generadores de passwords), performance (ej: la encriptación y desencriptación lleva tiempo), y fáciles de usar como se mencionó anteriormente. También hay algunos niveles de riesgo: pérdida de la privacidad (ej: la lectura de información por individuos no autorizados), pérdida de datos (ej: la corrupción o eliminación de la información), y la pérdida del servicio (ej: llenar de datos los dispositivos de almacenamiento, denegar los accesos a la red de trabajo).

Cada tipo de costo debe ser ponderado contra cada tipo de pérdida.
No está de más recordar que los objetivos o metas deben ser comunicados a todos los usuarios, miembros de staffs, y administradores a través de un set de reglas de seguridad, llamado “política de seguridad”.

Quienes deben estar involucrados a la hora de elaborar las políticas de seguridad?:

Para que una política de seguridad sea apropiada y efectiva, necesita tener la aceptación y el apoyo de todos los niveles de trabajadores en conjunción con la empresa.

La siguiente es una lista de las personas que deberían de participar en la elaboración de dicho documento:

  • Administrador de Sistema del lugar.
  • Staff del Data Center.
  • Administradores de Áreas en General.
  • Equipo responsable de Incidentes de Sistemas.
  • Representantes de Grupos de Usuarios afectados por las Políticas de Seguridad.
  • Administrador Responsable.
  • Consejeros Legales.

Es necesario hacer énfasis en que el apoyo por parte de la gente con el poder de decisión, tales como cuerpo directivo, gerentes, dueños de empresas, ya que sin su apoyo sería imposible contar con un esquema de seguridad verdaderamente exitoso.

Esta lista solo trata de brindar la información necesaria del personal a tener en cuenta en este proceso. Se la puede adaptar teniendo en cuenta la estructura de nuestra organización, los distintos departamentos que la conforman y los responsables de las mismas.

Una vez definido y decidida la política de seguridad a seguir, deberemos encontrar la manera de conseguir un equilibrio entre “seguridad, conveniencia y disponibilidad”. Contestar una serie de preguntas nos ayudará a encontrar éste equilibrio tan necesario e importante:

  • Quién debe tener acceso?
  • Quién debe tener acceso físico? Los sistemas se encuentran cerrados o de libre acceso?
  • Cuándo se debe tener acceso? Se los permite tener acceso en cualquier horario tanto dentro del comercial como fuera del mismo? Todos los días laborales y no laborales?
  • De qué clase de acceso se debe disponer? Es necesario que todos tengan acceso a internet o sólo a ciertos dispositivos que conforman la red, tales como impresora?
  • Qué servicios se deben usar? Debe alguno acceder a ftp? Qué ocurre con servicios como telnet, finger, etc?
  • Qué clase de programas se deben ejecutar?
  • Con que otras computadoras de la red se van a conectar? Cuántos servidores deben ver? El servidor web? Qué sucede con la contabilidad y las nóminas?
  • De cuánto espacio van a disponer los usuarios dentro del sistema de archivos?
  • De cuánto espacio del kernel disponen los usuarios?
  • Qué tipo de restricciones se deben implantar al uso de contraseñas? Una longitud mínima? Cambio de contraseñas semanales? Mensuales tal vez?
  • Qué tipo de ataques son posibles? Es necesario que los usuarios accedan desde el exterior a través del firewall?
  • Qué tipo de ataques son más probables? Se ha despedido de forma reciente personal con conocimiento del sistema? Se han producido recientemente intentos que hayan tenido éxito?
  • De cuánto tiempo se dispone para recuperarse después de un ataque? Es posible tomarse una semana de baja? Un día? Una hora?
  • Cuál será el costo? Considerar la base hora/trabajador, para volver al correcto funcionamiento.
  • Qué valor deben tener los datos protegidos para alguien de afuera? Son secretos corporativos? Información financiera? Lista de clientes?
  • Qué daño pueden causar a la reputación de la empresa la publicación de la intrusión? Qué ocurre si se trata de una institución financiera y se ven comprometidos los datos personales o expedientes de los clientes?

Qué hace a una buena política de seguridad?:

Algunas características de de una buena política de seguridad son las siguientes:

  • Debe ser implementado a través de procesos de sistemas de administración, posters, folletos o algún otro medio apropiado.
  • Deben ser ejecutadas con herramientas de seguridad.
  • Debe definir claramente las áreas de responsabilidad de los usuarios, administradores y gerente.

A la hora de elaborar estas políticas, es factible que dividir el trabajo en varias políticas diferentes y específicas a un campo, tales como: cuentas, email, passwords, entre otros. Ésto nos dará la posibilidad de tratar distintas áreas con mayor detenimiento, tratando así de eliminar puntos o vulnerabilidades sin cubrir.

Algo muy importante a tener en cuenta cuando estamos en la realización de las políticas es que debemos pensar en ella será aplicada constantemente por todos los integrantes de la organización y es por eso mismo que hay que dotarla de cierta flexibilidad.

Manteniendo nuestra Política Flexible:

Para que nuestra política de seguridad sea viable y perdure por mucho tiempo, es necesario que posea de mucha flexibilidad basada en el concepto de arquitectura de seguridad. La política de seguridad debe ser independiente de un hardware específico y de un conjunto determinado de software. Los mecanismos para la actualización y/o modificación de las políticas deben estar claramente establecidos. Ésto incluye procesos, personas involucradas, y las personas que deben firmar los cambios. También es importante reconocer que hay excepciones a cada regla. Cuando sea necesario se debe dar a conocer cuales son esas excepciones. Por ejemplo, en que casos o condiciones un administrador de sistemas tiene permiso para acceder a los archivos de los usuarios. Es éste tema muy importante a tener en cuenta.

Considero que con toda esta información es bastante por hoy. Hasta la próxima…

Fuentes:

  1. Information Resource Guide (Computer, Internet and Network Systems Security)
  2. Políticas de Seguridad Computacional (Donado, Agredo Méndez y Carrascal Reyes)

Apokalyptica79

Proceso de Elaboración de las Políticas de Seguridad

agosto 31, 2008 § Deja un comentario

Especial de Apokalyptica79 para Segu-Info

1. Introducción a las Políticas de Seguridad
2. La necesidad de definir políticas de seguridad

El post de hoy va a tratar de abarcar ciertos puntos y criterios que deben ser considerados a la hora de elaborar las políticas de seguridad.

Al ser un tema muy amplio traté de poner algunos puntos específicos y desarrollarlos de una manera que sean entendibles y comprensibles.

El post anterior hacía referencia a La necesidad de definir políticas de seguridad una vez que entendimos la importancia de las políticas de seguridad llegó la hora de elaborarlas.

Pero para poder llevarlo a cabo debemos determinar cuan segura o insegura, que funcionalidades va a ofrecer y cuan fácil va a ser de utilizar la red. No podremos tomar buenas decisiones sobre seguridad sin primero determinar los cuales son los objetivos de nuestra política, tampoco podremos hacer uso de herramientas específicas porque no sabremos que chequear y que restricciones imponer.

Éstos puntos pueden ser muy útiles a la hora de la elaboración de las políticas:

  • Servicios Ofrecidos vs Servicios Proveídos.
  • Cada servicio ofrecido al usuario trae consigo un riesgo de seguridad.
  • Para algunos servicios el riesgo supera el beneficio del servicio y el administrador puede elegir eliminar el servicio en lugar de tratar de asegurarlo.

Fácil de usar vs Seguridad:

El sistema más fácil de usar sería aquel que permita el acceso a cualquier usuario sin requerir password, eso quiere decir que no habría seguridad.

Requerir password hace que el sistema sea menos práctico, pero más seguro. Requerir de un dispositivo generador de contraseñas únicos hace el sistema un poco más difícil de usar, pero mucho más seguro.

Costo de Seguridad vs Riesgo de Pérdidas:

Hay diferentes costos de seguridad: monetarios (ej: el costo de comprar hardware de seguridad y software como firewall y generadores de passwords), performance (ej: la encriptación y desencriptación lleva tiempo), y fáciles de usar como se mencionó anteriormente. También hay algunos niveles de riesgo: pérdida de la privacidad (ej: la lectura de información por individuos no autorizados), pérdida de datos (ej: la corrupción o eliminación de la información), y la pérdida del servicio (ej: llenar de datos los dispositivos de almacenamiento, denegar los accesos a la red de trabajo).

Cada tipo de costo debe ser ponderado contra cada tipo de pérdida.
No está de más recordar que los objetivos o metas deben ser comunicados a todos los usuarios, miembros de staffs, y administradores a través de un set de reglas de seguridad, llamado “política de seguridad”.

Quienes deben estar involucrados a la hora de elaborar las políticas de seguridad?:

Para que una política de seguridad sea apropiada y efectiva, necesita tener la aceptación y el apoyo de todos los niveles de trabajadores en conjunción con la empresa.

La siguiente es una lista de las personas que deberían de participar en la elaboración de dicho documento:

  • Administrador de Sistema del lugar.
  • Staff del Data Center.
  • Administradores de Áreas en General.
  • Equipo responsable de Incidentes de Sistemas.
  • Representantes de Grupos de Usuarios afectados por las Políticas de Seguridad.
  • Administrador Responsable.
  • Consejeros Legales.

Es necesario hacer énfasis en que el apoyo por parte de la gente con el poder de decisión, tales como cuerpo directivo, gerentes, dueños de empresas, ya que sin su apoyo sería imposible contar con un esquema de seguridad verdaderamente exitoso.

Esta lista solo trata de brindar la información necesaria del personal a tener en cuenta en este proceso. Se la puede adaptar teniendo en cuenta la estructura de nuestra organización, los distintos departamentos que la conforman y los responsables de las mismas.

Una vez definido y decidida la política de seguridad a seguir, deberemos encontrar la manera de conseguir un equilibrio entre “seguridad, conveniencia y disponibilidad”. Contestar una serie de preguntas nos ayudará a encontrar éste equilibrio tan necesario e importante:

  • Quién debe tener acceso?
  • Quién debe tener acceso físico? Los sistemas se encuentran cerrados o de libre acceso?
  • Cuándo se debe tener acceso? Se los permite tener acceso en cualquier horario tanto dentro del comercial como fuera del mismo? Todos los días laborales y no laborales?
  • De qué clase de acceso se debe disponer? Es necesario que todos tengan acceso a internet o sólo a ciertos dispositivos que conforman la red, tales como impresora?
  • Qué servicios se deben usar? Debe alguno acceder a ftp? Qué ocurre con servicios como telnet, finger, etc?
  • Qué clase de programas se deben ejecutar?
  • Con que otras computadoras de la red se van a conectar? Cuántos servidores deben ver? El servidor web? Qué sucede con la contabilidad y las nóminas?
  • De cuánto espacio van a disponer los usuarios dentro del sistema de archivos?
  • De cuánto espacio del kernel disponen los usuarios?
  • Qué tipo de restricciones se deben implantar al uso de contraseñas? Una longitud mínima? Cambio de contraseñas semanales? Mensuales tal vez?
  • Qué tipo de ataques son posibles? Es necesario que los usuarios accedan desde el exterior a través del firewall?
  • Qué tipo de ataques son más probables? Se ha despedido de forma reciente personal con conocimiento del sistema? Se han producido recientemente intentos que hayan tenido éxito?
  • De cuánto tiempo se dispone para recuperarse después de un ataque? Es posible tomarse una semana de baja? Un día? Una hora?
  • Cuál será el costo? Considerar la base hora/trabajador, para volver al correcto funcionamiento.
  • Qué valor deben tener los datos protegidos para alguien de afuera? Son secretos corporativos? Información financiera? Lista de clientes?
  • Qué daño pueden causar a la reputación de la empresa la publicación de la intrusión? Qué ocurre si se trata de una institución financiera y se ven comprometidos los datos personales o expedientes de los clientes?

Qué hace a una buena política de seguridad?:

Algunas características de de una buena política de seguridad son las siguientes:

  • Debe ser implementado a través de procesos de sistemas de administración, posters, folletos o algún otro medio apropiado.
  • Deben ser ejecutadas con herramientas de seguridad.
  • Debe definir claramente las áreas de responsabilidad de los usuarios, administradores y gerente.

A la hora de elaborar estas políticas, es factible que dividir el trabajo en varias políticas diferentes y específicas a un campo, tales como: cuentas, email, passwords, entre otros. Ésto nos dará la posibilidad de tratar distintas áreas con mayor detenimiento, tratando así de eliminar puntos o vulnerabilidades sin cubrir.

Algo muy importante a tener en cuenta cuando estamos en la realización de las políticas es que debemos pensar en ella será aplicada constantemente por todos los integrantes de la organización y es por eso mismo que hay que dotarla de cierta flexibilidad.

Manteniendo nuestra Política Flexible:

Para que nuestra política de seguridad sea viable y perdure por mucho tiempo, es necesario que posea de mucha flexibilidad basada en el concepto de arquitectura de seguridad. La política de seguridad debe ser independiente de un hardware específico y de un conjunto determinado de software. Los mecanismos para la actualización y/o modificación de las políticas deben estar claramente establecidos. Ésto incluye procesos, personas involucradas, y las personas que deben firmar los cambios. También es importante reconocer que hay excepciones a cada regla. Cuando sea necesario se debe dar a conocer cuales son esas excepciones. Por ejemplo, en que casos o condiciones un administrador de sistemas tiene permiso para acceder a los archivos de los usuarios. Es éste tema muy importante a tener en cuenta.

Considero que con toda esta información es bastante por hoy. Hasta la próxima…

Fuentes:

  1. Information Resource Guide (Computer, Internet and Network Systems Security)
  2. Políticas de Seguridad Computacional (Donado, Agredo Méndez y Carrascal Reyes)

Apokalyptica79

Georgia: Blogueando la Guerra

agosto 31, 2008 § Deja un comentario

El conflicto entre Georgia y Rusia sobre el territorio escindido de Osetia del Sur fue acompañado de ciber-ataques sobre varios sitios de medios del gobierno georgiano e independientes. Pero más que impedir a los periodistas de utilizar internet para informar sobre la guerra, se consiguió lo contrario. Muchos georgianos -profesionales de los medios y periodistas ciudadanos también- utilizaron los blogs para informar o comentar sobre el conflicto.

El Editor Regional para el Cáucaso de Global Voices Online, Onnik Krikorian, habló con Giga Paitchadze, un veterano bloguero local. también conocido como Dv0rsky. El Instituto de Nuevos Medios, de Paitchadze, organizó recientemente el BarCamp del Cáucaso en la capital georgiana, Tiflis.

Seguir leyendo

Presiones corporativas impidieron programa televisivo sobre vulnerabilidades en RFID

agosto 31, 2008 § Deja un comentario

Seguro que muchos conoceréis (y seguiréis) el programa MythBusters (reconvertido a “Cazadores de mitos”, en español), emitido por Discovery Channel, y en el que cada episodio analiza de forma experimental algún tema técnico-científico con vistas a descubrir si es cierto o falso.

Pues bien; en el transcurso de la última convención HOPE (Hackers on Planet Earth, patrocinada por la mítica 2600 Magazine), Adam Savage (copresentador de programa) hizo las delicias del público asistente cuando fue interrogado acerca de si el programa había preparado algún capítulo dedicado a poner a prueba la tecnología RFID y qué había ocurrido con él.

Savage afirma que el episodio sobre RFID murió antes de nacer debido a las presiones ejercidas por ejecutivos de VISA, American Express y la propia Discovery. “Aún siento escalofríos al recordar aquella reunión”, afirmó Savage.

Paradójicamente, y en la misma línea “molaware” que afectó a la última Black Hat, los propios asistentes a HOPE también fueron monitorizados mediante tarjetas RFID…

Nota de Bruce Sterling en Wired. Enlaza al vídeo de la intervención de Savage (ver minutos 0:00 a 2:00].

Fuentes:
http://meneame.net/story/empresas-tarjetas-credito-impidieron-cazadores-mitos-sobre-rfid-eng
http://blog.wired.com/sterling/2008/08/arphid-watch-my.html
http://www.youtube.com/v/-St_ltH90Oc&hl=en&fs=1
http://www.kriptopolis.org/un-banco-distribuye-millones-de-tarjetas-de-credito-rfid
http://www.kriptopolis.org/detectan-fugas-de-informacion-en-las-nuevas-tarjetas-de-credito-con-rfid
http://www.kriptopolis.org/la-caixa-visa-con-rfid

¿Dónde estoy?

Actualmente estás viendo los archivos para agosto, 2008 en Seguridad Informática.