Blog
Proyectos

lunes 31 de marzo de 2008

Malwarez

Ya estamos acostumbrados a que en el diseño de sitemas informáticos y el comportamiento de programas informáticos se busque adaptar el mundo de la biología al mundo de la informática. Desde las redes de neuronas que intentan imitar la forma en la que funciona el cerebro, a técnicas que imitan el sistema inmunológico para combatir infecciones de virus 'artificiales' o mejor dicho, lo que hoy se conoce con el nombre de malware.

Pero quizá, aunque mucha gente veía un cierto paralelismo entre código de los programas malware y el ADN de un virus (biológico), parece que nadie se había planteado que, así como el ADN determina la estructura física del virus también el código del programa malware podría representar una estructura física (o almenos una representación visual) de dicho programa. Es decir, que se defina una representación visual del programa que dependa de cual sea el comportamiento que tenga el código malware al ejecutarlo.

Ha sido el arista gráfico rumano Alex Dragulescu el que recientemente nos ha sorprendido con su proyecto malwarez en el que ha creado diseños gráficos de malware tan famoso como Netsky, Storm o Agent.IL para una campaña publicitaria de la empresa MessageLabs basandose para ello en el código de los programas ejecutables.

Sin duda algo curioso, ¿quién iba a pensar que el temido malware podía pasar de infectar nuestros ordenadores a decorar la pared de la oficina?

Guzmán Santafé
S21sec labs

Publicado por S21sec labs en 15:57 2 comentarios Vínculos a esta entrada
Etiquetas: , ,

Mas sobre el voto electrónico

Comentabamos en entradas anteriores <1> <2> sobre si se la votación por medios electrónicos era segura o no. Ambas entradas mostraban las dos caras de la misma moneda, la primera que el sistema no era seguro según el informe Everest y la segunda diciendo que la tecnología actual permite construir un sistema de voto electrónico fiable y confiable.

Ahora salta a la palestra una noticia sobre la posibilidad de que en las elecciones primarias realizadas en el estado de Ohio (EE.UU.) este año se haya cometido un fraude. La noticia aparece aqui y aqui y al parecer, ya que no he encontrado fuentes fiables, en el año 2004 ocurrieron unos hechos parecidos que llevaron a cambiar la máquinas de votación por otras nuevas y seguras.

Efectivamente la tecnología actual nos permite crear un sistema de voto seguro, fiable y confiable. Lamentablemente, en el lado humano de este sistema es donde reside su mayor flaqueza, tanto como fuente de errores y fallos, como fuente de "malicia", por llamarla de alguna manera, que impide desarrollar e implementar correctamente este tipo sistemas.

Fuentes:

www.kriptopolis.org
www.arstechnica.com

Eduardo Morrás González S21seclabs

Publicado por S21sec labs en 13:02 0 comentarios Vínculos a esta entrada

S21sec crea una unidad de inteligencia, vigilancia y lucha contra el fraude online

  • Se trata de una unidad clave de la compañía, que operará en España y en el exterior
  • Su creación es consecuencia del aumento de un 98% de los casos de fraude en 2007 con respecto al año anterior
S21sec ha creado una nueva unidad de inteligencia, vigilancia y lucha contra el fraude online para dar respuesta al incremento de amenazas que afectan a las organizaciones, debido principalmente a la proliferación de actividades criminales en Internet (cibercrimen).

Esta unidad permitirá detectar y resolver estos incidentes las 24 horas los 365 días del año.

La unidad opera desde el Centro de Operaciones de Seguridad (SOC) de S21sec en Madrid, y ofrece cuatro líneas de servicios para responder de una manera más eficaz a las diferentes amenazas:

  • Fraude en Internet: S21sec garantiza una protección y lucha contra todas las diferentes formas de fraude: phishing, pharming, vishing, botnets, o la utilización de código malicioso, entre otros; con este servicio su empresa será capaz de detectar, prevenir y eliminar pérdidas económicas, robos de identidad y pérdida de confianza de clientes y usuarios. Además, hará frente a las nuevas amenazas en este área como click fraud, pay per install, posicionamiento malicioso en buscadores o la venta de credenciales robadas.
  • Vigilancia Digital: Con este servicio, S21sec ofrece la posibilidad de salvaguardar la imagen, la credibilidad y la reputación de directivos, empresas, marcas o productos que son víctimas de calumnias, amenazas o difamaciones por la red. S21sec analiza más de 18.000 webs a la hora rastreando este tipo de casos.
  • Inteligencia: Es un servicio de información exclusivo de S21sec a través del cual los especialistas de seguridad digital de la empresa estudian nuevas formas de fraude, técnicas avanzadas de infección de máquinas, métodos de lavado de dinero, o la relación entre incidentes, entre otras. El análisis de estas técnicas permitirá a los especialistas de S21sec ofrecer una información detallada y personalizada sobre los riesgos que pudieran afectar a una organización, analizando en profundidad incidentes de espionaje industrial, riesgos inherentes a infraestructuras críticas o amenazas ciberterroristas y geopolíticas.
  • Formación especializada: S21sec ofrece a las organizaciones y Fuerzas de Seguridad una formación sobre las nuevas amenazas por la red para que puedan enfrentarse a ellas adecuadamente.

Estos cuatro servicios responden al nuevo panorama de las amenazas digitales originadas por bandas de crimen organizado con experiencia y multitud de recursos, que se aprovechan del anonimato que les proporciona la red, la diversidad geográfica de los sistemas y la permisividad de ciertos países ante este tipo de delitos.

En los últimos años, los ataques no sólo se han multiplicado en número, sino que cada vez son más sofisticados y afectan a distintos sectores como la Banca, las Telecomunicaciones y las Administraciones Públicas.

Según los datos del Centro de Operaciones de Seguridad de S21sec, en 2007, la compañía gestionó casi 1.700 casos de fraude (1.114 de phishing, 534 de troyanos y 19 de scam), y analizó más de 1.000 muestras de código malicioso de forma diaria. Esto supone un aumento de un 98% de casos de fraude con respecto al año 2006.

Protección de infraestructuras críticas y espionaje industrial en la red: dos amenazas crecientes

En la actualidad se producen casos de espionaje industrial perfectamente planificados dirigidos a organizaciones, cuyo objetivo es el robo, eliminación o manipulación de información sensible. También es cada vez mayor la amenaza de ataques contra las infraestructuras críticas de una nación por parte de grupos terroristas como por ejemplo infraestructuras de electricidad, gas, refinerías y aeropuertos.

La creación de esta unidad de inteligencia, vigilancia y lucha contra el fraude online se complementa con una serie de acuerdos estratégicos alcanzados por S21sec con organizaciones reconocidas en todo el mundo como Microsoft, VeriSign, o iDefense. También trabaja conjuntamente con las distintas Fuerzas de Seguridad, tanto nacionales como internacionales que luchan contra la ciberdelincuencia y los delitos digitales.


María Asín
Responsable Marketing

Publicado por S21sec en 11:23 0 comentarios Vínculos a esta entrada
Etiquetas: ,

viernes 28 de marzo de 2008

Donde los scanners de vulnerabilidades no llegan - IV

Fuerza bruta

La mayoría de los scanners no permiten realizar pruebas exhaustivas de fuerza bruta contra los mecanismos de autenticación disponibles, y si lo permiten, lo hacen solo contra un número muy limitado de servicios y utilizando diccionarios muy pequeños.

Conforme avanzan los años, las vulnerabilidades clásicas que permitían una intrusión rápida en los sistemas se van reduciendo (Por ejemplo los desbordamientos de buffer en demonios de red populares van siendo parcheados) y además las redes se van haciendo cada vez más veloces. Este escenario lleva a los atacantes reales a cambiar sus rutinas y utilizar métodos cada vez más agresivos de ataque.

Existen ya herramientas que permiten atacar la autenticación de múltiples servicios y que ofrecen un ratio de intentos por minuto muy altos. Por ejemplo:

• Hydra: http://freeworld.thc.org/thc-hydra/
• Medusa: http://www.foofus.net/jmk/medusa/medusa.html


Si un servicio utiliza algún tipo de autenticación y no cuenta con las medidas de protección necesarias contra ataques de fuerza bruta (Por ejemplo mediante un bloqueo de cuentas), puede ser fácilmente atacado con éxito por esta vía.

Si combinamos estos ataques de fuerza bruta con diccionarios grandes generados a partir de información obtenida de otras posibles vulnerabilidades (Por ejemplo si podemos obtener un listado de los usuarios del sistema) se puede obtener un porcentaje aceptable de intrusiones.

Ramón Pinuaga
Departamento de Auditoría

Publicado por Christian Martorella en 12:59 0 comentarios Vínculos a esta entrada

BlackHat Europe 2008

Una expedición de S21sec nos encontramos en las charlas de BlackHat Europe 2008 en la cálida ciudad de Amsterdam, donde durante dos días hay una serie de charlas sobre diferentes aspectos de seguridad, destacando sobre todo la charla de nuestros colegas Chema Alonso y José Parada, que ha sido un éxito. ¡Enhorabuena!


Hay una pequeña representación de varias empresas españolas, por lo que si estáis por aqui, seguro que es fácil localizarnos. ¡Nos vemos!

Publicado por S21sec labs en 11:51 0 comentarios Vínculos a esta entrada
Etiquetas:

jueves 27 de marzo de 2008

15 millones de euros en ventas en 2007 y lanzamiento al mercado internacional

Ayer anunciamos en rueda de prensa los resultados de este 2007 así como las previsiones y planes para el 2008. Estos fueron parte de los datos expuestos.

S21sec alcanzó su cifra récord de 15 millones de euros anuales en ventas y la cifra de 22 millones de euros anuales en pedidos de ventas en el año 2007, lo que significa un incremento del 58% con respecto a las ventas del año 2006.

Estos resultados se han alcanzado gracias a la consolidación del liderazgo de S21sec en España como referente tecnológico, la consolidación de Bitacora como herramienta estratégica, el desarrollo de herramientas e investigación en el terreno del fraude online y el incremento (145%) de su presencia en sectores claves como la administración pública y la banca, donde cuenta con grandes clientes (26 de las 35 compañías del IBEX).

También ha sido clave los éxitos conseguidos en I+D+i como los servicios de Webmalware, análisis de troyanos, vigilancia digital y el desarrollo y diseño del modelo de gestión integral de la seguridad, UMSS (Unified Management Security System) así como la confianza depositada por sus accionistas, entre los que se encuentran grandes empresas como Telvent y VeriSign. A través de S21sec labs, la empresa ha participado en distintos proyectos de colaboración con diferentes organismos públicos y empresas internacionales invirtiendo un total de 8 millones de euros.

En el año 2008 S21sec prevé incrementar sus ventas en torno al 65% alcanzado la cifra de 25 millones de euros a través de una inversión sostenida del 25% de su presupuesto anual en I+D+i y la puesta en marcha de un nuevo modelo organizativo integrado por cuatro líneas de negocio: una unidad de Inteligencia, Vigilancia y Lucha contra el fraude orientada a mercados globales, una unidad de Productos compuesta principalmente por la nueva suite Bitacora 4.0 cuya finalidad es gestionar y prevenir los riesgos que pueden afectar el negocio de los clientes a partir de los logs y la gestión de vulnerabilidades, una unidad de I+D+i que cuenta con laboratorios especializados en gestión integral de la seguridad y está orientada a proyectos europeos y la colaboración con empresas multinacionales y, finalmente, la unidad de Servicios Globales de Seguridad que proporciona servicios de seguridad gestionados a todos los clientes apoyándose en la plataforma UMSS (Unified Management Security System) diseñada para convertirse en el punto central desde el que gestionar todos los aspectos relativos a la seguridad integral de las organizaciones.

Durante este año la empresa incrementará considerablemente su plantilla con respecto al año anterior pasando de 201 a 285 empleados y consolidará su crecimiento en el ámbito nacional con la apertura de una nueva oficina en León alcanzando el total de siete en toda España (Madrid, Barcelona, Pamplona, San Sebastián, Sevilla, Murcia y León).

Lanzamiento internacional

Durante el año 2008 la empresa planea consolidar de manera definitiva su plan de expansión internacional que comenzó en el año 2007 con la apertura de dos oficinas en México DF y Monterrey, creándose S21sec México, S.A. y la creación de una alianza estratégica con un partner local en Argentina, Reino Unido y Dubai. El volumen de negocio previsto es de 5 millones de euros para este año y 12 millones de euros para el 2009.




El elevado nivel de ataques de seguridad a organizaciones españolas ha llevado a la necesidad de adopción de un nivel de medidas de seguridad superior a la de otros países. En la actualidad, los ataques se producen de forma global y los métodos son los mismos en todos los países del mundo. Esta situación ha provocado una demanda continua de los servicios de seguridad integral ofrecidos por S21sec y con ello la necesidad de búsqueda de nuevos mercados.

El principal reto para el 2008 consiste en la creación de dos oficinas propias en Londres y Dubai para ofrecer los servicios de antifraude, vigilancia, inteligencia, servicios gestionados y la suite Bitacora 4.0, así como la apertura de una nueva oficina en EEUU para la exportación de tecnología propia y la vigilancia tecnológica.

Para alcanzar sus objetivos, S21sec cuenta con uno de los mejores equipos de seguridad a nivel mundial, una cartera de clientes multinacionales, el liderazgo en Seguridad de la Información y un modelo de servicios gestionados 24x7 capaz de prestar soluciones a nivel global desde sus centros de operaciones de seguridad (SOC).

Se nos presenta, para estos próximos meses, un proyecto ambicioso y prometedor que esperamos cumplir gracias a la confianza que depositáis en nosotros.


María Asín
Responsable Marketing

Publicado por S21sec en 22:07 0 comentarios Vínculos a esta entrada
Etiquetas: ,

Instalación de cámaras de videovigilancia ocultas

De nuevo, una empresa se encuentra en un brete gracias a la posible ligereza en cuanto a la conformidad legal en la prestación de servicios por detectives privados. Puede que finalmente resulte que LIDL haya hecho las cosas conforme Derecho, pero la mera publicación de la noticia sin quizás contar con todos los elementos de juicio para valorar su conformidad o no ya lleva un impacto negativo en la imagen corporativa de la empresa y la consiguiente inversión en la gestión de la crisis originada por la noticia.

Este vídeo se hace eco de un reportaje de un periodista del diario alemán Stern que revela la instalación de cámaras ocultas de forma permanente por detectives privados contratados por LIDL con el objeto de monitorizar el comportamiento de sus empleados, pretendidamente, para la detección e investigación de hurtos, si bien comenta el locutor que parece que se ha ido más allí registrando incluso las imágenes del guardarropa de los empleados o las conversaciones telefónicas entre estos.



En España la definición e implantación monitorización de la actividad laboral de los empleados dejando de lado su adecuación a la legislación vigente podría suponer la comisión de intromisiones ilegítimas en la intimidad personal de los empleados y en el secreto de las comunicaciones, la comisión de un posible delito de descubrimiento y revelación de secretos, todo ello sin perjuicio de las infracciones de la legislación en materia de protección de datos de carácter personal en las que se podría haber incurrido.

En estos casos se hace necesario definir una política y procedimientos para la monitorización tomando en cuenta para su análisis la doctrina del juicio de proporcionalidad y, particularmente, la Sentencia del Tribunal Supremo 6128/2007, así como la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Desde aquí reiteramos nuestra oferta de servicios para la adecuación legal de las actividades de monitorización de la actividad laboral de los empleados o de los servicios prestados por becarios, autónomos,..., mediante herramientas corporativas puestas a su disposición, ya sea mediante la revisión de la facturación de servicios telefónicos o cargos de tarjetas de crédito, la navegación por Internet, el uso del correo electrónico y equipos informáticos, la información provista por dispositivos de seguridad física o dispositivos GPS de flotas de vehículos, las imágenes provistas por circuitos cerrados de televisión,...

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 13:08 0 comentarios Vínculos a esta entrada

Novedades del nuevo Reglamento LOPD respecto a la gestión de soportes y documentos

Al analizar en profundidad el recién estrenado Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RLOPD), me ha llamado la atención la importantísima novedad relativa a la obligación de solicitar autorización al responsable del fichero, cada vez que se remita un correo electrónico que incluya datos de carácter personal.

Art. 92.2: La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

Esta novedad, que parece haber pasado desapercibida en los numerosos artículos y eventos que se están realizando, equipara los correos electrónicos a los soportes de información (memorias removibles, cintas de backup, etc.) siendo por lo tanto necesaria la solicitud de autorización al responsable del fichero cada vez que se quiera enviar un correo electrónico donde se incluyan datos de carácter personal.

Esta medida, lógicamente no es gestionable por ninguna organización independientemente de la magnitud de la misma, ya que todo profesional / trabajador, utiliza el correo electrónico como herramienta de trabajo transmitiendo a través del mismo ingentes cantidades de información que incluyen en muchos casos datos de carácter personal. Asimismo y teniendo en cuenta que la citada medida de seguridad se refiere a datos de nivel básico, se debe cumplir la medida de seguridad en todos y cada uno de los correos electrónicos que incluyan cualquier tipo de dato de carácter personal.

Siguiendo con la problemática surgida con la equiparación de soporte de información y el correo electrónico, se podría, llegando al absurdo, a generar un registro de entrada y salida de todos y cada de los correos electrónicos que entren o salgan con algún dato de carácter personal en su cuerpo o adjunto al mismo. En dicho registro se debería incluir: la fecha, hora, el emisor, el destinatario, el tipo de información recibida o enviada, la persona responsable de la recepción, la persona responsable de la emisión y la correspondiente autorización.

Llegados a este punto, y teniendo en cuenta los plazos de prescripción de las sanciones, los registros y las autorizaciones para recibir y/o enviar correos electrónicos deberán almacenarse por un periodo no inferior a tres años.

Finalmente y como conclusión comentar la gran dificultad que tendremos todas las organizaciones para cumplir escrupulosamente con lo establecido por el nuevo RLOPD, ya que la labor administrativa y organizativa que exige es desmesurada .

Koldo Peciña Txintxurreta
Consultor Senior S21sec

Publicado por Álvaro Del Hoyo en 11:31 1 comentarios Vínculos a esta entrada
Etiquetas: , ,

Códigos tipo y transferencias internacionales de datos

La Legislación de Protección de Datos de Carácter Personal vigente en España, permite dentro del respeto de los mínimos legalmente establecidos, la posibilidad de que las entidades públicas y/o privadas que tratan datos de carácter personal, puedan establecer criterios voluntarios de adecuación que les permita mejorar el tratamiento de los datos de carácter personal que realizan.

En este sentido, se pueden establecer diferentes marcos de trabajo entre los cuales destacan:

1. LOS CODIGOS TIPO

Son un conjunto de buenas prácticas de adhesión optativa, que recogen compromisos adicionales y criterios básicos relacionados con la protección de datos.

Los códigos tipo deben cumplir los criterios mínimos que establece la legislación de Protección de Datos, y constituyen una adopción voluntaria que obliga al cumplimiento de su contenido en tanto en cuanto la entidad se adhiera a ellos.

Son inscritos en el Registro General de Protección de Datos, previa aprobación de su contenido por la Agencia Española de Protección de Datos, y se han constituido como elementos útiles para la adopción de posturas adoptadas unilateralmente por empresas o criterios sectoriales para tratamiento de datos de carácter personal.

Los Códigos Tipo tienen una gran aceptación por parte de los clientes potenciales así como de la ciudadanía en general puesto que establece un compromiso de respeto al derecho a la intimidad, al honor y la propia imagen del afectado.

  1. ACUERDOS INTERNACIONALES

Si tenemos en cuenta una perspectiva internacional de datos, salvando los casos en los que el afectado consiente de forma expresa el tratamiento internacional de los datos, la Legislación Española de Protección de Datos, establece la necesidad de que el país de origen y el país de destino tengan un mismo nivel de protección en materia de datos de carácter personal.

En relación a ello, se establecerán dos grandes grupos;

  1. Países destinatarios con un nivel de protección equivalente. Respecto a los cuales, para la realización de transferencias internacionales de datos no se requiere autorización del Director de la Agencia Española de Protección de Datos, dado que bien el Estado Español bien la Unión Europea considera que garantizan un nivel de protección equivalente. El listado de estos países es publicado regularmente en el Boletín Oficial del Estado.
  1. Países destinatarios respecto a los cuales no se considera que exista un nivel de protección equivalente.

En cuyo caso las entidades españolas que pretendan realizar una transferencia internacional de datos a estos países (y dicha transferencia no se encuentra exceptuada por Ley) deberán solicitar autorización al Director de la Agencia Española de Protección de Datos, en donde deberán fundamentar que entre ambas partes se ha establecido acuerdos concretos que garanticen dicha equivalencia de protección a la legislación española.

Ambos supuestos relativos a la transferencia internacional de datos, constituyen en relación a países fuera del espectro territorial de la Unión Europea una adhesión voluntaria, bien Estatal mediante la formalización de Acuerdos Internacionales, bien de la entidad destinataria mediante la formalización de acuerdos bilaterales privados, o la adhesión a protocolos marco (como pueden ser los denominados Protocolo de Puerto Seguro entre Estados Unidos y la Unión Europea).

En todo caso, el contenido de estos acuerdos, contratos bilaterales y protocolos de adhesión son de libre disposición siempre y cuando garanticen el cumplimiento de un contenido mínimo establecido por la Legislación de Protección de datos aplicable en el país de origen.

NORMAS CORPORATIVAS VINCULANTES

Dentro del marco internacional establecido anteriormente, se ha añadido la posibilidad de que empresas de un mismo grupo puedan definir e implantar las denominadas Normas Corporativas Vinculantes (Binding Corporate Rules) que son una propuesta de la Unión Europea enfocado a flexibilizar los movimientos internacionales de datos.

Las Normas Corporativas Vinculantes (NCV) son declaraciones de grupos empresariales internacionales que comparten datos de carácter personal entre todas ellas, que definen un criterio corporativo para el tratamiento de datos de carácter personal.

La ventaja de las NCV respecto al resto de elementos contractuales arriba referenciados, cuando la transferencia internacional de datos se realiza países que no tienen un nivel de protección equivalente al Español es el ahorro de tramites burocráticos ante la Agencia Española de Protección de Datos, dado que sólo se solicita una autorización bajo unas premisas de tratamiento de datos que vincularán a todas las empresas pertenecientes a ese grupo empresarial.

Uno de los “inconvenientes” que se le asocian a las NCV es que deben estar regidos por la norma local más restrictiva en materia de protección de datos, de todas las que apliquen al holding empresarial, y que debe ser de obligado cumplimiento en todas las empresas filiales.

En conclusión siempre bajo el prisma del cumplimiento de los mínimos establecidos en la Legislación Española de Protección de Datos, las entidades ya sean públicas o privadas pueden adherirse a criterios voluntarios relativos al tratamiento de protección de datos que mejoran su imagen empresarial ante Organismos como la Agencia Española de Protección de Datos, y sus clientes potenciales.

No obstante estas normativas de aceptación voluntaria constituyen un catálogo de criterios de adecuación adicionales que deben de ser adoptados por las entidades de forma obligatoria desde su adhesión.

Será por tanto, necesario que cada entidad de forma individualizada establezca dentro de su estrategia empresarial la importancia que quiere dar a la Protección de Datos Personales y las relaciones sectoriales, nacionales e internacionales que desee adoptar.

Montserrat Gómez Florez
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 11:21 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

Si no quieres caldo...

N.A.: Para quién se perdiera el capítulo anterior puede ser interesante leer la entrada de hace unos meses.

Siguiendo con nuestro afán normalizador de la documentación de Microsoft (nótese el énfasis sarcástico) voy a contar el problemilla que tuve unos días atrás.

Me encontraba arreglando unos temas de un objeto WebBrowser, para ello necesitaba modificar el evento FileDownload, la sintaxis de dicho evento según la documentación oficial de Microsoft es la siguiente:



Como se puede apreciar al manejador de dicho evento se le envían 2 parámetros, concretamente 2 punteros a VARIANT_BOOL, uno indica si el documento es un documento activo (¿vida propia?) y el otro se utiliza para cancelar la aparición de la ventana de diálogo de descarga de ficheros.

En realidad ya estábamos utilizando el evento FileDownload pero sólo para cancelar la ventana de diálogo de fichero y ahora queríamos ver si el documento que generaba el evento era activo o no.

Bien, una vez visto esto activamos la visualización del valor de los parámetros, lo probamos y siempre que se recibía el evento FileDownload nos saltaba una excepción.

¿Qué ocurría? No lo sabíamos pero en lugar de empezar a desensamblar con nuestro querido IDA (como hicimos en la vez anterior) optamos por utilizar la herramienta que viene con el entorno Visual Studio llamada oleview.exe.

Veamos que nos dice oleview.exe sobre el evento FileDownload:


¡Vaya! Resulta que FileDownload sólo contempla el parámetro de Cancelación...

Buscando en Google encontré que a la gente de 48bits le ocurrió algo muy parecido. ¡Menos mal! Pensaba que sólo me pasaba a mí (de nuevo énfasis sarcástico).


Hasta la siguiente taza...

Alfredo Andrés

S21Sec Labs

Publicado por S21sec labs en 9:12 0 comentarios Vínculos a esta entrada

miércoles 26 de marzo de 2008

La figura del encargado del tratamiento

La figura del encargado del tratamiento ha sido objeto de uno de los más manidos debates en la interpretación de la legislación en materia de datos de carácter personal desde sus orígenes.

El estatuto jurídico del encargado del tratamiento fue regulado en primer lugar por el artículo 27 Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en adelante, "LORTAD"), y desde el inicio de su aplicación práctica generó diversas dudas en su interpretación, en parte alimentadas por el hecho de que no contaba con desarrollo reglamentario alguno y por insuficiencias que fueron parcialmente resueltas por los artículos 12 y 43 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD").

A continuación listamos los principales aspectos que integran el estatuto jurídico de la figura del encargado del tratamiento:

  • Distinción entre los términos "responsable del fichero o tratamiento" y "encargado del tratamiento";
  • Distinción entre cesión o comunicación de datos y acceso a datos por cuenta de terceros;
  • Aplicación a ficheros automatizados y no automatizados;
  • Régimen de responsabilidad del encargado del tratamiento;
  • Formalidades en la contratación del tratamiento de datos a terceros (encargados del tratamiento);
  • Medidas de seguridad aplicables por el encargado del tratamiento;
  • Destrucción y devolución de los datos, soportes o documentos en que conste algún dato de carácter personal objeto del tratamiento;
  • Conservación de los datos objeto de la prestación de tratamiento por el encargado de éste;
  • Posibilidad de subcontratación del tratamiento por parte del encargado de éste y formalidades en su contratación.
La AGPD vino a resolver algunas de las dudas interpretativas existentes por medio de los Informes 283/2004, 416/2004 y 513/2004 de su Asesoría Jurídica, en los que la Asesoría Jurídica venía a reiterar lo ya manifestado en el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas del año 2001, de fecha 17 de julio de 2003. Estos informes se complementan con el Informe 000/2000 cuyo contenido fue revisado en 2006 para incluir la referencia a este Plan de Inspección de Oficio en precisión sobre lo manifestado en este anterior informe sobre la posibilidad de subcontratación de terceros por el encargado del tratamiento.

Precisamente lo manifestado por la AGPD en estas recomendaciones ha sido lo que ha venido a incluirse en el Título II, Capítulo III (artículos 20 a 22) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, "RLOPD") estableciendo la regulación de la figura del encargado del tratamiento en desarrollo del artículo 12 LOPD y que se complementa con lo establecido en el artículo 43 LOPD y con las referencias específicas al encargado del tratamiento en el Título VIII RLOPD relativo a las medidas de seguridad aplicables a los ficheros de datos de carácter personal.

A continuación, citaremos las novedades que trae consigo el RLOPD y los nuevos problemas interpretativos que trae consigo en relación con el estatuto jurídico del encargado del tratamiento aún reconociendo el avance que supone este nuevo articulado:
  • Formalidades en la contratación de los servicios que impliquen el tratamiento de datos de carácter personal
Las formalidades en la contratación de los servicios de tratamiento de datos de carácter personal vienen estipuladas en el artículo 12 LOPD, en cuya atención y el artículo 20.2 RLOPD viene ahora a establecer que el responsable del fichero "deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento".

Quizás hubiera sido conveniente añadir en este artículo un "en todo momento" en relación a una posible reclamación basada ya sea en la "culpa in eligendo", "culpa in contrahendo" o "culpa in vigilando".

  • Cesión o comunicación de datos a terceros por el encargado del tratamiento
Tanto el artículo 12.2 LOPD como el 20.3 RLOPD establecen que el encargado del tratamiento no podrá comunicar a terceros los datos, ni siquiera para su conservación.

El artículo 20.3 RLOPD en su último párrafo viene a aclarar que "el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo", en clara referencia a la transición del servicio de tratamiento de un encargado del tratamiento a otro.

  • Destrucción o devolución de los datos objeto de la prestación de tratamiento
El artículo 12 LOPD dispone que los datos objeto de la prestación de tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, deban de ser destruidos o en su caso devueltos al responsable del tratamiento.

En este sentido, y en atención a lo dispuesto por los artículos 16.3 y 16.5 LOPD, el artículo 22.1 RLOPD viene a aclarar en su segundo párrafo que la devolución de los datos procederá en tanto en cuanto existan obligaciones legales de conservación. A este segundo párrafo del artículo 22.1 RLOPD se le puede y debe hacer la crítica de que obvia las obligaciones de conservación de tipo voluntario que pudieran existir como reconoce el propio artículo 16.5 LOPD.

  • Conservación de los datos personales objeto del contrato del servicio que implique su tratamiento
El artículo 12 LORTAD establecía la obligación de destruir los datos objeto de la prestación de tratamiento una vez concluida ésta, si bien habilitaba la posibilidad de que el responsable del fichero autorizara la conservación de los datos por el encargado del tratamiento por un plazo máximo de 5 años y adoptando las debidas condiciones de seguridad porque razonablemente se presumiera la posibilidad de ulteriores encargos.

Esta posibilidad fue omitida por el artículo 12 LOPD, si bien el Informe 283/2004 vino a recordar que de conformidad con el artículo 1157 Código Civil y con la jurisprudencia del Tribunal Supremo la prestación del servicio de tratamiento de datos se ha de considerar cumplida una vez ésta ha concluido, a salvo de cumplimiento gravemente defectuoso o de ausencia de coincidencia con la prestación estipulada en el contrato. Todo ello sin perjuicio del derecho que asiste al encargado del tratamiento a recibir el pago por el responsable del fichero del precio acordado como contraprestación del servicio prestado. Ello significaría que una vez cumplida la prestación de tratamiento de datos el encargado de éste debería proceder a la destrucción o devolución de los datos objeto del contrato, si bien el artículo 1255 del Código Civil habilitaría un posible pacto entre las partes consistente en que "el cumplimiento de la prestación pudiera entenderse condicionado a la conformidad del responsable del tratamiento con la actuación efectuada por el encargado, de modo que se indicase en el contrato que la prestación de aquél se entenderá cumplida cuando, una vez finalizada la actividad en que consistía el tratamiento encomendado al encargado del tratamiento, el responsable del tratamiento compruebe y dé su conformidad a la actuación de aquél, siempre que para el otorgamiento de dicha conformidad se establezca un plazo razonable y reducido de tiempo".

Aún y todo, no existiendo acuerdo de este tipo entre el responsable del fichero y el encargado del tratamiento, si ha de ser considerado el encargado del tratamiento también como responsable del tratamiento, era lógico pensar que en atención a lo dispuesto en los artículos 16.3 y 16.5 LOPD, el encargado del tratamiento pudiera conservar los datos objeto de la prestación mientras se pudieran derivar responsabilidades de su relación con el responsable del fichero, de igual manera a cómo lo puede hacer el responsable del fichero (bloqueo de datos). Esto viene a ser ahora reconocido expresamente, como era lógico, por el artículo 22.2 RLOPD.

Por tanto, una vez cumplida la prestación de tratamiento los datos, soportes y documentos objeto de la prestación habrán de ser devueltos al responsable del fichero, a la vez que bloqueados para su conservación por el encargado del tratamiento durante el tiempo en que pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. De modo que la destrucción de los datos por el encargado del tratamiento tan sólo tendrá lugar una vez alcanzado el final del referido plazo máximo de conservación que le sea aplicable.

Cuestión distinta serán las dudas interpretativas que genere la regulación del bloqueo de los datos y que la AGPD ha tratatado de resolver en sus Informes 000/2001 y 127/2006. Y digo que ha tratado de resolver, pues creo que la solución dada no es del todo conforme o no encaja perfectamente con el articulado de la LOPD y su normativa de desarrollo, incluido el RLOPD.

  • Subcontratación de terceros por el encargado del tratamiento
Como apuntábamos antes, los artículos 12.2 LOPD y 20.3 RLOPD prohíben al encargado del tratamiento comunicar a terceros los datos objeto del servicio, aunque tan sólo fuera para su conservación.

Ello nunca ha impedido la subcontratación de terceros por el encargado del tratamiento siempre que se hiciera con el consentimiento y en nombre y por cuenta del responsable del fichero, si bien es cierto que el principio de transparencia requería ciertas obligaciones formales en la celebración de la subcontratación que no estaban recogidas en la legislación. Esto mismo es lo que vino a poner de relieve el Plan de Inspección de Oficio a las empresas participantes en la elaboración de los Censos de Población y Viviendas antes citado.

La doctrina manifestada por la AGPD en este Plan de Oficio viene a incorporarse en el artículo 21 RLOPD, si bien creo que la redacción de este artículo es manifiestamente mejorable y creo que se ha complicado sobremanera, pues este artículo no viene más que a reiterar las formalidades exigibles en la contratación de los servicios de tratamiento a los casos en los que el encargado del tratamiento los subcontrate total o parcialmente a terceros. Además el artículo 21.2 RLOPD induce a confusión al afirmar que es posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los requisitos en él listados. La subcontratación se ha de producir siempre con autorización del responsable del fichero como demuestran los referidos requisitos y, en especial, lo manifestado por el artículo 21.3 RLOPD.

Álvaro Del Hoyo
Departamento de Consultoría

Publicado por Álvaro Del Hoyo en 16:57 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

martes 25 de marzo de 2008

¿Vulnerabilidades en usuarios sin privilegios?

La seguridad de las aplicaciones que dan soporte a un negocio son cruciales para su éxito. Por ello, las normas y códigos de buenas prácticas en los sistemas de SGSI, aconsejan la creación y el uso de usuarios con permisos restringidos.

Esto puede resultar en dos problemas con difícil solución:
  • Realizar un correcto análisis de la necesidad del negocio en base al perfil del usuario. Es decir, crear roles de acuerdo a los requerimientos de los diferentes perfiles y asignarles privilegios adecuados. Lo que en la práctica no es tan sencillo ni trivial.
  • Caer en la falsa creencia de que un usuario restringido es menos vulnerable a los problemas de seguridad de las aplicaciones de escritorio.
Algunos departamentos de IT argumentan que no es necesario actualizar versiones vulnerables de aplicaciones cliente porque los usuarios que las usan tienen los permiso restringidos y por ello, no pueden ser explotadas. Me vienen a la cabeza unos cuantos ataques a los cuales estos usuarios "sin privilegios" serían vulnerables, pongamos por ejemplo ser carne de botnets, MITM, phishing, csrf y cualquier tipo de malware.


La correcta gestión de usuarios sin privilegios en los SOs es ya de por sí complicada, pero si a eso le unimos contradicciones como permisos de administrador para actualizar software, versiones previas de software actualizado (java), y la heterogeneidad de todas las aplicaciones cliente, nos encontraremos en un escenario caótico donde la única regla será "sálvese quien pueda".

¿Todavía crees que no es necesario actualizar tu versión de adobe reader, java (JRE), quicktime, firefox, realplayer o excel?, sólo por nombrar algunas aplicaciones cliente, aunque bien es cierto que firefox es una de las mejores en cuanto a las actualizaciones automáticas.

Las aplicaciones de escritorio actualmente están siendo objeto de ataques tipo "Drive by download" donde el usuario, a través de una vulnerabilidad en estas aplicaciones se descarga malware sin su conocimiento simplemente por visitar una página web. Luego, siempre nos quedará decir que nosotros no hemos sido.

¿Todavía te crees a salvo con ese usuario sin privilegios?

Emilio Casbas
S21sec labs

Publicado por S21sec labs en 14:59 0 comentarios Vínculos a esta entrada
Etiquetas: , ,

Niveles de seguridad aplicables a ficheros y tratamientos de datos personales

Recientemente he podido desarrollar un estudio pormenorizado de los niveles de seguridad establecidos en el nuevo Reglamento 1720/2007 de desarrollo de la LOPD (en adelante RDLOPD) en sus arts. 80 y 81 y varias son las cuestiones que me han suscitado algún comentario o debate.

En primer lugar una de las novedades que aporta el RDLOPD es que el establecimiento de los niveles de seguridad ya no se realiza únicamente en función de “la naturaleza de la información tratada” tal como fijaba el art. 3.2. del ya extinto Reglamento 994/1999 de Medidas de Seguridad (RMS), sino que el nuevo RDLOPD tiene en cuenta diferentes factores como son el tipo y naturaleza de los datos contenidos, el tipo de actividad objeto social del Responsable del fichero o la naturaleza pública o privada del mismo. Parece claro que un mismo rasero para todos los responsables de ficheros ya no era la postura más lógica y aquí las administraciones públicas han salido ganando frente a otros colectivos como las telecomunicaciones o la banca.

Respecto de los niveles de seguridad dos tipos de ficheros suscitan la mayor parte de mis dudas…

En el caso “sui generis” de los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y localización; las medidas de seguridad aplicables serán las medidas de nivel básico y medio más el registro de control de accesos del art. 103 RDLOPD. Todo un éxito en la puja entre las empresas de telecomunicaciones y el gobierno que en un primer momento quería obligar a estos operadores a implantar todas las medidas de nivel alto a sus ficheros de facturación y trafico…

Ahora bien, la duda que se nos ha suscitado no pocas veces, recae sobre qué nivel de seguridad declarar ante el Registro General de Protección de Datos respecto de este tipo de ficheros. El sistema de declaración de ficheros de la Agencia, el sistema “NOTA”, tampoco establece una solución del tema. En mi caso entiendo que la solución más prudente en estos casos pasa por declararlos como ficheros de nivel medio y luego incluir en el documento de seguridad la medida de registro de control de accesos exigida, no sea que por declarar el fichero como de nivel alto los inspectores entiendan que son de aplicación todas las medidas de nivel alto y que por tanto se han incumplido las mismas, aunque todos sabemos que la declaración de ficheros únicamente tiene efectos declarativos…

Otro hecho destacable dentro del listado de niveles de seguridad es el siempre controvertido fichero que contenga datos para la “evaluación de la personalidad o comportamiento de los ciudadanos”. La actual redacción del RDLOPD ofrece una mejora respecto del RMS ya que ahora no se habla de la necesidad de contar con “datos suficientes para poder obtener una evaluación de la personalidad” sino que exige que efectivamente el fichero contenga datos referentes a “características o personalidad de los ciudadanos” y que estos datos permitan a su vez “evaluar la personalidad y comportamiento” de los mismos.

¿Es esto un doble requisito o bastaría tener datos “suficientes” como decía el RMS para poder hacer una evaluación de la personalidad?. ¿Cuáles son los datos de características del individuo o de su personalidad?. Tampoco se dice si estos datos deben provenir directamente del individuo o pueden ser fruto de una tratamiento que de los datos iniciales y objetivos del individuo pueda realizar el responsable del fichero Ejemplo típico de estos tratamientos los tenemos en el escoring financiero realizado por bancos o los estudios de fiabilidad hechos por las aseguradoras.

Quizás el art. 36.1 RDLOPD, pueda aportar algo de luz al tema pues al hablar del derecho de oposición habla tangencialmente de las actividades que pueden suponer una evaluación de personalidad, refiriéndose a ellas como aquellas actividades encaminadas a “evaluar el rendimiento laboral, crédito, fiabilidad o conducta” del individuo.

En resumen, ¿Son estas actividades del art. 36.1 RDLOP las evaluaciones de personalidad a las que se refiere el art.81.2.f)? ¿Qué son datos de características del individuo o de su personalidad? y ¿estos datos han de existir de forma previa a la evaluación o basta con un conjunto de datos suficientes para hacerlo?. Última pregunta: ¿Estos datos sobre características y personalidad, han de ser aportados directamente por el individuo o pueden ser elaborados por el responsable del tratamiento a partir de datos objetivos de aquel?

He ahí el debate…

Raúl Rodriguez Celaya

Dpto. Consultoría

Publicado por Álvaro Del Hoyo en 12:09 2 comentarios Vínculos a esta entrada
Etiquetas: , ,

lunes 17 de marzo de 2008

Solución al reto 4

Vamos con la solución del cuarto reto.

Gracias a todos los que habeis enviado las soluciones y, como no, a todos aquellos que lo hayais intentado.

Este crackme tiene dos protecciones:
- En el TLS (Thread Local Storage) se comprueba que no se haya cargado en memoria un proceso con determinados bytes en determinada posición. Se trata de comprobar que el depurador OllyDbg no esté en ejecución. Si se encuentra dicho proceso, se altera un valor constante, obteniendo un resultado diferente para la rutina de comprobación.
- Se llama a BlockInput para bloquear teclado y ratón durante dicha comprobación. Basta con pulsar Ctrl+Alt+supr para forzar el desbloqueo.

Por supuesto, los que hayan realizado un análisis estático no se habrán tenido que preocupar de estas protecciones.

La comprobación consta de aplicar una función a cada valor, y comprobar si ambos resultados son iguales.
Al valor de la izquierda se le aplicaba una "raiz cuadrada", mientras que el valor derecho es multiplicado por 3 y se le suma una constante.

De tal manera, un keygen válido programado en python puede ser el siguiente:

#!/usr/bin/python
import random
num_2 = random.randint(0,500)
num_1 = (num_2*3+5)**2
print "Izquierda: ", num_1, " Derecha: ", num_2

Obteniendo valores como:

Izquierda: 734449 Derecha: 284
Izquierda: 978121 Derecha: 328
Izquierda: 760384 Derecha: 289
Izquierda: 64516 Derecha: 83

Esta vez hemos recibido cinco soluciones, dos con el keygen en c (Fermin y Mario), una en delphi (stzwei), una en MASM (solid) y la última en python(Satur).

Viendo las soluciones, vemos que mientras algunos reimplementan la función que transforma el primer valor, hay quien copia y pega la función en el keygen. Algunos han tenido que tratar con el BlockInput, bien parcheando una instrucción, bien pulsando Ctrl+Alt+Supr, mientras que los que utilizan análisis estático no lo han tenido en cuenta. Cada maestrillo tiene su librillo.

A continuación os presentamos las cuatro soluciones:
- Fermin J. Serna
- Mario Ballano
- stzwei
- solid
- Satur

En esta ocasión el ganador del libro es Fermin, que ha contemplado en el keygen la comprobación de OllyDbg en memoria, introduciendo la comprobación de bytes en los procesos.

En respuesta a las notas del propio Fermin sobre los handles abiertos y la falta de comprobación de errores (tiene toda la razón), cito una frase que él mismo utiliza en el keygen ;)
"// This is a (5 minutes coded) keygen.. controlling errors??? get a life..."

Editado: Incluyo la solución de Satur. Disculpad el descuido, me olvidaba de una solución muy completa.

Mikel Gastesi
S21sec labs

Publicado por S21sec labs en 17:01 4 comentarios Vínculos a esta entrada
Etiquetas:

e-crime congress 2008

Hace ya unos días volvimos del Congreso e-crime 2008 que tuvo lugar en Londres. En él pudimos comprobar que las iniciativas dedicadas a la lucha contra el crimen en Internet son cada vez más, y sobre todo, cada vez mejores.


Con más de 500 personas atendiendo a la conferencia, podemos calificarla de un éxito, sobre todo por el número de personas que acudieron tanto a nuestras charlas como a nuestro stand.



Como siempre, además de poder asistir a charlas muy interesantes sobre el panorama del crimen en Internet, pudimos conocer a muchas personas tanto en el lado de proveedores como en el de clientes que comparten con nosotros nuestros esfuerzos contra la lucha del e-crime.

Esperamos veros en la próxima edición.

Publicado por S21sec labs en 14:57 0 comentarios Vínculos a esta entrada
Etiquetas:

viernes 14 de marzo de 2008

Linux full system encryption

Truecrypt is a famous solution for encrypting hard disks, but the support for ciphering the system partition is restricted to Windows users. For Linux the most common method to do this is Luks. There are various HOWTO's on setting up full disk encryption using Luks [1] [2], but most of them need a manual setup and encryption of each partition and separate configuration in order to build a fully ciphered system.

On Debian based Linux distributions there is a more comfortable way to solve this issue. The precondition is that the alternate installation CD for Ubuntu or a recent Debian installation image has to be chosen. The main focus is then on the partitioning menu.

  1. The first step is to choose the manual way of partitioning the hard disk
  2. Here the first partition to create is "/boot", using a normal unencrypted file system like ext3
  3. The whole rest of the hard disk is used for the second partition. Here not e.g. ext3, but "physical volume for encryption" is the preferred option to choose.
  4. Now, in the main menu of the partitioner the new option "Configure encrypted volumes" is selected. Here the password of the 2nd partition is defined, and the partition is formatted (encrypted in this case)
  5. By default the new encrypted partition appears as ext3 in the main partitioning menu. This has to be changed from ext3 to use it as "physical volume for LVM" - the Linux Volume Manager
  6. Another new menu entry in the main window of the partition manager appears: "Configure the Logical Volume Manager".
    • Here a new volume group has to be created using the encrypted 2nd partition which was set up just before. Within this volume group different logical volumes can be created. For example the Linux root volume "/", "/home" and "swap".
    • It is important that the volume groups are created in decreasing order of the size. (first the biggest, the smallest as the last) If not an error will show up.
  7. After creating the volume groups, they appear in the main menu of the partitioner and can be formated with the preferred file system format (e.g. ext3 or swap)
Here is a screenshot after making all these steps:



From here on the installation of the Linux system is "business as usual"..

In addition to all the advantages of a Logical Volume, a possible attacker even cannot see the partition table of the system, because it is encrypted within the LV.

In general Truecrypt and Luks are software based encryption methods which are not immune against attacks. The best solution is hardware encryption where the ciphering and storing of the keys is made within a special designated chip.

Clemens Kurtenbach
S21sec labs

Publicado por S21sec labs en 10:43 0 comentarios Vínculos a esta entrada

miércoles 12 de marzo de 2008

Asegur@IT II. Barcelona, 3 de Abril.

Tras el éxito de Asegur@ IT I que se celebró el pasado 4 de octubre en Madrid, la organización ha decidido crear una segunda sesión en Barcelona cambiando a todos y cada uno de los ponentes para poder deleitarnos con n