De firmas y garabatos afines

21 de mayo de 2007 Por

tarjeta.gifHace un par de días recibí una carta del banco donde tengo domiciliada la hipoteca, ofreciéndome un nuevo servicio. No sé que harán ustedes, pero les confieso que yo no suelo hacer mucho caso a estas ofertas. Bueno, en realidad, ni mucho ni poco; van directamente a la papelera, como virtualmente el resto de la publicidad que recibo. Sin embargo en este caso una cosa me llamó la atención: la firma del director al final de la carta. Sí, ya sé que esto es también habitual y no supone ninguna novedad, pero déjenme explicarles.

¿Saben ustedes lo que pone detrás de mi tarjeta de crédito, debajo de la banda magnética?

AUTHORIZED SIGNATURE · NOT VALID UNLESS SIGNED

Puede apostar a que pone algo parecido detrás de la suya. Al parecer, esa firma sirve para dos cosas. La primera, y más obvia, para que el vendedor pueda comprobar que la firma del recibo es la misma que la que hay detrás de la tarjeta de crédito (Quick steps to Visa Card acceptance: 6. Check the signature. Be sure that the signature on the card matches the one the transaction receipt. [usa.visa.com]). La segunda, según indica Museum of Hoaxes (no he podido localizar una fuente oficial), para indicar que estás de acuerdo con los términos de uso de la tarjeta. Respecto a esta última, tengo serias dudas, aunque luego se las cuento.

[Read more…]

¿Un gusano en la manzana?

18 de mayo de 2007 Por

AppleSegún leo en Enrique Dans, ayer hubo una pequeña conmoción en la blogosfera -y sectores más tangibles, como verán- a causa de una información falsa distribuida por Engadget [más, aquí]. Para aquellos que no lo conozcan, Engadget, bitácora dedicada a los “chismes” [gadgets], es uno de los primeros blogs mundiales en volumen de tráfico, levemente inferior al que recibe elmundo.es [OJDInteractiva y Engadget]. No obstante, si tenemos en cuenta la cantidad de contenidos servidos por ambos sitios, Engadget llega a asustar.

Brevemente, ayer alguien hizo llegar a los empleados de Apple un correo electrónico fraudulento que aparentemente parecía proceder de fuentes oficiales de la compañía; en éste se anunciaba que el esperado iPhone y el sistema operativo Mac OS X Leopard se iban a retrasar… un año más. Este correo fue filtrado a Engadget y poco después de su publicación, la cotización de Apple cayó un 4%, lo que es, en los niveles en los que se mueve esta empresa, mucho, muchísimo dinero. Si quieren más información, pueden visitar algunos de los enlaces arriba incluídos, que la cuentan de primera mano. El caso es que muchos medios de la blogosfera, fieles a su ombliguismo, debatían hoy en torno a la fiabilidad de los blogs y la necesidad de contrastar las opiniones.

Personalmente, por muy de acuerdo que esté con la necesidad de contrastar las noticias, tanto en prensa escrita como en prensa digital, este enfoque es incorrecto; es narcisista y egocéntrico, típico de los blogs. Porque el hecho es que Engadget recibió el “chivatazo” de una fuente totalmente fiable, que era un colaborador interno -un empleado- de Apple. No había absolutamente ninguna duda de que la filtración procedía de Apple, así que en realidad a quién se la colaron no fue a Engadget, fue a Apple. Sí, a Apple. Una empresa que sabe jugar como nadie con la ansiedad y expectación que producen sus productos, que dosifica de manera calculada cada detalle que publica, dejó que una información falsa le afectase de esta forma.

Apple StockEsto no es un problema de fiabilidad o credibilidad de los blogs. No. Más bien, es un ataque de seguridad semántica en toda regla («(…) acciones que implican la adulteración de la información en cuanto a su interpretación por parte de sus destinatarios (…)»). Y que nadie se equivoque; no se trata de una acción casual e inocente, sino más al contrario, intencionada y -no me cabe duda- perfectamente calculada. Alguien ha ganado dinero con esto (y alguien lo ha perdido).

Para acabar, lo que se puede aprender de este incidente es la inmediatez, fuerza e influencia que pueden llegar a tener tanto los medios online como Internet en su conjunto, y la necesidad de contar con herramientas que eviten problemas similares y los detecten cuando se producen, tales como una adecuada formación del personal, sistemas de autenticación de material interno, sensores/escáners de contenido online, y como apunta Enrique Dans, un blog corporativo -convenientemente publicitado y actualizado- donde desmentir -o confirmar silenciosamente- rumores.

0day exploits

18 de mayo de 2007 Por

En estos últimos tiempos están muy de moda los “0day exploits”, esto es, exploits existentes y en uso, para los cuales aun no ha sido publicada la vulnerabilidad y por supuesto no existe parche al respecto.

Un administrador de sistemas puede pensar que las vulnerabilidades de seguridad siguen el siguiente patrón:

Un grupo de hackers descubren una vulnerabilidad
(pasan días)
El fabricante proporciona el parche de seguridad
(pasan meses)
El administrador de sistemas parchea sus servidores
(pasan meses)
Aparece el exploit y es explotado por gusanos y hackers
(pasan meses)
El administrador *que no ha parcheado* sufre una intrusión
y tiene un incidente de seguridad

Cuando en realidad, la secuencia que se sigue estos días con este tipo de exploits es la siguiente:

Aparece el exploit y es explotado por gusanos y hackers
(pasan días)
El administrador sufre una intrusión y tiene un incidente de seguridad

Así pues, no queda mas remedio que prepararse para el incidente, y para la segunda de las posibilidades en el ciclo de vida de las vulnerabilidades. Y en todo caso, tener presente que cualquier software de los que tenemos instalados en estos momentos puede ser vulnerable. La conclusión es que hay que tener siempre el menor número de servicios y servidores expuestos, de modo que la definición de “RED DMZ” sea la de “red en la que se ubican servidores que en algun momento van a ser hackeados“.

No por nada, la siguiente frase contradictoria tiene mucho sentido “Expect the unexpected!“.

Casa de Juegos

16 de mayo de 2007 Por

El pasado fin de semana estuve viendo por tercera o cuarta vez Casa de Juegos, de David Mamet; confieso que la recordaba mejor. Supongo que en cierto sentido, por eso el poeta cubano decía aquello de No vuelvas a los lugares donde fuiste feliz; nuestra memoria no siempre es fiel a la realidad. La película en cuestión es de hace ya veinte años, en la que Mike (Joe Mantegna) es un timador dispuesto a desvelarle los trucos y entresijos de su “oficio” a una psicóloga (Lindsay Crouse) demasiado curiosa.

En una de las escenas, ambos se acercan a una “tienda” de envío de dinero, se sientan y esperan al siguiente cliente. A los pocos segundos, un marine que tiene que volver a la base entra en el establecimiento. Justo en ese momento, Mike se acerca al dependiente y ostensiblemente se queja de que no hay noticias de su dinero, mientras el recién llegado observa la escena; en realidad, él no sabe que ese dinero no existe. Los siguientes minutos transcurren viendo cómo en una breve conversación el timador se gana la confianza de su víctima, lamentándose de su situación y comprometiéndose a que si su dinero llega antes que el del marine, le pagará el autobús para que pueda volver a la base. Finalmente, como era de esperar, el dinero del chico llega y éste se ofrece a darle parte de éste a Mike. Dinero a un desconocido a cambio de nada. ¿Qué hemos aprendido hoy?, le pregunta él a ella cuando salen del establecimiento (rechazando la oferta). A no fiarse de nadie, contesta él mismo.

No, no teman, no nos hemos convertido en un blog cinematográfico. Pero me pareció que esa escena es una buena forma de mostrar qué y cómo actúa a menudo la Ingeniería Social. Según Melissa Guenther, ésta puede definirse como «la adquisición de información sensible o accesos privilegiados por parte de terceros, a partir de la creación de falsas relaciones de confianza con personal interno de la organización», o en otras palabras, ¿porqué intentar forzar la puerta de atrás cuando pueden abrirte la principal desde dentro? Según esta autora, y para acabar, la ingeniería social se rige por los tres siguientes principios:

(1) El deseo de ser de ayuda,
(2) la tendencia a confiar en la gente, y
(3) el miedo a meterse en problemas (Le entiendo, pero si no me ayuda, voy a tener que dar parte a…).

No vamos a llegar hasta el punto de aconsejarles que, como suele decirse, no se fíen ni de su padre, ni es nuestra intención extender un estado de desconfianza entre las personas, pero por lo general, cuando se trate de temas de seguridad, desconfíen. Esa suele ser una buena política.

Dude

15 de mayo de 2007 Por

thedude.jpgHace unos días, buscando información en Internet, me topé con una herramienta llamada The Dude que se ejecuta en plataformas Microsoft Windows. Al verla no pude dejar de pensar en Nagios y en la solución que podría suponer para ciertos administradores de sistemas que no cuentan (o no quieren contar) con sistemas Linux en los entornos que gestionan.

La herramienta proporciona un mapa de red gráfico que nos indica con un código semafórico el estado del hardware, un sistema de notificaciones mediante pop-ups en el equipo donde reside la aplicación o mediante el envío de correo electrónico. Aunque el número de servicios a monitorizar es (hasta donde ví) muy limitado, es posible parametrizar los existentes y crear nuevos.

Actualmente, la versión estable es la Dude v2.2, pero ya existe en beta la versión Dude v3.0 beta 6. ¿Alguien se anima?

La dichosa tubería del agua

14 de mayo de 2007 Por

Hay que ver lo que nos esforzamos por no ver las cosas que tenemos delante de las narices. Creo que a veces, por evidentes, resultan complicadas de identificar. Nos gastamos una cantidad de dinero, a veces indecente, aunque por supuesto necesario, en proteger los activos de nuestras organizaciones adquiriendo sofisticados robots para las copias de seguridad, sistemas de detección de intrusos o el último sniffer para el análisis del tráfico de red, y cuando llega la hora de la verdad resulta que no tengo copias porque ha reventado una tubería bajante de aguas grises o negras que, casualidades de la vida, estaba en el falso techo justo encima del rack en donde se sitúa el robot de cintas. ¿Es mala suerte? Evidentemente no. Es muy importante tener en cuenta, a la hora de planificar la ubicación y las protecciones de nuestra sala técnica, considerar que no solo máquinas y sistemas garantizan la disponibilidad de nuestra infraestructura. Intervienen elementos diversos que tenemos que tener en cuenta

Hace algún tiempo recuerdo que fuimos a ver un local que nos interesaba. El local estaba muy bien situado, con una fachada estupenda. Una planta baja con una entrada espectacular y un entresuelo con mucha luz. El local estaba en perfectas condiciones, había sido una clínica privada y estaba muy cuidado. Los muebles prácticamente nuevos, la instalación de red muy correcta -aunque escasa- la instalación de aire acondicionado perfecta y la extracción de aire haciendo plenum en falso techo también muy bien, y de repente empezamos a sentir un olor extraño, una sensación de humedad inexplicable. Nos dirigimos, guiados por las personas que nos estaban enseñando el inmueble, hacia la zona donde estaba la pequeña sala de ordenadores y empezamos a sentir el ruido de un chapoteo a nuestros pies. La zona estaba completamente llena de agua. Había un par de centímetros de agua. Nos acercamos para identificar el punto exacto de la fuga de agua y la imagen fue espectacular, parecía sacada de un libro de “Seguridad Informática”. Era una de esas imágenes que te gustaría tener a mano cuando das una charla o cuando defiendes la necesidad de planificar el espacio para situar los equipos y proyectar las medidas de control y monitorización que deben tener.

Abriendo la puerta de la sala de ordenadores, una sala cerrada con llave -control de acceso- y con un equipo de aire acondicionado independiente, aparecía al fondo un rack con los equipos de comunicaciones que aún estaban en el mismo, los paneles de parcheo y algún equipo de electrónica de red. La sala estaba completamente llena de agua, y un chorro de agua caía de forma continua justo encima del rack con todo los elementos de comunicaciones y donde seguro se ubicaba no hace mucho tiempo los recursos corporativos de la clínica privada. Todos nos quedamos quietos en un primer instante. La imagen era curiosa. De los 700 metros cuadrados que tenía el local se había roto la tubería que pasaba justo por encima del rack que tenía los equipos. Finalmente una de las personas que nos estaban enseñando el local rompió el silencio y dijo lo que todos estábamos pensando: ¡¡Vaya casualidad!! Es la Ley de Murphy.

Y yo les pregunto a ustedes, ¿de verdad creen que es casualidad?

Microsoft y la Seguridad (esa gran desconocida)

11 de mayo de 2007 Por

Siendo éste un blog semi corporativo, entendiendo como tal un blog que representa a una empresa -S2 Grupo- pero que no es escrito por un departamento de marketing dedicado a ello, uno duda a veces sobre la forma de enfocar las cosas; ya saben que como decía Aristóteles, el punto medio es siempre una buena cosa, y a menudo no resulta conveniente abandonarse a los instintos y dejar que el lector se las apañe buenamente como pueda con ellos. Antes de acabar entenderán a qué me refiero.

El pasado 10 de mayo aparecía en ElPais.com la noticia de que «Microsoft quiere proteger a las empresas», cuyo primer párrafo comenzaba con esta ilustrativa, gratuita y subjetiva sentencia: «Las empresas de seguridad deben estar temblando al conocer la noticia de que Microsoft se ha marcado la meta de conquistar el mercado de las soluciones de seguridad para la empresa». Ni que decir tiene que me encantaría conocer la experiencia informática y conocimientos del sector del redactor de la noticia.

No tengo dudas, ninguna en absoluto, del poder que tiene el departamento de publicidad de Microsoft. Tampoco las tengo de los problemas que iniciativas como esta puedan traer para fabricantes de antivirus, cortafuegos o software anti spyware. Ya les digo que sobre eso no me cabe ninguna duda. Pero si me pusiese a hablar de todo lo demás, que es mucho teniendo en cuenta la imagen que da Microsoft en esto de la seguridad, acabaríamos aquí todos muertos de risa, y como les dije al principio, es mejor que me modere y mantenga la seriedad, y sean ustedes los que den rienda suelta a sus instintos, ahora que estamos en el esperado descanso semanal.

Así pues, buen -resto de- fin de semana a todos.

Programa Santiago

11 de mayo de 2007 Por

Supuestamente, el próximo año estará plenamente operativo el Programa Santiago (Ministerio de Defensa), cuyo objetivo principal es la captación de emisiones electromagnéticas y de imágenes en las zonas definidas como de interés estratégico para la seguridad nacional (Ingeniería de Sistemas Aplicada, capítulo 5: Análisis de riesgos durante la evaluación de ofertas en el programa Santiago). Poco sabemos de este programa, iniciado en 1986, clasificado secreto y del que apenas podemos encontrar información oficial (con excepción de los presupuestos que cada año se asignan al mismo), pero todo apunta a que se trata de la versión española de ECHELON.

Uno de los -presuntos- pilares de este programa es la estación de seguimiento de satélites Fresnedillas-Navalagamella (con un acceso físico fuertemente controlado por personal que impide incluso la toma de fotografías, doble valla y cámaras de seguridad); este centro -se pueden ver sus imágenes en Google Earth- dispone de al menos cinco antenas de unos 18 metros orientadas al sur. Si a estos datos unimos una de las conclusiones del informe final elaborado por la comisión europea que estudió ECHELON, que en su apartado 5.2.3 indica explícitamente que «si en una ubicación se encuentran dos o más antenas de recepción de satélites con un diámetro superior a 18 metros, una de sus tareas es la interceptación de comunicaciones civiles», parece obvio a qué puede dedicarse la estación mencionada.

¿Existe realmente un nivel de confidencialidad aceptable en nuestras comunicaciones? A priori, ni a los militares ni a los servicios de inteligencia les interesan de forma especial nuestras comunicaciones electrónicas (espero que dediquen su tiempo a interceptar comunicaciones que realmente puedan afectar a nuestros intereses globales, como las de grupos terroristas, las de países “poco amigos” o las de países “amigos”), pero si esos datos cayeran en otras manos estaríamos ante un grave problema. ¿Cómo se garantiza la seguridad en este caso? ¿Quién vigila al vigilante? Sin duda, es algo que deberíamos empezar a plantearnos…

Para saber más de este y otros temas, es muy recomendable el libro “Libertad Vigilada”, de Nacho García Mostazo (Ed. B), que aunque data de 2002 -una eternidad en nuestra era informática- sigue siendo de lo poquito publicado al respecto en nuestro país.

[Actualización 18/05/2007. Para los escépticos ávidos de fuentes “fiables”, aquí va un enlace al programa Santiago en la web del Ministerio de Defensa]

Boletín de seguridad Microsoft para Mayo 2007

10 de mayo de 2007 Por

El pasado 8 de mayo, Microsoft publicó su boletín de seguridad para el mes de Mayo. Las actualizaciones, que pasamos a referir a continuación, corrigen problemas de ejecución de código remoto.

Tres de las actualizaciones publicadas solucionan vulnerabilidades de la suite Office MS07-025 (934873) y de dos de sus aplicaciones, en concreto Word MS07-024 (934232) y Excel MS07-023 (934233). El software afectado es el de la versión 2000 y superior.

En los entornos de servidor tenemos tres vulnerabilidades, nuevamente, de Ejecución de Código, una para la plataforma Exchange MS07-026 (931832), otra para servidores de DNS MS07-029 (935966), y por último para el producto BizTalk MS07-028 (931906).

Por último, y como no podía ser menos, la joya de la corona: Internet Explorer. Actualización que se aplica en todas las plataformas, desde 2000 a Vista, y todas sus versiones, desde la 5.01 hasta la 7, MS07-027 (931768).

Como es habitual, antes de aplicar ningún parche debemos cerciorarnos de tener instalado en nuestro sistema el último Service Pack para el software que vamos a actualizar, y determinar que la actualización es necesaria en nuestro sistema. Una buena forma de comprobación es el uso de Windows Update o la herramienta MBSA.

La aplicación de actualizaciones acompañadas de sistemas de detección de software dañino, junto con unas pocas prácticas seguras, ayudarán a mantener la seguridad de nuestro sistema.

“Intención de voto”

9 de mayo de 2007 Por

¿Conocen ustedes estos “estudios” previos a las elecciones en los que se intenta averiguar la intención de voto de los, valga la redundancia, votantes? Imagino que sí. Y sí los conocen, entonces conocerán también su fiabilidad.

Hoy, al ver un estudio que el fin de semana pasado traía el Suplemento de Negocios de El País sobre la situación de la Seguridad Informática en las empresas me he acordado de ellos, y en breve van a ver por qué. Desgraciadamente no he podido localizar una copia en formato digital al que dirigirles, así que tendrán que ustedes que fiarse de mi palabra, o como suele decirse, consultar a su “hemeroteco” habitual. Déjenme que se lo resuma en unos cuantos datos:

» El 75% de las empresas cuenta con al menos una persona especializada y dedicada a tareas de seguridad informática.
» El 100% de las empresas realiza copias de seguridad; es decir, todas.
» El 96% tiene implantados aspectos relacionados con la política de contraseñas, el control de accesos y la protección de comunicaciones.
» El 92% tiene documentadas las medidas de seguridad sobre los datos.
» El 88% tiene algún tipo de gestión de continuidad y recuperación ante desastres.
» El 84% tiene identificados los activos de la empresa.
» El 81% de las empresas ha realizado alguna auditoría de la LOPD en los últimos años, mediante consultor interno o externo.

No es que yo dude de la representatividad del estudio llevado a cabo en El País -ese 100% ya da más de una pista-, pero sin querer ser irónico, o cuestiono aunque sea ligeramente los resultados, o me planteo en qué universo paralelo ha estado un servidor trabajando todos estos años, y no me negarán que esa es una interesante elección. Bueno, vale, admitamos que dudo; me gusta este universo.

En cualquier caso, ignórenme, ¿qué piensan ustedes acerca de cómo está “el patio” de la seguridad, en función de su propia experiencia?