Search Results for: cloud

RootedCON

Como sin duda todos nuestros lectores saben, la semana pasada se celebró en Madrid la segunda edición del Congreso de Seguridad Informática Rooted CON. Tras el éxito del año pasado, esta vez se localizó en el salón de actos del edificio de la Mutua Madrileña, buscando así un mayor aforo. Aun así, las entradas se agotaron antes incluso que se confirmaran las ponencias, una muestra más del prestigio que ha conseguido el evento a nivel nacional e internacional. Todo ello gracias al nivel de las charlas que impartieron los ponentes y a la organización, que han hecho un trabajo estupendo junto a los patrocinadores de la talla como Telefónica, Alienvault o S21sec entre otros. Desde Security Art Work les mandamos nuestra enhorabuena por el gran trabajo realizado :)

Las charlas trataron sobre temas variados, tocando tanto reversing, bases de datos, malware, descifrado de contraseñas, y temas actuales como cloud computing, SCADA o dispositivos móviles. Las diapositivas de las charlas están disponibles públicamente, y les invito a estudiarlas porque sin duda encontrarán más de una sorpresa. La organización ha prometido además publicar en breve los vídeos de las ponencias. ¡Estaremos atentos!

Paralelamente a las ponencias, la organización, con la ayuda de los patrocinadores, publicó un concurso de tipo CTF. Están preparando para abrirlo a cualquiera que quiera apuntarse, aunque las plazas serán limitadas. A pesar de la dificultad de las pruebas, recomendamos participar puesto que es una forma muy divertida de aprender con este tipo de retos. Además, el grupo ganador Painsec tiene previsto publicar el whitepaper con las soluciones del concurso.

Como siempre, estos eventos siempre dejan con ganas de más. Esperaremos con impaciencia la tercera RootedCON.

IX Foro de Seguridad de RedIris en Valencia

Durante la semana próxima, los días 9 y 10 de Marzo se va a celebrar en Valencia el IX Foro de Seguridad de RedIris, con el patrocinio de S2 Grupo. El anfitrión del foro será, en esta edición, la Universidad Politécnica de Valencia y el tema es “Seguridad en el Cloud Computing”.

Además del patrocinio, S2 Grupo participa con una ponencia de nuestro compañero Antonio Villalón.

Pueden consultar más información sobre el Foro, en el blog de ASIC de la UPV y el programa en el sitio de RedIRIS.

Tendremos ocasión de vernos si se pasan por allí.

Congreso ISACA Valencia 2010

Durante el día de ayer y hoy, se celebra en la Universidad Politécnica de Valencia el congreso ISACA Valencia 2010 organizado por el capítulo de Valencia de ISACA, que lleva como título “Esquema Nacional de Seguridad e Interoperabilidad y e-Administración”. Durante la jornada de ayer se realizaron una serie de conferencias dentro del marco del Esquema Nacional de Interoperabilidad y Seguridad, en las que S2 Grupo participó como ponente, y de las cuales, procedemos a realizar un pequeño resumen introductorio a continuación.

Protección de Marca

Nuestro compañero Antonio Villalón (S2 Grupo) planteó diversas cuestiones relativas a la reputación, tanto a nivel personal como a nivel de empresa, reflexionando acerca de los problemas actuales, los mismos que hace años pero elevados a la enésima potencia, debido al acceso global a la información donde todo el mundo puede opinar (en ocasiones amparados por una sensación de anonimato en la red), y recalcando que mi reputación no es algo que dependa únicamente de mí. Esta situación ha generado nuevos patrones de ataque no sólo sintácticos (virus, DoS, troyanos, etc), sino también semánticos (daño por la interpretación de la información que hace el ser humano). Para acabar, Toni nos ha sugerido que busquemos nuestro nombre en Internet para ver qué información existe de nosotros.

[Read more…]

Seguridad de la computación en la nube: el Hipervisor

Recientemente se ha publicado un informe de la Cloud Security Alliance en el que se destacan las principales amenazas o problemas de seguridad que se pueden encontrar en la utilización de la computación en la nube (también conocida por su sinónimo en inglés Cloud Computing). Como ustedes sabrán, la computación en la nube se basa en la externalización de toda la infraestructura utilizada por la empresa en sus procesos informáticos, de forma que un proveedor de servicios mantiene tanto el hardware como el software necesario, y proporciona al usuario un punto de acceso a toda esa infraestructura.

Como mantener una infraestructura separada para cada cliente es muy costoso, las empresas que proporcionan este tipo de servicios (llamados Infraestructure as a Service, o IaaS) utilizan técnicas de virtualización para rebajar costes y aumentar las posibilidades de escalado de sus sistemas. La virtualización permite en este caso compartir recursos del proveedor entre varios clientes. Pero estos recursos no suelen estar preparados para soportar los niveles de aislamiento requeridos por las tecnologías actuales de virtualización. Para salvar este bache y controlar los recursos que se asignan a cada cliente, los entornos de virtualización disponen de un sistema (llamado Hipervisor) que actúa de mediador entre los sistemas virtuales de los clientes y el sistema principal.

Este hipervisor añade otra capa de abstracción, lo que genera un punto de fallo más además de los puntos de fallo en aplicaciones y sistemas operativos controlados habitualmente. Pero lo importante de este punto de fallo es su criticidad, ya que podría permitir puentear el hipervisor y acceder de forma directa a la infraestructura física, obteniendo acceso a todos los datos del equipo físico (incluidos datos de otros clientes). Esto ya ha sido demostrado anteriormente, con los prototipos de malware llamados Red Pill y Blue Pill de Joanna Rutkowska, y en las conferencias BlackHat de los años 2008 y 2009.

Una vez conocido este problema y la amenaza que supone para la seguridad de nuestros datos, el siguiente paso consiste en mitigarlo. En esta linea se pueden realizar las siguientes acciones:

  • Implementar sistemas de “mejores prácticas” de seguridad durante la instalación y configuración de los sistemas y aplicaciones.
  • Llevar un control exhaustivo del entorno para detectar actividades y cambios no autorizados tanto en las tareas y procesos habituales como en los datos almacenados en los sistemas virtualizados.
  • Promover controles de autenticación y acceso muy estrictos para el acceso y realización de operaciones administrativas.
  • Implantar de Acuerdos de Nivel de Servicio (SLA) para la aplicación de parches y corrección de vulnerabilidades.
  • Realizar análisis de vulnerabilidades y auditorías de la configuración de forma periódica.

Para concluir, cabe resaltar la importancia que está cobrando la computación en la nube en estos momentos, con lo cual detectar y solventar estas y otras amenazas es crucial para adaptarse a las necesidades de seguridad del usuario, y dotar al servicio de las garantías necesarias en esta materia.

Sincronizarse es de sabios

Cuando planificamos y realizamos copias de seguridad de datos y servidores de nuestro negocio, no es raro que a menudo nos olvidemos de una parte no menos importante que la información alojada en los propios servidores y, a veces, vital: las bases de datos PIM (Personal Information Management) .

Sólo en el caso que dispongamos de terminales móviles tipo Blackberry, y que éstos estén sincronizados con un servidor BES (Blackberry Enterprise Manager), podemos sentirnos medianamente seguros que nuestros datos están replicados. Dependiendo de nuestra instalación, este servidor de sincronización puede estar compartido por la compañía telefónica que nos provee el servicio, o podemos tener uno propio dentro de nuestra infraestructura. Por esta razón, este sistema es uno de los más usados en las grandes organizaciones. Los terminales móviles tienen conexión permanente con el servidor BES, y la aplicación directamente absorbe los datos del propio servidor de correo/PIM (que puede ser un Microsoft Exchange o IBM Lotus Domino). Una de las opciones más interesantes de esta infraestructura es que, en el caso de pérdida de un terminal, el administrador del sistema puede borrar en remoto el contenido del dispositivo e incluso dejarlo inutilizable, aspecto que para empleados que gestionan información sensible puede ser tremendamente útil.

Dejando atrás las ventajas de Blackberry (les aseguro que no me llevo comisión), la mayoría de ustedes seguro que usan algún cliente de correo en sus ordenadores personales, que además integra una libreta de contactos, una agenda, gestión de tareas, etc. Y seguro que también habrán sido víctimas de una pérdida de datos de este tipo de información, lo que suele ser un auténtico desastre para el que la sufre. Es ya un clásico esa típica reinstalación del sistema operativo por razones de actualización del SO, o simple reubicación del equipo, en la que siempre solemos olvidar copiar la ruta escondida que alberga estos datos.

Uno de los recursos más usados para replicar esta información y evitar de esta manera la pérdida de datos es la sincronización con nuestros dispositivos móviles. Hoy en día, casi todos los móviles sincronizan con la mayoría de las aplicaciones a las que hacíamos referencia. Es una buena manera de tener siempre los datos disponibles estemos donde estemos y además, replicados.

Para esta replicación se usan múltiples vías. Lo más fácil y rápido es mediante la conexión USB, otros mantienen la réplica siempre activa por Bluetooth, y los más avezados usan sincronizaciones OTA (Over The Air). Por supuesto, lo más recomendable desde el punto de vista de la seguridad es instalar nuestro propio servidor de sincronización, pero la mayoría opta por soluciones Cloud Computing en servidores de terceros, que añaden la ventaja de una sincronización automática. No hay lugar para el olvido ni el descuido por nuestra parte, ya que nuestro terminal móvil sincroniza cada cierto tiempo con el servidor.

Como ejemplo, y por ser una de las soluciones más implantadas, podemos hacer referencia al protocolo SyncML, que es capaz de sincronizar casi todas las aplicaciones correo/PIM con la mayoría de dispositivos móviles. Hay todo tipo de aplicaciones que realizan esta función: Funambol, Anywr, Vufone, etc. Algunos son OpenSource y otras son soluciones comerciales; incluso Google o la propia Microsoft se han subido al carro, con su Microsoft Phone Data Manager aún en fase Beta.

Lo cierto es que cada vez más compañías telefónicas disponen de ofertas para conexiones 3G y ya se empiezan a encontrar tarifas planas (o casi) a precios antes impensables (o casi). Y si tenemos conexión permanente en nuestro terminal, ¿por qué no vamos a sincronizar su contenido? Y aquí llega la eterna disyuntiva. ¿Nos fiamos de por dónde pasan nuestros datos? ¿Nos fiamos de quien los aloja? Volvemos a poner en la balanza el dueto usabilidad vs. seguridad. ¿Son nuestras entradas de agenda y contactos lo bastante sensibles para no “volar” por servidores de terceros? ¿Qué pasa si perdemos nuestro móvil o se nos borra toda la información almacenada en él?

Para ustedes, ¿qué riesgo es más asumible?

Black Hat USA ’09

bhComo todos los veranos, este año se ha celebrado la Black Hat, un conjunto de conferencias donde se desvelan las ultimas tendencias en seguridad, cubriendo con detalle la parte técnica aunque también cada vez mas la parte organizativa y social. Aunque desgraciadamente no he podido asistir a estas charlas, tantos los papers comos los slides están disponibles en la web en la parte de archivos Blackhat.

Muchos equipos investigadores esperan a este evento para desvelar sus descubrimientos, por lo que creo que son de lectura obligatoria para aquellos que quieren ver por dónde van las ultimas tendencias y el “state of the art” en el mundo de la seguridad.

Tras echar un vistazo a las presentaciones, uno tiene la impresión que nada es seguro, ya sean teléfonos móviles, parquímetros, infraestructuras eléctricas, medidas antihacking, certificados SSL, la virtualización, la nube, o cualquier tipo de hardware que puedan imaginar. Los malos pueden incluso leer tu teclado desde el enchufe de tu ordenador, así que la única opción parece ser volver a las cuevas. En fin, que para cualquier “maldad” que puedan imaginar ya hay quien se dedica a aplicarla… y en estas charlas se pueden ver muchas de ellas.

[Read more…]