Imagen, Video y Rock 'n' Roll

Actualmente podemos usar técnicas esteganográficas para ocultar datos nuestros dentro de multitud de archivos, siendo los más usados los archivos de imágenes. Existen muchas aplicaciones para hacerlo, una breve busqueda en vuestro buscador favorito os mostrará las más usadas. Se usan básicamente dos métodos:

• Ocultar la información como una parte del archivo
• Ocultar la información dentro de los datos del propio archivo

El primero es el más simple y se basa en que los formatos de archivo de imágen, vídeo y sonido contienen además de la imagen, vídeo y sonido; "tags" o metadatos adicionales como la aplicación que los creó, autor, subtítulos, letra de la canción, y un largo etc... Estos "tags" no son necesarios normalmente para poder ver y/u oir correctamente el contenido pero sí nos permiten meter cualquier información que queramos, por ejemplo la nuestra. El incremento en el tamaño del archivo es igual al de los datos

El segundo ya es más complejo, y se basa en mezclar los datos de imagen, vídeo y/o audio con los nuestros. El archivo final pierde calidad si se sustituyen los datos del portador por los de los datos a ocultar, o gana en tamaño si se añaden. Éstos es lo que hacen la mayor parte, si no todas, las aplicaciones de esteganografía.

Seguro que ya estais pensado en las posibilidades de esta técnica para "hacer el mal". Lamentablemente para los que lo hayais pensado os diré que existen tantas técnicas para detectar que existe información escondida que actualmente da igual que escondáis ahí información. Si se está buscando, se encuentra, o al menos se detecta, y en muchos casos, se lee.

Eduardo Morrás
S21sec labs

Seguridad analógica

Hoy vamos a escribir de algunos aspectos de la seguridad que a veces pasan inadvertidos. Para gestionar la seguridad de una infraestructura hay que tener en cuenta varios factores, como la seguridad perimetral, el cumplimiento de la normativa legal, la gestión de los elementos de seguridad o la prevención del fraude en caso de ofrecer servicios por internet.

Hay aspectos que no son puramente técnicos. Al final, las personas que usamos, administramos o tenemos acceso a una infraestructura que tiene cierta importancia, podemos ser el origen de una vulnerabilidad. Como muestra, una noticia de hace unos años, pero que ilustra lo que quiero mostrar. Más del 70% de la gente revelaría su contraseña a cambio de una chocolatina. Realmente preocupante, pero hay más casos en los que la falta de concienciación supone un riesgo para la seguridad, como este caso en el que un consultor deja memorias USB con malware por la oficina. Al poco tiempo, los empleados los cogen, miran su contenido e infectan sin querer su ordenador, enviando información sensible al exterior. Otro ejemplo es el empleado que desenchufa unos servidores por 10$ cortando el servicio. Un ataque frustrado muy conocido es el intento de robo a un importante banco internacional. Al parecer, los ladrones, haciéndose pasar por empleados de la limpieza instalaron pequeños keyloggers en los teclados de los ordenadores de los empleados.

¿Crees que podría pasar algo así en tu lugar de trabajo?
¿Qué harías si te encuentras o te regalan una memoria USB en el trabajo?
¿Qué acceso a instalaciones críticas tiene el personal de limpieza o de mantenimiento?
¿Has recibido formación relacionada con la seguridad?

Patxi Astiz
S21sec labs

Seguridad: mitos de ayer, excusas de hoy

Actualmente, no hay semana que pase en la que no veamos una noticia relacionada con nuevas amenazas web, malware, phishing, perdidas de datos, usuarios descuidados, revelaciones de datos confidenciales etc.

Por ello, aunque a modo general, parece que el concepto de seguridad está empezando a tomarse en serio por el usuario medio, lo cierto es que aún, una vasta mayoría, todavía subestima la importancia de estas medidas o tienen ideas equivocadas.

Actualmente, el grado de sofisticación de los ataques en Internet o directamente a los usuarios, roza ya lo irreal. Y esto, es algo que no va a parar de crecer, mientras exista detrás todo un mercado negro con una gran infraestructura establecida.


Los usuarios deben ser conscientes de ello, pero haría falta mucha educación y sensibilización, cosa que no siempre está al alcance de todos, o no se está por la labor. Tambien observamos cómo los usuarios creen que estan a salvo y fuera de peligro porque creen en mitos que ya no son ciertos actualmente y los ponen como excusas poniendo en peligro su seguridad por el desconocimiento ¿de qué mitos hablamos?:

1. No tengo nada importante en mi equipo.
   
   • Cuestión: No se trata de lo que tengas o no tengas en tu equipo. Se trata de lo que pueden hacer a través de él.
     
   • Solución: No digas "me da igual".
2. Utilizamos scp para transferir ficheros en la red.
   
   • Cuestion: Aunque se usen algoritmos de cifrado y una longitud de clave apropiada, sólo estas seguro seguro desde un punto al otro.
   • Solución: ¿dónde se transmiten los ficheros? ¿quién tiene acceso? ¿se realiza backup de esos ficheros? ¿es necesario? ¿cual es la política de backup?. En cuantos más sitios residan los datos, más difícil es protegerlos.
3. Estamos detrás del Firewall de nuestra empresa o casa.
   • Cuestión: Esta puede ser la excusa más típica, los usuarios se sienten a salvo trás esa "máquina" que les protege. Con las amenazas actuales, los firewall de red e IDS no son suficientes.
   • Solución: La seguridad necesita combatirse a varios niveles. El firewall de red es simplemente uno de esos níveles. El usuario necesita herramientas de seguridad en su propio equipo que le avisen cuando algo ocurre, y explorar la red con navegadores fiables y seguros.
4. Para las transacciones online sólo me fío de los sitios con https.
   
   • Cuestión: Ya hablamos de esa falsa sensación de seguridad.
   • Solución: Concienciación del usuario, experiencia y un sexto sentido.
5. Utilizo un sistema operativo que no necesita antivirus.
   • Cuestión: Cual, ¿Mac?, ¿GNU/Linux?, ¿Windows?.. Los mayores peligros hoy día son multiplataforma, no importa qué SO utilicemos. ¿Se os ocurre cómo un simple rootkit podría introducirse en usuarios de Windows/Linux y MacOS?. Sí ampliamos el concepto de rootkit que tenemos hoy día para ir más alla del S.O como objetivo de éste, podremos verlo en una extensión de firefox por ejemplo.
   • Solución: Muchos abogan por tener un navegador para el ocio y otro para realizar transacciones en Internet, pero no resultaría algo cómodo para el usuario. Hay que buscar nuevas soluciones para las nuevas amenazas.
     

Recuerda, la seguridad es el proceso de mantener un nivel aceptable del riesgo que se percibe, no hay que vivir en un constante estado de paranoia, pero tampoco debemos poner como excusas de nuestra seguridad mitos de ayer que no valen hoy. Al final, todo es cuestión de confianza.

Emilio Casbas
S21sec labs

Sentido Crítico

Este es uno de los sentidos, junto con el sentido común, que más valor tiene a la hora de evitar ser objeto de un hoax.

Estos son correos que difunden información falsa "pseudo-cientifica" sobre algún tema, lo que hace unos años era un rumor que se extiende lentamente, ahora es una avalancha que llega a oidos de todos en cuestion de dias o incluso horas. En esta era de internet, ademas de la velocidad de transmisión, el hoax o rumor cuenta con dos aliados que antaño no tenia:

a) Credibilidad: Todo lo que nos diga internet es cierto. Estamos tan acostumbrados a buscar información en internet que adjudicamos a todo lo que proceda de ella un nivel de veracidad superior al que nos dicta nuestros sentidos común y crítico u otras fuentes, p.ej. una enciplopedia o nuestro médico o profesor.
b) Exceso de desinformación: Este tipo de mensajes ya no nos habla de nuestra vecina o de cosas que conozcamos. Hablan de productos químicos, de descubrimientos científicos, de secuestros de personas en terceros paises, de oportunidades en bolsa; hay tantas cosas de las que no sabemos...

Cuando nos llega uno de estos mensajes, p. ej. diciendo que la Universidad de Miskatonik ha demostrado que tal producto de tal empresa tiene un compuesto cancerígeno, enseguida mandamos de nuevo el mensaje a todos nuestros contactos de internet para informarles. No nos paramos pensar en:
a) ¿Quién ha redactado esta información?
b) ¿Dónde puedo contrastar esta información?
c) ¿Quién se beneficia de esta información?
d) Si la noticia es cierta y tan grave, ¿Por qué no sale en prensa y televisión? ¿Y en las versiones digitales en la red?

Todas estas preguntas nos la plantea nuestro sentido crítico, ese mismo que nos hizo avanzar cuando estudiábamos, ¿por que esto es así y no de otra manera?.

¿Será este post cierto? ¿Te estoy engañando, manipulando?

¿Dónde puedo encontrar más información?

Eduardo Morrás González
S21SecLabs

Gobierno de las tecnologías y los sistemas de información

S21sec ha participado en el patrocinio del libro "Gobierno de las Tecnologías y los Sistemas de Información" publicado por la editorial RA-MA y promovido por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información (ASIA) Capítulo de Madrid de ISACA. Se trata de una obra de carácter divulgativa, coordinada y editada por dos miembros de la anterior Junta Directiva de ASIA, Fernando Hervada Vidal y Mario Piattini Velthuis.

El libro, que ya está en venta, detalla cómo las Tecnologías y los Sistemas de Información (TSI) se han convertido en la parte esencial de las organizaciones al regir mucha parte de nuestra vida cotidiana. Y cómo un uso incorrecto de ellas puede afectar críticamente al desarrollo de un objetivo o del negocio de cualquier persona o colectividad. Además, explica que los peligros externos hacia las TSI se han incrementado notablemente en los últimos años, así como su gestión y operación, por lo que es necesaria una buena preparación para hacer frente a ellos.

La obra ofrece una visión amplia sobre diferentes factores que se deben tener en cuenta para la mejora e implantación del gobierno de las TSI en una organización. Hace hincapié en la necesidad de crear un modelo de gestión que permita alinear la estrategia de Sistemas de Información con las estrategias de negocio. Por ello, va dirigido a altos dirigentes de organizaciones, responsables de informática, directores de seguridad de sistemas de información, personal informático en general (jefes de proyecto, analistas, consultores, etcétera) y alumnos de las Facultades y Escuelas de Informática, Telecomunicaciones y Administración de Empresas.

La obra posee diversas colaboraciones de diversos profesionales que comparten conocimientos y experiencias con toda la comunidad informática. Uno de ellos es Antonio Ramos, Director del Área de Consultoría y Auditoría de S21sec, encargado de escribir dos capítulos. El quinto, que es una visión general del gobierno de la seguridad y el octavo, que trata sobre los cuadros de mando para el gobierno de las TSI.

Os recomendamos leer este libro que aborda las claves que te permitirán organizar una correcta metodología de control sobre la gobernabilidad de las TSI implantadas o por implantar en tu organización.

Arranca el curso de Análisis de Seguridad Online!

El día 1 de Octubre, dará comienzo el curso online de Análisis de seguridad de la información para el próximo 1 de octubre. Este curso, que concluirá el 21 de diciembre, forma parte del Máster Online en Gestión de la Seguridad de la Información que S21sec organiza junto al instituto tecnológico Foro Europeo. La flexibilidad de este Máster permite a los alumnos cursar los módulos que deseen por separado, para adecuarse más a sus necesidades.

El curso está dirigido a profesionales responsables en la elaboración o participación del Plan de Seguridad de una compañía, como son los directores de área o los responsables de Sistemas y Redes y de seguridad de las TIC. También está orientado hacia los técnicos informáticos encargados en la aplicación de la tecnología de la seguridad para la protección de los activos y procesos de la organización.

El contenido de este módulo se divide en cinco apartados; el primero tratará sobre el mundo del hacking, sus métodos, técnicas y herramientas. El segundo sobre los métodos preventivos y de defensa ante incidentes. El tercero se centrará en la auditoría de la seguridad, mientras el cuarto será un análisis del mundo del malware y aplicaciones maliciosas (Phishing, Virus, Troyanos, etcétera). Por último, en el quinto se ofrecerán unas bases para la búsqueda de signos de intrusión en sistemas y la forma de actuar en estas situaciones.

Esperamos que os parezca interesante.