Me da igual

Vaya, otra vez la típica frase, no es la primera vez que la oigo, ni mucho menos:

- Oye, que ha salido un fallo del messenger, la versión que usas tú (bueno, tú y todo el mundo), y que permite que algún chico malo, de esos que pululan por internet, entre a tu ordenador y haga cosas malas.

- Me da igual, si no tengo nada...

Otra variante:

- La semana pasada se comunicó que todas las versiones del Internet Explorer tienen un fallo que deja a los usuarios a merced de cualquier atacante.

- Bueno, total, si sólo tengo fotos y pelis...

Y podría seguir. ¿Realmente piensas que no pueden hacer nada más con tu ordenador que ver las fotos de tus últimas vacaciones? lo siento, pero estás muy equivocado. ¿No has hecho nunca una compra por Internet?¿Nunca lees el correo del trabajo desde casa? Una vez que alguien accede a tu ordenador personal y tiene permisos para ejecutar lo que le venga en gana, sencillamente puede hacer lo que quiera, y seguramente lo último que haga sea ver cómo lucías tipo en Ibiza.

Primero, ya que estamos dentro, vamos a asegurarnos de que la puerta esté siempre abierta para nosotros, y vamos a instalar un backdoor (puerta trasera), que nos permita seguir accediendo aun habiendo tapado el agujero por el que entramos. Podemos seguir con el siempre útil keylogger, que va a registrar cada una de las teclas que pulses y las asociará a tu actividad en ese momento. De esta forma podremos saber qué contraseña corresponde a qué correo, o qué tarjeta de crédito usas para las compras por Internet, junto con su fecha de caducidad y su código de seguridad. Estos datos nos los podremos enviar cómodamente por e-mail, o guardarlos de forma secreta, para que cuando volvamos a pasearnos por tu sistema podamos ver la información recogida. O mejor, ¿por qué no instalar un troyano que haga todas estas cosas? Pero espera, eres bueno, tienes un cortafuegos, tendremos que modificar la política de filtrado del cortafuegos, que es un rollo...Hecha la ley, hecha la trampa, nos saltamos este paso usando un troyano de conexión inversa. Vaya, también tienes un control de las aplicaciones que salen a Internet, me estás dando guerra...Pues bueno, inyectamos el código maligno en el proceso del Internet Explorer, y así tu preciado cortafuegos lo dejará pasar sin problemas. Ah! claro, que tienes un antivirus, es verdad. ¿Vas a darle alguna importancia si al día siguiente aparece desactivado? No lo creo, y, de todas formas, un antivirus no asegura nada aun estando actualizado correctamente, ya que hay técnicas para ocultar estos programas. Es el juego del gato y el ratón.

Este no es un post para meterte miedo, no, es un post para concienciarte de que la seguridad y la aplicación de los últimos parches de los programas que más utilizas son muy importantes, más de lo que te parece. Si estas líneas no te han hecho plantearte nada, es que igual no he tocado tu punto débil. Bueno, tranquilo, en posteriores publicaciones intentaré adecuarme más a tu perfil, te aseguro que nadie está a salvo.


José Miguel Esparza
S21sec labs

S21sec Labs obtiene el certificado de Procesos del Ciclo de Vida de Software de AENOR

S21sec Labs ha sido una de las seis primeras empresas a nivel nacional en obtener la certificación oficial del modelo ISO 15504 (SPiCE) de AENOR, que evalúa el nivel de capacidad de Procesos del Ciclo de Vida de Software. La certificación es fruto de la intensa labor desarrollada desde el departamento de desarrollo de software de S21sec labs desde su creación.


Este certificado viene a sumarse a los otros tres certificados de calidad otorgados por AENOR, certificación del sistema de gestión de la calidad según la norma UNE-EN ISO 9001:2002, certificación del sistema de gestión de seguridad de la información en base a la norma UNE 71502:2004 y certificación del sistema de gestión de I+D+i basado en la norma UNE 166002:2006.

Botnets – The Silent Threat on the Internet

ENISA ha publicado recientemente el artículo sobre la amenaza de las botnets y cuyo objetivo es concienciar a la Unión Europea del peligro que conllevan.

S21sec ha sido el autor del artículo patrocinado por ENISA, y ha contado con la revisión y comentarios de profesionales reconocidos como Jose Nazario, Ralph Thomas, y Ed Skoudis, entre otros.

Podéis acceder al artículo (en inglés) aquí.

Reto 3

Vamos con el tercer reto!!

Como los dos retos anteriores, os presentamos un crackme con el cual entreteneros un rato. El reto consiste en obtener el cartel de "chico bueno" sin modificar el crackme.

Esta vez la protección va por otros derroteros, y el crackme puede tardar varios segundos en decidir si eres o no un buen chico ;)

Podéis descargar el reto de aquí.

Como siempre, una vez que lo resolváis, enviad un informe de la solución con el método utilizado a labs@s21sec.com

Hoy también tenemos premio para dos de los que nos envíen una solución correcta, y esta vez el libro en cuestión es The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws.

La solución se tomará como válida si con la resolución enviada se consigue mostrar el mensaje bueno.

Para puntuar valoraremos:

• La solución enviada (detalle de la solución, ingenio, presentación...): Máximo 10 puntos
• Tiempo tardado: Máximo 4 puntos

El plazo establecido es el domingo 16 de diciembre.

Suerte!!

Aviso: Durante los segundos de comprobación hace un uso un pelín brusco de la CPU ;)

Mikel Gastesi
S21sec labs

Transformando los datos en información útil para la gestión del negocio.

No descubrimos nada nuevo al decir que los sistemas de información ya son parte integrante de la rutina del trabajo diario. La rápida propagación de la tecnología a prácticamente todas las actividades de una empresa hacen que hoy en día la información sea un recurso tan importante como lo es el trabajo o el capital. Como decía, hasta aqui nada nuevo.....

En cualquier organización los diferentes sistemas y sus aplicaciones generan diariamente una enorme cantidad de datos. Existen múltiples fuentes y orígenes de datos distintos: Firewalls, IDS, log’s del sistema, log’s de las aplicaciones, sistemas anti-virus, eventos de seguridad en tiempo real, cambios en servicios disponibles en red, análisis de integridad en el host, errores, incidentes, vulnerabilidades....y un largo sin fin de fuentes de datos que podríamos ir añadiendo.

Estos datos son un fiel reflejo de lo que está ocurriendo en la organización. No obstante sin una herramienta de tratamiento y explotación adecuada, el análisis en tiempo real de todos estos datos puede resultar inviable para una persona, debido al gran volumen generado diariamente. En consecuencia, se hace necesario disponer de herramientas como los Cuadros de Mando de Seguridad que, a través de la explotación de todas las fuentes recopiladas, ayudan a los responsables de seguridad en su labor diaria, puesto que permiten transformar y convertir todos esos datos en información útil para el negocio

Un Cuadro de Mando de Seguridad es una herramienta de gestión que facilita la toma de decisiones, que recoge un conjunto de indicadores que proporcionan a la Dirección y a los mandos intermedios una visión del funcionamiento y del nivel de seguridad de la Organización mediante el examen del grado de cumplimiento de los objetivos y de las desviaciones producidas. Es, por tanto, una herramienta orientada al control.

Los Directores y Responsables de Seguridad están tratando, cada vez más, de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Los Cuadros de Mando de Seguridad citados anteriormente permiten (como funcionalidad principal) la lectura y análisis de la información de modo rápido y preciso, optimizando la toma de decisiones. Para ello es necesario contar con información y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones. La obtención de evidencias de forma automatizada, como se ha comentado anteriormente, no representa un problema dadas las múltiples fuentes existentes actualmente. Esta información acumulada en los sistemas una vez tratada y normalizada convenientemente puede permitir identificar, en el mejor de los casos, oportunidades de mejora o incluso necesidades de mejora o representar, en el peor de los casos, las deficiencias detectadas. Pero en cualquiera de los escenarios, permiten la toma de decisiones de acuerdo a criterios objetivos, cuantificables, medibles, comparables y contrastables.

Disponer de una consola de gestión única que integre toda la información de seguridad posibilita una lectura ágil de esta información y reduce el tiempo de reacción ante incidencias, además de mostrar en todo momento el nivel de seguridad global.

No obstante para que todas estas “bondades” sean posibles un Cuadro de Mando debe recopilar la información de acuerdo a las siguientes directrices generales:

• Debe recoger información de interés primordial para la organización.
• Debe tener presente los destinatarios a los que se les van a comunicar y presentar los resultados de las mediciones. Los distintos destinatarios potenciales (Dirección, Mandos Intermedios, Operadores, etc.) tienen diferentes intereses en la tipología de la información y la frecuencia con que ésta debe ser comunicada. Con carácter general los niveles directivos estarán interesados en análisis comparativos o análisis de tendencias de las mediciones respecto a periodos anteriores (ejemplo: Incremento porcentual de los incidentes de seguridad, Coste de los incidentes de seguridad en el periodo de estudio). A su vez, los niveles tácticos y operativos estarán interesados en segregar los incidentes detallando su tipología (virus, spam, configuraciones erróneas/inadecuadas, entornos, equipos y activos afectados, etc.).
• Debe mostrar la información de una forma sencilla, sinóptica y resumida. Estará orientado a sintetizar conceptos y por tanto requiere sencillez en el formato en el que se presenta la información, destacando lo más relevante desde el punto de vista de la seguridad (gráficos, tablas, diagramas de barras, etc.).
• La información debe presentarse normalizada para todos los elementos que componen el cuadro de mando, facilitando conocer la magnitud de los diferentes indicadores y la comparación entre los mismos.
• Debe ser flexible, de forma que sea posible la inclusión de nuevos indicadores, modificación de los ya existentes, así como el establecimiento de objetivos y, en su caso, corrección de los ya introducidos.
  

Joan Ayerbe.
Manager de Consultoria, CISM.

El estándar PCI-DSS va entrando en nuestras vidas

Estoy seguro de que no tiene que ver con nuestra acción en particular (exclusivamente), pero lo cierto es que cuando un medio de la envergadura de EL PAÍS se hace eco de la existencia de este estándar y de la preocupación existente en el sector para introducir una mayor seguridad, es solo cuestión de tiempo que se convierta en una realidad.

Nosotros estamos convencidos de que, como dice Mercè Molist en su artículo, a partir del 1 de enero se abre una nueva época en lo relativo al cumplimiento de este estándar que, al fin y al cabo, solo persigue una mayor seguridad en las transacciones que utilizan tarjetas como medio de pago.

Antonio Ramos
Director de Consultoría

Reunión de la Administración Pública en Gijón

La semana que viene se celebrará en Gijón el Tecnimap 2007, un encuentro que reúne a representantes de tecnologías de la información y las telecomunicaciones de las distintas Administraciones Públicas, las principales empresas del sector y otros expertos relacionados con estos ámbitos.

Por nuestro compromiso e implicación con este sector en el que la protección de la información confidencial, identidad digital y los servicios online ofertados son tan críticos, no nos lo queríamos perder, por lo que estaremos allí como expositores (stand número 58, en el Palacio de Congresos, en la Planta Baja). En él podréis conocer nuestras últimas soluciones y novedades en materia de seguridad digital y realizaremos una demostración de los beneficios y funcionalidad de Bitacora para que todos los interesados en esta plataforma de gestión de logs puedan conocerla.

Además, David Barroso, Director técnico de I+D+i de S21sec, participará en el taller Seguridad y Confianza, con una demo de la evolución del código malicioso el miércoles 28, invitado por el CCN-CERT.

Si tenéis ocasión de estar allí, os animamos a que os paséis por nuestro stand, tenemos alguna sorpresa para vosotros.

¡Os esperamos!

¡Raptado Orco Shaman nivel 70!

El pasado mes de Septiembre tuvo lugar la venta en Internet de un personaje del juego World of Warcraft por un total de casi 10000$. El personaje en cuestión estaba dotado con dos espadas legendarias del mítico jefe Illidian Stormrage y 4/5 de una armadura Tier 6, lo cual para los expertos les ayuda a entender el hecho.

A los casi profanos en la materia nos cuesta comprender que haya gente dispuesta a pagar estas cantidades de dinero por disponer inmediatamente de objetos o personajes virtuales, que, de no ser por este medio, supondrían una infinidad de horas de juego (que es por cierto lo que se supone que uno busca al engancharse a un juego como el WOW). Sin embargo, hay casos ya reportados de jugadores “a sueldo”, generalmente de países más pobres como China, por parte de jugadores en países más ricos.

En cualquier caso, Internet ya nos ha mostrado que es mercado global, y lo que rige la ley de todo mercado es la oferta y la demanda. Así, mientras haya gente que este dispuesta a comprar “oro virtual” por “oro real”, habrá gente que esté dispuesta a venderlo. Así, basta introducir “WOW gold” en Google para encontrar múltiples páginas en las que es posible comprar “oro virtual” del WOW o de varios otros juegos on-line.

Y como en todo mercado, siempre hay gente dispuesta a hacer trampas. En los últimos años han proliferado diversos tipos de troyanos especializados en llevarse las contraseñas de los usuarios empleados por los jugadores on-line, con lo que cuando el jugador vuelve a acceder a su cuenta, el oro ha desaparecido, ¡o quizás en el futuro le hayan raptado su personaje preferido, el Orco Shaman nivel 70!

El siguiente articulo de reciente publicación de Kaspersky labs es un buen compendio de la situación actual sobre amenazas malware relacionadas con juegos on-line.

El tema del robo de propiedad virtual será sin duda un tema que va a ir consiguiendo mayor actualidad, conforme los mundos virtuales de Internet como Second life o Habbo Hotel vayan creciendo en usuarios y complejidad. Sin duda, el derecho tradicional tendrá que ir adaptándose a casos que hace años habrían parecido pura ciencia-ficción.

Para ello, basta ver la siguiente noticia de El mundo, en el que un chico de 17 años en Holanda ha sido arrestado por “sustraer muebles virtuales ajenos” por valor de 4000€ de otras habitaciones de otros usuarios, que los compraron mediante créditos Habbo, a su vez, comprados con dinero de verdad.

Eso sí, cabe preguntarse si los barrotes de las celdas para estos ladrones serán también virtuales.

Jon Asín

S21sec labs

Gobierno de las tecnologías y los sistemas de información

S21sec ha participado en el patrocinio del libro "Gobierno de las Tecnologías y los Sistemas de Información" publicado por la editorial RA-MA y promovido por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información (ASIA) Capítulo de Madrid de ISACA. Se trata de una obra de carácter divulgativa, coordinada y editada por dos miembros de la anterior Junta Directiva de ASIA, Fernando Hervada Vidal y Mario Piattini Velthuis.

El libro, que ya está en venta, detalla cómo las Tecnologías y los Sistemas de Información (TSI) se han convertido en la parte esencial de las organizaciones al regir mucha parte de nuestra vida cotidiana. Y cómo un uso incorrecto de ellas puede afectar críticamente al desarrollo de un objetivo o del negocio de cualquier persona o colectividad. Además, explica que los peligros externos hacia las TSI se han incrementado notablemente en los últimos años, así como su gestión y operación, por lo que es necesaria una buena preparación para hacer frente a ellos.

La obra ofrece una visión amplia sobre diferentes factores que se deben tener en cuenta para la mejora e implantación del gobierno de las TSI en una organización. Hace hincapié en la necesidad de crear un modelo de gestión que permita alinear la estrategia de Sistemas de Información con las estrategias de negocio. Por ello, va dirigido a altos dirigentes de organizaciones, responsables de informática, directores de seguridad de sistemas de información, personal informático en general (jefes de proyecto, analistas, consultores, etcétera) y alumnos de las Facultades y Escuelas de Informática, Telecomunicaciones y Administración de Empresas.

La obra posee diversas colaboraciones de diversos profesionales que comparten conocimientos y experiencias con toda la comunidad informática. Uno de ellos es Antonio Ramos, Director del Área de Consultoría y Auditoría de S21sec, encargado de escribir dos capítulos. El quinto, que es una visión general del gobierno de la seguridad y el octavo, que trata sobre los cuadros de mando para el gobierno de las TSI.

Os recomendamos leer este libro que aborda las claves que te permitirán organizar una correcta metodología de control sobre la gobernabilidad de las TSI implantadas o por implantar en tu organización.

Los que quieran venir con nosotros, que se vayan preparando

La verdad es que con este título, más de uno estará preguntándose de qué irá esta entrada...

Muy sencillo, no quiero mantener más la incógnita: Este fin de semana vamos a volver a publicar un mega-anuncio en prensa escrita para incorporar personas al equipo de S21sec.

Como es lógico los puestos también estarán disponible en nuestra página, así que no dejéis de pasaros por allí los que, en algún momento, hayáis pensado en trabajar con nosotros.

Vamos a publicar ofertas para casi todos los puestos aunque, ahora que no me oye nadie, las ofertas más interesantes son las de 'consultor', os lo prometo...

Buscamos personas que quieran desarrollar una carrera como consultor, además en su más estricto sentido, como experto en una materia que aporte soluciones creativas de manera eficiente. En fin, todo un reto, tratándose de este tema: la seguridad.

En definitiva, no quiero enrollarme, si eres una persona a la que te gustan los retos, que te gusta trabajar en equipo, en un ambiente de trabajo estimulante y en una organización en crecimiento con múltiples oportunidades en un futuro inmediato... Escríbenos. Estaremos encantados de conocerte (sobre todo en Consultoría, ya sabes).

Antonio Ramos
Director de Consultoría

New Pharming?

Está claro que cada día los usuarios e instituciones tratan de protegerse más ante posibles ataques de personas maliciosas. Pero a la vez que mejoran las medidas de protección también lo hace la agudeza del atacante.

¿Cómo podemos hacer un caso de phising sin inyectar nada en el ordenador del atacado y que sea efectivo? La respuesta a continuación.

La detección de cualquier archivo subido para su ejecución maliciosa dentro de un ordenador atacado será cuestión de tiempo que sea detectado por programas antivirus, firewalls de aplicación, etc. Entonces surge la necesidad de conseguir redirigir el tráfico del usuario en vez de a sitios seguros a sitios fraudulentos. Una opción sería el conocido como “pharming” que sería modificar las tablas de un DNS de Internet y cambiar el mapeo entre url e Ip. Así cualquier usuario que hiciera una consulta a dicho DNS comprometido obtendría una dirección IP fraudulenta. El problema consiste en que dichos DNS suelen estar bien protegidos, por lo que ya no podría darse este ataque. ¿Cómo solventamos el problema?

Fácil en vez de atacar servidores en Internet debidamente protegidos, ataquemos los “vulnerables” pequeños routers que tienen los usuarios finales en sus casas. Así aprovechándose de una vulnerabilidad en dichos dispositivos se consiguen manipular las entradas de DNS y se consigue la redirección deseada. Este ataque ha sido descubierto en postales Flash que aunque aparentemente son inofensivas, en background están intentando conectarse con las direcciones más típicas de estos routers para realizar un “pharming” en sus tablas DNS.

Moraleja, no te fíes de postales Spam y mantén siempre la alerta.

José María Arce Guillén
S21sec Labs

Configuraciones por defecto o como no tener una sensación falsa de seguridad

No, en esta entrada no se va a comentar las típicas y míticas configuraciones por defecto que todos conocemos (contraseñas, ficheros de ejemplos, usuarios por defecto, ficheros de instalaciones, y un sinfín de anécdotas), sino de configuraciones por defecto en otros escenarios en los que muchas veces no somos conscientes.

Un ejemplo claro es RFID. Hoy en día es muy común utilizar tarjetas con tecnología RFID para la autenticación en la entrada de las oficinas, pero muchas veces por desconocimiento de la tecnología o de sus buenas prácticas, se utilizan tarjetas de bajo coste que no tienen ninguna capa de seguridad y donde ataques como la clonación permite saltarse la autenticación con garantías de éxito. O puede que el fabricante elegido sí que tenga medidas de seguridad, pero otra vez, por desconocimiento, no se activan esas medidas. 

Cambio de escenario, saltemos a la biometría. De nuevo, muchas veces por desconocimiento, sentimos una falsa sensación de seguridad al utilizar dispositivos biométricos para la autenticación. El problema es, que como todo en la vida, hay dispositivos malos, regulares, buenos y muy buenos (generalmente relacionados con el precio que se pague por ellos, aunque al relación contraria no es cierta). Podemos pensar que estamos suficientemente protegidos al utilizar un dispositivo de huella dactilar en la entrada de nuestro CPD, pero la realidad es que si el dispositivo no tiene suficientes capas de seguridad (comprobación de constantes vitales, temperatura, rugosidad, etc), puede ser una tarea casi trivial el duplicar la huella de uno de nuestros empleados (y sin necesidad de haber vistos muchos capítulos de CSI)

En varios proyectos que hemos realizado desde S21sec labs hemos podido realizar muchas de las acciones comentadas hasta hora, y lo que más asusta de todo es la falsa sensación de seguridad. ¿Qué cara se nos puede quedar cuando pensamos que hemos invertido en un sistema de autenticación robusto y nos sentimos fuertemente protegidos, y vemos que realmente era una aparencia, y la realidad es que es uno de nuestros puntos más débiles?

Ejemplos como los dos anteriores podemos seguir enumerando: configuraciones wireless (sí, todavía se usa WEP o en claro), copias de seguridad sin cifrar ni proteger (pero sí que tenemos nuestro portátil cifrado), información sensible en nuestro móvil o PDA (y fácil de perder en un taxi), conexión de todo disco USB que nos ofrecen (un claro ejemplo es esta noticia), conexión en entornos wireless públicos y de no confianza (hoteles, aeropuertos, ...) sin utilizar otra capa de seguridad (un PoC es Hamster, la verdad es que el 3G viene de perlas, porque, ¿hasta dónde es seguro "pinchar" tu máquina en una red hostil y no confiable?), ...

Es cierto que si mezclamos cualquiera de nuestras ideas con nuestra amiga la paranoia podemos empezar en una espiral de desconfianza que por supuesto en vez de solucionar problemas no harán más que crear nuevos. Pero también es cierto que muchas veces no nos paramos a pensar en los detalles de las acciones o decisiones que tomamos, y puede que la falsa sensación de seguridad nos tenga tan obcecados, que en vez de garantizar la seguridad lo único que hacemos es entorpecer el trabajo de los demás.

David Barroso

S21sec labs

¿Sabemos lo qué hacemos?

El día a día de muchos de nosotros es ponernos delante de nuestro editor de código y tirar líneas hasta conseguir que el código que desarrollamos cumpla los objetivos. Durante este proceso nos surgen problemas, el compilador se nos queja, ¡uff! la cosa no pinta bien.
Algunas veces por descuidos y otras veces porque no sabemos muy bien como solucionar un problema y vamos probando código hasta que el compilador se lo traga y el resultado es el correcto.

Llegados a este punto nos damos por satisfechos y seguimos desarrollando pero ahí surgen algunas preguntas:

¿Sabemos qué hace el compilador cuando aportamos una solución a nuestro problema?
¿Es esta la mejor solución posible?
¿Nos pueden surgir otros problemas partiendo de esta solución?

Todo esto viene a cuento porque el otro día al ejecutar un código en modo “debug” me encontré el siguiente mensaje de error del compilador (Visual Studio):



Mirando concienzudamente el código el error se producía en la siguiente declaración de puntero a función del API Win32:

DWORD (*SendARP) (IPAddr, IPAddr, DWORD*, DWORD*);

Bien, se estaba llamando a una función del API de Win32, en principio no había ningún problema, entonces, ¿dónde estaba el fallo?

El problema estaba en lo que en el argot nuestro se llama "calling convention" (convención de llamada), es decir, el modo en cómo se utiliza la pila cuándo llamamos a una función.

Para utilizar las funciones del API de Win32 se utiliza la "calling convention" stdcall, en nuestro caso, si nos fijamos, estamos utilizando un puntero a la función "SendARP" pero con "calling convention" por defecto cdecl. He aquí el problema. ¿Cuál es la diferencia? Con cdecl quien llama a la función es el encargado de "limpiar" la pila recogiendo los parámetros utilizados, en cambio, con stdcall el encargado de esta tarea es la propia función llamada. Total, en nuestro caso, en lugar de limpiar la pila una sola vez, se está limpiando la pila en 2 ocasiones, una nosotros desde nuestra función y otra internamente la propia función del API Win32 por lo que el compilador nos avisa de la incoherencia existente al final con el puntero de pila.

Dicho esto, logramos corregir el error cambiando la declaración del puntero de la siguiente forma:

DWORD (WINAPI *PSendARP) (IPAddr, IPAddr, DWORD*, DWORD*);

Nota: En el fichero de cabecera windef.h tenemos la siguiente macro "#define WINAPI __stdcall"


Podemos apreciar mejor la diferencia si observamos el código en ensamblador:

Volcado utilizando tipo cdecl:

004C6284 mov esi,esp
004C6286 lea eax,[mac_len]
004C6289 push eax
004C628A lea ecx,[mac_addr]
004C628D push ecx
004C628E push 0
004C6290 mov edx,dword ptr [ebp+8]
004C6293 push edx
004C6294 call dword ptr [SendARP]
004C6297 add esp,10h --------> aquí da el fallo el compilador
004C629A cmp esi,esp
004C629C call @ILT+11125(__RTC_CheckEsp) (49FB7Ah)

Volcado utilizando tipo stdcall:

004C6284 mov esi,esp
004C6286 lea eax,[mac_len]
004C6289 push eax
004C628A lea ecx,[mac_addr]
004C628D push ecx
004C628E push 0
004C6290 mov edx,dword ptr [ebp+8]
004C6293 push edx
004C6294 call dword ptr [SendARP]
004C629A cmp esi,esp
004C629C call @ILT+11125(__RTC_CheckEsp) (49FB7Ah)

Como vemos, los códigos son idénticos excepto que cdecl incrementa el puntero de pila una vez que se ha llamado a la función del API.

En resumen, es necesario ser un poco curiosos, sacar conclusiones y "porqués" de las cosas que nos suceden y las soluciones que les damos.


Alonso Candado Sánchez
S21sec Labs

Cumplir con PCI-DSS en España (si yo fuera un comercio)

Aquel viejo lema de los años sesenta de "Spain is different" que parecía teníamos olvidado resurge con fuerza a la hora de hablar del cumplimiento de PCI-DSS en España.

Llevamos 2 años convencidos de que es una normativa que acabará llegando, pero lo cierto es que hoy por hoy es una dura pugna a 4 bandas: las marcas de tarjetas, las entidades financieras, los comercios y el PCI Security Standards Council. Y entre todos, no se ponen de acuerdo para hacer que se cumpla con este estándar en nuestro país, cuando en el resto del "primer mundo" es una realidad e incluso en algunos estados norteamericanos se ha convertido en Ley.

También es verdad que en España, la red de tarjetas es particular con tres grandes players: Euro 6000, Servired y Sistema4b que, a su vez, representan tanto a las entidades financieras como a las principales marcas de tarjetas. Esta situación es diferente a la existente en cualquier otro país del mundo y, quizás, es lo que puede estar en el origen de la dificultad para la aplicación efectiva del estándar en España.

En esta situación hay un grupo importante de afectados, los comercios (los 'service providers' es algo similar) que deben encontrarse totalmente desorientados. Por una parte oye rumores (y ya se sabe, "cuando el río suena..."), pero cuando pregunta a su interlocutor, a su banco (entidad adquirente), le llegan mensajes de tranquilidad: "eso a vosotros no os afecta", "eso todavía no es obligatorio", etc., etc... en fin, todo un cruce de caminos.

Pero claro, cumplir con el estándar no es trivial: 12 grandes requerimientos que cubren todos los aspectos de la seguridad (a modo de ISO 27002 con un alcance limitado a los sistemas que tratan de titulares de tarjetas) y una gran prohibición: el almacenamiento de datos confidenciales del plástico. Todo esto, aderezado con la obligación de realizar auditorías insitu anuales y/o escaneos de vulnerabilidades trimestrales en función del número de transacciones que realices. Me imagino a algunos de vosotros teniendo un déjà vu y pensando: "¿Esto no es lo mismo que con los datos de carácter personal?". Pues sí, prácticamente lo mismo, con la diferencia de que no tenemos que cumplir porque lo diga una Ley, sino porque lo establecen las cláusulas de un contrato.

Además, está ocurriendo lo mismo: Cuando se publicó la Ley en 1992, sólo unos pocos se preocuparon por aquel artículo que hablaba de la obligación de establecer medidas de seguridad y tuvieron que pasar 7 años, hasta que en 1999 se publicó el Reglamento con dichas medidas de seguridad (y que incluía, que incluye, la obligación de pasar una auditoría) y la Agencia de Protección de Datos (por aquel entonces) se puso dura con el tema, para que todos empezáramos a tomarnos este tema en serio (supongo que por las sanciones).

Pues bien, con PCI-DSS, ocurrirá lo mismo. Todos sabemos que el tema del compliance es una cuestión de elegir bien una estrategia de cumplimiento en línea con los objetivos de la organización. En la mayor parte de los casos (por desgracia) no se ve la seguridad como un driver de negocio, sino como un reductor de costes con una probabilidad incierta y, claro está, ante esta situación, cuanto más improbable sea el coste del incumplimiento, más raro será que algún comercio se decida a abordar el cumplimiento con PCI-DSS de una forma seria.

Ahora bien, en cuanto esta situación cambie, y la probabilidad del coste del incumplimiento aumente y se parezca más a un hecho cierto, entonces será normal abordar el cumplimiento con PCI-DSS puesto que éste, siempre será inferior que el coste del incumplimiento.

Evidentemente, esto es distinto en el caso de los 'service providers' que deben cumplir con el estándar para poder seguir prestando servicios, en este caso, es obvio que el cumplimiento con PCI-DSS se convierte en una cuestión de negocio y, por tanto, explica por qué hasta ahora, la mayoría de nuestros proyectos en este ámbito están relacionados con este tipo de actores.

Para concluir, si yo fuera un comercio, ¿qué haría? Muy sencillo, preguntar a mi banco. Las entidades financieras serían las destinatarias de las penalizaciones impuestas por las marcas de tarjeta (a menos que aceptemos tarjetas tipo American Express) por lo que han de ser ellas las que marquen el tempo del cumplimiento. Evidentemente, yo me iría preparando, y actuaría como en el caso de cualquier normativa: Analizaría mi grado actual de cumplimiento y evaluaría el coste del cumplimiento para ir planificando la implantación de todas aquellas medidas o ir realizando los cambios necesarios en la operativa para que, llegado el momento, no tuviera problemas para demostrar mi cumplimiento con el estándar (como hoy va de refranes, uno más: "Hombre/mujer precavid@ vale por dos")... Porque una cosa es evidente, más TEMPRANO que tarde vamos a tener que CUMPLIR con PCI-DSS.

Antonio Ramos
Director de Consultoría

Data retention in Germany!

Many demonstrations at universities and in German cities couldn't avoid it.

The German parliament voted at November 9th 2007 for storing telecommunications data for a period of six month.

This includes:

• telefone calls
• internet dial-in
• email communication
• fax and sms data

and beginns with the 1.1.2008.


Anonymising services like TOR (or proxies) will be prohibited.

This decision was mainly made for prosecution and to combat terrorism.

In Germany there is a controversial discussion because all the data from every user is stored without previous suspicion. With this set of data the whole electronic communication behavior of citizens can be analyzed statistically, including the possibility to trace movements of people.

More information:
http://www.vorratsdatenspeicherung.de/content/view/46/42/lang,en/

More background:
http://www.vorratsdatenspeicherung.de/content/view/78/86/lang,en/


Clemens Kurtenbach
S21sec Labs

Primero & PCI-DSS

Definición de primero según el Diccionario de la Real Academia Española: "Dicho de una persona o de una cosa: Que precede a las demás de su especie en orden, tiempo, lugar, situación, clase o jerarquía".

La verdad es que es un tema novedoso, pero no tanto. El estándar ahora conocido como PCI-DSS (Payment Card Industry - Data Security Standard) era conocido anteriormente como AIS dentro del mundo VISA y la certificación que ahora otorga el PCI Security Standards Council, antes era gestionada también por VISA. En ese sentido, AIS fue primero que PCI-DSS.

Tanto es así que los que se homologaron con VISA antes de que naciera el PCI Security Standards Council se convirtieron automáticamente en QSA homologados por PCI. El proceso de homologación en ambos casos no es trivial y por eso estamos orgullos de haber sido los primeros.

Antonio Ramos
Director de Consultoría

Los usuarios de Mac OS X en el punto de mira

Los usuarios de Mac siempre han defendido que el software de Apple es menos vulnerable frente a ataques que los productos creados por Microsoft. Pero, esto solo es cuestión de tiempo, hasta que los creadores de malware concentren sus esfuerzos en atacar a los usuarios de plataformas Mac.

De acuerdo con un estudio reciente de McFee, los usuarios del sistema operativo Mac OS X se encuentran bajo amenaza. La familia de malware Puper, recientemente ha sido modificada en una nueva variante orientada específicamente a usuarios de Mac OS X.

La versiones Apple de Puper están siendo distribuidas a través de programas de descarga de codecs (principalmente desde páginas de grupos de música de MySpace, previamente atacadas por hackers). Cuando un sitio que contiene el codec Puper es visitado por un mac, un pop up nos ofrece la descarga de un fichero con extensión .DMG (y no .EXE, como ocurriría en Windows).
Dependiendo de la configuración del explorador de internet, la instalación de una aplicación llamada "MacCodec" comienza automáticamente. Así, mientras este programa está funcionando, crea un script diseñado para lanzar un proceso que cambia nuestro DNS a un servidor predeterminado. A partir de este momento, el usuario de Mac es vulnerable a ataques de "phising", o a más código malicioso, entre otras cosas.



Asier Marruedo
S21sec labs

Posicionamiento estratégico del CISO

Lo cierto es que si nos creemos lo que dice la Teoría de las Limitaciones, los problemas que se detectan en las organizaciones suelen tener unas pocas causas, que podríamos denominar causas raíz. Otra cosa es encontrarlas y para eso, tendríamos que entrar en analizar las herramientas que esta teoría pone a nuestra disposición: nubes de evaporación, árboles de realidad actual... en fin, toda una serie de métodos que nos permiten trabajar en la detección de esas circunstancias que originan el 80% de los problemas (sí, sí... la regla de Pareto también aplica aquí).

Sin entrar en análisis profundos en este momento, estoy seguro de que coincidiremos en que la posición del CISO en el organigrama es una de las causas raíz de mucho de los problemas relativos a la Seguridad de la Información que se producen en las Organizaciones actuales. Y es que la relación estrategia-estructura, enunciada por Chandler allá por 1962, ya nos decía que la forma en la que las organizaciones se organizan (valga la redundancia) es reflejo de su estrategia y, el hecho de que el CISO no sea un puesto relevante en el organigrama es síntoma de que, en esa organización, esta función no es estratégica y normalmente se percibe solamente en su labor de protección frente a amenazas.

Todo esto viene en relación a un desagradable suceso que ocurrió en el metro de Madrid a finales de octubre en el que se produjo un tiroteo y un hombre resultó herido. Lo que ha originado esta entrada no es, en si mismo, este suceso, sino la declaración posterior del representante sindical (lamento no recordar su nombre), puesto que no se limitó a las triviales reclamaciones de más seguridad, etc., etc. sino que buscó el origen de la situación y reclamó "una re-ubicación de las responsabilidades de seguridad"... La verdad es que me dejó muy sorprendido pues no es habitual encontrarse este tipo de planteamientos (supongo que siempre las negociaciones empresa-sindicato son difíciles, pero no me cabe duda que con interlocutores así, seguro que son mucho más fáciles).

En definitiva, lo importante no es la posición del CISO, sino que ésta refleje el carácter estratégico (o no) de la seguridad en la Organización y que, allá donde la seguridad sea importante, el CISO se encuentre en una posición equivalente que le permita cumplir con los objetivos de gestión de la seguridad de la información (que serán, por ende, estratégicos para la organización). Este hecho contribuirá, además, a posicionar la gestión de la seguridad en la agenda de los Directivos de la Organización conforme a lo que establecen las best practices en materia de Gobierno de la Seguridad de la Información.

Antonio Ramos
Director de Consultoría

Entra en vigor la Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicación.

Dada la realidad actual internacional, en la que nuestra sociedad requiere mayores niveles de seguridad y protección se hace necesario un recorte, que no privación, en el derecho a intimidad de todos nosotros con el propósito de contar con mejores medios para investigar, detectar y enjuiciar delitos graves. Es por ello por lo que el pasado año fue aprobada la Directiva 2006/24/CE, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, cuya transposición al ordenamiento jurídico español se produjo en España el pasado 8 de noviembre de 2007, fecha en la que entró en vigor la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Esta ley obliga a las compañías de telecomunicaciones a conservar y proteger y, en su caso, ceder previa orden judicial a las Fuerzas y Cuerpos de Seguridad del Estado, el personal del Centro Nacional de Inteligencia y los funcionarios de la Dirección Adjunta de Vigilancia Aduanera los datos de tránsito o tráfico y datos de localización. Ambos tipos de datos son generados con ocasión de la prestación de servicios o la explotación de redes de comunicaciones electrónicas, los cuales pueden ser cruzados con los datos de identificación de los usuarios y abonados, siendo posible por tanto calificarlos como datos de carácter personal.

Las operadoras de telecomunicaciones tienen que adaptar su infraestructura para poder cumplir con la obligación de conservar los datos de tráfico y localización de las comunicaciones electrónicas desde el 8 de mayo de 2007, lo cual implica retener de forma segura estos por un periodo de 12 meses, y sólo previa orden judicial cederlos a las autoridades competentes en un brevísimo plazo de tiempo. La cesión de los datos se habrá de producir en formato electrónico y siguiendo el procedimiento que será definido por una Orden Ministerial conjunta de los Ministros de Interior, Defensa y Economía y Hacienda. Para proteger el derecho a la intimidad de todos nosotros, esta Ley establece la obligación de adoptar una serie de medidas de seguridad apropiadas y específicas para garantizar la confidencialidad e integridad de los datos retenidos, y exige que estos sean tratados conforme a la legislación en materia de protección de datos de carácter personal.

S21sec ofrece a las compañías de telecomunicaciones Bitacora 4.0, una herramienta de gestión de “logs” o pistas de auditoría generados por los sistemas de tratamiento y comunicación de información, que tras haber sido específicamente adaptada supone una solución ideal para el cumplimiento de esta nueva Ley.

La finalidad de Bitacora es la gestión de los “logs” de sistemas de información y comunicación de forma centralizada, de modo que estos son captados desde sus fuentes de origen, conservándolos en los sistemas centrales de destino. Los sistemas de información y comunicación son capaces de generar múltiples tipos de pistas de auditoría, muy útiles para su adecuada administración y para la gestión de la seguridad de la información en ellos almacenada, con el inconveniente de que se producen en gran cantidad. Los datos de tráfico y localización no son más que un tipo concreto de “logs”, pequeñas piezas de información para conducir las comunicaciones electrónicas o indicar la posición geográfica de los terminales empleados por los usuarios o abonados, datos que son generados en aún mayores volúmenes. Es por ello por lo que Bitacora incluye en su código una solución específica de almacenamiento que ha sido diseñada con el propósito de poder contar con un motor de búsqueda que permita localizar datos de la forma más ágil posible entre grandes volúmenes de información.

Es preciso destacar finalmente que Bitacora, como herramienta que trata datos de carácter personal, ha sido diseñada teniendo como objetivo su conformidad con la legislación vigente en la materia. La confidencialidad e integridad de los “logs” queda protegida en su flujo desde los dispositivos de red hacia los sistemas centrales de recolección, si bien con algunas modificaciones específicas ahora lo hará también en su tránsito hacia los sistemas de las autoridades competentes a quienes les fuera judicialmente autorizada la cesión de los datos retenidos por los operadores.

Todas estas nuevas y anteriores medidas de seguridad exigidas por la legislación resultan muy costosas y exigen un esfuerzo organizativo importante a las compañías de telecomunicaciones. S21sec puede ayudar a estas entidades, en su propio beneficio, pero también de sus usuarios y abonados, a conseguir la conformidad legal en el tratamiento de los datos personales de tráfico y localización, gracias a Bitacora y a otras herramientas propietarias desarrolladas por S21sec labs, la prestación de los servicios de seguridad gestionada desde nuestro Centro de Operaciones de Seguridad 24 horas (SOC) o con nuestros servicios de consultoría y auditoría técnica y jurídica en relación con el tratamiento de datos de carecer personal. Como solemos decir en S21sec, “el riesgo siempre existe, pero se puede minimizar en un porcentaje muy alto”. Una forma de hacerlo es externalizar la seguridad, apoyarse de expertos que provean medidas de gestión, operativas y técnicas orientadas a la seguridad de la información, cumpliendo con la legislación vigente en este caso para beneficio de toda la sociedad.

Álvaro del Hoyo (Departamento Consultoría S21sec) y Gonzalo Asensio (Manager de Bitacora y Vulnera)

Gestionar la seguridad con un enfoque basado en el riesgo.

Gran parte de los profesionales que nos dedicamos a la Seguridad coincidimos en que la función y el objetivo principal de la Seguridad de la Información es la de garantizar los intereses y los objetivos del negocio. La seguridad de la información, por tanto, debe estar alineada en todo momento con la estrategia de negocio.

Para la consecución de este objetivo es primordial un enfoque basado en la gestión del riesgo. Todas las organizaciones operan con riesgos independientemente de su tamaño o actividad. Dicha gestión del riesgo debe permitir a la Alta Dirección de la Organización conocer en todo momento cuál es su estado de seguridad, teniendo conocimiento, entre otros, de los siguientes factores:

• Cuáles son los riesgos en los que se está incurriendo.
• Qué impacto puede suponer para el negocio cada situación.
• Cuál es el nivel de impacto aceptable (umbral de riesgo).
• Cuáles son las distintas alternativas para gestionar el riesgo.
  

Los riesgos pueden clasificarse básicamente en tres tipos:
1.- Externos: derivados de varias situaciones tales como el contexto económico, las estrategias de la competencia, cambios en las preferencias de los clientes, regulaciones legales, etc.
2.-Internos: debilidades en los procesos de las organizaciones que se acostumbran a manifestar en forma de errores
3.- Tecnológicos: errores de las propias tecnologías, de su uso y del alto grado de dependencia que las organizaciones tiene en relación a éstas.

El enfoque de la gestión de la seguridad de la información orientada a los riesgos se caracteriza por intentar alcanzar un equilibrio entre la exposición al riesgo y los costes de mitigación de los riesgos mediante la implantación de los controles y salvaguardas apropiadas.

En base a los factores enunciados anteriormente (riesgos en los que se está incurriendo, impacto, etc.), la Alta Dirección, conjuntamente con el asesoramiento del Responsable de Seguridad de la Información, deberá tomar las decisiones que se consideren más oportunas en cada momento, asumiendo o no los riesgos de seguridad de la información. Esta decisión no es técnica. Puede ser una decisión política o puede venir determinada por los requerimien