5 errores más frecuentes en proyectos de seguridad de la información

En esta oportunidad quería compartir con ustedes distintas situaciones que se presentan con mucha frecuencia en proyectos de seguridad de la información y que sin ser el objetivo principal, desnudan la madurez en cuanto a los temas de seguridad de la información que tiene la Organización en la cual se está ejecutando el proyecto.

A lo largo de los 5 errores más frecuentes podremos encontrar problemas de base, que producto del avance de las distintas etapas se hacen cada vez más evidentes e incluso muchas veces son determinantes para el éxito o fracaso del proyecto en cuestión.

El orden de los errores es completamente arbitrario, no representa su importancia o impacto en la Organización.

Equivocar el interlocutor 

En muchos casos el líder de proyecto corresponde a un área técnica y debe llevar adelante cuestiones que lo exceden en su posición y responsabilidad. Los requerimientos se traban, la información requerida se demora y ante la falta de apoyo finalmente alguien decide sobre los temas desconociendo la problemática.
Los recursos humanos no se asignan y si se hace, el proyecto se demora dado que hay que "poner en tema" al recurso asignado, que tampoco tiene la jerarquía necesaria para tomar decisiones.

Es un problema muy difícil de resolver si nuestro interlocutor no está en condiciones de obtener la información requerida, convocar a los referentes necesarios y/o tomar alguna decisión relevante en relación al proyecto. Pero si se presentara una situación similar podríamos estar ante una Organización no muy comprometida con los temas de seguridad de la información.

Creer que únicamente con productos se resuelven los problemas 

Hay proyectos que se generan para desplegar un determinado producto, pero llegado el momento de la implementación comienzan a aparecer los problemas. O el producto no hace todo lo que queríamos, o requiere información que aún no hemos podido recolectar, o depende de procesos que la Organización aún no tiene implementados o con el nivel de madurez necesario.

Es muy frecuente escuchar acerca de proyectos de Data Loss Prevention (DLP) en Organizaciones que aún no tienen un inventario unificado de activos ni han clasificado su información. Finalmente para "justificar" el proyecto, la herramienta se implementa con funcionalidades mínimas para luego volver a generar algún proyecto que regularice la situación (que muchas veces no lo hace).
En organizaciones en las cuales se presente esta situación seguramente TI es la encargada de la mayoría de los temas referentes a seguridad de la información y las demás áreas no tienen ningún involucramiento al respecto. Si algo sucede en materia de seguridad "es culpa de TI".

Hacer las cosas para cumplir 

Lamentablemente en reiteradas ocasiones se escucha que un determinado proyecto "se hace por PCI" o "porque me lo pide auditoria", cuando en realidad quizás no es necesario o surgió de una reunión entre gente que desconoce los problemas y el auditor confundiendo su rol hace consultoría. El resultado es conocido, surge un proyecto de remediación de un problema que quizás no existe.

Más allá de que sería ideal que los proyectos surjan de necesidades reales de la Organización, que correspondan con un objetivo claro y medible, es poco frecuente encontrarse con tal escenario. A veces se hacen para cumplir o para que los responsables de un determinado problema no asuman la responsabilidad de la falta de gestión.

En organizaciones donde se presenta el escenario comentado, es muy común encontrarse con líderes de proyecto que pretenden que el consultor tome decisiones que le corresponden a otros miembros de la Organización, que clasifique, analice, y termine decidiendo sobre temas que claramente lo exceden. Los tiempos se exceden, el proyecto cambia de alcance, queda empantanado en busca del verdadero problema o de alguien capaz de sacarlo adelante.

No acompañar al negocio 

Si bien parece muy claro que TI debe brindar un servicio al negocio y acompañarlo para lograr el cumplimiento de los objetivos, es frecuente encontrarse con proyectos que no tienen ninguna relación con el rumbo que tiene el negocio. Negocios que están pensando en ir hacia la nube, en donde TI ejecuta proyectos de centralización de aplicaciones cliente/servidor o restricciones para el trabajo remoto, ambas cuestiones que muestran un camino completamente distinto entre el negocio y TI. Negocios que se despliegan sobre plataformas sociales y canales de comunicación 1 a 1 con el cliente, frente a proyectos que buscan restringir el uso de redes sociales. El resultado es conocido, siempre (o casi siempre) gana el negocio y aquello que se implementó para restringir pasa a "escuchar" sin ningún otro objetivo más que nutrir a una consola de un montón de información que nadie analizará.

No deja de ser un signo de problemas aún mayores dado que generalmente en ese tipo de organizaciones TI se considera dueña de los servidores y es frecuente que sea el usuario quien notifica los problemas dado que la "independencia" de gestión es absoluta.

Creer que los consultores conocen más la Organización que uno mismo 

Si el consultor toma decisiones que debe tomar la Organización el proyecto presenta síntomas de fracaso. El valor agregado del consultor viene relacionado con la experiencia en otros proyectos, su formación, el hecho de mantenerse actualizado y de la dedicación a los temas relacionados con seguridad de la información. Ahora bien, eso no lo convierte en la persona adecuada para tomar decisiones que le corresponden a los miembros de la Organización, dado que ellos conocen el valor de la información involucrada, los objetivos de negocio de corto y mediano plazo, la historia asociada al proyecto, las idas y vueltas políticas, los intereses internos y todo aquello que es tan importante al momento de tomar decisiones.

En organizaciones en las cuales se lo espera al consultor como el gran salvador generalmente presentan más de uno de los errores que comentamos en este post y es muy probable que el resultado final de los proyectos sea un producto que nadie utilice o un proceso que luego de unos meses nadie recuerde.

Superman hay uno solo 

En muchas oportunidades hemos comentado la importancia del involucramiento de los máximos referentes de la Organización en temas relacionados con seguridad de la información. Es una responsabilidad de la Dirección el estado de seguridad de su negocio, definir el nivel de protección adecuado para sus activos y asignar los recursos necesarios para lograrlo. Si esto no se presenta, es muy probable que alguien asuma una responsabilidad que lo excede y por consiguiente el propio desconocimiento del negocio haga que la estrategia de seguridad sea errónea.
El desafío para quienes deben gestionar la seguridad de la información es lograr el interés e involucramiento de los líderes, es allí en donde se debe invertir el mayor esfuerzo, para luego no dedicarle tanto tiempo y esfuerzo a reparar los errores producto de decisiones equivocadas, mal uso de los recursos y medidas desacertadas.

Auditar vulnerabilidades XSS

Según la OWASP los ataques XSS (Cross-Site Scripting) siguen siendo los vencedores en cuanto a explotación de vulnerabilidades en entornos web se refiere. Los ataques XSS tratan de aprovecharse de vulnerabilidades generadas por una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata de engañar al usuario para que pulse la URL manipulada de forma precisa para que al abrirse, ejecute código Javascript que será interpretado en el navegador del usuario. Este tipo de ataques pueden ser utilizados para robar cookies de sesión, inyectar código en nuestra página o incluso comprometer nuestras máquinas con ayuda de frameworks como "BeEF" (Browser Exploitation Framework).

Generalmente estos ataques están catalogados como "no persistentes" al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como "persistentes" son más peligrosos ya que el código Javascript es directamente insertado en una base de datos de tal forma que todos los usuarios que visualicen registros de dicha BBDD se verán afectados. Existe gran cantidad de referencias sobre XSS para entender su funcionamiento, tipos y medidas preventivas recomendables para evitar este tipo de problemas.

Hasta hace unos años, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso, etc. pero poco a poco van surgiendo técnicas más sofisticadas que van un paso más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. "Shell of the Future" o "BeFF" son un claro ejemplo de ello.

El siguiente vídeo tiene por objetivo mostrar el uso de algunas herramientas gratuitas para auditar nuestro sitio web en busca de vulnerabilidades XSS. En un principio se utilizará la versión Free de Acunetix sobre una página de prueba. Posteriormente se mostrará XSSer, herramienta opensource creada especialmente para localizar y aprovecharse de vulnerabilidades XSS.


Buenas prácticas de programación y estar al día de los últimos ataques y vulnerabilidades es la mejor receta para prevenir este tipo de ataques

Google y su mina de datos [Infografía]

Desde el 1 de marzo de 2012, el mayor recolector de datos personales del mundo, Google, cambió la forma en cómo usa la información que tiene de ti. ¿Qué cambio supone esto? Y lo que es más, ¿qué debo hacer para proteger la información que Google está recopilando sobre mí?

Empecemos a contestar estas cuestiones fijándonos en la infografía (clic para agrandar), que representa potencialmente cuánta información es capaz Google de recopilar sobre nosotros a través de sus diferentes servicios.

La infografía, llamada “Google y su mina de datos”, muestra algunos –aunque no todos– de sus servicios, a través de los cuales Google podría, potencialmente, acceder para recopilar información y hacerse una imagen de ti y de tus intereses, según utilices dichos productos.

Para ser claros, no estoy diciendo que Google esté activamente recopilando todos estos datos para crear perfiles detallados de la gente que se compartan de forma inapropiada con terceros. Lo que digo es que los cambios que Google hizo el pasado 1 de marzo han levantado numerosas cuestiones que no tienen contestación, y no somos lo que se puede decir nuevos en esto de la privacidad de Internet.

El indicador más visible de los cambios realizados el pasado 1 de marzo es la “unificación de las políticas de privacidad”, que combinó unas 60 políticas de privacidad de diferentes productos de Google en una sola. Pero la aplicación de solo una política de privacidad de forma retroactiva es problemática. Es por esto que todo el mundo que ya utilizaba un servicio de Google ha tenido que dar de nuevo su consentimiento.

Contenido completo en su fuente original Ontinet y ESET

Juego malicioso para Android envía mensajes SMS Premium

Un reporte de la firma Sophos advierte a los usuarios sobre un nuevo malware que, haciéndose pasar por un juego genunino llamado “The Roar of the Pharaoh“, infecta dispositivos con Android para enviar mensajes SMS a números de pago.

Esta nueva amenaza ha sido identificada como “Andr/Stiniter-A“, pero contrario a muchos troyanos de este tipo, se caracteriza por no requerir ningún tipo de permiso para poder instalarse, algo que suele ser un indicador de que la aplicación puede ser peligrosa.

La primera función que realiza este malware una vez que se ha instalado es la derecabar una gran cantidad de información como el IMEI del dispositivo, número de teléfono, resolución de pantalla y versión de Android, la cual posteriormente es enviado a un servidor remoto. Así mismo, intenta conectarse con diferentes dominios en el directorio “tgloader-android”, motivo por el que se ha llegado a creer que en realidad es un TGLoader.

Pero el principal problema que supone Andr/Stiniter-A es que durante su ejecución se encarga de enviar una serie de mensajes premium, además de tener la capacidad de leer todos los SMS almacenados en el teléfono. Para evitar ser detectado, el troyano se hace pasar por un servicio con el nombre “GameUpdateService“, por lo que las víctimas difícilmente pueden ser conscientes de la amenaza hasta que comprueban los mensajes fraudulentos en su factura.

De acuerdo con Sophos Lab, los cibercriminales pueden configurar números SMS premium con muy poca dificultad en Europa y Asia, lo cual explica que cada vez veamos más amenazas similares dirigidas a los usuarios de Android. Aunque esto lo recomendamos repetidamente, siempre procuren descargar todas sus aplicaciones utilizando fuentes oficiales y verifiquen la legitimidad de lo que están por instalar para evitar convertirse en nuevas víctimas.

Tener o utilizar programas de hacking será delito en Europa

La Unión Europea está desarrollando una nueva normativa para lidiar con la ciberdelincuencia. Entre los puntos que están teniendo en cuenta se encuentra tipificado como delito la ‘posesión y uso de herramientas de hacking’. Tal y como está redactado el proyecto de ley trataría como criminales a investigadores, analistas, o administradores TIC que usan este tipo de herramientas sin malas intenciones.

Como sabes, la Comisión de Justicia e Interior de la Unión Europea aprobó la semana pasada el proyecto de Ley de una nueva directiva que pondrá al día la legislación actual contra la ciberdelincuencia, hoy desfasada por el rápido avance tecnológico.

Motivada principalmente por los grandes ciberataques en Estonia o Lituania en 2008, la nueva normativa aumenta considerablemente las penas y medios para combatir los ataques cibernéticos a gran escala contra sistemas de información, los creadores de redes de bots, los ataques de denegación de servicio DDoS o el robo de identidad, entre otros.

También la posesión y uso de herramientas de hacking, lo que en medio de una redacción general ha causado polémica y crítica, ya que este tipo de aplicaciones software son ampliamente utilizadas por investigadores de seguridad legítimos, analistas, administradores TI, hackers en busca de vulnerabilidades sin intenciones criminales o simples usuarios aficionados a la seguridad y programación.

Aún queda tiempo para que el comité envíe al Parlamento Europeo el texto por lo que se espera una revisión al menos en este punto. De lo contrario, escáneres de puertos y vulnerabilidades, análisis forense, archivos de exploits, test de penetración, sniffer y otras herramientas, quedarán fuera de la Ley, incluso para usos imprescindibles de los profesionales de la seguridad y de usuarios avanzados cuyas prácticas han mostrado sus beneficios comunitarios en múltiples ocasiones.

Fuente: http://www.muycomputer.com

Virus troyano quiebra la seguridad de Mac!!!

Más de medio millón de computadoras Macs has sido infectadas en todo el mundo por un virus troyano que simula ser una actualización para el reproductor Adobe Flash, según indicaron analistas de la reconocida empresa de seguridad informática Kasperky Lab.

De acuerdo con los especialistas, la seguriadad de Macintosh se vio afectada severamente en las últimas horas al registrarse más de 600.000 robots únicos que se conectaron a su servidor en menos de 24 horas, utilizando un total de más de 620.000 direcciones IP.

A partir del descubrimiento de la infección, Kasperky informó que el troyano deriva de una red de robots Flashback Mac OS X (Flashfake), la cual se propaga como un applet de Java que emula a una actualización para el reproductor de Adobe Flash.

Si bien el análisis realizado arrojó que la mayoría de los casos se registraron en Estados Unidos, con más de 300 mil Macs vulneradas, también el troyanó entró con fuerza en América Latina quebrando la seguridad de más de 13 mil computadoras, siendo México el país má afectado con 6 mil casos.

 

QUE JODIUUUUU!!!!

Congreso de seguridad informática y seguridad de la información de los gobiernos

La escasa conciencia de los peruanos en términos de la protección y riesgos en materia de seguridad informática y seguridad de la información, a permitido que en los últimos años y preocupantemente en los últimos meses, se informe en los medios sobre el actuar de grupos como “Anonymous” y “LulzSec”, que vulneran las páginas Web del Gobierno, la Policía Nacional y hasta del Ministerio de Defensa.

Revisando la coyuntura nacional, la Information Systems Security Association ISSA Lima, Perú Chapter, tomó el liderazgo y ha convocado al evento internacional “Cyber Security Government – Perú 2012” este el jueves 12 de abril desde las 08:30 AM hasta las 07:00 PM en el Swissôtel Lima, la actividad  que pretende exponer por primera vez en el Perú un espacio de diálogo entre los principales actores profesionales del gobierno y comunidad en general para afrontar la defensa y protección de la información en el Perú. El evento expondrá las tendencias, estrategias, herramientas, normas internacionales, estadísticas y equipamiento relacionado a la seguridad informática y de la información de los gobiernos.

“Cyber Security Government – Perú 2012”,  está dirigido exclusivamente al sector gubernamental peruano. Dentro de las disertaciones tendremos participantes extranjeros de amplia experiencia en temas como hacktivismo, Ciberdefensa, Ciberseguridad, Ciberguerra, ISO/IEC 27001 -SGSI, convenio de Budapest, Seguridad de las páginas Web del Estado Peruano, PeCert del Estado, la presentación de propuestas para afrontar una Ciberguerra, la urgente formación del Cibercomando Peruano, entre otros temas importantes.

El contenido académico del evento está a cargo de renombrados profesionales expertos en seguridad informática, seguridad de la información, estrategias de ciberdefensa, ciberguerra y ciberterrorismo.  El evento constan de aproximadamente 20 ponencias, entre las que destacan "Servicios Gestionados de Seguridad en los Gobiernos", "CSIRT (Computer Security Incident Response Team) en las Fuerzas Armadas del Perú - Un esquema de articulación", “Los cambios en la Ciberseguridad del Sector Público en Latino América”, "Convenio de Budapest, su necesidad de adhesion por la República del Perú", "La amenaza de los Drones",  “Seguridad de Extremo a Extremo en un Mundo sin Barreras”, “La Seguridad como parte del proceso de negocios”, "Cyber Security y Seguridad del Software. Auto-defensa, resiliencia y prevención efectiva de ataques", "Plan de Ciberseguridad Nacional, ¿Una promesa alcanzable?",  “Desnudando a Anonymous”, "Interceptación de Correos Electrónicos en el Gobierno - Evite ser una victima", "La evolución de la Guerra a la Ciberguerra"

“Cyber Security Government – Perú 2012”,  tendrá además el acompañamiento profesional de empresas de prestigio internacional en seguridad informática y seguridad de la información tales como: Google, Eset, Websense, CheckPoint, Cisco, McAfee, Ushiro Security, RedHat, DataSec, Software & Consulting, VeraCode, Netsecure entre otras. Ello generará un excelente espacio para relacionarse y conocer las últimas novedades tecnológicas y de servicios en la materia; el público asistente tendrá además un panorama exhaustivo de la coyuntura de la seguridad informática y la seguridad de la información en el Perú y en la región.

Cabe recordar que, a pesar de la captura de de ciberdelincuentes como “CyberAlexis” y  de “SABU”, ex ciberactivista de Anonymous, Latinoamérica aún mantiene un alto índice de inseguridad en internet. Muchos estudios demuestran que nuestro país  podría ser considerado un paraíso para el actuar delincuencial, dada la escasa legislación en materia de ciberdelincuencia, a lo mucho se tienen escuetos artículos indicados en el Código Penal Peruano (Artículos 207A y 207B) que tratan sobre el delito informático, la “Ley de Protección de Datos Personales”, entre otros que resultan insuficientes.

Nuestra precariedad en tema de seguridad informática se refleja en la inexistencia de políticas públicas referidas a la ciberguerra y al ciberterrorismo. En dicho contexto, desde hace algunos meses se habla sobre protección de nuestro territorio físico ante la Corte de la Haya, pero ante ello saltan a la luz una serie de preguntas tales como: ¿Cuáles son las estrategias para enfrentar un escenario de ciber-ataque de un país extranjero?, ¿Tenemos las ciber-armas listas y preparadas para nuestra ciber-defensa?, ¿Los profesionales de las fuerzas armadas se han preparado de manera coordinada para enfrentar una ciberguerra?