El "Leak del Login", el GDPR y el Esquema Nacional de Seguridad

No es la primera vez que hablo del "Leak del Login", pero como sorprendentemente me lo sigo encontrado en muchos sitios, voy a volver a hacer un pequeño artículo hoy sobre él, pero centrándome en su relación con el GDPR y el Esquema Nacional de Seguridad, pues es común encontrarlo en webs que han pasado la auditoría del ENS y tienen sus documentos de GDPR en regla. Voy a volver a hablar un poco de él, solo por hacer hincapié de la necesidad de que se eliminen las webs "verbose" que dan afiliación de personas a sus servicios de manera tan sencilla.

Figura 1: El "Leak del Login", el GDPR y el Esquema Nacional de Seguridad

Por supuesto, no soy experto en leyes y regulación, que para eso cuento con un equipo maravilloso, pero creo que erradicar estos bugs en las webs - sea un incumplimiento o no - es bueno para los clientes o usuarios de un servicio online, sea este el que sea.

 
"Leak del Login"

He hablado mucho sobre este tema, pero en resumen es tan sencillo como utilizar alguna de las capacidades de un servicio digital que se pueden utilizar sin haberse autenticado aún para saber si un usuario tiene o no cuenta en esa plataforma. Estas capacidades son tan comunes como:

• Proceso de iniciar sesión o "Login".
• Proceso de darse de alta o "Sign in".
• Proceso de recuerpar contraseña o "Forget Password".

Estos tres procesos, que pueden parecer asociados a entornos autenticados, no lo son, pues todos pueden ser invocados sin necesidad de estar autenticado. Es normal que el proceso de "Iniciar Sesión" se lance desde una sesión no autenticada, al igual que es normal que un proceso de "Registro" deba realizarse desde una cuenta aún no regristrada, y lo mismo con el proceso de "Recuperar la contraseña".

Gestión de errores "verbose"

Todos son procesos tienen en común que en un determinado momento deben comprobar la identidad de la persona, ya sea por medio de un DNIe, un número de teléfono, un usuario o un correo electrónico, que es muy común. Y en todos ellos, la gestión de errores, debe ser clave, ya que si alguien puede usar un DNIe, un número de teléfono, un nombre de usuario o un correo electrónico de una persona que no sea ella, podría saber si tiene afiliación con esa plataforma. Es decir, si tiene una cuenta en ese servicio digital, lo que es un problema de privacidad, que puede ser utilizado como una forma de ataque contra la seguridad de la persona.

Figura 2: Se informa al que introduce el e-mail de si la cuenta existe o no
en un proceso de Registro

Para que entendáis el proceso, es como si alguien llegara a la recepción de una empresa y comenzara a preguntar si es cliente suyo una persona, y luego otra, y luego una tercera, y así hasta el infinito. Lógicamente, esto es una aberración y seguro que ninguno de vosotros lo permitiría en su empresa. Dar la lista de personas que han usado los servicios es algo que no entra dentro de lo entendible. Si eres una plataforma de masajes, ¿dejarías que alguien preguntara si una persona es cliente o no te tu empresa? No.

Figura 3: Proceso de Recuperación de contraseña con Leak

Pero por desgracia si los mensajes de error en esos tres procesos no están controlados, es como si hicieras eso. Si cuando alguien pide iniciar sesión y el sitio dice "Esta cuenta no existe" cuando la cuenta no existe, y "Contraseña errónea" cuando la cuenta existe, pues ya has dado todas esa información en el Login. 

Figura 4: Cuando la cuenta existe, envía el email de recuperación.

Lo mismo para Recuperar la contraseña, si cuando pones un e-mail, un DNIe o un número de teléfono, la web dice "La cuenta no existe" cuando no se ha dado de alta y "Te hemos enviado un mensaje para que continúes con el proceso" si la cuenta existe, pues lo mismo. Y en el proceso de Registro lo mismo, si te dice "esta cuenta ya existe" entonces, más claro el agua.

Cómo no ser "verbose"

Resolver este bug consiste en construir la lógica de manera que no llegue nunca un mensaje que sirva para saber si la cuenta existe o no en ninguna zona no autenticada. Y las soluciones son sencillas y se hacen en comunicaciones privadas. Cada uno de forma diferente, por ejemplo:

• Login: Un mensaje de error de "Error en el usuario o la contraseña" en todas las situaciones en las que falle el proceso de login, no da ninguna información.

• Registrarse: Se pide un correo electrónico o un número de teléfono, y se le informa por la web que se le va a enviar un mensajes para continuar con el proceso. Si la cuenta existe se informa por mensaje que alguien quiere crearse una cuenta con su identificador, que si es él ya tiene cuenta y puede recuperar la contraseña si no la tiene. Si es una cuenta nueva que aún no existe, se le envía un enlace al dueño del identificado para que continúe con el proceso de registro. De esta forma solo el dueño del e-mail o del número de teléfono pueden tener la información.

Figura 5: Proceso sin leak de información en proceso de Registro

• Recuperar la contraseña: Con un mensaje de "Si esta cuenta existe, recibirá un mensaje en us buzón". Y se aplica la misma política que en el caso anterior. Se le envía el mensaje para recuperar la contraseña si existe y el enlace de darse de alta si la cuenta no existe. 

En los tres casos, se consigue que no se dé información de afiliación de una identidad a un servicio, y por lo tanto se mejora la privacidad y la seguridad del cliente o usuario de la plataforma.

Riesgos de conocer la afiliacion.

No somos nuevos en esto, y ya hemos visto que conocer la afiliación de una persona es un riesgo para esta persona a varios niveles:

• Privacidad Personal: En el caso del leak de datos de Ashley Madisson, las personas que estaban dadas de alta en esta plataforma sufrieron acoso público, extorsiones, y algunos llegaron a cometer suicidio o ser despedidos de sus puestos de trabajo. Si hablamos de webs de contactos con orientaciones sexuales concretas, puede ser un incumplimiento de la privacidad de las personas.

• Perfilado social: Por desgracia, los algoritmos de generación de insights con Machine Learning nos etiquetan en todo, desde reputación en Internet hasta Credit Scoring, hasta los anuncios que recibimos en la web. En casos como los de Cambridge Analytica, vimos que este perfilado de forma masiva podría llegar a utilizarse para difundir Fake News adaptadas que cambiaran el curso de votaciones políticas. A muchos se les ha olvidado ya.

Figura 6: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

• Ataques de Spear-Phishing: Si se tienen datos de que una persona tiene cuenta en una plataforma, hacerle un ataque dirigido de phishing para robarle credenciales, tokens OAuth o simplemente infectarle con malware es mucho más efectivo. Si recibes un phishing de un banco donde tienes cuenta es más fácil que piques.

• Ataques de Watering Hole: Si se sabe que una persona visita un servicio o una plataforma, se puede encontrar con que la web sea vulnerada para atacarle a él, o simplemente que aparezcan otros usuarios maliciosos dentro de la plataforma que le hagan una encerrona más imaginativa. Como encontrar al amor de tu vida dentro de esa plataforma, y que no sea más que un ataque elaborado.

Así que, filtrar el "Leak del Login", genera muchos problemas para la privacidad y seguridad de las personas que es lo que hay detrás de los usuarios y clientes y de un servicio online. Personas.

GDPR y Esquema Nacional de Seguridad

Dicho esto, el "Leak del Login" es un bug de privacidad. Un fallo. Algo que es muy sencillo de explotar, pero que es un fallo, ya que filtra la afiliación de personas a una web, y por tanto hay que eliminarlo. Sin embargo, he visto muchas webs de grandes empresas - y seguro que es fácil localizarlo en muchas apps, y muchos dominios - que no le prestan la menor atención a esto.

Figura 7: Leak del Login en WordPress.com

Incluso los componentes comunes de login de plataformas de e-Commerce, CMS, Blogs, redes sociales como Instagram o TikTok sufren este bug. La propia WordPress.com tiene este "Leak del Login", pero es fácil encontrarlo en Bancos con DNIs, en redes sociales, empresas de transportes, etcétera.

Figura 8: Libro de Ethical Hacking 2ª Edición  de 0xWord
escrito por Pablo González Pérez

Y por supuesto, con procesos de GDRP y de Esquema Nacional de Seguridad pasados, lo que me deja un poco perplejo. Creo que esto debería estar entre las pruebas de auditoría básica de cualquier servicio digital, al igual que la búsqueda de metadatos en todos los documentos ofimáticos publicados externamente. Así que, si haces auditorías de GDPR, de ENS o simplemente un Hacking Ético, por favor, reporta todos los "Leak del Login" a ver si somos capaces de mejorar un poco la privacidad de las personas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

ElevenPaths Professional Services: 40 puestos de trabajo disponibles

Hace ya un tiempo, dentro de Telefónica se creó el grupo de ElevenPaths Professional Services. Una unidad que es parte del crecimiento que están teniendo lo servicios de ciberseguridad en el grupo. Actualmente, en esa unidad buscamos más de 40 profesionales, y si tu perfil coincide con alguno de los siguientes, o piensas que puedes aportar a nuestro equipo, contacta con nosotros.

Figura 1: ElevenPaths Professional Services: 40 puestos de trabajo disponibles

Consultor LOPD/GDPR

Buscamos expertos en LOPD y RGPD con experiencia mínima de 3 a 5 años en proyectos de implantación/auditoría LOPD, RGPD para incorporar al equipo de consultoría y realizar proyectos en nuestros clientes. Se valorará conocimientos en ISO 27001, Esquema Nacional de Seguridad, análisis y gestión de riesgos, formación y concienciación y un nivel alto de inglés.

Consultores de Normativa.

Buscamos profesionales con experiencia del al menos 5 años ejecutando proyectos de Plan Director de Seguridad, assessment de seguridad, análisis de riesgos, continuidad de negocio y normativa de seguridad de la información. Nivel alto de inglés.

Consultores

Buscamos consultores con más de 5 años de experiencia en proyectos de adecuación y auditoría normativos (ISO 27001, ISO20000, PCI-DSS, ENS, CSA Star, etc...) para ejecutar proyectos en nuestros clientes. Valoraremos muy positivamente que dispongas de background técnico en administración de sistemas y/o comunicaciones, capacidad de interlocución con clientes, dirección, departamentos técnicos y de negocio. Además, si dispones de certificaciones, muchísimo mejor.

Consultores Técnicos de Proyectos de Seguridad

Si te interesa realizar hardening, los proyectos de Gestión de Identidad, implantar un sistema que prevenga la fuga de información o analizar y diseñar arquitecturas de Seguridad a nivel global (Monitorización, Cloud, GI, Seguridad de Red, etcétera) y tienes un buen nivel de inglés, estamos deseando trabajar juntos.

Managers y Jefes de Proyecto de Seguridad

Buscamos Security managers y project managers con experiencia probada de al menos 3 años en puesto similar.

Arquitectos de redes

Buscamos Arquitectos con experiencia en proyectos de revisión de redes para su securización y/o propuestas de cambios y mejoras, diseño de arquitectura, despliegue, defensa y soporte de sistemas de seguridad en grandes redes de comunicaciones, conocimiento técnico de la seguridad en bases de datos, sistemas operativos, sistemas de seguridad, y tecnologías de red, herramientas de supervisión de sistemas…

Técnicos de Seguridad

Si tienes un perfil técnico con conocimiento de gestión de equipos de seguridad de las principales marcas (Checkpoint, Paloalto, Fortinet…) y con conocimiento de las diversas tecnologías de seguridad del mercado (proxys en la nube, IPS, IDS, antivirus…), estamos deseando que trabajes con nosotros.

Analistas Ciber

Buscamos analistas técnicos de ciberseguridad y analistas de inteligencia con experiencia de más de 2 años en puestos similares. Valorable buen nivel de inglés

IoT Security Technical Product Manager

Buscamos Product manager de seguridad para IoT con al menos 3 años de experiencia en desarrollo de productos de seguridad, en tecnologías IoT (IoT technology stack: devices, connectivity, platforms, analytics and Security) y en los principales IoT Security frameworks (GSMA, ENISA…).

Consultor@ Senior en Seguridad con Ingles fluido

Buscamos consultores con conocimientos del mercado mayorista y de Telecomunicaciones, marketing de producto, arquitectura de sistemas y arquitectura de seguridad, elaboración de procesos y procedimientos dentro de un SOC, RFP(elaboración y respuesta). Experiencia superior a 5 años en puesto similar.

Becas y Prácticas de verano

También, si te interesa, durante este verano o compaginando tus estudios, puedes acceder a alguna de nuestras becas o aplicar a alguna de nuestras prácticas de verano en proyectos de seguridad informática.

Si estás interesado en alguno de estos puestos o quieres recibir más información escríbenos a tis.vacantes@telefonica.com.

Autor: Departamento de RRHH de TIS

SandaS & SandaS GRC: Gestión y Gobierno de la Seguridad

Llevábamos trabajando desde principios de este año en la construcción y renovación de nuestros productos que integramos en los Servicios de Seguridad Gestionada que se ofrecen desde Telefónica en los nueve SOCs que tenemos desplegados por todo el mundo. En esta estrategia, que os detallaremos mucho más durante el Innovation Security Day que tendrá lugar el 8 de Octubre de este año, se lanza la primera versión de SandaS y SandaS GRC.

Figura 1: SandaS & SandaS GRC. Gestión y Gobierno de la Seguridad

El primero es un entorno inteligente de tratamiento de eventos de seguridad que correlaciona los incidentes que se detectan continuamente en todos los nodos y elementos de seguridad de una red, como servidores, dispositivos de comunicaciones, IDS, firewalls o balanceadores, y que automatiza el tratamiento de los mismos integrándose en los sistemas de ticketing y alertas. Por supuesto, la gran potencia de este sistema es que, en tiempo real, permite conocer los valores de SLA (Service Level Assurance) de la seguridad de la red.

Figura 2: SandaS en los Servicios de Seguridad Gestionada de Telefónica

Este producto, en el que además hemos utilizado la potencia de Sinfonier para el procesamiento masivo de datos, es una plataforma en la que se han integrado muchos fabricantes de sistemas de seguridad, que además tendrán su espacio en nuestro próximo evento donde haremos alguna demostración de cómo funciona el sistema, con demos en real de orquestación de eventos y visualización en tiempo real de SLAs. 

Sandas GRC

A esta plataforma inteligente para la gestión de la seguridad queríamos añadir una capa de GRC (Governance, Risk Management & Compliance). Esta capa permite tener a los responsables de seguridad un control en tiempo real de en qué niveles de seguridad se encuentra en todo el momento la compañía, teniendo en cuenta los riesgos a los que se está viendo sometido y el estado del cumplimiento normativo al que se ve sometido.

Figura 3: Cuadro principal de gestión de SandaS GRC

Esto permite a los CEO, CISO, CIO o CSOs tener un control del Gobierno de la Seguridad en tiempo real en toda la empresa, teniendo además integrada la parte técnica de la seguridad, ya que el sistema GRC bebe de los datos que se generan en los sistemas de Gestión de la Seguridad. 

Figura 4: Gestión de activos y riesgos en SandaS GRC

Con este objetivo, además de terminar y avanzar en la construcción de SandaS, decidimos en Eleven Paths adquirir el software de GRC de Gesconsultores e integrarlo en nuestra oferta como Sandas GRC, tal y como anunciamos en nuestro blog.

Figura 6: Cuadro de Mando personalizado en SandaS GRC

El software de Sandas GRC permite gestionar y medir el cumplimiento normativo de legislaciones como la LOPD, el ENS, PCI-DSS, ITIL y casi cualquier certificación de calidad y de seguridad ISO 27000, permitiendo a los responsables de seguridad controlar las fortalezas y debilidades de sus compañías. En el siguiente vídeo tienes una breve descripción de sus funcionalidades.

Figura 7: SandaS GRC para el Gobierno de la Seguridad

Desde hace unas semanas, tanto el producto como el equipo técnico detrás del desarrollo del mismo forman parte ya de Eleven Paths y estamos trabajando en enseñaros las novedades en el próximo Innovation Security Day, pero si quieres más información del mismo, no dudes en consultar la web de SandaS y SandaS GRC y ponerte en contacto con nosotros.

Saludos Malignos!

¿Cómo detecta España los 70.000 ataques cibernéticos que cuenta el Ministro Margallo?

Hoy tenía preparado un post más mundano y lúdico para este viernes, pero tras las declaraciones de nuestro Ministro de Asuntos Exteriores sobre los más de 70.000 ataques cibernéticos que está recibiendo España, hay que dar paso a la actualidad para dar mi opinión al respecto, ya que aparecer como el tercer país del mundo en ser atacado ha hecho a muchos periodistas estar preguntándose por qué sucede esto en España. Espero aclarar algunas dudas al respecto. Cuando se habla de incidentes cibernéticos estos hacen referencia a cualquiera de los que tienen lugar con un objetivo hostil, y pueden ser desde ataques dirigidos de malware, pasando por intrusiones en aplicaciones web, robo de datos para terminar en los populares ataques de Denegación de Servicio que tan comunes se han hecho en los años anteriores.

Figura 1: Noticia en Europa Press sobre los incidentes cibernéticos en España

La detección de ataques en España

Sacar las estadísticas de estos ciberataques - los conocidos - no es tan complicado, basta con ir a los informes de los diferentes organismos que están velando por la seguridad en Internet y pedirles datos. Así, en la administración pública el CCN-Cert ya publicó hace un par de meses sus datos, cifrados de Enero a Octubre en cerca de 12.000 incidentes, tal y como se puede ver en la presentación que hicieron en sus jornadas de trabajo.

Figura 2: Estadísticas de incidentes detectados por el CCN-CERT de Enero a Octubre de 2014

Estos incidentes son relativos a la administración pública, y se basan en las detecciones realizadas por las sondas IDS y los motores de correlación de eventos que tienen desplegados para que todo el conocimiento de la industria de seguridad, más el trabajo que realizan ellos, permite entender un poco la magnitud de los atacantes.

Figura 3: Tipos de incidentes detectados por el CCN-CERT

Por supuesto, estas monitorizaciones no solo se realizan en las redes de las administraciones públicas, y el grupo de trabajo del CNPIC se encarga de monitorizar los incidentes de los sistemas de nuestras infraestructuras críticas, sumando el número de incidentes dectectados a ellos.

Figura 4: Información sobre el CNPIC

Para completar los datos del número de incidentes cibernéticos, en España tenemos Incibe, que actúa como centro de respuesta nacional para la detección y el reporte de incidentes en cualquier empresa o a cualquier ciudadano. Para ello ayuda a gestionar las denuncias de incidentes y da asesoramiento de cómo proceder, por lo que cuenta también con datos muy cercanos de los incidentes que se están produciendo en la empresa, que van desde el robo de datos, los incidentes de secuestro de archivos con ransomware o la detección de direcciones IP infectadas con malware en el territorio nacional, que puedes comprobar tú mismo. 

Figura 5: Misión de Incibe

Además de todas estas fuentes de información, en algunas autonomías contamos con la existencia de CERT Regionales, que también están ayudando a la detección y respuesta ante todos los incidentes que se están produciendo, con lo que la foto global de los problemas de seguridad cuenta con muchos puntos de capilaridad que llega hasta el último dato.

Los últimos datos a añadir a estos son los incidentes denunciados e investigados por el Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación tecnológica de la Policía, que aportan al Ministerio del Interior estadísticas de incidentes cibernéticos que están teniendo lugar en nuestras fronteras, y que pueden ir desde el famoso Virus de la Policía en una empresa hasta un troyano detectado en las redes de un organismo de la administración pública.

Figura 6: Formulario de Denuncia del GDT de la Guardia Civil

La visión global y consolidada de todos esos datos la deberá proveer el Mando Unificado de Ciberdefensa que deberá ser capaz de aunar en una única fuente de información todo lo que esté pasando en los sistemas de la administración pública - central y autonómica -, en las administraciones públicas, las empresas españolas y los ciudadanos, teniendo que dotarse de herramientas de investigación, inteligencia y respuesta.

Figura 7: Mando Conjunto de Ciberdefensa

España el Tercer país más atacado

Como siempre los titulares de los periódicos pueden llevar a la gente menos informada a tomar la decisión de apagar el equipo, no vaya a ser que explote, e ir corriendo a comprar provisiones a los centros comerciales para abastecer el bunker de protección. Y es que ver los mapas de ataques tiene esos efectos normalmente.

Lo cierto es que España es el tercer país que más incidentes ha detectado, lo que es una buena noticia. Personalmente, teniendo en cuenta cómo funciona el muno de Internet hoy en día, 70.000 incidentes en un país como España no me parece tanto - según como se cuenten, repito -, y de ahí nos dejamos todos aquellos que no han sido detectados por ser APTs silenciosos, o por que mucha gente no ha ido a la comisaría a denunciar el ransomware o el robo de datos.

Figura 8: Esquema Nacional de Seguridad en España

Por suerte, la creación de grupos de trabajo como CCN-CERT, CNPIC, Certs-regionales, Incibe, GDT o BIT, más el trabajo de concienciación que se ha hecho para pedir a los ciudadanos que denuncien los hechos, más un esfuerzo en poner medidas de seguridad que ayuden a detectar los ataques y a protegerse contra ellos, como la LOPD o ENS, y la apuesta digital que ha hecho este país con esfuerzos como el DNIe, la ley de acceso electrónico, o la e-administración, hace que se tenga ese número.

¿Somos más atacados que el resto de los países de Europa? Sinceramente, no lo creo. Creo que que países como Francia, Alemania u Holanda, pueden ser igual o más atacados que España, pero que aquí se está haciendo un esfuerzo grande por detectarlos, denunciarlos y tomar conciencia. De hecho, por delante de España han quedado Estados Unidos y Reino Unido, dos países que han invertido en Ciberdefensa una buena cantidad de dinero para tener una visión lo más clara posible de lo que apsa en sus redes. ¿Son muchos 70.000 incidentes? Pues viendo como va esto, ni mucho menos me parecen tantos. Me parecerían muchos si fueran 70.000 operaciones APTs, pero ataques en general seguro que hay muchos más entre las fronteras - cibernéticas - de este país.

Saludos Malignos!

El Portal de la Transparencia: Los metadatos y el Esquema Nacional de Seguridad

Como ya sabéis todos, hace poco que se publicó El Portal de la Transparencia del Gobierno de España. Un sitio web en el que se vuelca información sobre compras, concursos e incluso organigramas internos de muchos de los organismos oficiales de nuestro gobierno de España. En él se puede encontrar información de todo tipo, e incluso alguna que puede ayudar a un posible intruso cibernético a planificar su ataque, buscando información del software de seguridad informática que se está utilizando. 

Figura 1: Información de software de antivirus comprado por la administración

Yo no había tenido aún tiempo de echarle un ojo, pero ayer quise dedicarle una mirada a algo que desde que se publicó rondaba mi cabeza: "¿Quitarían los metadatos de los documentos que publican en él para cumplir con el Esquema Nacional de Seguridad respecto a las medidas de limpieza de metadatos en documentos públicos?"

Figura 2: Metadatos y el Esquema Nacional de Seguridad en El Portal de la Transparencia

La verdad es que muchos de los documentos son directamente enlaces al portal de contrataciones, donde los archivos se generan bajo demanda, y vienen totalmente limpios de cualquier metadato. Otros muchos documentos provenientes de algunos ministerios concretos vienen limpios como la patena, lo que me ha alegrado profundamente, pero no es difícil localizar documentos que no lo están.

Figura 3: Metadatos en un documento publicado en El Portal de la Transparencia

Jugando con MetaShield Analyzer se puede ver como muchos de los documentos - aún - accesibles vía El Portal de la Transparencia, aún conservan sus metadatos - incluso alguno como este que debía estar "limpio".

Figura 4: Otro documento con metadatos analizado con MetaShield Analyzer

El Esquema Nacional de Seguridad es de obligado cumplimiento por todas las administraciones públicas, y los metadatos deberían estar eliminados de los documentos ya que pueden dar a un posible atacante información de usuarios, servidores internos, software, historial del documento, datos de relaciones entre personas y empresas y hasta cambios en los archivos que no fueran deseables revelar, como ya hemos visto en muchos otros ejemplos de incidentes con metadatos.

Saludos Malignos!

Windows XP: Uso irresponsable de Abandonware

Corrían los primeros momentos del siglo XXI cuando yo me subía por primera vez a un escenario con Microsoft a hablar de las novedades del Windows XP Service Pack 0 Beta. La historia de aquella presentación en el antiguo auditorio Winterthur de la Diagonal de Barcelona la he rememorado en público en innumerables ocasiones y conferencias, con todo lujo de detalles para jolgorio y algarabía del respetable, que prometo dejar escrita por aquí en breve para que os echéis unas risas. Desde entonces han pasado muchos años, más de una década larga. ¡Cuántas cosas han pasado con Windows XP desde entonces!, ¿verdad?

Figura 1: Windows XP en el Último Mobile World Congress

Recuerdo que cuando salió Windows XP decían que consumía mucha RAM, que nadie en el mundo de la empresa lo iba a usar porque Windows 2000 era "more-than-enough", que Windows XP metía muchas cosas de multimedia que ninguna empresa necesitaba, y un largo etcétera de predicciones que aventuraban una penetración inferior al 30 % del mercado en el mundo de la empresa.

Desde entonces la historia de Windows XP ha llegado hasta nuestros días. Consiguió estar en más del 95 % de los escritorios del mundo y parece que se ha convertido en inmortal. A nadie parece importarle que ese famoso Kernel 5.2 que como evolución del Kernel 5.0 comenzase a diseñarse justo después del lanzamiento de Windows NT 4.0, es decir, allá por el año 1997, con modelos de amenazas que tienen más que ver con tiempos de leyendas de hackers, que de una realizad encarnizada como la que sufrimos ahora.

Windows XP fue pasando por todos los estadios habituales en el ciclo de vida de un software. Se implantó, se actualizó, se parcheó, se acabó el soporte normal, se acabó el soporte extendido y a partir del 8 de Abril se convierte, oficialmente en Abandonware.

Esto implica que los CTOs de todas las organizaciones, responsables no solo de mantener sino de evolucionar y cuidar de los sistemas informáticos han tenido tiempo más que suficiente para hacer un plan de migración de todo, porque si no sería la cosa más irresponsable que habría visto en mi vida.

Mantener un sistema como Windows XP en una empresa será prácticamente un suicidio a partir del 8 de Abril, ya teniendo el modelo de amenazas de ese Kernel 5.2 que comenzó a diseñarse en el siglo XX, sumado a que aparecerá sí o sí un bug de explotación remota en Windows XP Abandonware Edition, y a que el mundo en el que vivimos es de una beligerancia total, entrar en las empresas será juego de script-kiddies.

En estos tiempos a todos se nos han llenado los oídos de mensajes de CiberSeguridad Nacional, Ley de Protección de Datos, Esquema Nacional de Seguridad, etcétera, lo que a mi entender implica directamente que tener un Windows XP en una administración pública sea una negligencia de tal envergadura que debería ser hasta denunciable por los ciudadanos.

De hecho, he cogido como manía el estirar la nuca cual serpiente con capacidad de tornar el cuello hasta 270 grados, para conseguir un ángulo de visión mejor de la pantalla del equipo de todas y cada una de las persona que me interrogan por alguno de mis datos personales. Temo encontrarme otra vez las barras de las ventanas de Windows XP.

Por supuesto sé que migrar un sistema operativo no es fácil. Hacen falta recursos económicos, hay que migrar las aplicaciones por encima, cambiar los procesos, las herramientas de soporte y administración, las habilidades de los técnicos y los usuarios. Sí, es cierto, por eso son sistemas informáticos y se administran. Por eso hay CTOs, CISOs, CEOs, CIOs, etcétera en las empresas. Para planificar, para prever, para gestionar la evolución tecnológica segura de las empresas. ¿Somos o no somos informáticos? ¿Somos o no somos buenos en nuestro trabajo administrando sistemas informáticos?

Cambiar las tuberías, las fachadas, la electricidad o las canalizaciones de gas de un edificio no es fácil tampoco, pero hay que hacerlo. Ahora toca a los jefes de los sistemas informáticos responder que lo hicieron porque tuvieron un plan. Y si no lo hicieron, entonces está mal hecho.

A partir del día 8 de Abril se acabaron las bromas. Si tienes un Windows XP en una empresa está mal y tienes un problema, pero si lo tienes en administración pública, tenemos todos un problema que debemos resolver, porque se acabaron los parches de seguridad. No sirve de nada que sigas invirtiendo en otras medidas de seguridad, si la básica que es el parcheo de bugs de los sistemas operativos que dan vida a tus equipos informáticos no existen. Usar software sin soporte es un error grave, usar un sistema operativo sin soporte es un error fatal.

Si estás en cualquier sitio y ves un Windows XP Abandonware en un sitio que no debiera estar, ponme un e-mail con una foto. Yo periódicamente voy a ir recopilando las fotos de los Windows XP que vaya encontrando en sitios que creo que no deberían estar para ver si a todos nos entra en la mollera que la seguridad es importante.

Saludos Malignos!

MetaShield Protector, el ENS, el IBEX 35 y los líderes DLP

En el año 2008 publicamos la primera versión de FOCA. En aquel momento era una herramienta centrada en buscar fugas de información de empresas a través de los metadatos, la información oculta y los datos perdidos que contenían los archivos públicos de una organización.

Durante varios años evolucionamos la herramienta y las capacidades de la misma, además de impartir cientos de charlas sobre lo importante que era tener cuidado con estas fugas de información. Entre ellas, conferencias en BlackHat Europe 2009 y Defcon 17 con "Tactical Fingerprinting using metadata, hidden info and lost data" y Defcon 18 con "FOCA 2: The FOCA strikes back", además de estar en el BlackHat USA Arsenal de 2010, donde se contaba la demo de cómo, por ejemplo, se podría hacer un ataque dirigido a la Agencia de Misiles Americana usando metadatos.

Figura 1: Metadatos en la Missile Defense Agency

A lo largo del año 2009 comenzamos a crear MetaShield Protector, un software que evitaba la fuga de información en documentos publicados en servidores web Internet Information Services, y en gestores documentales de la familia SharePoint, y nos concedieron el Premio Red Seguridad al producto más innovador en seguridad de ese año.

También ese mismo año, el gobierno empujaba el Esquema Nacional de Seguridad, que sería aprobado al siguiente con una parte del mismo dedicada a las recomendaciones de seguridad respecto de los metadatos, para evitar riesgos asociados a una mala gestión de los mismos.

Figura 2: Programa CLEAR para detectar fugas por metadatos

Visto todos estos movimientos, parecía bastante evidente que las fugas de información por culpa de los metadatos en los documentos públicos tenían los días contados. Esto se podría esperar aún más cuando incluso el gobierno de los Estados Unidos había decidido crear el programa CLEAR para eliminar las fugas de información de las webs, y tenía en cuenta los metadatos.

Nada más lejos de la realidad.

Desde que comenzamos la andadura de Eleven Paths, decidimos comprobar cuántas empresas estaban teniendo cuidado con los metadatos, así que evaluamos diferentes entornos y se hicieron muchos informes internos con datos sectoriales relativos a las fugas de información.

Uno de los informes está referido al número de empresas españolas que cotizan en bolsa dentro del IBEX 35, para ver cuántas de ellas estaba teniendo una política de limpieza de documentos públicos, tal y como recomienda el Esquema Nacional de Seguridad y las buenas prácticas de seguridad.

La prueba fue bastante sencilla, y consistió en descargar documentos publicados en el sitio web del domino principal de la empresa y comprobar si era posible o no obtener datos de ellas. La conclusión fue que de todas ellas fue posible obtener información a través de los metadatos, es decir, que ninguna estaba teniendo una protección o política de seguridad que contemplara estas fugas de información.

Figura 3: Totales de fugas de información en empresas del IBEX 35

La segunda prueba se nos presentó cuando dimos con uno de los cuadrantes mágicos de Gartner, en concreto con el de los líderes en Data Loss Prevention, lo que nos dio un buen grupo de análisis a tener presente. La prueba era más que evidente, sobre todo después de que hubiera leído hace tiempo un artículo sobre algo similar en el que no sé porqué me dio a mí en la nariz que la prueba parecía haberse hecho con nuestra FOCA.

Figura 4: Cuadrante Mágico de Gartner de empresas líderes en DLP

Uno de nuestros compañeros decidió ir a las webs de las empresas líderes en Data Loss Prevention, descargar los documentos públicos y pasarlos por la FOCA, para ver cuáles estaban teniendo cuidado con la fuga de información por culpa de metadatos. La sorpresa es que ninguno de los líderes tenía cuidado alguno de los metadatos.

Figura 5: Resumen de fugas de datos en metadatos por empresas líderes en DLP

Para evitar que el mensaje se distorsionara, evitamos usar nombres asociados a cantidades concretas, pero lo que nos dejaron claras estas pruebas fue que aún el mercado no ha tomado conciencia de todos los riesgos asociados a los metadatos, y por supuesto decidimos seguir trabajando en mejorar nuestros productos de seguridad de este área.

Figura 6: Gráfica resumen por empresas y tipos de datos extraídos

Mejoramos MetaShield for IIS e hicimos una nueva versión de MetaShield for SharePoint, construimos una herramienta que limpia los metadatos de los documentos almacenados en carpetas de un servidor de ficheros, ya sean locales o de red al que hemos llamado MetaShield for File Servers, a la antigua Forensic FOCA la hemos evolucionado al producto que actualmente llamamos MetaShield Forensics y sacamos al mercado una herramienta que bautizamos como MetaShield for Client que pudiera instalar cualquier persona en su equipo para limpiar los metadatos con un solo clic.

Figura 7: Familia de productos MetaShield Protector

Por supuesto, la herramienta Faast también tiene entre sus objetivos la extracción de los metadatos de los documentos públicos para crear inteligencia en el proceso de pentesting persistente, tal y como lo hace FOCA, porque al final, visto lo visto, sigue siendo una fuente de información sensible que hay que tener en cuenta. Y en el interín han pasado más de cinco años, y parece que todo sigue igual. Aún la gente sigue preguntando ¿qué dices le pasó a Tony Blair con los metadatos de un documento? Meta-sorprendente.

Saludos Malignos!

Vídeo-Tutorial de MetaShield Protector en Español e Inglés

Igual que con la Forensic FOCA, Jesús Moreno "Chen", nos ha hecho un vídeo - de 7 minutos en este caso - de cómo funciona MetaShield Protector, la solución que se instala como un plug-in para Internet Information Services 7 e Internet Information Services 7.5 para limpiar de metadatos todos los documentos publicados en un sitio web antes de que estos documentos sean enviados a los clientes.

La herramienta funciona con SharePoint Server 2007 y SharePoint Server 2010, y con los documentos Microsoft Office binarios, Microsoft Office OOXML, ODF y PDF. Esta solución es perfecta para cumplir con los apartados relativos a metadatos del Esquema Nacional de Seguridad, y fue premiada en el año 2009 como el Producto más innovador en seguridad los premios Red Seguridad. Si quieres conocer más de ella, publiqué un artículo en más detalle de él en PC World: MetaShield Protector.

Saludos Malignos!

SITI/asLAN: Concurso de falsificadores de firmas

Este año SmartAccess ha planteado una actividad muy curiosa como concurso para poner a prueba la tecnología de firma biométrica en dispositivos móviles SealSign (Tenemos que hablar de eso de la usar una foca en el nombre) que va a realizar en SITI/asLan.

Los que hayáis venido a las sesiones de Up To Secure 2012 ya sabéis que SealSign es una solución de firma biométrica y digital pensada para ser utilizada en dispositivos móviles que ejecuten Android, iOS o Windows en ella.

El algoritmo que lleva dentro se ha desarrollado siguiendo las técnicas de reconocimiento grafológico que utilizan los peritos para determinar si una firma ha sido hecho o no por la misma persona, y la solución ha sido validada por abogados de Ecija para ser utilizada como elemento probatorio en un juicio.

Para que pruebes tú mismo si la solución es buena o no, en le próximo SITI/asLAN de Madrid que tiene lugar los días 27, 28 y 29 de Marzo, en el stand de SmartAccess C5 vas a poder intentar falsificar una firma. Sólo por intentar falsificar la firma vas a ganar una tableta... de chocolate, que puede convertirse en un Samsung Note si consigues demostrar que eres un auténtico falsificador.

Allí además podrás ver las soluciones portafirmas que puedes incorporar a las aplicaciones corporativas de tu empresa para introducir la firma biométrica y/o digital como parte de los procesos de control de tu empresa, para sustituir en la medida de las posibilidades el papel.

Después de años trabajando juntos, haciendo el libro del DNIe, colaborando en el FTSAI donde imparten la parte de autenticación fuerte de servidores, y yéndonos de gira juntos, hemos llegado a un acuerdo de partnership con SmartAccess para distribuir la solución SealSign y adaptar las aplicaciones de firma biométrica y digital a las necesidades de los clientes, para que funcionen en Android, iPad o dispositivos con Windows. Si quieres más información sobre esta solución, ponte en contacto con nosotros y te daremos mucha más información.

Debido a esto, también estaremos compartiendo stand en SITI/asLAN con ellos, donde podrás adquirir los libros de Informática64 y obtener información de nuestros servicios de consultoría de sistemas, auditoría de seguridad, cursos de formación o de software como MetaShield Protector o la Forensic FOCA. ¡Nos vemos en la feria!

Saludos Malignos!

Libro Esquema Nacional de Seguridad con Microsoft

Ya tenemos publicado otro libro dentro de la colección de Informática64. En esta ocasión, Esquema Nacional de Seguridad con Microsoft, es un texto que ya conocéis pero que hemos sacado en un tirada pequeña para los que nos gusta tener la colección en papel. El libro cuenta cómo se debe aplicar el Esquema Nacional de Seguridad en la administración pública española y en los proyectos que tengan que realizarse en ella con tecnologías Microsoft.

Es un texto que nos ha venido muy bien como guía de referencia básica a la hora de entender qué sistemas de autenticación, monitorización o conexión remota, por poner algunos ejemplos, deben implementarse y cómo deben ser implementados, dependiendo de los requisitos de seguridad que marca el Esquema de Seguridad Nacional.

Saludos Malignos!

Noviembre: Eventos durante la primera quincena

Ya se acaba el mes de Octubre, y mientras todo el mundo prepara la noche de Halloween, yo voy a ver si hago lo propio. Pero antes de irme de recogimiento vampírico, a ver si muerdo algo que me guste (nada de coñas que os conozco), os dejo aquí la lista de Cursos, Eventos y Saraos de esta primera quincena (hasta el día 18) del mes de Noviembre, que viene bien cargada.

Entre las cosas destacadas está la IV Jornada de Ciberamenazas y Ciberdefensa de la UEM, en la que yo pasaré como asistente, para saludar además a los que van a hacer este año el Master de Seguridad de la UEM.

También, los seminarios online de la FOCA 3, donde se distribuirá una versión de la FOCA 3 PRO a todos los que se apunten. Habrá una nueva (y última edición por este año) del Curso de Análisis Forense de Dispositivos Móviles que impartirán Juan Garrido "Silverhack" y Juan Luís G. Rambla. Además yo pasaré por Tudela a dar una charla gratis sobre Seguridad Web, y un training de Pentesting Web Sites de toda una mañana. A todo esto, hay que sumar los Hands On Lab de Seguridad, Legalidad y Análisis Forense, junto a los Virtual Hands On Lab de Windows 8, lo que no es poco.

Para terminar, el día 18 de Noviembre en Chile, tendrá lugar la esperada CON para los más hax0rs 8.8, donde se darán cita una buena cantidad de profesionales de la seguridad y grandes personas, con ponentes de Argentina, Alemania, Estados Unidos, Chile, etcétera. Una oportunidad para los chilenos de juntarse y compartir conocimientos y experiencias en seguridad informática y hacking.

El calendario día a día, con todo lo dicho y algo más, es el siguiente. En él, los eventos que impartiré yo los he indicado con un * y los que son gratuitos con una [G].

02 [Madrid] HOL Forefront TMG 2010: Instalación y Configuración
02 y 03: [Online] VHOL implementación de Windows 8
03 [Madrid] HOL Forefront TMG 2010: VPN y Branch Offices
03 [Villaviciosa de Odón] IV Jornada de Ciberamenazas y Ciberdefensa UEM [G]
04 [Online] FOCA PRO 3 inglés *
07 y 08 [Online] VHOL Administración de Windows 8
08 [Madrid] HOL SharePoint Server 2010. Arquitectura e Implantación
08 [Online] FOCA 3 PRO 3 español *
09 [Tudela] Seguridad en Aplicaciones Web [G]*
10 [Tudela] Pentesting Web Sites *
10 [Madrid] HOL SharePoint Server 2010. Entornos de colaboración
10 [Madrid] CEUS VII [G]
10 [Móstoles] Análisis Forense Dispositivos Móviles
10 [Online] Quest Software: Toad Virtual Expo [G]
11 [Madrid] HOL SharePoint Server 2010. Gestión de Contenido
11 [Madrid] Creo en Internet *
14 [Madrid] HOL Normativa en el comercio Electrónico. Aplicación Técnica
14 y 15 [Madrid] HOL System Center Configuration Manager 2007 R2
15 [Madrid] HOL Aplicación del Esquema Nacional de Seguridad en entornos Microsoft
16 [Madrid] LOPD Aplicada a entornos Windows: Sistemas Operativos
16 y 17 [Madrid] HOL System Center Configuration Manager 2007 R2 Avanzado
17 [Madrid] LOPD Aplicada a entornos Windows: Correo y BBDD
18 [Madrid] HOL System Center Operations Manager 2007 R2
18 [Chile] Conferencia 8.8

Saludos Malignos!

Otro metadato que apunta a corrupción

Cuando sucedió el escándalo de Tony Blair con los metadatos en el documento de las armas de destrucción masiva en Irak, debía haber sido el punto de inflexión para que todos tomaran conciencia de los riesgos de estos y cómo gestionar los metadatos en MS Office o cómo funcionan los metatados en OpenOffice. Sin embargo no ha sido así.

Después de varios cachondeos públicos como el caso de los metadatos de los documentos de la SGAE, el caso de la Cenatic y el apoyo al software libre, la relación de la ministra de cultura con la SGAE, la Guía de instalación de Guadalinex escrita con Microsoft Word, o la nota de prensa de An0nymous con el nombre del escritor en un metadato..

Aún así, en España todavía nos econtramos con escándalos polítios de corrupción, como el caso del Ayuntamiento de Leganes, o el reciente de esta semana con el proceso de adjudicación del Plan de Movilidad del valle de Egüés, donde en ambos casos el pliego de condiciones se hizo desde una computadora de la empresa que ganó el concurso.

Esto pasa, a pesar de que el Esquema Nacional de Seguridad se toma el asunto de los metadatos en serio y tiene definido un apartado específico para la limpieza de metadatos en los documentos ofimáticos publicados en Internet.

Nosotros creamos Metashield Protecctor (hasta recibió un premio a la innovación en 2009) para hacer esto de manera sencilla - que ya usan instituciones públicas y empresas- , tenemos una versión online de la FOCA para analizar un documento en concreto, una herramienta gratuita llamada OOMetaextractor para limpiar los metadatos en documentos OpenOffice y, por supuesto, nuestra querida FOCA los analiza.

La pregunta es... ¿Habrá algún día en que no haya problemas con los metadatos o perdurará esto hasta el infinito?

Saludos Malignos!

Libro de Aplicación del Esquema Nacional de Seguridad con tecnologías Microsoft

Pues como ya pasara con el libro de Aplícación de la LOPD con tecnologías Microsoft 2.0, mi compañero Juan Luís G. Rambla, que se ha dado la gran currada, y yo nos hemos vistos "liados" por el Spectrado Héctor Sánchez Montenegro, para lo que hoy es una realidad, el Libro de aplicación del Esquema Nacional de Seguridad con tecnologías Microsoft.


Como en la ocasión anterior, hay una pequeña tirada impresa, para los amantes de las bibliotecas en papel, pero todo el que quiera puede descargarlo en formato PDF desde la siguiente URL: Libro ENS con tecnología Microsoft.

El texto tiene algo más de 200 páginas, y en él, además de los prólogos de Microsoft, Inteco, El Centro Criptológico Nacional y el Ministerio de Política Territorial y Administraciones Públicas, intenta explicar qué es el Esquema Nacional de Seguridad, cómo se definen las dimensiones de seguridad y cómo se pueden aplicar las medidas de seguridad necesarias a cada dimensión con tecnologías Microsoft.

Esperamos que a los que os toque lidiar con el ENS os ayude a aplicarlo o a entenderlo un poco más y, si lo tienes que hacer en poco tiempo, tienes un resumen del libro en un webcast grabado: Webcast Aplicación ENS con tecnología Microsoft.

Saludos Malignos!

Formaciones: LOPD, ENS, FOCA & Security Management

Esta semana hay varios seminarios y conferencias dedicados a seguridad informática que tendrán lugar en Madrid, Barcelona, y a través de Internet. Tienes eventos dedicados a LOPD, a cumplimiento legal, al Esquema Nacional de Seguridad, la gestión de la seguridad en la empresa, tanto del punto de vista técnico como de gobernancia y los seminarios de la FOCA. Aquí tienes la agenda detallada:

Online: LOPD Aplicada a entornos Windows: Sistemas Operativos
Martes 26: A lo largo de este Virtual Hands On Lab se abordarán los mecanismos que permitan garantizar el cumplimiento de los elementos para la LOPD en los Sistemas Operativos de la plataforma Windows. Se evaluarán y establecerán los mecanismos de control de accesos, cifrado, sistemas de auditorías y aquellos elementos que ayuden a proteger y mantener aquellos datos implicados en el marco del cumplimiento de la LOPD.

Online: LOPD Aplicada a entornos Windows: Bases de Datos, Documentos y Correo
Miércoles 27: Otros elementos condicionantes para el cumplimiento de la LOPD son aquellos que pudieran deberse del almacenamiento de los datos y la difusión de los mismos. A lo largo del Hand on Lab estableceremos aquellos elementos de protección y control para los sistemas de almacenamiento o distribución de información que pudiera estar contemplada en la LOPD. Evaluaremos los mecanismos en SQL Server, Exchange y Office.

Online: Aplicación del Esquema Nacional de Seguridad en entornos Microsoft
Jueves 28: En este seminario práctico se abordará la aplicación de medidas de seguridad y auditoría atendiendo a la normativa de interoperatividad con la administración electrónica vigente en entornos públicos. Para ello se analizará desde un enfoque práctico la implantación de las medidas previstas en el Esquema Nacional de Seguridad en escenarios Microsoft.

Madrid: ISMS Forum: Modelo de Seguridad de Confianza Cero
Jueves 28: En el Hotel Eurostars de Madrid, tendrá lugar un desayuno de trabajo del ISMS Forum con el lema: Modelo de Seguridad de Confianza Cero. Este evento está dirigido a profesionales de la seguridad informática, por lo que es un marco ideal para cambiar experiencias, problemas y soluciones.

Barcelona: ADMTools: Herramientas de gestión de seguridad
Jueves 28: GFI MAX RemoteManagement™, GFI VIPRE® Business, Add-On® Resource Central, GFI WebMonitor, Exclaimer MailDisclaimers y ADMTOOLS® - Retos y Expectativas

Online: FOCA PRO 2.6 (Español)
Jueves 28: En este training podrás conocer las novedades de la nueva versión FOCA. Todos los asistentes recibirán gratis una versión de FOCA PRO con todas las novedades.

Online: Normativa en el comercio Electrónico. Aplicación sobre servicios Microsoft
Viernes 29: El comercio electrónico y la prestación de servicios en Internet constituyen un mecanismo habitualmente ofertado por las organizaciones para la prestación de sus servicios. Hay que tener en cuenta que determinadas leyes y estándares fijan las normas y reglas de uso para los mismos. A través de este laboratorio el asistente conocerá en qué medida se aplican dichas leyes y qué servicios Microsoft pueden verse afectados, aportando una resolución técnica a las medidas planteadas.

Online: FOCA PRO 2.6 (English)
Viernes 29: In this training you will discover how FOCA PRO works and how it should be used in a pentesting process. All attendees will recevie a FOCA PRO version for free.

Saludos Malignos!