Seguridad y Tecnologia

A la hora de evaluar un informe de una auditoría técnica de seguridad podemos entrar a valorar diferentes aspectos, pero en este post vamos a considerar para dicho análisis dos conceptos, por un lado, el contenido y, por otro, el formato.

En cuanto al contenido, obvia decir que, como punto de partida, cualquier informe de auditoría tendrá que dar cumplida respuesta a la expectativa del cliente. Si en algún caso el destinatario no tiene claro cual será el tipo de entregables, la información contenida en el mismo y la utilidad que podrá dar al trabajo, estas cuestiones deberán aclararse antes de comenzar, apoyándose en el archiconocido principio “más vale prevenir que curar”.

Como elementos esenciales se tendrá presente que cualquier hallazgo que se incluya en un informe técnico tendrá que regirse bajo los siguientes principios:

• Las pruebas se realizarán con la profundidad requerida para los objetivos propuestos.
• La auditoría se realizará teniendo en cuenta la legislación vigente.
• Los resultados que se obtengan podrán ser medidos, consistentes, y si se repiten las pruebas se obtendrán resultados similares (repetibles).
• Las conclusiones que se obtengan estarán derivadas únicamente de las pruebas realizadas y serán pertinentes, es decir, estarán en línea con los objetivos de la auditoría.
• El lenguaje empleado será acorde a la audiencia que lo reciba.

EVALUACIÓN DEL CONTENIDO

Existen aspectos imprescindibles en cuanto al contenido y que podrán ser clave a la hora de decidir escoger a un proveedor de seguridad u otro. Estos aspectos podrían ser:

• En cuanto a cada uno de los riesgos identificados:
  • Grado de abstracción deseado para la tipificación del riesgo, se podría denominar “vulnerabilidad tipo” o “problema tipo de seguridad”.
  • Riesgo asociado a la vulnerabilidad identificada en un lugar concreto. (*1)
  • Nivel de detalle de la ocurrencia identificada sobre el riesgo tipo. La descripción deberá de facilitar la posibilidad de repetir el proceso de detección para evaluar si la corrección aplicada es correcta. Para evaluar adecuadamente este punto se podría plantear la siguiente reflexión ¿Es suficiente una herramienta automática para realizar esta tarea?, seguramente NO.
  • Posibilidad de identificar de forma unívoca e inequívoca la ubicación del riesgo hallado, dirección IP, IP y puerto, URL, URL y parámetro afectado, etc.
  • Simplicidad y claridad de la descripción para que alguien “no técnico” pueda interpretarla.
  • La inclusión de enlaces o referencias externas que añaden información clarificadora sobre el riesgo hallado.
  • Recomendaciones y propuestas de solución para cada riesgo identificado matizando las propuestas para que se puedan adaptar a los riesgos concretos hallados en cada trabajo.
• En cuanto a la valoración ejecutiva, informe ejecutivo, etc. Los aspectos básicos que deberá de incluir podrían ser:
  • Resumen introductorio del trabajo realizado, alcance y objetivos.
  • Resumen de la metodología empleada.
  • Explicación del criterio de riesgo utilizado. (*2)
  • Vulnerabilidades clasificadas por Tipo.
  • Vulnerabilidades clasificadas por Riesgo (en grupos).
  • Ocurrencias de vulnerabilidad destacadas, esto puede ser destacadas por su riesgo base o destacadas por alguna otra característica que hace que sea “diferente”.
  • Conclusiones sobre el trabajo realizado apoyadas en hechos contrastables del trabajo. Como parte fundamental de las conclusiones esta el análisis que se ha realizado de la naturaleza de los problemas lo que permitirá evitar o al menos mitigar los problemas identificados para el futuro.
  • Plan de acción a corto, medio y largo plazo, permitiendo al cliente establecer correcciones en distintos periodos de tiempo y priorizando en base a “quick-wins”.
  • Medidas concretas a realizar, el informe propondrá una serie de medidas concretas cuya aplicación permita reducir considerablemente el riesgo, este punto responderá a preguntas como “¿bueno y ahora qué?”, “¿por donde empezamos?

(*1)(*2) Criterios de evaluación del riesgo: se destaca especialmente la necesidad de utilizar un criterio que permita evaluar el riesgo con valores suficientemente objetivos que además tengan presente el tiempo y el entorno sobre el que se encuentran los sistemas con vulnerabilidades. Se intentará huir del sistema AMB (Alto, Medio, Bajo).

Una buena aproximación a estos parámetros es el estándar CVSS (Common Vulnerability Scoring System) que permite evaluar el riesgo en tres grupos de métricas que son:

• Base: características intrínsecas y fundamentales de una vulnerabilidad que son constantes en el tiempo y en el entorno de usuario.
• Temporal: representa las características de una vulnerabilidad que cambian con el tiempo pero no se ven afectadas por el entorno.
• Entorno: evalúa las características de una vulnerabilidad que son relevantes y únicas a un entorno particular del usuario.

Estos valores se combinarán aplicando una formula que dará un valor numérico entre 0 y 10 para el riesgo base, el temporal y el entorno, en los casos en que sea necesario se podrán crear tres grupos 0<4, style=”mso-spacerun:yes”> Bajo, Medio y Alto.

Los fabricantes facilitan su propia evaluación de vulnerabilidades en base al CVSS para sus productos pero, ¿es acertado que un fabricante de software pueda evaluar el riesgo que representa una vulnerabilidad de sus productos? o por el contrario ¿será mejor que un auditor independiente evalúe el riesgo de una forma más objetiva?

¿Por qué utilizar un estándar como CVSS?, el cliente podrá filtrar los riesgos en base a 14 parámetros que permiten definir, acotar y contextualizar las correcciones, algunas de las preguntas que quedarán resueltas con esta evaluación del riesgo serán:

• ¿Es igual de importante una vulnerabilidad en el entorno de producción que en el entorno de desarrollo?
• ¿Puede explotar esta vulnerabilidad cualquiera o tiene que ser un experto en kung fu?
• ¿Este riesgo es accesible desde Internet o tiene que ser un usuario de la red local?
• ¿Esta vulnerabilidad tiene impacto sobre la disponibilidad de mis sistemas?, ¿y con la integridad?, ¿y con la confidencialidad?

Se puede consultar la información detallada en la página oficial del proyecto.

EVALUACIÓN DEL FORMATO

En cuanto al formato general de la documentación, esta deberá de ser flexible, permitiendo realizar búsqueda, adaptarse al contexto del cliente, y ser fácilmente integrable con distintos gestores documentales, gestores de ticketing, etc.

Algunas de sus características por lo tanto podrían ser:

• En el apartado de la flexibilidad será muy positivo dotar a la documentación de opciones para filtrar los riesgos detectados por distintos criterios, referencias cruzadas, tipos de riesgo, elementos donde impactan etc. Además de permitir la generación de gráficos con todos los datos, subconjuntos, etc.

• Uniformidad de los documentos, formatos de cabeceras, tipologías, etc.
• Identificación univoca de los riesgos, incluir un código único para cada riesgo.
• Se podrán filtrar los alcances generando sub-informes en base a urls, rangos de direcciones IP, etc.
• Se podrán generar salidas xml, csv, etc.
• En cuanto al informe técnico, este deberá de contener su propio manual de uso, explicando cada uno de sus apartados, que son, porqué han de existir y que uso se podrá dar a dicha información.
• Idioma, preferiblemente en el idioma solicitado, si es en castellano, en castellano pero no en “spanglish”.
• En cuanto al informe ejecutivo, podría ser un PowerPoint, conteniendo un resumen claro, conciso y directo sobre el trabajo realizado, hallazgos obtenidos, soluciones, plan de acción y nuevos proyectos.

Autor: Juan de la Fuente Costa
Via Auditoría S21sec

Según el Observatorio de la Seguridad de la Información de INTECO, como expresa en su estudio sobre el fraude a través de Internet entre 2007 y 2009, ha aumentado el nivel de confianza en Internet por parte de los usuarios españoles para realizar operaciones económicas.

Se trata de un grado de confianza alto con respecto a periodos anteriores. Por ejemplo, aproximadamente 6 de cada 10 usuarios muestran mucha o bastante confianza en la utilización de banca electrónica.

A pesar de este considerable nivel de confianza en Internet como canal de realización de transacciones económicas, los ciudadanos siguen mostrando más confianza en la utilización del servicio en persona.

En cualquier caso, la tendencia es positiva: el porcentaje de ciudadanos que afirma confiar mucho y bastante en las operaciones que implican pagos y transacciones económicas a través de Internet se incrementa trimestre tras trimestre. Cada día disminuyen un poco más para los usuarios las diferencias entre la banca y comercio electrónicos y los mismos sectores tradicionales, y es posible prever una identificación a largo plazo en el mismo servicio, sea cual sea el medio de interacción de los agentes.

El haber sufrido un intento no consumado de fraude no influye significativamente en los hábitos de uso de compra y banca electrónica: tras haber sufrido un intento de fraude, un 83,3% de los usuarios mantiene invariables sus hábitos de compra en Internet y un 90,3%, sus hábitos de banca electrónica.

Igualmente, las tasas de abandono son minoritarias (en torno al 4%), incluso entre los ciudadanos que han experimentado una pérdida económica. Se trata de un paso más en el camino de la adaptación de la sociedad a las nuevas tecnologías, concebidas cada vez por más usuarios como herramientas para alcanzar eficacia y eficiencia, y no como una fuente de peligros o fraudes.

Fuente: www.inteco.es

Via seguridadinformatica.es

El Internet Crime Complaint Center (IC3) comenzó a funcionar el 8 de mayo de 2000, como el Internet Fraud Complaint Center. Establecida como una asociación entre la National White Collar Crime Center (NW3C) y la Oficina Federal de Investigaciones (FBI), IC3 sirve como un vehículo para recibir, elaborar y remitir denuncias penales sobre un campo en rápida expansión como los es delincuencia cibernética.

Desde su creación, IC3 ha recibido quejas en un amplio espectro de asuntos de delitos informáticos, incluidos el fraude en línea (en sus múltiples formas), derechos de propiedad intelectual (DPI), intrusión informática (hacking), espionaje económico (robo de secretos comerciales), la pornografía infantil, blanqueo internacional de dinero, robo de identidad y una creciente lista de otros asuntos penales y civiles.

Durante 2009, IC3 recibió 336.655 peticiones y denuncias. Esto fue un aumento del 22,3% en comparación con 2008, cuando se recibieron 275.284 denuncias.

De los 336.655 reclamos presentadas al IC3, 146.663 se refieren a violaciones de la la ley como fraude y pérdidas financiera por parte del denunciante. La pérdida total en dólares de todos los casos mencionados fue 559,7 millones dólares con una pérdida promedio de U$S 575 por denunciante. Esto es 264,6 millones dólares por encima de las pérdidas registradas en 2008.

El crecimiento de información en las empresas y la variedad de formas en que es posible compartir información, genera constantemente nuevos desafíos en los especialistas, quienes necesitan definir buenas prácticas para colaborar con el usuario en la gestión de la información.

Con esta séptima edición de SEGURINFO, que se realizará los días 10 y 11 de marzo del 2010, en el Hotel Sheraton Buenos Aires,  USUARIA continúa con sus aportes a la comunidad, generando el ámbito para compartir experiencias y evaluar soluciones a los desafíos que genera el crecimiento del uso de la Tecnología de la Información y las Comunicaciones.

Para esta actividad, se convoca a todos los especialistas que participan en la responsabilidad de la gestión de diseñar y administrar la Seguridad de la Información.

Entre las áreas temáticas incluidas en el Programa del Congreso se desatacan:

• Sistema de Gestión de Seguridad de la Información.
• Política de Seguridad.
• Organización de la Seguridad de la Información.
• Gestión de Activos.
• Seguridad ligada a Recursos Humanos.
• Seguridad Física y del Entorno.
• Gestión de las Comunicaciones y Operaciones.
• Control de Acceso.
• Adquisición, Desarrollo y Mantenimiento de los Sistemas de la Información.
• Gestión de un incidente en la Seguridad de la Información.
• Continuidad del Negocio.
• Cumplimiento.
• Gestión de Riesgos.

Más Información en: http://www.usuaria.org.ar/ http://www.segurinfo.org

Uno de cada diez resultados de “búsqueda top” son considerados código malicioso.

Websense dio a conocer los resultados de su reporte de investigación bianual Websense Security Labs, El estado de la seguridad de Internet, Q3-Q4 2009. La compañía identificó que 13,7% de las búsquedas de noticias/palabras populares (definidas por Yahoo! Buzz & Google Trends) llevan a malware. Los ataques de envenenamiento de la optimización de los motores de búsqueda dirigidos a las principales búsquedas le permiten a los hackers llevar tráfico a sus sitios.

En contraste con la primera mitad del año cuando los ataques de inyección masiva como Gumblar, Beladen y Nine Ball promovieron un fuerte crecimiento en el número de sitios Web malicioso, Websense Security Labs vio una reducción de 3,3% en el crecimiento del número de sitios Web comprometidos.

Los autores de código malicioso reemplazaron sus métodos de ataques sin dirección específica con esfuerzos enfocados en las propiedades de la Web 2.0 con más tráfico y múltiples páginas. En general, comparando la segunda mitad de 2009 con el mismo período de 2008, hubo un crecimiento promedio de 225% en sitios Web maliciosos.

Los autores de código malicioso siguen aprovechando la reputación de los sitios Web y explotando la confianza del usuario pues la segunda mitad de 2009 revela que 71% de los sitios Web con código malicioso son sitios legítimos que han sido comprometidos. Los sitios Web 2.0 que permiten el contenido generado por los usuarios son el principal blanco de los cibercriminales y creadores de spam. La tecnología Websense Defensio habilitada por Websense Security Labs identifica que 95% de los comentarios generados por los usuarios en blogs, salas de chat y centros de mensajes son spam o maliciosos.

Websense Security Labs descubrió que 35% de los ataques Web maliciosos incluyeron código que robaba datos, lo que demuestra que los atacantes van tras información y datos esenciales.

La Web sigue siendo el vector para los ataques de robo de datos más populares. En la segunda mitad de 2009, Websense Security Labs descubrió que 58% de los ataques para robar información se realizaron a través de la Web. Decenas de miles de cuentas de correo electrónico de Hotmail, Gmail y Yahoo! fueron hackeadas, y se robaron y publicaron contraseñas en línea lo que se derivó en un marcado aumento del número de correos electrónicos no deseados.

Websense Security Labs identificó que 85,8% de todos los correos electrónicos era spam, y durante la segunda mitad del año, 81% de los correos electrónicos contenían un enlace malicioso.

“Los hackers maliciosos ya están enfocando sus esfuerzos en asegurar que estén dirigiendo sus víctimas directamente a ellos. Al envenenar los resultados de búsqueda y enfocarse en los sitios Web 2.0, sus esfuerzos a menudo son más eficientes y efectivos. La naturaleza combinada de las amenazas de hoy, junto con sitios legítimos comprometidos, toma total ventaja de la creciente percepción de confianza cuando se utilizan motores de búsqueda y se interactúa con amigos o conocidos en línea”, declaró Dan Hubbard, director de tecnología de Websense.

Video presentando los principales datos del informe (en ingles).

Fuente: ebizLatam.com

Visto en SeguInfo

Un ataque informático a gran escala habría permitido a sus autores tomar el control de 74 mil computadoras en 196 países, según la empresa de seguridad NetWitness. Los países más afectados son Estados Unidos, Egipto, Arabia Saudita, Turquía y México.

A lo largo de un año, más de 2 mil organizaciones han sido infectadas. Entre ellas figuran administraciones públicas, grandes empresas, bancos y centros educativos.

Según la compañía, el Zeus captura contraseñas en línea, cuentas de correo y redes sociales y suministra a sus autores el control remoto de las máquinas por lo que pueden manejar cuentas, información financiera y datos privados.
La compañía informa que detectó su existencia en enero en una revisión rutinaria de sistemas. Una investigación más profunda detectó que estaban comprometidos unas 68 mil credenciales corporativas por lo que la firma califica la expansión de este virus de “epidemia”.

Los primeros datos del ataque se remontan a mediados del año pasado aunque algunas informaciones sitúan su inicio en 2008. No está clara la autoría del mismo, aunque podría tratarse de un grupo del Este europeo que empleara computadoras comprometidas en China.

El programa espía Zeus ya es conocido por los expertos en seguridad. Trabaja sobre el navegador Firefox y aprovecha vulnerabilidades del sistema operativo Windows Vista y XP.
Diez agencias del Gobierno norteamericano habrían sido víctimas del mismo, según The Wall Street Journal. NetWitness está dirigida por un antiguo miembro de las fuerzas armadas estadounidenses.

Este ataque tiene unas dimensiones mucho mayores que el denunciado por Google a principios de este año.

Via vanguardia.com.mx

Un concurso de hacking que tendrá lugar el próximo mes ofrecerá premios de 15,000 dólares a cualquiera que pueda superar la seguridad impuesta en los iPhone, BlackBerry Bold, Droid y Nokia, los teléfonos que teóricamente son realmente eficientes en este apartado.

Los premios son un 50% más cuantiosos que los que se ofrecieron hace un año en el evento Pwn2Own, un concurso que tendrá lugar como parte de las conferencias de seguridad CanSecWest que se celebran en Vancouver a partir del próximo 24 de marzo.

En Pwn2Own se ofrecerá de nuevo un reto doble, que tratará de ser superado por los hackers, que deberán acceder tanto al navegador como al sistema operativo móvil superando las técnicas de seguridad que se manejan en dichos dispositivos. ¿Quién logrará resistir los ataques de los expertos hackers?

Fuente: theinquirer