martes, 25 de octubre de 2005 0 comentarios

Día de Internet

Hoy 25 de octubre es el día de Internet.

Y es que este tipo de celebraciones sirven para sacar pecho aunque en nuestro caso, parece que las estadísiticas no son muy favorables. Respecto al número de ciudadanos conectados a Internet no somos de los paises que destacan. Ahora que yo tambien me pregunto si ese dato es realmente el significativo.¿Es directo tener Internet con realmente sacarle partido a su uso?

Porque por un lado tenemos campañas que criminalizan Internet como el medio en donde habitan las redes P2P, la pedofília, las comunicaciones entre terroristas y por otro a las operadoras vendiendo que gracias a Internet se accede a música, películas, etc... pero ocultado que los contenidos comerciales son de pago.

Además, nuestros precios de conexión y anchos de banda obtenidos tampoco son de los mejores. Leo via Blog de Héctor García Puigcerver , un alicantino viviendo en Japon, que las tarifas con NTT (El equivalente a Telefónica pero en Japón):
-> Conexión a 8 Mbps (Lo mínimo) : el equivalente a 35 Euros al mes
-> Conexión a 50 Mbps: 45 Euros/mes
-> Conexión a 120 Mbps: 60 Euros/mes

Somos uno de los países con cuota de conexión más alta y los contenidos didácticos como la música y el cine obtenidos lícitamente son de pago.
Realmente es ¿Internet para todos?.

Además, y lo que más me preocupa. ¿Se está enseñando y formando al ciudadano de turno sobre el uso (correcto y seguro) de estas nuevas tecnologías? Porque la aparición de fenómenos como el spam o el phishing necesitan de inocentes víctimas y por desgracia existen y no son pocas. Creo que en vez de gastar dinero en campañas de publicidad para celebrar Internet más nos valdría poner PC-escuelas en las ciudades para enseñar a manejar bien este nuevo avance que es Internet.
0 comentarios

DLL files

A menudo por instalar y desinstalar programas se fastidia siemrpe alguna DLL o se machaca una version nueva con otra anterior, teniendo como efectos colaterales e indeseados que el programa o el sistema deja de funcionar.

Pues hoy tratando de solucionar un problema de estos, he encontrado una Web, Dll-files.com en donde se pueden encontrar y descargar las últimas versiones de las dll de Windows.

Ha sido localizar la que me estaba dando error, bajarla e instalarla en la ruta adecuada y listo. Dado su interés general, aquí la he posteado.
lunes, 24 de octubre de 2005 0 comentarios

PRTG Traffic Grapher

El bri-consejo de la seguridad de hoy está orientado a la monitorización de nuestro PC. El software PRTG Traffic Grapher sirve para monitorizar el tráfico por protocolos.

Esto nos permite un diagnóstico por anomalía. Si más o menos somos conscientes del uso que hacemos del PC, con un simple vistazo de las gráficas podremos saber si pasa algo raro o todo es correcto.

Aunque la versión FREEWARE solo permite instalar un sensor, configurando adecuadamente los protocolos a vigilar creo que se tiene más que suficiente. El aspecto del panel de control de la herramienta tiene el siguiente aspecto:



Descargas en: PRTG Free downloads
sábado, 22 de octubre de 2005 0 comentarios

Nuevo canal de comunicacion

He creado la cuenta de correo seguridaddelainformacion'at'gmail'dot'com para proporcionar un canal para realizar consultas, preguntas o lo que sea.

Seguro que el spam es lo primero que entra.

viernes, 21 de octubre de 2005 2 comentarios

III Aniversario del Blog

Parece que fuera ayer y ya cumple tres años este blog. Aunque es relativamente poco tiempo, el ir anotando periódicamente los eventos más importantes tiene su utilidad. Este registro o log permite analizar pasado el tiempo la evolución o tendencia tanto del autor como de la temática tratada.

Desde Seguridad para usuarios creado con un ánimo didáctico para tratar de proteger o aconsejar al usuario de a pie sobre las principales amenazas que se ciernen sobre su equipo cuando se contecta a Internet hasta la actualidad, el ánimo del autor siempre ha sido el mismo, tratar de poner luz en la oscuridad. Y es por eso que este nuevo aspecto utiliza un "Faro" como símbolo, porque la seguridad no es oscurantismo, no es información oculta y para privilegiados, debe ser algo compartido porque cuanto más se sepa más protegidos estaremos.

El desconocimiento o la oscuridad siempre disminuyen la percepción final del riesgo y eso nos hace más vulnerables. Siempre con la máxima de aplicar el sentido común, uno debe pensar ya en tener al menos unas medidas de seguridad básicas que le permitan aguantar frente a las constantes llegadas de nuevas amenazas. Y aunque estas también van evolucionando, la formación y la concienciación siguen siendo una de las mejores armas.

Para contribuir a eso existe este blog. Confío en que este objetivo se esté alcanzando.

Un saludo y gracias a quien me lea.
jueves, 20 de octubre de 2005 0 comentarios

ISO 27001:2005

El viernes 14 de este mes ha sido publicada la norma BS 7799-2 como la nueva norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".

Esta noticia abre un nuevo periodo en la Seguridad de la Información, consolidádola como área de conocimiento necesaria para garantizar en el siglo XXI el nuevo elemento de valor de las organizaciones: LA INFORMACIÓN.

Garantizar seguridad es un trabajo costoso y muy poco agradecido. Si todo va bien, nadie valora el esfuerzo realizado y si todo va mal, todo el mundo te señalará como culpable.

Pese a ello, esta disciplina ha madurado a ritmos muy acelerados. En los 6 años ya que llevo dedicado a esto he visto como actividades como las que me iniciaron a mi, el análisis de riesgos, se han incorporado tanto a actividades relacionadas con el desarrollo software como a actividades relacionadas con la gestión de sistemas de información.

Y si todo va tan rapido sólo tiene que se por un motivo, es necesario.

En los años 90 se desplegaron los esfuerzos por informatizar los sistemas de información, preocupandose únicamente por garantizar la disponibilidad de los sistemas. Y es verdad que la disponibilidad es una de las patas de la seguridad, pero el resto puede que no sean menos importantes. La ausencia del resto de propiedades y la no consideración de estas como requisitos de diseño nos ha llevado a ir arrastrando lacras relacionadas con constantes incidentes de seguridad. Y es que cuando la información es dinero siempre habrá gente que busque talones de Aquiles con los que satisfacer su ánimo de lucro.


Esta nueva norma INTERNACIONAL y CERTIFICABLE puede servir para definir cuales son los procesos necesarios para garantizar una correcta gestión de información e implantar en las empresas del siglo XXI una nueva necesidad, la calidad en el tratamiento de información, la gestión de la calidad en el uso de información que es nada más y nada menos, la GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

Es más, es tal el nuevo panorama que se avecina en relación a los sistemas de información, que las tradicionales tres patas de la seguridad ahora se ven ampliadas a siete.
- Disponibilidad: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
- Integridad de los datos: Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.
- Confidencialidad de los datos: Asegur que la información es accesible sólo para aquellos autorizados a tener acceso.
- Autenticidad de los usuarios del servicio: Asegurar la identidad del usuario autorizado.
- Autenticidad del origen de los datos: Asegurar la identidad u origen de la información.
- Trazabilidad del servicio: Asegurar que en todo momento se podrá determinar quién hizo qué y en qué momento.
- Trazabilidad de los datos: Asegurar que en todo momento se podrá determinar quién qué y en qué momento se trataron los datos.

Cada vez está más claro que esto de la seguridad es una disciplina que por su complejidad y contenido, requiere de profesionales que se dediquen plenamente a ella y que sepan de ahora en adelante, construir sistemas de seguridad de la información, como si fuera una ingeniería robusta donde los criterios de construcción estan claros pese a la desigualdad existente entre el rol del que defiende y el rol del que ataca.

"Quien ataca sólo tiene que encontrar un punto débil y aprovecharlo. Quien defiende deberá buscar todos los potenciales puntos débiles y defenderlos".

En este III Aniversario de este blog, que creo cada vez tiene más sentido, quiero dejar constancia de esta nueva era que se avecina para los que nos dedicamos a esto, y que por fin ahora surje como algo medible, controlable y sobre todo, gestionable. Y por ello, quiero también anunciar la aparición de un segundo blog centrado ya en la problemática de la gestión de la seguridad que aunque está todavía en pañales, pronto dotaré de contenidos relacionados solo con los SGSI.


Puede verificarse la publicación de la norma en la Web de la ISO, en concreto la información relacioanda con esta norma se encuentra en ISO 27001:2005.
miércoles, 19 de octubre de 2005 2 comentarios

Gestión de contraseñas

Dado que esta semana mi blog va a cumplir su tercer aniversario, voy a intentar publicar con algo más de asiduidad en los días que restan para tal conmemoración. También estoy intentando refrescar su imagen con algunos pequeños cambios como el tipo de letra o algun banner que acabarán el viernes 21 que es el día del tercer aniversario. Ese día publicaré una noticia de muy alta relevancia para la seguridad de la información de la que es objeto temático este blog.

Recuerdo bien que uno de mis primeros post estuvo relacionado con definir criterios y consejos para establecer buenas contraseñas. Posteriormente he publicado algún consejo más sobre como elegir contraseñas robustas y fácilmente recordables pero hasta la fecha no había recomendado ningún programa que diera soporte al tema.

Hoy he descubierto y probado vía Genbeta el programa Kee-pass.

Un software GPL para Windows y PPC que permite conociendo una unica contraseña, acceder a nuestro repositorio de contraseñas. Todos pensaréis que tener una única contraseña que guarda el resto puede ser también un peligro, pero también es cierto que como solo podemos recordar bien una o dos contraseñas, utilizamos siempre la misma para todas las cuentas y creo sinceramente que esto es mucho peor. El programa además, dado que custodia nuestra información más confidencial, utiliza algoritmos de cifrado conocidos y robustos (hasta la fecha) como son AES y Twofish.

Como se dispone de version Windows y Pocket nos permite tener siempre a mano, tanto en el PC de casa como en la pocket, las contraseñas. Además incorpora un generador de contraseñas robustas que siempre son mucho más dificiles de recordar pero que con este software resulta algo trivial.

Puede descargarse tanto el software como el codigo fuente en: Keepass-sourcefourge.
martes, 18 de octubre de 2005 0 comentarios

Phishing via SMS

Aunque hace tan solo 10 días posteaba información relacionada con la extensión de ciertas plagas de malware (spam, scam, virus, etc.) a los teléfonos móviles, leo vía Bruce Schneier Blog que ya empiezan a materializarse algunas de estas amenazas. La noticia informa de un usuario de móvil recibió un sms que le notificaba el haber realizado operaciones con su tarjeta bancaria por un valor muy alto. El mismo mensaje indicaba el teléfono en donde informarse sobre el detalle de la operación. Inmediatamente se apresuró a llamar en donde le solicitaron su identificador de acceso y contraseña para posteriormente pasar la llamada a otro sitio en donde ya nadie respondió.
Mientras, accedieron a su cuenta y traspasaron la mayor cantidad posible.

La noticia completa puede leerse en: Phishing via SMS
0 comentarios

Recursos Technet de Seguridad

Los boletines Technet de Microsoft son una fuente interesante para mantenerse actualizado y para conocer las novedades tanto en materia de avisos de seguridad como de herramientas específicas que solucionan problemáticas concretas.

Microsoft en cambio de estrategia para abordar la seguridad de los sistemas de información ha encontrado el correcto camino al orientar esta problemática hacia lo que es la "gestión de la seguridad en los sistemas de información".

Con este enfoque ha construido su propia metodología de gestión de riesgos y aplica esta filosofía en cualquier propuesta de resolver problemas.

Los enlaces que hoy referencio, corresponden a partes del Technet de Seguridad donde se detallan acciones tácticas y operativas para la gestión del riesgo en diferentes problemáticas concretas frente a amenazas puntuales como el robo de equipos, el hacking, etc... o acciones relacionadas con las actividades de la operación de la seguridad que aparece en su Microsoft Operation Framework (MOF).
Los enlaces son:

- Microsoft Security Managemenet orientado a acciones puntuales para la gestión de diferentes riesgos.
- Security Tip of the Month donde se resumen trucos, opciones de configuración o aplicaciones que contribuyen a implantar una mejor seguridad de la información.
jueves, 13 de octubre de 2005 0 comentarios

Planos directivos en materia de seguridad de la información

Cualquier operación y construcción de un sistema de defensa distingue en diferentes niveles sus operaciones, en virtud del alcance y plazo de ejecución de las actividades. Estos son: actividades estratégicas, tácticas y operativas.

A continuación se ilustran las definiciones del diccionario de cada una de ellas.
- estrategia.(Del lat. strategĭa, y este del gr. στρατηγα).1. f. Arte de dirigir las operaciones militares.2. f. Arte, traza para dirigir un asunto.3. f. Mat. En un proceso regulable, conjunto de las reglas que aseguran una decisión óptima en cada momento.

- táctica.(Del gr. τακτικς, der. de τσσειν, poner en orden).1. f. Arte que enseña a poner en orden las cosas.4. f. Método o sistema para ejecutar o conseguir algo.

- operativa.1. adj. Dicho de una cosa: Que obra y hace su efecto.2. adj. Preparado o listo para ser utilizado o entrar en acción.

De esta misma manera, la Gestión de Seguridad de la Información debe estratificarse en los siguientes bloques:

• Seguridad Estratégica: orientada a la gestión del riesgo.

• Seguridad Táctica: preocupada de la planificación y la gestión del cambio. Debe actualizar constantemente las medidas de seguridad a las necesidades detectadas y a los nuevos riesgos aparecidos y de dotar a la organización de una "cultura hacia la seguridad".

• Seguridad Operativa: responsable de implantar medidas, monitorizar el buen funcionamiento, resolver incidentes y controlar la buena salud de los procesos. Este tipo de seguridad está directamente relacionado con la seguriadad informática.

Esta gestión se basa en un enfoque global dividido en áreas específicas de trabajo, siempre teniendo en cuenta la orientación hacia la actividad de la empresa y sus métodos de trabajo.

La seguridad no es un producto: es un proceso continuo que debe ser controlado, gestionado y monitorizado. Como tal la seguridad tiene un objetivo que es garantizar el buen funcionamiento de los procesos de negocio. En base a este objetivo debe ser gestionada y debe ser revisada.
Como dice un buen slogan publicitario "La potencia sin control no sirve de nada" que traducido al objeto de este blog "La seguridad sin objetivos de protección no sirve de nada".



Y como una imagen vale más que mil palabras... ahí queda esto.
jueves, 6 de octubre de 2005 1 comentarios

Animación didáctica sobre qué es el phishing

Fuente: El País- Tecnología

He encontrado en la sección tecnológica del País una excelente animación entorno a qué es el phishing. Dado que es de lo más didáctica, creo interesante recomendar su visualización.

Puede verse en Animación sobre el phishing.


miércoles, 5 de octubre de 2005 0 comentarios

Y la plaga se extendió de la tierra a los mares

He encontrado hoy referencias al análisis realizado sobre las redes SMS y el cada vez mayor riesgo existente de sufrir ataques de denegación de servicio y otras plagas ya cotidianas de Internet.

El análisis detallado de estas nuevas amenazas sobre la infraestructura que da soporte al servicio SMS podría tener consecuencias como el spam, el phishing o los virus sobre los terminales móviles. Nuevas tecnologías, nuevos servicios y también nuevas amenazas. Esto de la seguridad es un ciclo que no acaba nunca, es una persecución constante de buenos contra malos.

Fuente: SMS Analysis
martes, 4 de octubre de 2005 0 comentarios

La mejor enseñanza, el ejemplo

Microsoft tiene claro que esto de la seguridad de la información no es solo una herramienta de marketing sino que además, condiciona la viabilidad de su modelo de negocio presente y futuro.

Desde hace unos años se están poniendo las pilas en el tema, comprando empresas y contratando a los mejores profesionales. Los resultados son evidentes. Han reconducido su estrategia y predican con el ejemplo.Y como suele ocurrir cuando uno hace bien las cosas, suele no tener problemas para contarlo.

En IT Security at Microsoft Overview hay dos documentos que son una lección magistral de la Dirección Estratégica de la Seguridad de la Información.

En este caso, el análisis lo realiza Microsoft para si misma pero me sirve para ilustrar la importancia de la gestión de la seguridad basada en el análisis del riesgo. Esta nueva disciplina es la fase nuclear en la que deben basarse todas las decisiones relacionadas con la seguridad.

"Primero lo importante y de valor, que despues ya habrá tiempo para lo demas". Como suele ocurrir que la regla de Pareto suele estar presente en casi todos los problemas, es posible que solucionando el 20% de los problemas de seguridad paliemos el 80% de los riesgos más graves.
 
;