Blog de Seguridad de la Información de S2 Grupo
En la entrada de hoy hablaremos sobre una técnica relativamente vieja (aunque programas como Signal la han empezado a utilizar hace relativamente poco) y que siempre me ha parecido un hack muy “astuto”: el domain fronting.
Por ejemplo, tomemos la dirección IP del frontal que nos sirve www.google.es:
$ host www.google.es www.google.es has address 216.58.210.227
Vamos a fijarnos en el campo Common Name (CN) del certificado TLS que nos devuelve el servidor: [Read more…]
Últimamente hay términos como IoT, Big Data o Cloud Computing, que están en boca de todos por tratarse de tecnologías emergentes que ya se hacen su sitio entre organizaciones y usuarios. El entorno industrial no es una excepción y a medida que va incorporando estas tecnologías, emerge la industria 4.0. En esta serie de posts se tratarán aquellos temas concernientes a este concepto.
Desde su origen, la humanidad ha hecho uso de los medios técnicos que tenía a su alcance para poder mejorar su calidad de vida. Este proceso alcanzaría a finales del siglo XVIII una gran aceleración con la primera revolución industrial.
Caracterizada por la llegada de la máquina de vapor y respaldada por los muchos avances de la ciencia y la tecnología, la revolución industrial supuso una transformación profunda de una sociedad que se beneficiaba de los mayores avances vistos desde el neolítico.
[Read more…]
Siempre he tenido una excelente opinión de los informes de Gartner. Principalmente porque han dado en el clavo cuando han evaluado productos o servicios que yo conocía bien.
Este pasado junio han presentado en su evento de Maryland las “Top 10 Technologies for Information Security” de 2016. Voy a comentarlas en este post:
1. – Cloud access security brokers (CASB)
El uso de servicios IT en la nube es imparable; tanto por su rapidez de despliegue, como por la reducción de costes. Esto, en general, supone un dolor de cabeza para los responsables de seguridad que pierden visibilidad y control. Para ello se implantan sistemas que permitan forzar políticas, monitorizar comportamientos y gestionar riesgos, de acuerdo a las necesidades del CISO.
[Read more…]
La palabra privacidad se ha introducido en nuestro vocabulario y en nuestras vidas. Está de moda: leyes que tratan de privacidad, medios que no dejan de mencionarla, nos lo recuerda Google, es algo configurable en las redes sociales y los navegadores, nos mandamos «privados», las páginas web tienen una «política de privacidad», etc.
El término privacidad según la RAE significa: «ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión». La privacidad es todo lo que concierne a nuestra esfera personal frente a nuestra dimensión pública o profesional. Y además, tenemos derecho a protegerla.
Pero en internet los datos de nuestra esfera personal: dónde vivimos, qué nos gusta, si tenemos pareja, por dónde nos movemos, qué compramos, nuestra ideología, enfermedades, etc. no son tan privados. Está claro que nuestra actividad en internet deja una huella que algunos utilizan para personalizar la publicidad que nos ofrecen y otros, con mala intención, para enviarnos mensajes de phishing personalizados.
Esta semana IBM anunció que va a dedicar a la ciberseguridad una nueva versión basada en cloud de su tecnología cognitiva, Watson. Este sistema de inteligencia artificial (IA) se hizo famoso al competir en 2011 en un concurso en la televisión estadounidense de preguntas, Jeopardy!, y derrotar a sus dos oponentes humanos, como en 1997 lo hiciera DeepBLue a Gary Kaspárov jugando al ajedrez.
Watson será entrenado, con la ayuda de un puñado de universidades, en el lenguaje de la ciberseguridad. Su objetivo es aprender los detalles de los resultados de las distintas investigaciones en seguridad para descubrir patrones y evidencias de ataques encubiertos y amenazas ocultas que de otra forma pasarían desapercibidos. Con ello se pretende optimizar las capacidades de los analistas en seguridad utilizando sistemas cognitivos que automaticen la búsqueda de conexiones entre los datos, las amenazas emergentes y las distintas estrategias de protección. De esta forma, dicen, la “seguridad cognitiva” generará hipótesis, razonamientos basados en evidencias y recomendaciones para mejorar la toma de decisiones en tiempo real.
Hoy tenemos un post de Rafa (@goldrak), en el que nos presenta la tercera edición del Congreso de Seguridad Informática Morteruelo CON, que tendrá lugar los días 12 y 13 de Febrero en Cuenca y del que S2 Grupo es patrocinador.
Las Jornadas de Seguridad Informática MorterueloCon se celebrarán este año en el campus de Cuenca, presentando su tercera edición en los días 12 y 13 de febrero, totalmente gratuitas gracias a nuestros patrocinadores.
Como en años anteriores, tienen como objetivo concienciar a los estudiantes, empresas y usuarios en general de la importancia de utilizar medidas de seguridad cuando se pretende tener presencia en Internet, dando además un enfoque técnico sobre la materia también a profesionales de este sector. Para ello, dispondremos de 13 charlas y 7 talleres donde se hablará de ciberseguridad a diferentes niveles.
Por Kranya Berrios y Samuel Segarra:
¡Cumpleaños feliz, cumpleaños feliz, te deseamos todos, cumpleaños feliz! El Día de la Protección de Datos en Europa celebra su décimo aniversario y es por ello que queremos dedicarle la presente entrada (y darle un cariñoso tirón de orejas).
¿Qué celebramos hoy?
No, no es el décimo cumpleaños de la LOPD, tampoco lo es de la directiva 95/46/CE, que nadie se confunda. El DPD (del inglés, Data Protection Day, también conocido como Data Privacy Day en EEUU) es una jornada para difundir entre la ciudadanía los derechos y obligaciones en materia de protección de datos.
Nosotros hemos sido muy buenos y nos hemos portado muy bien, o eso creemos. Sin embargo, en el mundo de la ciberseguridad hay otros que se han portado muy mal y según los pronósticos de los expertos, este año que comienza se portarán aún peor. Por eso os pedimos estos regalos para poder hacer frente a las principales amenazas y tendencias que veremos en 2016:
IoT con mayor seguridad. Controlar los objetos que nos rodean desde nuestro smartphone está muy bien, lo que no podemos permitir es que a través de las conexiones de estos objetos nos controlen a nosotros. Esto es lo que puede suceder en 2016 si la industria del IoT continúa desarrollando sistemas de conexión a Internet para relojes, pulseras de actividad, televisores, termostatos, coches y hasta monitores para bebés sin tomar en cuenta la seguridad de los mismos. A medida que su popularidad crece, estos objetos se hacen cada vez más atractivos para los ciberdelincuentes porque representan accesos fáciles a los móviles de los usuarios, el verdadero objetivo, que a su vez son las puertas a otros botines más suculentos como puede ser la información clave de una organización.
Es por ello que debemos ser prudentes a la hora de utilizar estos maravillosos artefactos y esperemos que mejoren sus sistemas de seguridad este año.
Soluciones para librarnos de hardware infectado. Según los expertos en malware, durante 2016 los ataques perpetrados a través de firmware infectado crecerán en popularidad. El firmware es el software que maneja físicamente al hardware y el que carga el sistema operativo. Este tipo de infección, al estar oculta en el firmware, permanece a pesar de que se formatee por completo el hardware y se reinstale el sistema operativo, convirtiéndose en un problema persistente para quien tenga la “suerte” de toparse con él en un disco duro o USB, por ejemplo.
Este método ya lleva varios años utilizándose, sin embargo, se pronostica que su uso se extenderá en 2016 porque en el mercado de la ciberdelincuencia se comienzan a comercializar herramientas y asistencia para facilitar su aplicación como es el caso del UEFI rootkit.Aunque existen ciertas soluciones para este malware, esperemos que este año salgan a la luz opciones más sencillas y accesibles para todos.
No ser víctima del ransomware. El secuestro de un ser querido es una de las cosas más terribles que puede vivir una persona, y aunque nuestra información no es una persona sí puede ser lo suficientemente valiosa como para hacernos pasarlo muy mal si somos víctimas de un ransomware. Como es un negocio muy lucrativo, se prevé que esta forma de malware aumente en 2016 ampliando su target a sectores industriales, financieros y gobiernos locales de países ricos donde las víctimas puedan pagar rápidamente un rescate para recuperar su información. El desarrollo continuo de nuevas formas de infección hace aún más difícil luchar contra el ransomware.
Uno de los problemas es que bo es suficiente evitar enlaces maliciosos, con solo visitar una página web aparentemente inofensiva podemos caer en la trampa. Sin embargo, existen algunas medidas que podemos aplicar para evitarlo como mantener actualizados nuestros navegadores y usar plugins que nos indiquen la reputación de los sitios web que visitamos.
Más concienciación en ciberseguridad. Aun cuando la ciberseguridad empieza a ser un tema popular tanto en medios de comunicación como en empresas, organismos públicos y otras organizaciones, el uso cada vez mayor de dispositivos móviles tanto en el ámbito personal y laboral exige estar al día para evitar las nuevas amenazas que tienen como objetivo estos medios. Es muy “normal” que nos instalemos una app sin leer la información y funcionalidades que requiere para funcionar, o que demos acceso a toda nuestra información sin pensar dos veces en las consecuencias.Los móviles representan para los ciberdelincuentes puertas de entrada a la información clave de una organización y se prevé que para el 2016 los ciberataques a través de estos dispositivos aumenten en paralelo con su uso.
Cloud segura. Estamos cada vez más en la nube y eso nos permite disfrutar de grandes beneficios pero también nos exige poner los pies en la tierra si no queremos quedar expuestos a grandes riesgos como, por ejemplo, encontrar que nuestra información “privada” está siendo indexada por Google. En 2016 la nube estará en el punto de mira de los ciberdelincuentes porque se prevé que cada vez más empresas usen repositorios de información en la nube. Algunas de ellas sin considerar las medidas de seguridad que implementan para salvaguardar su información, lo que se presentará como un factor clave a la hora de seleccionar un proveedor de servicio.
Debemos ser muy cuidadosos y exigentes a la hora de seleccionar a nuestros proveedores y configurar el servicio. Y por otra parte, esperemos que los proveedores continúen mejorando sus sistemas de seguridad para garantizar la debida protección y privacidad de los datos de sus clientes.
No más passwords =) Olvidarnos de hacer combinaciones de caracteres alfanuméricos rocambolescas para cada uno de nuestros dispositivos y aplicaciones que después no recordamos y que pueden ser descubiertas con facilidad parecía un sueño inalcanzable, pero en 2016 quizás ya sea una realidad.Todo parece indicar que nuevos métodos de autenticación más seguros, eficientes y amigables basados en sistemas biométricos, geolocalización, proximidad de Bluetooth y pictogramas serán puestos en nuestras manos por las grandes compañías tecnológicas.
Lucha contra el terrorismo y la violencia en Internet. El ataque terrorista de Paris ha sido uno de los sucesos más tristes e impactantes de 2015, pero es solo la punta del iceberg de un fenómeno que tiene años y en el que han perdido la vida muchas personas en diferentes partes del mundo: el surgimiento del llamado “estado islámico”, en el cual Internet y especialmente las redes sociales han servido de medios de difusión y captación de nuevos adeptos.Resulta curioso que en Facebook no puedas publicar fotos de desnudos pero sí de armas.
Esperemos que en 2016 los gigantes de Internet como Google, Facebook y Twitter, sin vulnerar la privacidad de sus usuarios, claro está, colaboren y se comprometan de manera más activa a la hora de detectar y neutralizar a grupos violentos en general.
Aplicaciones y sistemas de seguridad amigables y chulos. Basta ya de aplicaciones y sistemas de seguridad incomprensibles, espantosos y pesados. Gracias a que la seguridad de la información cobra cada vez más importancia para organizaciones y personas en general, el desarrollo de soluciones potentes pero también centradas en el usuario con diseños atractivos, intuitivas y fáciles de usar está en auge. Un ejemplo de ello son los nuevos sistemas de autenticación que comentamos ya anteriormente. Para los desarrolladores, la usabilidad y el diseño han dejado de ser aspectos secundarios y se han convertido en una prioridad para poder competir con otras opciones en el mercado.
Esperemos que esta tendencia aumente en 2016 y así los sistemas de seguridad dejen de ser definitivamente un pesado y feo lastre para el usuario.
Y podríamos continuar con muchas cosas más pero no os queremos agobiar, queridos reyes magos. Ya sabemos que vendréis bastante cargaditos este año así que nos despedimos deseándoles a todos nuestros lectores un 2016 lleno de seguridad pero también de muchos éxitos.
Se les quiere ;)
Fuentes:
Hace poco estuve trasteando con un juguetito nuevo que me regalaron y se trata del USB Rubber Ducky. Sí, con qué poco se puede mantener a un friki entretenid@ durante días! (Señores Reyes Magos, este año he sido muy buena también, ejem ejem).
De forma resumida, USB Rubber Ducky es una herramienta hardware de hacking, internamente tiene un procesador, aunque a simple vista parece un USB, aunque emula ser un teclado, de tal forma que cuando se conecta a un ordenador/dispositivo éste lo reconoce como un teclado y ejecuta las instrucciones que tenga cargadas en una memoria SD que lleva.
La gestión de identidades y acceso está cambiando. Los sistemas que la soportan manejan datos muy diversos: cuentas, permisos, roles, políticas de acceso, flujos de trabajo y actividad de los usuarios. Los datos de gestión de identidad y acceso están dispersos en distintos sistemas y aplicaciones. Además si se manejan muchas identidades, roles y perfiles o si estas son muy activas el volumen de datos es importante.
A pesar de ser tan diversos, dispersos y de gran volumen, ha habido grandes avances de interoperabilidad en el intercambio de estos datos, motivados en gran medida por:
