Español | English
rss facebook linkedin Twitter

Malwarez

Ya estamos acostumbrados a que en el diseño de sitemas informáticos y el comportamiento de programas informáticos se busque adaptar el mundo de la biología al mundo de la informática. Desde las redes de neuronas que intentan imitar la forma en la que funciona el cerebro, a técnicas que imitan el sistema inmunológico para combatir infecciones de virus 'artificiales' o mejor dicho, lo que hoy se conoce con el nombre de malware.

Pero quizá, aunque mucha gente veía un cierto paralelismo entre código de los programas malware y el ADN de un virus (biológico), parece que nadie se había planteado que, así como el ADN determina la estructura física del virus también el código del programa malware podría representar una estructura física (o almenos una representación visual) de dicho programa. Es decir, que se defina una representación visual del programa que dependa de cual sea el comportamiento que tenga el código malware al ejecutarlo.

Ha sido el arista gráfico rumano Alex Dragulescu el que recientemente nos ha sorprendido con su proyecto malwarez en el que ha creado diseños gráficos de malware tan famoso como Netsky, Storm o Agent.IL para una campaña publicitaria de la empresa MessageLabs basandose para ello en el código de los programas ejecutables.

Sin duda algo curioso, ¿quién iba a pensar que el temido malware podía pasar de infectar nuestros ordenadores a decorar la pared de la oficina?

Guzmán Santafé
S21sec labs





Publicado por en 15:57 2 comentarios
Etiquetas: , ,

Mas sobre el voto electrónico

Comentabamos en entradas anteriores <1> <2> sobre si se la votación por medios electrónicos era segura o no. Ambas entradas mostraban las dos caras de la misma moneda, la primera que el sistema no era seguro según el informe Everest y la segunda diciendo que la tecnología actual permite construir un sistema de voto electrónico fiable y confiable.

Ahora salta a la palestra una noticia sobre la posibilidad de que en las elecciones primarias realizadas en el estado de Ohio (EE.UU.) este año se haya cometido un fraude. La noticia aparece aqui y aqui y al parecer, ya que no he encontrado fuentes fiables, en el año 2004 ocurrieron unos hechos parecidos que llevaron a cambiar la máquinas de votación por otras nuevas y seguras.

Efectivamente la tecnología actual nos permite crear un sistema de voto seguro, fiable y confiable. Lamentablemente, en el lado humano de este sistema es donde reside su mayor flaqueza, tanto como fuente de errores y fallos, como fuente de "malicia", por llamarla de alguna manera, que impide desarrollar e implementar correctamente este tipo sistemas.

Fuentes:

www.kriptopolis.org
www.arstechnica.com

Eduardo Morrás González S21seclabs





Publicado por en 13:02 0 comentarios

S21sec crea una unidad de inteligencia, vigilancia y lucha contra el fraude online

  • Se trata de una unidad clave de la compañía, que operará en España y en el exterior
  • Su creación es consecuencia del aumento de un 98% de los casos de fraude en 2007 con respecto al año anterior
S21sec ha creado una nueva unidad de inteligencia, vigilancia y lucha contra el fraude online para dar respuesta al incremento de amenazas que afectan a las organizaciones, debido principalmente a la proliferación de actividades criminales en Internet (cibercrimen).

Esta unidad permitirá detectar y resolver estos incidentes las 24 horas los 365 días del año.

La unidad opera desde el Centro de Operaciones de Seguridad (SOC) de S21sec en Madrid, y ofrece cuatro líneas de servicios para responder de una manera más eficaz a las diferentes amenazas:

  • Fraude en Internet: S21sec garantiza una protección y lucha contra todas las diferentes formas de fraude: phishing, pharming, vishing, botnets, o la utilización de código malicioso, entre otros; con este servicio su empresa será capaz de detectar, prevenir y eliminar pérdidas económicas, robos de identidad y pérdida de confianza de clientes y usuarios. Además, hará frente a las nuevas amenazas en este área como click fraud, pay per install, posicionamiento malicioso en buscadores o la venta de credenciales robadas.
  • Vigilancia Digital: Con este servicio, S21sec ofrece la posibilidad de salvaguardar la imagen, la credibilidad y la reputación de directivos, empresas, marcas o productos que son víctimas de calumnias, amenazas o difamaciones por la red. S21sec analiza más de 18.000 webs a la hora rastreando este tipo de casos.
  • Inteligencia: Es un servicio de información exclusivo de S21sec a través del cual los especialistas de seguridad digital de la empresa estudian nuevas formas de fraude, técnicas avanzadas de infección de máquinas, métodos de lavado de dinero, o la relación entre incidentes, entre otras. El análisis de estas técnicas permitirá a los especialistas de S21sec ofrecer una información detallada y personalizada sobre los riesgos que pudieran afectar a una organización, analizando en profundidad incidentes de espionaje industrial, riesgos inherentes a infraestructuras críticas o amenazas ciberterroristas y geopolíticas.
  • Formación especializada: S21sec ofrece a las organizaciones y Fuerzas de Seguridad una formación sobre las nuevas amenazas por la red para que puedan enfrentarse a ellas adecuadamente.

Estos cuatro servicios responden al nuevo panorama de las amenazas digitales originadas por bandas de crimen organizado con experiencia y multitud de recursos, que se aprovechan del anonimato que les proporciona la red, la diversidad geográfica de los sistemas y la permisividad de ciertos países ante este tipo de delitos.

En los últimos años, los ataques no sólo se han multiplicado en número, sino que cada vez son más sofisticados y afectan a distintos sectores como la Banca, las Telecomunicaciones y las Administraciones Públicas.

Según los datos del Centro de Operaciones de Seguridad de S21sec, en 2007, la compañía gestionó casi 1.700 casos de fraude (1.114 de phishing, 534 de troyanos y 19 de scam), y analizó más de 1.000 muestras de código malicioso de forma diaria. Esto supone un aumento de un 98% de casos de fraude con respecto al año 2006.

Protección de infraestructuras críticas y espionaje industrial en la red: dos amenazas crecientes

En la actualidad se producen casos de espionaje industrial perfectamente planificados dirigidos a organizaciones, cuyo objetivo es el robo, eliminación o manipulación de información sensible. También es cada vez mayor la amenaza de ataques contra las infraestructuras críticas de una nación por parte de grupos terroristas como por ejemplo infraestructuras de electricidad, gas, refinerías y aeropuertos.

La creación de esta unidad de inteligencia, vigilancia y lucha contra el fraude online se complementa con una serie de acuerdos estratégicos alcanzados por S21sec con organizaciones reconocidas en todo el mundo como Microsoft, VeriSign, o iDefense. También trabaja conjuntamente con las distintas Fuerzas de Seguridad, tanto nacionales como internacionales que luchan contra la ciberdelincuencia y los delitos digitales.


María Asín
Responsable Marketing





Publicado por en 11:23 2 comentarios
Etiquetas: ,

Donde los scanners de vulnerabilidades no llegan - IV

Fuerza bruta

La mayoría de los scanners no permiten realizar pruebas exhaustivas de fuerza bruta contra los mecanismos de autenticación disponibles, y si lo permiten, lo hacen solo contra un número muy limitado de servicios y utilizando diccionarios muy pequeños.

Conforme avanzan los años, las vulnerabilidades clásicas que permitían una intrusión rápida en los sistemas se van reduciendo (Por ejemplo los desbordamientos de buffer en demonios de red populares van siendo parcheados) y además las redes se van haciendo cada vez más veloces. Este escenario lleva a los atacantes reales a cambiar sus rutinas y utilizar métodos cada vez más agresivos de ataque.

Existen ya herramientas que permiten atacar la autenticación de múltiples servicios y que ofrecen un ratio de intentos por minuto muy altos. Por ejemplo:

• Hydra: http://freeworld.thc.org/thc-hydra/
• Medusa: http://www.foofus.net/jmk/medusa/medusa.html


Si un servicio utiliza algún tipo de autenticación y no cuenta con las medidas de protección necesarias contra ataques de fuerza bruta (Por ejemplo mediante un bloqueo de cuentas), puede ser fácilmente atacado con éxito por esta vía.

Si combinamos estos ataques de fuerza bruta con diccionarios grandes generados a partir de información obtenida de otras posibles vulnerabilidades (Por ejemplo si podemos obtener un listado de los usuarios del sistema) se puede obtener un porcentaje aceptable de intrusiones.

Ramón Pinuaga
Departamento de Auditoría





Publicado por Christian Martorella en 12:59 0 comentarios

BlackHat Europe 2008

Una expedición de S21sec nos encontramos en las charlas de BlackHat Europe 2008 en la cálida ciudad de Amsterdam, donde durante dos días hay una serie de charlas sobre diferentes aspectos de seguridad, destacando sobre todo la charla de nuestros colegas Chema Alonso y José Parada, que ha sido un éxito. ¡Enhorabuena!

Hay una pequeña representación de varias empresas españolas, por lo que si estáis por aqui, seguro que es fácil localizarnos. ¡Nos vemos!





Publicado por en 11:51 0 comentarios
Etiquetas:

15 millones de euros en ventas en 2007 y lanzamiento al mercado internacional

Ayer anunciamos en rueda de prensa los resultados de este 2007 así como las previsiones y planes para el 2008. Estos fueron parte de los datos expuestos.

S21sec alcanzó su cifra récord de 15 millones de euros anuales en ventas y la cifra de 22 millones de euros anuales en pedidos de ventas en el año 2007, lo que significa un incremento del 58% con respecto a las ventas del año 2006.

Estos resultados se han alcanzado gracias a la consolidación del liderazgo de S21sec en España como referente tecnológico, la consolidación de Bitacora como herramienta estratégica, el desarrollo de herramientas e investigación en el terreno del fraude online y el incremento (145%) de su presencia en sectores claves como la administración pública y la banca, donde cuenta con grandes clientes (26 de las 35 compañías del IBEX).

También ha sido clave los éxitos conseguidos en I+D+i como los servicios de Webmalware, análisis de troyanos, vigilancia digital y el desarrollo y diseño del modelo de gestión integral de la seguridad, UMSS (Unified Management Security System) así como la confianza depositada por sus accionistas, entre los que se encuentran grandes empresas como Telvent y VeriSign. A través de S21sec labs, la empresa ha participado en distintos proyectos de colaboración con diferentes organismos públicos y empresas internacionales invirtiendo un total de 8 millones de euros.

En el año 2008 S21sec prevé incrementar sus ventas en torno al 65% alcanzado la cifra de 25 millones de euros a través de una inversión sostenida del 25% de su presupuesto anual en I+D+i y la puesta en marcha de un nuevo modelo organizativo integrado por cuatro líneas de negocio: una unidad de Inteligencia, Vigilancia y Lucha contra el fraude orientada a mercados globales, una unidad de Productos compuesta principalmente por la nueva suite Bitacora 4.0 cuya finalidad es gestionar y prevenir los riesgos que pueden afectar el negocio de los clientes a partir de los logs y la gestión de vulnerabilidades, una unidad de I+D+i que cuenta con laboratorios especializados en gestión integral de la seguridad y está orientada a proyectos europeos y la colaboración con empresas multinacionales y, finalmente, la unidad de Servicios Globales de Seguridad que proporciona servicios de seguridad gestionados a todos los clientes apoyándose en la plataforma UMSS (Unified Management Security System) diseñada para convertirse en el punto central desde el que gestionar todos los aspectos relativos a la seguridad integral de las organizaciones.

Durante este año la empresa incrementará considerablemente su plantilla con respecto al año anterior pasando de 201 a 285 empleados y consolidará su crecimiento en el ámbito nacional con la apertura de una nueva oficina en León alcanzando el total de siete en toda España (Madrid, Barcelona, Pamplona, San Sebastián, Sevilla, Murcia y León).

Lanzamiento internacional

Durante el año 2008 la empresa planea consolidar de manera definitiva su plan de expansión internacional que comenzó en el año 2007 con la apertura de dos oficinas en México DF y Monterrey, creándose S21sec México, S.A. y la creación de una alianza estratégica con un partner local en Argentina, Reino Unido y Dubai. El volumen de negocio previsto es de 5 millones de euros para este año y 12 millones de euros para el 2009.




El elevado nivel de ataques de seguridad a organizaciones españolas ha llevado a la necesidad de adopción de un nivel de medidas de seguridad superior a la de otros países. En la actualidad, los ataques se producen de forma global y los métodos son los mismos en todos los países del mundo. Esta situación ha provocado una demanda continua de los servicios de seguridad integral ofrecidos por S21sec y con ello la necesidad de búsqueda de nuevos mercados.

El principal reto para el 2008 consiste en la creación de dos oficinas propias en Londres y Dubai para ofrecer los servicios de antifraude, vigilancia, inteligencia, servicios gestionados y la suite Bitacora 4.0, así como la apertura de una nueva oficina en EEUU para la exportación de tecnología propia y la vigilancia tecnológica.

Para alcanzar sus objetivos, S21sec cuenta con uno de los mejores equipos de seguridad a nivel mundial, una cartera de clientes multinacionales, el liderazgo en Seguridad de la Información y un modelo de servicios gestionados 24x7 capaz de prestar soluciones a nivel global desde sus centros de operaciones de seguridad (SOC).

Se nos presenta, para estos próximos meses, un proyecto ambicioso y prometedor que esperamos cumplir gracias a la confianza que depositáis en nosotros.


María Asín
Responsable Marketing





Publicado por en 22:07 2 comentarios
Etiquetas: ,

Instalación de cámaras de videovigilancia ocultas

De nuevo, una empresa se encuentra en un brete gracias a la posible ligereza en cuanto a la conformidad legal en la prestación de servicios por detectives privados. Puede que finalmente resulte que LIDL haya hecho las cosas conforme Derecho, pero la mera publicación de la noticia sin quizás contar con todos los elementos de juicio para valorar su conformidad o no ya lleva un impacto negativo en la imagen corporativa de la empresa y la consiguiente inversión en la gestión de la crisis originada por la noticia.

Este vídeo se hace eco de un reportaje de un periodista del diario alemán Stern que revela la instalación de cámaras ocultas de forma permanente por detectives privados contratados por LIDL con el objeto de monitorizar el comportamiento de sus empleados, pretendidamente, para la detección e investigación de hurtos, si bien comenta el locutor que parece que se ha ido más allí registrando incluso las imágenes del guardarropa de los empleados o las conversaciones telefónicas entre estos.



En España la definición e implantación monitorización de la actividad laboral de los empleados dejando de lado su adecuación a la legislación vigente podría suponer la comisión de intromisiones ilegítimas en la intimidad personal de los empleados y en el secreto de las comunicaciones, la comisión de un posible delito de descubrimiento y revelación de secretos, todo ello sin perjuicio de las infracciones de la legislación en materia de protección de datos de carácter personal en las que se podría haber incurrido.

En estos casos se hace necesario definir una política y procedimientos para la monitorización tomando en cuenta para su análisis la doctrina del juicio de proporcionalidad y, particularmente, la Sentencia del Tribunal Supremo 6128/2007, así como la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Desde aquí reiteramos nuestra oferta de servicios para la adecuación legal de las actividades de monitorización de la actividad laboral de los empleados o de los servicios prestados por becarios, autónomos,..., mediante herramientas corporativas puestas a su disposición, ya sea mediante la revisión de la facturación de servicios telefónicos o cargos de tarjetas de crédito, la navegación por Internet, el uso del correo electrónico y equipos informáticos, la información provista por dispositivos de seguridad física o dispositivos GPS de flotas de vehículos, las imágenes provistas por circuitos cerrados de televisión,...

Álvaro Del Hoyo
Departamento de Consultoría





Publicado por Álvaro Del Hoyo en 13:08 1 comentarios

Novedades del nuevo Reglamento LOPD respecto a la gestión de soportes y documentos

Al analizar en profundidad el recién estrenado Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RLOPD), me ha llamado la atención la importantísima novedad relativa a la obligación de solicitar autorización al responsable del fichero, cada vez que se remita un correo electrónico que incluya datos de carácter personal.

Art. 92.2: La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

Esta novedad, que parece haber pasado desapercibida en los numerosos artículos y eventos que se están realizando, equipara los correos electrónicos a los soportes de información (memorias removibles, cintas de backup, etc.) siendo por lo tanto necesaria la solicitud de autorización al responsable del fichero cada vez que se quiera enviar un correo electrónico donde se incluyan datos de carácter personal.

Esta medida, lógicamente no es gestionable por ninguna organización independientemente de la magnitud de la misma, ya que todo profesional / trabajador, utiliza el correo electrónico como herramienta de trabajo transmitiendo a través del mismo ingentes cantidades de información que incluyen en muchos casos datos de carácter personal. Asimismo y teniendo en cuenta que la citada medida de seguridad se refiere a datos de nivel básico, se debe cumplir la medida de seguridad en todos y cada uno de los correos electrónicos que incluyan cualquier tipo de dato de carácter personal.

Siguiendo con la problemática surgida con la equiparación de soporte de información y el correo electrónico, se podría, llegando al absurdo, a generar un registro de entrada y salida de todos y cada de los correos electrónicos que entren o salgan con algún dato de carácter personal en su cuerpo o adjunto al mismo. En dicho registro se debería incluir: la fecha, hora, el emisor, el destinatario, el tipo de información recibida o enviada, la persona responsable de la recepción, la persona responsable de la emisión y la correspondiente autorización.

Llegados a este punto, y teniendo en cuenta los plazos de prescripción de las sanciones, los registros y las autorizaciones para recibir y/o enviar correos electrónicos deberán almacenarse por un periodo no inferior a tres años.

Finalmente y como conclusión comentar la gran dificultad que tendremos todas las organizaciones para cumplir escrupulosamente con lo establecido por el nuevo RLOPD, ya que la labor administrativa y organizativa que exige es desmesurada .

Koldo Peciña Txintxurreta
Consultor Senior S21sec






Publicado por Álvaro Del Hoyo en 11:31 1 comentarios
Etiquetas: , ,

Códigos tipo y transferencias internacionales de datos

La Legislación de Protección de Datos de Carácter Personal vigente en España, permite dentro del respeto de los mínimos legalmente establecidos, la posibilidad de que las entidades públicas y/o privadas que tratan datos de carácter personal, puedan establecer criterios voluntarios de adecuación que les permita mejorar el tratamiento de los datos de carácter personal que realizan.

En este sentido, se pueden establecer diferentes marcos de trabajo entre los cuales destacan:

1. LOS CODIGOS TIPO

Son un conjunto de buenas prácticas de adhesión optativa, que recogen compromisos adicionales y criterios básicos relacionados con la protección de datos.

Los códigos tipo deben cumplir los criterios mínimos que establece la legislación de Protección de Datos, y constituyen una adopción voluntaria que obliga al cumplimiento de su contenido en tanto en cuanto la entidad se adhiera a ellos.

Son inscritos en el Registro General de Protección de Datos, previa aprobación de su contenido por la Agencia Española de Protección de Datos, y se han constituido como elementos útiles para la adopción de posturas adoptadas unilateralmente por empresas o criterios sectoriales para tratamiento de datos de carácter personal.

Los Códigos Tipo tienen una gran aceptación por parte de los clientes potenciales así como de la ciudadanía en general puesto que establece un compromiso de respeto al derecho a la intimidad, al honor y la propia imagen del afectado.

  1. ACUERDOS INTERNACIONALES

Si tenemos en cuenta una perspectiva internacional de datos, salvando los casos en los que el afectado consiente de forma expresa el tratamiento internacional de los datos, la Legislación Española de Protección de Datos, establece la necesidad de que el país de origen y el país de destino tengan un mismo nivel de protección en materia de datos de carácter personal.

En relación a ello, se establecerán dos grandes grupos;

  1. Países destinatarios con un nivel de protección equivalente. Respecto a los cuales, para la realización de transferencias internacionales de datos no se requiere autorización del Director de la Agencia Española de Protección de Datos, dado que bien el Estado Español bien la Unión Europea considera que garantizan un nivel de protección equivalente. El listado de estos países es publicado regularmente en el Boletín Oficial del Estado.
  1. Países destinatarios respecto a los cuales no se considera que exista un nivel de protección equivalente.

En cuyo caso las entidades españolas que pretendan realizar una transferencia internacional de datos a estos países (y dicha transferencia no se encuentra exceptuada por Ley) deberán solicitar autorización al Director de la Agencia Española de Protección de Datos, en donde deberán fundamentar que entre ambas partes se ha establecido acuerdos concretos que garanticen dicha equivalencia de protección a la legislación española.

Ambos supuestos relativos a la transferencia internacional de datos, constituyen en relación a países fuera del espectro territorial de la Unión Europea una adhesión voluntaria, bien Estatal mediante la formalización de Acuerdos Internacionales, bien de la entidad destinataria mediante la formalización de acuerdos bilaterales privados, o la adhesión a protocolos marco (como pueden ser los denominados Protocolo de Puerto Seguro entre Estados Unidos y la Unión Europea).

En todo caso, el contenido de estos acuerdos, contratos bilaterales y protocolos de adhesión son de libre disposición siempre y cuando garanticen el cumplimiento de un contenido mínimo establecido por la Legislación de Protección de datos aplicable en el país de origen.

NORMAS CORPORATIVAS VINCULANTES

Dentro del marco internacional establecido anteriormente, se ha añadido la posibilidad de que empresas de un mismo grupo puedan definir e implantar las denominadas Normas Corporativas Vinculantes (Binding Corporate Rules) que son una propuesta de la Unión Europea enfocado a flexibilizar los movimientos internacionales de datos.

Las Normas Corporativas Vinculantes (NCV) son declaraciones de grupos empresariales internacionales que comparten datos de carácter personal entre todas ellas, que definen un criterio corporativo para el tratamiento de datos de carácter personal.

La ventaja de las NCV respecto al resto de elementos contractuales arriba referenciados, cuando la transferencia internacional de datos se realiza países que no tienen un nivel de protección equivalente al Español es el ahorro de tramites burocráticos ante la Agencia Española de Protección de Datos, dado que sólo se solicita una autorización bajo unas premisas de tratamiento de datos que vincularán a todas las empresas pertenecientes a ese grupo empresarial.

Uno de los “inconvenientes” que se le asocian a las NCV es que deben estar regidos por la norma local más restrictiva en materia de protección de datos, de todas las que apliquen al holding empresarial, y que debe ser de obligado cumplimiento en todas las empresas filiales.

En conclusión siempre bajo el prisma del cumplimiento de los mínimos establecidos en la Legislación Española de Protección de Datos, las entidades ya sean públicas o privadas pueden adherirse a criterios voluntarios relativos al tratamiento de protección de datos que mejoran su imagen empresarial ante Organismos como la Agencia Española de Protección de Datos, y sus clientes potenciales.

No obstante estas normativas de aceptación voluntaria constituyen un catálogo de criterios de adecuación adicionales que deben de ser adoptados por las entidades de forma obligatoria desde su adhesión.

Será por tanto, necesario que cada entidad de forma individualizada establezca dentro de su estrategia empresarial la importancia que quiere dar a la Protección de Datos Personales y las relaciones sectoriales, nacionales e internacionales que desee adoptar.

Montserrat Gómez Florez
Departamento de Consultoría






Publicado por Álvaro Del Hoyo en 11:21 0 comentarios
Etiquetas: , ,

Si no quieres caldo...

N.A.: Para quién se perdiera el capítulo anterior puede ser interesante leer la entrada de hace unos meses.

Siguiendo con nuestro afán normalizador de la documentación de Microsoft (nótese el énfasis sarcástico) voy a contar el problemilla que tuve unos días atrás.

Me encontraba arreglando unos temas de un objeto WebBrowser, para ello necesitaba modificar el evento FileDownload, la sintaxis de dicho evento según la documentación oficial de Microsoft es la siguiente:



Como se puede apreciar al manejador de dicho evento se le envían 2 parámetros, concretamente 2 punteros a VARIANT_BOOL, uno indica si el documento es un documento activo (¿vida propia?) y el otro se utiliza para cancelar la aparición de la ventana de diálogo de descarga de ficheros.

En realidad ya estábamos utilizando el evento FileDownload pero sólo para cancelar la ventana de diálogo de fichero y ahora queríamos ver si el documento que generaba el evento era activo o no.

Bien, una vez visto esto activamos la visualización del valor de los parámetros, lo probamos y siempre que se recibía el evento FileDownload nos saltaba una excepción.

¿Qué ocurría? No lo sabíamos pero en lugar de empezar a desensamblar con nuestro querido IDA (como hicimos en la vez anterior) optamos por utilizar la herramienta que viene con el entorno Visual Studio llamada oleview.exe.

Veamos que nos dice oleview.exe sobre el evento FileDownload:


¡Vaya! Resulta que FileDownload sólo contempla el parámetro de Cancelación...

Buscando en Google encontré que a la gente de 48bits le ocurrió algo muy parecido. ¡Menos mal! Pensaba que sólo me pasaba a mí (de nuevo énfasis sarcástico).


Hasta la siguiente taza...

Alfredo Andrés

S21Sec Labs





Publicado por en 09:12 0 comentarios

La figura del encargado del tratamiento

La figura del encargado del tratamiento ha sido objeto de uno de los más manidos debates en la interpretación de la legislación en materia de datos de carácter personal desde sus orígenes.

El estatuto jurídico del encargado del tratamiento fue regulado en primer lugar por el artículo 27 Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en adelante, "LORTAD"), y desde el inicio de su aplicación práctica generó diversas dudas en su interpretación, en parte alimentadas por el hecho de que no contaba con desarrollo reglamentario alguno y por insuficiencias que fueron parcialmente resueltas por los artículos 12 y 43 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD").

A continuación listamos los principales aspectos que integran el estatuto jurídico de la figura del encargado del tratamiento:
  • Distinción entre los términos "responsable del fichero o tratamiento" y "encargado del tratamiento";
  • Distinción entre cesión o comunicación de datos y acceso a datos por cuenta de terceros;
  • Aplicación a ficheros automatizados y no automatizados;
  • Régimen de responsabilidad del encargado del tratamiento;
  • Formalidades en la contratación del tratamiento de datos a terceros (encargados del tratamiento);
  • Medidas de seguridad aplicables por el encargado del tratamiento;
  • Destrucción y devolución de los datos, soportes o documentos en que conste algún dato de carácter personal objeto del tratamiento;
  • Conservación de los datos objeto de la prestación de tratamiento por el encargado de éste;
  • Posibilidad de subcontratación del tratamiento por parte del encargado de éste y formalidades en su contratación.
La AGPD vino a resolver algunas de las dudas interpretativas existentes por medio de los Informes 283/2004, 416/2004 y 513/2004 de su Asesoría Jurídica, en los que la Asesoría Jurídica venía a reiterar lo ya manifestado en el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas del año 2001, de fecha 17 de julio de 2003. Estos informes se complementan con el Informe 000/2000 cuyo contenido fue revisado en 2006 para incluir la referencia a este Plan de Inspección de Oficio en precisión sobre lo manifestado en este anterior informe sobre la posibilidad de subcontratación de terceros por el encargado del tratamiento.

Precisamente lo manifestado por la AGPD en estas recomendaciones ha sido lo que ha venido a incluirse en el Título II, Capítulo III (artículos 20 a 22) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD") estableciendo la regulación de la figura del encargado del tratamiento en desarrollo del artículo 12 LOPD y que se complementa con lo establecido en el artículo 43 LOPD y con las referencias específicas al encargado del tratamiento en el Título VIII RLOPD relativo a las medidas de seguridad aplicables a los ficheros de datos de carácter personal.

A continuación, citaremos las novedades que trae consigo el RLOPD y los nuevos problemas interpretativos que trae consigo en relación con el estatuto jurídico del encargado del tratamiento aún reconociendo el avance que supone este nuevo articulado:
  • Formalidades en la contratación de los servicios que impliquen el tratamiento de datos de carácter personal
Las formalidades en la contratación de los servicios de tratamiento de datos de carácter personal vienen estipuladas en el artículo 12 LOPD, en cuya atención y el artículo 20.2 RLOPD viene ahora a establecer que el responsable del fichero "deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento".

Quizás hubiera sido conveniente añadir en este artículo un "en todo momento" en relación a una posible reclamación basada ya sea en la "culpa in eligendo", "culpa in contrahendo" o "culpa in vigilando".

  • Cesión o comunicación de datos a terceros por el encargado del tratamiento
Tanto el artículo 12.2 LOPD como el 20.3 RLOPD establecen que el encargado del tratamiento no podrá comunicar a terceros los datos, ni siquiera para su conservación.

El artículo 20.3 RLOPD en su último párrafo viene a aclarar que "el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo", en clara referencia a la transición del servicio de tratamiento de un encargado del tratamiento a otro.

  • Destrucción o devolución de los datos objeto de la prestación de tratamiento
El artículo 12 LOPD dispone que los datos objeto de la prestación de tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, deban de ser destruidos o en su caso devueltos al responsable del tratamiento.

En este sentido, y en atención a lo dispuesto por los artículos 16.3 y 16.5 LOPD, el artículo 22.1 RLOPD viene a aclarar en su segundo párrafo que la devolución de los datos procederá en tanto en cuanto existan obligaciones legales de conservación. A este segundo párrafo del artículo 22.1 RLOPD se le puede y debe hacer la crítica de que obvia las obligaciones de conservación de tipo voluntario que pudieran existir como reconoce el propio artículo 16.5 LOPD.

  • Conservación de los datos personales objeto del contrato del servicio que implique su tratamiento
El artículo 12 LORTAD establecía la obligación de destruir los datos objeto de la prestación de tratamiento una vez concluida ésta, si bien habilitaba la posibilidad de que el responsable del fichero autorizara la conservación de los datos por el encargado del tratamiento por un plazo máximo de 5 años y adoptando las debidas condiciones de seguridad porque razonablemente se presumiera la posibilidad de ulteriores encargos.

Esta posibilidad fue omitida por el artículo 12 LOPD, si bien el Informe 283/2004 vino a recordar que de conformidad con el artículo 1157 Código Civil y con la jurisprudencia del Tribunal Supremo la prestación del servicio de tratamiento de datos se ha de considerar cumplida una vez ésta ha concluido, a salvo de cumplimiento gravemente defectuoso o de ausencia de coincidencia con la prestación estipulada en el contrato. Todo ello sin perjuicio del derecho que asiste al encargado del tratamiento a recibir el pago por el responsable del fichero del precio acordado como contraprestación del servicio prestado. Ello significaría que una vez cumplida la prestación de tratamiento de datos el encargado de éste debería proceder a la destrucción o devolución de los datos objeto del contrato, si bien el artículo 1255 del Código Civil habilitaría un posible pacto entre las partes consistente en que "el cumplimiento de la prestación pudiera entenderse condicionado a la conformidad del responsable del tratamiento con la actuación efectuada por el encargado, de modo que se indicase en el contrato que la prestación de aquél se entenderá cumplida cuando, una vez finalizada la actividad en que consistía el tratamiento encomendado al encargado del tratamiento, el responsable del tratamiento compruebe y dé su conformidad a la actuación de aquél, siempre que para el otorgamiento de dicha conformidad se establezca un plazo razonable y reducido de tiempo".

Aún y todo, no existiendo acuerdo de este tipo entre el responsable del fichero y el encargado del tratamiento, si ha de ser considerado el encargado del tratamiento también como responsable del tratamiento, era lógico pensar que en atención a lo dispuesto en los artículos 16.3 y 16.5 LOPD, el encargado del tratamiento pudiera conservar los datos objeto de la prestación mientras se pudieran derivar responsabilidades de su relación con el responsable del fichero, de igual manera a cómo lo puede hacer el responsable del fichero (bloqueo de datos). Esto viene a ser ahora reconocido expresamente, como era lógico, por el artículo 22.2 RLOPD.

Por tanto, una vez cumplida la prestación de tratamiento los datos, soportes y documentos objeto de la prestación habrán de ser devueltos al responsable del fichero, a la vez que bloqueados para su conservación por el encargado del tratamiento durante el tiempo en que pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. De modo que la destrucción de los datos por el encargado del tratamiento tan sólo tendrá lugar una vez alcanzado el final del referido plazo máximo de conservación que le sea aplicable.

Cuestión distinta serán las dudas interpretativas que genere la regulación del bloqueo de los datos y que la AGPD ha tratatado de resolver en sus Informes 000/2001 y 127/2006. Y digo que ha tratado de resolver, pues creo que la solución dada no es del todo conforme o no encaja perfectamente con el articulado de la LOPD y su normativa de desarrollo, incluido el RLOPD.

  • Subcontratación de terceros por el encargado del tratamiento
Como apuntábamos antes, los artículos 12.2 LOPD y 20.3 RLOPD prohíben al encargado del tratamiento comunicar a terceros los datos objeto del servicio, aunque tan sólo fuera para su conservación.

Ello nunca ha impedido la subcontratación de terceros por el encargado del tratamiento siempre que se hiciera con el consentimiento y en nombre y por cuenta del responsable del fichero, si bien es cierto que el principio de transparencia requería ciertas obligaciones formales en la celebración de la subcontratación que no estaban recogidas en la legislación. Esto mismo es lo que vino a poner de relieve el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas antes citado.

La doctrina manifestada por la AGPD en este Plan de Oficio viene a incorporarse en el artículo 21 RLOPD, si bien creo que la redacción de este artículo es manifiestamente mejorable y creo que se ha complicado sobremanera, pues este artículo no viene más que a reiterar las formalidades exigibles en la contratación de los servicios de tratamiento a los casos en los que el encargado del tratamiento los subcontrate total o parcialmente a terceros. Además el artículo 21.2 RLOPD induce a confusión al afirmar que es posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los requisitos en él listados. La subcontratación se ha de producir siempre con autorización del responsable del fichero como demuestran los referidos requisitos y, en especial, lo manifestado por el artículo 21.3 RLOPD.

Álvaro Del Hoyo
Departamento de Consultoría





Publicado por Álvaro Del Hoyo en 16:57 0 comentarios
Etiquetas: , ,

¿Vulnerabilidades en usuarios sin privilegios?

La seguridad de las aplicaciones que dan soporte a un negocio son cruciales para su éxito. Por ello, las normas y códigos de buenas prácticas en los sistemas de SGSI, aconsejan la creación y el uso de usuarios con permisos restringidos.

Esto puede resultar en dos problemas con difícil solución:
  • Realizar un correcto análisis de la necesidad del negocio en base al perfil del usuario. Es decir, crear roles de acuerdo a los requerimientos de los diferentes perfiles y asignarles privilegios adecuados. Lo que en la práctica no es tan sencillo ni trivial.
  • Caer en la falsa creencia de que un usuario restringido es menos vulnerable a los problemas de seguridad de las aplicaciones de escritorio.
Algunos departamentos de IT argumentan que no es necesario actualizar versiones vulnerables de aplicaciones cliente porque los usuarios que las usan tienen los permiso restringidos y por ello, no pueden ser explotadas. Me vienen a la cabeza unos cuantos ataques a los cuales estos usuarios "sin privilegios" serían vulnerables, pongamos por ejemplo ser carne de botnets, MITM, phishing, csrf y cualquier tipo de malware.


La correcta gestión de usuarios sin privilegios en los SOs es ya de por sí complicada, pero si a eso le unimos contradicciones como permisos de administrador para actualizar software, versiones previas de software actualizado (java), y la heterogeneidad de todas las aplicaciones cliente, nos encontraremos en un escenario caótico donde la única regla será "sálvese quien pueda".

¿Todavía crees que no es necesario actualizar tu versión de adobe reader, java (JRE), quicktime, firefox, realplayer o excel?, sólo por nombrar algunas aplicaciones cliente, aunque bien es cierto que firefox es una de las mejores en cuanto a las actualizaciones automáticas.

Las aplicaciones de escritorio actualmente están siendo objeto de ataques tipo "Drive by download" donde el usuario, a través de una vulnerabilidad en estas aplicaciones se descarga malware sin su conocimiento simplemente por visitar una página web. Luego, siempre nos quedará decir que nosotros no hemos sido.

¿Todavía te crees a salvo con ese usuario sin privilegios?

Emilio Casbas
S21sec labs





Publicado por en 14:59 0 comentarios
Etiquetas: , ,

Niveles de seguridad aplicables a ficheros y tratamientos de datos personales

Recientemente he podido desarrollar un estudio pormenorizado de los niveles de seguridad establecidos en el nuevo Reglamento 1720/2007 de desarrollo de la LOPD (en adelante RDLOPD) en sus arts. 80 y 81 y varias son las cuestiones que me han suscitado algún comentario o debate.

En primer lugar una de las novedades que aporta el RDLOPD es que el establecimiento de los niveles de seguridad ya no se realiza únicamente en función de “la naturaleza de la información tratada” tal como fijaba el art. 3.2. del ya extinto Reglamento 994/1999 de Medidas de Seguridad (RMS), sino que el nuevo RDLOPD tiene en cuenta diferentes factores como son el tipo y naturaleza de los datos contenidos, el tipo de actividad objeto social del Responsable del fichero o la naturaleza pública o privada del mismo. Parece claro que un mismo rasero para todos los responsables de ficheros ya no era la postura más lógica y aquí las administraciones públicas han salido ganando frente a otros colectivos como las telecomunicaciones o la banca.

Respecto de los niveles de seguridad dos tipos de ficheros suscitan la mayor parte de mis dudas…

En el caso “sui generis” de los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y localización; las medidas de seguridad aplicables serán las medidas de nivel básico y medio más el registro de control de accesos del art. 103 RDLOPD. Todo un éxito en la puja entre las empresas de telecomunicaciones y el gobierno que en un primer momento quería obligar a estos operadores a implantar todas las medidas de nivel alto a sus ficheros de facturación y trafico…

Ahora bien, la duda que se nos ha suscitado no pocas veces, recae sobre qué nivel de seguridad declarar ante el Registro General de Protección de Datos respecto de este tipo de ficheros. El sistema de declaración de ficheros de la Agencia, el sistema “NOTA”, tampoco establece una solución del tema. En mi caso entiendo que la solución más prudente en estos casos pasa por declararlos como ficheros de nivel medio y luego incluir en el documento de seguridad la medida de registro de control de accesos exigida, no sea que por declarar el fichero como de nivel alto los inspectores entiendan que son de aplicación todas las medidas de nivel alto y que por tanto se han incumplido las mismas, aunque todos sabemos que la declaración de ficheros únicamente tiene efectos declarativos…

Otro hecho destacable dentro del listado de niveles de seguridad es el siempre controvertido fichero que contenga datos para la “evaluación de la personalidad o comportamiento de los ciudadanos”. La actual redacción del RDLOPD ofrece una mejora respecto del RMS ya que ahora no se habla de la necesidad de contar con “datos suficientes para poder obtener una evaluación de la personalidad” sino que exige que efectivamente el fichero contenga datos referentes a “características o personalidad de los ciudadanos” y que estos datos permitan a su vez “evaluar la personalidad y comportamiento” de los mismos.

¿Es esto un doble requisito o bastaría tener datos “suficientes” como decía el RMS para poder hacer una evaluación de la personalidad?. ¿Cuáles son los datos de características del individuo o de su personalidad?. Tampoco se dice si estos datos deben provenir directamente del individuo o pueden ser fruto de una tratamiento que de los datos iniciales y objetivos del individuo pueda realizar el responsable del fichero Ejemplo típico de estos tratamientos los tenemos en el escoring financiero realizado por bancos o los estudios de fiabilidad hechos por las aseguradoras.

Quizás el art. 36.1 RDLOPD, pueda aportar algo de luz al tema pues al hablar del derecho de oposición habla tangencialmente de las actividades que pueden suponer una evaluación de personalidad, refiriéndose a ellas como aquellas actividades encaminadas a “evaluar el rendimiento laboral, crédito, fiabilidad o conducta” del individuo.

En resumen, ¿Son estas actividades del art. 36.1 RDLOP las evaluaciones de personalidad a las que se refiere el art.81.2.f)? ¿Qué son datos de características del individuo o de su personalidad? y ¿estos datos han de existir de forma previa a la evaluación o basta con un conjunto de datos suficientes para hacerlo?. Última pregunta: ¿Estos datos sobre características y personalidad, han de ser aportados directamente por el individuo o pueden ser elaborados por el responsable del tratamiento a partir de datos objetivos de aquel?

He ahí el debate…

Raúl Rodriguez Celaya

Dpto. Consultoría






Publicado por Álvaro Del Hoyo en 12:09 2 comentarios
Etiquetas: , ,

Solución al reto 4

Vamos con la solución del cuarto reto.

Gracias a todos los que habeis enviado las soluciones y, como no, a todos aquellos que lo hayais intentado.

Este crackme tiene dos protecciones:
- En el TLS (Thread Local Storage) se comprueba que no se haya cargado en memoria un proceso con determinados bytes en determinada posición. Se trata de comprobar que el depurador OllyDbg no esté en ejecución. Si se encuentra dicho proceso, se altera un valor constante, obteniendo un resultado diferente para la rutina de comprobación.
- Se llama a BlockInput para bloquear teclado y ratón durante dicha comprobación. Basta con pulsar Ctrl+Alt+supr para forzar el desbloqueo.

Por supuesto, los que hayan realizado un análisis estático no se habrán tenido que preocupar de estas protecciones.

La comprobación consta de aplicar una función a cada valor, y comprobar si ambos resultados son iguales.
Al valor de la izquierda se le aplicaba una "raiz cuadrada", mientras que el valor derecho es multiplicado por 3 y se le suma una constante.

De tal manera, un keygen válido programado en python puede ser el siguiente:

#!/usr/bin/python
import random
num_2 = random.randint(0,500)
num_1 = (num_2*3+5)**2
print "Izquierda: ", num_1, " Derecha: ", num_2

Obteniendo valores como:

Izquierda: 734449 Derecha: 284
Izquierda: 978121 Derecha: 328
Izquierda: 760384 Derecha: 289
Izquierda: 64516 Derecha: 83

Esta vez hemos recibido cinco soluciones, dos con el keygen en c (Fermin y Mario), una en delphi (stzwei), una en MASM (solid) y la última en python(Satur).

Viendo las soluciones, vemos que mientras algunos reimplementan la función que transforma el primer valor, hay quien copia y pega la función en el keygen. Algunos han tenido que tratar con el BlockInput, bien parcheando una instrucción, bien pulsando Ctrl+Alt+Supr, mientras que los que utilizan análisis estático no lo han tenido en cuenta. Cada maestrillo tiene su librillo.

A continuación os presentamos las cuatro soluciones:
- Fermin J. Serna
- Mario Ballano
- stzwei
- solid
- Satur

En esta ocasión el ganador del libro es Fermin, que ha contemplado en el keygen la comprobación de OllyDbg en memoria, introduciendo la comprobación de bytes en los procesos.

En respuesta a las notas del propio Fermin sobre los handles abiertos y la falta de comprobación de errores (tiene toda la razón), cito una frase que él mismo utiliza en el keygen ;)
"// This is a (5 minutes coded) keygen.. controlling errors??? get a life..."

Editado: Incluyo la solución de Satur. Disculpad el descuido, me olvidaba de una solución muy completa.

Mikel Gastesi
S21sec labs





Publicado por en 17:01 4 comentarios
Etiquetas:

e-crime congress 2008

Hace ya unos días volvimos del Congreso e-crime 2008 que tuvo lugar en Londres. En él pudimos comprobar que las iniciativas dedicadas a la lucha contra el crimen en Internet son cada vez más, y sobre todo, cada vez mejores.

Con más de 500 personas atendiendo a la conferencia, podemos calificarla de un éxito, sobre todo por el número de personas que acudieron tanto a nuestras charlas como a nuestro stand.



Como siempre, además de poder asistir a charlas muy interesantes sobre el panorama del crimen en Internet, pudimos conocer a muchas personas tanto en el lado de proveedores como en el de clientes que comparten con nosotros nuestros esfuerzos contra la lucha del e-crime.

Esperamos veros en la próxima edición.





Publicado por en 14:57 0 comentarios
Etiquetas:

Linux full system encryption

Truecrypt is a famous solution for encrypting hard disks, but the support for ciphering the system partition is restricted to Windows users. For Linux the most common method to do this is Luks. There are various HOWTO's on setting up full disk encryption using Luks [1] [2], but most of them need a manual setup and encryption of each partition and separate configuration in order to build a fully ciphered system.

On Debian based Linux distributions there is a more comfortable way to solve this issue. The precondition is that the alternate installation CD for Ubuntu or a recent Debian installation image has to be chosen. The main focus is then on the partitioning menu.

  1. The first step is to choose the manual way of partitioning the hard disk
  2. Here the first partition to create is "/boot", using a normal unencrypted file system like ext3
  3. The whole rest of the hard disk is used for the second partition. Here not e.g. ext3, but "physical volume for encryption" is the preferred option to choose.
  4. Now, in the main menu of the partitioner the new option "Configure encrypted volumes" is selected. Here the password of the 2nd partition is defined, and the partition is formatted (encrypted in this case)
  5. By default the new encrypted partition appears as ext3 in the main partitioning menu. This has to be changed from ext3 to use it as "physical volume for LVM" - the Linux Volume Manager
  6. Another new menu entry in the main window of the partition manager appears: "Configure the Logical Volume Manager".
    • Here a new volume group has to be created using the encrypted 2nd partition which was set up just before. Within this volume group different logical volumes can be created. For example the Linux root volume "/", "/home" and "swap".
    • It is important that the volume groups are created in decreasing order of the size. (first the biggest, the smallest as the last) If not an error will show up.
  7. After creating the volume groups, they appear in the main menu of the partitioner and can be formated with the preferred file system format (e.g. ext3 or swap)
Here is a screenshot after making all these steps:



From here on the installation of the Linux system is "business as usual"..

In addition to all the advantages of a Logical Volume, a possible attacker even cannot see the partition table of the system, because it is encrypted within the LV.

In general Truecrypt and Luks are software based encryption methods which are not immune against attacks. The best solution is hardware encryption where the ciphering and storing of the keys is made within a special designated chip.

Clemens Kurtenbach
S21sec labs





Publicado por en 10:43 2 comentarios
Etiquetas:

Asegur@IT II. Barcelona, 3 de Abril.

Tras el éxito de Asegur@ IT I que se celebró el pasado 4 de octubre en Madrid, la organización ha decidido crear una segunda sesión en Barcelona cambiando a todos y cada uno de los ponentes para poder deleitarnos con nuevas presentaciones. En la misma participará Pablo Catalina, auditor de seguridad de S21sec, quién hablará de los riesgos y medidas de seguridad a tomar en sistemas de VoIP y sistemas de mensajería instantánea.

El resto de la agenda comprenderá:

- Análisis forense en máquinas Windows. Juan Garrido, cosultor Informatica 64.

- Solución al Reto Hacking V y métodos para que un servidor web quede comprometido mediante la inclusión de ficheros en él. Ingeniero en tecnologías móviles de Yahoo.

- Novedades de Seguridad en IIS 7. David Cervigón, Microsoft IT Evangelist.

En la pasada edición muchas personas se quedaron sin asiento por lo que no esperes y regístrate cuanto antes.

El evento se celebrará en el Parc Tecnologic de Barcelona y comenzará a las 09:00 horas.

Agenda y registro aquí.

¡Os esperamos!






Publicado por en 17:25 0 comentarios
Etiquetas:

Seguridad en el hardware

Hasta hace bien poco nos hemos centrado en la seguridad del software, en donde son (o por lo menos deberían ser) necesarias permanentes auditorías de código que garanticen su fiabilidad. A pesar de ello, hay ciertos aspectos que son difícilmente salvables como es el caso de la reciente polémica suscitada a raíz de un paper donde se demostraba que es posible la extracción de la clave de cifrado de un ordenador con el disco duro cifrado mediante un sencillo procedimiento, por muchas certificaciones de seguridad que tuviera este software.


Trasladándonos a la industria de los videojuegos, podemos ver cómo ya hace algún tiempo los fabricantes se han tomado en serio este tipo de problemática (si bien es cierto, con una descarada presunción de culpabilidad hacia el usuario), y han tomado serias medidas con el fin de evitar la ejecución de copias piratas en sus productos de última generación. Así, el gigante Sony optó por añadir una capa de virtualización mediante el uso de un hipervisor unido a unos mecanismos hardware integrados a bajo nivel (CPU/chipset) y a un firmware reprogramable con memoria flash. Gracias a ello, borró de un plumazo la problemática de que alguen pudiera acceder al bus de datos y direcciones de la consola de forma directa o indirecta (mediante interfaces JTAG, por ejemplo).

Poco a poco, la informática de consumo va adoptando estas medidas tan innovadoras, y la seguridad se va confiando a dispositivos criptográficos basados en hardware, como los archiconocidos chips TPM, de los que hay incluso planes de integrar en el propio chipset de las placas base. Gracias a este tipo de chips, que aceleran el cifrado de datos al vuelo gracias a su grado de especialización (como los discos duros FDE), es posible conseguir un elevado grado de robustez frente a la fuga de claves de cifrado.

Todo suena muy bonito, confiamos al hardware, algo en principio mucho más difícil de sabotear, las labores críticas de cifrado para los datos procesados en un ordenador y, de paso, aquellos que viajan por la red. Pero leyendo este artículo uno se da perfecta cuenta de que se está en mano del buen hacer de la industria de semiconductores, confiando en que no tengan la mala intención de falsificar un diseño de un fabricante de chips en una fábrica clandestina con el fin de abrir un agujero en la seguridad de nuestros equipos.

Para más inri, los semiconductores se fabrican en masa, mediante un proceso en el que se queda irreversiblemente grabado un circuito de silicio. Si este "fallo" es trasladado a esta fase, ya es muy difícil y costoso echar atrás la fabricación. Estamos por tanto confiando nuestra seguridad cada vez más a empresas subcontratadas que fabrican los dispositivos que mantendrán a buen recaudo nuestros más preciados datos.

Es cierto, existen alternativas como los FPGAs o incluso microprocesadores reprogramables como los ya olvidados Transmeta que tuvieron su momento de gloria cuando Linus Torvalds trabajaba allí. El problema parece ser que el coste actual de estos FPGAs es sensiblemente superior al de los clásicos semiconductores no reprogramables, al tiempo que tampoco supuso un reclamo lo suficientemente atractivo como para que los gigantes del silicio (Intel y AMD) se hicieran con Transmeta. Además, el factor humano sigue estando presente en el desarrollo de hardware reprogramable, con lo que poco se gana, salvo que la empresa que lo fabrica esté dispuesta a admitir un fallo de diseño y lo corrija. Como guinda de este paranóico pastel, me gustaría acabar con una pregunta abierta ¿y qué pasaría si los gobiernos tuvieran "despistes" a la hora de validar los chips que se integran en los equipos de sus ciudadanos? ¿y entre los gobiernos? La polémica está servida.

Álvaro Ramón
S21sec labs





Publicado por en 15:13 4 comentarios
Etiquetas:

Seguridad Electoral

La tecnología electrónica nos permitió conocer en tiempo record los resultados electorales. Sin embargo, estos resultados avanzados entre la noche del nueve de marzo y la madrugada del día diez siguen considerándose un escrutinio provisional. No será hasta este viernes cuando los resultados serán ya definitivos. En la Junta Electoral Central se habrán recogido y contabilizado las actas de todas las mesas, a las que se sumarán los votos de los residentes en el extranjero y los votos de los ausentes temporales (personas que sin residir en el extranjero no pueden emitir su voto el día de las elecciones).

¿Esta verificación “manual” significa que nos seguimos sin fiar de los resultados transmitidos electrónicamente? ¿Cómo se realiza exactamente la transmisión electrónica del escrutinio? ¿Es realmente segura?

Este año, una vez más, la empresa Indra fue la adjudicataria de la transmisión de los datos y la gestión segura de los mismos. Como muchos ya sabréis esta vez se han utilizado cerca de 11000 PDAs que han facilitado esta tarea. Se han utilizado distintos modelos y distintas marcas, todas ellas con un software común y con un sistema de gestión remota que permitía configurar en cada momento qué información debía ser introducida. Así, a las 14 horas todas fueron habilitadas remotamente para poder transmitir únicamente datos relacionados con el avance del índice de participación. Una vez cerrados los colegios electorales, éstas fueron configuradas para admitir ya los resultados de los votos de los senadores y de las listas al Congreso.

En función de la carga de trabajo se determinó el número de mesas que utilizarían una misma PDA. En cada mesa había un representante de la Administración responsable de comunicarse con un único responsable de esa PDA para la transmisión de los datos. Éste debió introducir, para evitar ambigüedades, el número de mesa y como doble verificación una clave única asociada con cada número de mesa.

Una vez introducidos los datos, estos viajaron supuestamente a través de un canal seguro de comunicaciones vía GPRS. Esta comunicación GPRS fue proporcionada por distintas operadoras de telefonía móvil, no reveladas, que a su vez redirigieron el tráfico hacia una operadora única, contratada por el Ministerio del Interior y cuya identidad tampoco ha sido revelada. Esta operadora fue responsable de enviar los datos hacia el centro de Datos de Madrid, otros 18 centros de recogida de datos repartidos por distintas Delegaciones del Gobierno a lo largo del país, y al Centro de Servicio de Indra.

A partir del proceso anterior podemos deducir varios puntos débiles para los cuales parece que se han aplicado políticas y tecnologías de seguridad:

  • En el acceso al envío de datos, sólo una persona cualificada era la responsable de manipular la PDA.
  • Además, fue necesario verificar cada mesa con una clave propia.
  • La transmisión a priori suponemos que fue cifrada, autenticada y con un sistema de verificación de la integridad de la información extremo a extremo. No obstante ha sido imposible verificar estos datos.
  • La altísima redundancia basada en sistemas de backup repartidos por toda la geografía española garantiza prácticamente al ciento por ciento la disponibilidad de los datos.

Parece que ya va siendo hora de que vayamos dando más protagonismo al sistema electrónico, tanto en la transmisión de los resultados como en la implantación de un sistema de votación de este tipo. La tecnología ya lo permite, pero ¿estarán las administraciones a la altura de este nuevo reto de la tecnología de los sistemas de información?


Elyoenai Egozcue
S21sec Labs






Publicado por en 12:21 9 comentarios
Etiquetas: ,

Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados

Otra de las novedades que incorpora el nuevo reglamento de seguridad de la LOPD son las medidas que las empresas deberán aplicar a los datos en soporte papel. Dichas medidas quedan detalladas principalmente entre los artículos 105 y 114 del RD 1720/2007 (Título VIII Capítulo IV).


En las próximas líneas intentaremos desgranar los requisitos que se establecen y las implicaciones que se derivan desde el punto de vista de la gestión de los datos en soporte papel.

El Artículo 106 establece la necesidad de seguir unos criterios de archivo de la documentación. En los casos en que estos criterios no estén establecidos en una legislación específica, se hace necesario que el responsable del fichero establezca los criterios de archivo. Es en este último escenario en el que será recomendable disponer de una política específica que establezca las directrices para el tratamiento de los documentos con datos personales. Estas directrices, a su vez, deberán estar respaldadas por los procedimientos de actuación correspondientes.

Los Artículos 107 y 111 nos indican de forma explícita que el control de acceso a la documentación debe realizarse mediante la aplicación de controles físicos, lo cual dificulta tanto la aplicación de los controles (en caso de no existir) como la continuidad en el tiempo de la aplicación de las medidas que se apliquen (el factor humano juega aquí un papel crucial en la aplicación continua de los controles).

Una buena medida a considerar relacionada con el Artículo 108 Custodia de los soportes, es la inclusión de cláusula de confidencialidad con las empresas de limpieza. El personal de limpieza accede a áreas o zonas que contienen documentación con datos de carácter personal que no está archivada en los dispositivos de almacenamiento habitual (a los que se refieren los artículos 107 y 111) y sobre los que también se deberá impedir el acceso no autorizado. Puesto que la operativa diaria no puede evitar que, en un momento dado, el persona de limpieza tenga acceso a la documentación que esté en proceso de revisión o tramitación, es recomendable disponer de controles compensatorios como el propuesto.

El Artículo 112.2 establece la necesidad de destruir las copias de forma segura, es decir, evitando el acceso a la información contenida en las mismas o su recuperación posterior. En este caso, para dar debido cumplimiento a los requisitos establecidos se pueden plantear tres alternativas posibles:

1.- Disponer de contenedores específicos para la destrucción de documentos confidenciales: Dichos contenedores sería recomendable que estuvieran cerrados con llave evitando que queden abierto pues, en ese caso, serían equivalentes a una papelera convencional.
2.- Disponer de destructoras de papel (trituradoras) que garanticen la imposibilidad de recuperar la información. Estas destructoras pueden ser personales, departamentales o compartidas por varios departamentos de la empresa.
3.- Externalizar el servicio de destrucción de documentos en soporte papel: En este caso es aconsejable que se establezcan cláusulas orientadas a garantizar la confidencialidad durante la recogida y transporte de los documentos, establecer contractualmente el tamaño del residuo una vez destruidos los documentos y, como e todo contrato de externalización de servicios, tener potestad auditora sobre el prestador. Estas cláusulas permitirán atender, en parte, los requisitos descritos en el Artículo 114 relativo al traslado de documentación, que debe realizarse con las debidas garantías que impidan el acceso o manipulación de la información que sea objeto de traslado.


Joan Ayerbe
Manager de Consultoría, CISM.





Publicado por Joan Ayerbe en 08:42 0 comentarios
Etiquetas:

Datos especialmente protegidos frente a la aplicación del los niveles de seguridad de acuerdo al Art. 81.5.

En diversas ocasiones se ha dicho de la LOPD que es probablemente una de las normativas de protección de datos más severas del mundo. Esta dureza ha sido criticada hasta la saciedad especialmente por el sector de las PYMES, quienes han considerado injusto determinadas situaciones como que el tratamiento que pudiese realizar un pequeño empresario o profesional autónomo con un PC de sobremesa (y en muchos casos clónico), con una sencilla aplicación de gestión del negocio, podía ser sancionado por un mismo concepto, con una multa de cuantía semejante a la que podrían imponer a una empresa multinacional, cuyos tratamientos pueden realizarse en un Centro de Procesamiento de Datos, cuyas dimensiones podrían ocupar el mismo espacio físico que la nave o taller del empresario al que hacemos referencia.

El artículo 81.5 muestra una clara intención de rebajar o paliar el perjuicio que puede suponer para sectores como el de los pequeños empresarios y/o profesionales autónomos, de tener que adoptar niveles de seguridad semejantes a los que tendría que adoptar un hospital por el tratamiento de los datos de salud sobre sus historias clínicas, por el simple hecho de tener que tratar de forma puntual algún dato especialmente protegido (dato de minusvalía, afiliación sindical, etc.), para dar cumplimiento a un requisito legal de carácter administrativo.

De entre los sectores más desfavorecidos, el sector de las PYMES es uno de los visiblemente más perjudicados, ya que se han visto obligados a destinar tiempo y recursos para poder dar cumplimiento a estas medidas tan técnicas y rigurosas, y que en muchos casos han tenido que adquirir aplicaciones adaptadas a estos nuevos requerimientos.

La primera parte del artículo 81.5.a exime del cumplimiento de las medidas de nivel alto de seguridad, a aquellos responsables de fichero que tratan los datos con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. Claramente en este artículo se está haciendo referencia al caso de los datos de afiliación sindical que los trabajadores comunican al empresario, para que éste descuente de su nómina, el importe de la cuota de afiliación sindical correspondiente.

Por otro lado en el artículo 81.5.b, se exime del cumplimiento de las medidas de nivel alto a aquellos responsable de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. En este apartado se estaría haciendo referencia a situaciones como aquellas en las por ejemplo; un agente inmobiliario para poder verificar la solvencia de un arrendatario, le solicita algún documento (por ejemplo la nómina) en la que se hace referencia a un dato especialmente protegido. En este caso la finalidad principal del fichero sería la gestión del arrendamiento, aunque de forma accesoria se incorporaría una copia de la nómina del arrendatario a efectos de poder justificar la solvencia de éste.

Como conclusión podríamos interpretar el artículo 85 del nuevo reglamento, como un claro ejemplo del esfuerzo por parte del legislador por adaptar las regulaciones a la realidad y a las casuísticas cotidianas de las organizaciones, liberándolas del cumplimiento de unas medidas que vienen, a su vez, impuestas por el cumplimiento de otras normativas como serían los requisitos relacionados con la gestión laboral de los trabajadores, sin que exista otra finalidad (más allá de esa gestión laboral) para el tratamiento de los datos de nivel alto.

Podemos encontrar en este sentido otros ejemplos en el nuevo reglamento que indican el esfuerzo del legislador por regularizar situaciones habituales de la actividad económica, como es el caso de la subcontratación de servicios que viene recogida en el articulo 21. Aunque esto nos daría pie a otro post……

Alfonso Escobar.
Consultor de Seguridad.





Publicado por Joan Ayerbe en 19:35 0 comentarios
Etiquetas:

El "pretexting" en la legislación española (II)

No existen en España obligaciones legales específicas en cuanto a la configuración o calidad de los sistemas de autenticación en la provisión de servicios de atención telefónica, si bien los responsables de ficheros que los provean han de cumplir con el deber de secreto y seguridad exigidos por los artículos 9 y 10 LOPD y con el régimen legal establecido para la satisfacción del derecho de acceso por los titulares de datos personales.

El artículo 15 LOPD establece que el derecho de acceso consiste en "solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos", derecho que si bien "sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto".

La Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación vino a determinar la forma y las condiciones en las que se debía producir el ejercicio de los derecho de acceso, rectificación y cancelación, exigiendo que ha de mediar solicitud dirigida al responsable del fichero por el interesado o persona que legal o voluntariamente la represente, la cual contendrá:

  • Nombre, apellidos del interesado y fotocopia del DNI del interesado y, en los casos que excepcionalmente se admita, de la persona que lo represente, así como el documento acreditativo de tal representación. La fotocopia del DNI podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho;
  • Petición en que se concreta la solicitud;
  • Domicilio a efectos de notificaciones, fecha y firma del solicitante;
  • Documentos acreditativos de la petición que formula, en su caso; y
  • El interesado deberá utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud.

En esta misma Instrucción se establece que "el responsable del fichero podrá denegar el acceso a los datos de carácter personal cuando el derecho se haya ejercitado en un intervalo inferior a doce meses y no se acredite un interés legítimo al efecto", añadiendo tal posibilidad también "cuando la solicitud sea formulada por persona distinta del afectado", a salvo de los casos en que el derecho de acceso pudiese ejercerse por representante legal o voluntario del interesado, casos en los que el responsable del fichero habrá de asegurarse de constatar la realidad de la representación por medio del documento acreditativo correspondiente.

Por otra parte, concreta esta Instrucción la forma de la información que se debe proporcionar al interesado que ha ejercido su derecho de acceso, así como la información que en concreto deba facilitarse al interesado, resultando particularmente gravoso para los responsables de ficheros que exigiera la entrega de "todos" los datos personales tratados, lo cual además de implicar un elevado coste para los responsables de ficheros podía no ser del interés del titular de los datos que tan sólo pretenda acceder a algunos de los datos en poder de aquellos.

Resulta evidente que estos requerimientos en la autenticación de la identidad del interesado que pretende ejercer el derecho de acceso no casa bien con la agilidad que puede ser necesaria, por ejemplo, en la obtención de una copia de una factura telefónica (y no de todos los datos en poder del operador) o con la posibilidad de ejercer el derecho de acceso por medio de servicios de atención telefónica o medios telemáticos dispuestos al efecto.

Ello vendrá a resolverse con la entrada en vigor del Reglamento de la LOPD (RLOPD) puesto que, además de admitir los servicios de atención telefónica como cauces válidos tanto para la emisión de la negativa al tratamiento como para la revocación del consentimiento, el artículo 24.4 reconoce a quienes disponen de este tipo de servicios la posibilidad de conceder a los interesados por este medio el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en cuyo caso dispone además "la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la prestación de sus servicios o contratación de sus productos". Medios que como hemos comentado antes pueden no ser del todo idóneos y estar siendo caldo de cultivo de quienes deseen hacer uso del "pretexting".

Los interesados que ejercieran sus derechos de acceso, rectificación, cancelación y oposición empleando los servicios de atención al cliente quedan excepcionados por el artículo 25.1 RLOPD de enviar comunicación alguna al responsable del fichero, si bien entiendo que ello implica necesariamente que el responsable de fichero deba registrar en sus sistemas los datos identificativos y la petición concreta formulada, así como el domicilio a efectos de notificaciones en caso de que no coincidiera con el domicilio de facturación de los clientes. Si bien es cierto que que cuando fuera necesario los interesados habrán de enviar en cualquier caso los documentos acreditativos de la petición que formulasen los interesados.

El hecho de que no se requiera copia del documento nacional de identidad, pasaporte o documento válido que identifique a quienes ejercen su derecho de acceso por medio de los servicios de atención telefónica deja en manos de la robustez del sistema de autenticación implantado o de la candidez o solidaridad de los teleoperadores el acceso a datos personales de terceros por quienes empleen el "pretexting", incrementado así la probabilidad de que el responsable del fichero en el que obran los datos pueda ser sancionado por vulneración del deber de secreto que le es impuesto por el artículo 10 LOPD y que supone una infracción leve, si bien puede que grave o muy grave dependiendo de los casos, sea dado el sector de las compañías citadas, o por estarse tratando datos de nivel alto o datos que en su conjunto sean suficientes para obtener una evaluación de la personalidad del individuo.

Podría ser mejor que estas compañías que prestan servicios al público en general de especial trascendencia económica derivaran las solicitudes de derechos de acceso, rectificación, cancelación y oposición al "medio de interlocución telemática" basado en el "uso de certificados reconocidos de firma electrónica" que les impone el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Aunque desconozco hasta qué punto este tipo de compañías van a dotarse de este medio de interlocución telemática, puesto que en esta ley no se establece régimen sancionador para el incumplimiento de esta obligación.

Como decíamos en el anterior post el "pretexting" es una práctica habitualmente empleada por detectives privados, aunque puede ser utilizada por cualquiera. Huelga decir que, abstrayéndonos de los casos en los que el atacado fuera una persona jurídica, los datos personales que fueran obtenidos fraudulentamente y las demás informaciones que gracias a ellos se consiguieran habrán de ser apreciadas como nulas por un Juez en caso de que le fueran presentadas como pruebas (art. 11.1 LOPJ). Aparte se daría el hecho de que los detectives privados que hicieran uso de esta técnica podrían ser sancionados por las condiciones ilícitas en que se produce el tratamiento por estos de los datos personales obtenidos por medio del "pretexting".

Pero el "pretexting" no sólo está regulado por la legislación en materia de protección de datos de carácter personal, ya que al mismo tiempo este tipo de prácticas pueden suponer, según los casos (por ejemplo, acceso a datos de una póliza de seguros de salud o de vida) una intromisión ilegítima en el derecho a la intimidad personal y familiar (artículo 7.2 Ley Orgánica 1/1982) e incluso pueden caber en el tipo del delito de descubrimiento y revelación de secretos (Capítulo 1 del Título X del Libro II del Código Penal).


En definitiva, ya sea por el "pretexting" o casi mejor, para asegurarse de realizar un totalmente adecuado tratamiento de los datos personales de su responsabilidad, cualesquiera entidades que ofrecieran servicios de atención telefónica debieran analizar y revisar los procesos de estos servicios a fin de adecuarlos a la legislación en maeria de protección de datos, prestando especial interés principalmente a la robustez y calidad los sistemas de autenticación empleados en estos servicios no presenciales. Es de destacar que aún no habiéndolos mencionado anteriormente, los servicios de atención telefónica de la Administración Pública pueden ser igualmente objeto de ataques de "pretexting" y que en atención al artículo 8.2.c de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, los sistemas de autenticación empleados deberán garantizar la seguridad de las informaciones sobre los ciudadanos a las que se dé acceso por medio de este tipo de servicios.

Álvaro Del Hoyo
Departamento de Consultoría






Publicado por Álvaro Del Hoyo en 13:12 2 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2012 - Todos los derechos reservados


login