Guía sobre las tecnologías biométricas aplicadas a la seguridad

Dejo un enlace a una guía que presentó Inteco hace un mes sobre la biometría aplicada a la seguridad. Tal y como define Inteco la biometría “consiste en el uso de ciertos rasgos o características del ser humano, sean estrictamente físicas o relativas al comportamiento, para identificar a las personas. El avance tecnológico ha permitido la automatización de este reconocimiento, existiendo diversas tecnologías ya aplicadas a la identificación biométrica, como puede ser el reconocimiento de huellas dactilares, de iris, de retina o de voz.”

El archivo en local en este enlace.

Guía práctica de firma electrónica y su aplicabilidad en la empresa

Dejo un enlace a una guía que puede ser interesante: “Guía práctica de sinatura electrónica e a súa aplicabilidade na empresa”. Es una guía corta (39 páginas), escrita en gallego, en la que se tratan varios asuntos relacionados con la firma electrónica:

• Introducción a la firma electrónica.
• ¿Qué es la firma electrónica?
• ¿Qué es el certificado electrónico?
• ¿Cómo se solicita un certificado electrónico?
• Legislación aplicable.
• Aspectos técnicos.
• La factura electrónica.
• Otras aplicaciones de la firma electrónica.

¿Qué son las vulnerabilidades del software?

La gente de INTECO acaba de publicar una miniguía introductoria sobre las vulnerabilidades del software. Puede ser interesante para aquellas personas que están introduciéndose en el mundo de la seguridad informática que no tiene ningún tipo de conocimiento sobre el tema. El archivo en formato PDF ¿Qué_son_las_vulnerabilidades_del_ software?.

Self audit my server

Dejo aquí una página que puede interesante para hacer un primer análisis de seguridad de un servidor: www.self-audit-my-server.net cuando no tenemos instaladas herramientas de auditoría de seguridad. Ejecuta los siguientes programas:

• Whois.
• Nmap.
• Nikto.
• SQLiX.

¿Funcionó el DDoS contra Movistar.es?

Antes de comenzar el post quiero dejar claro que no estoy de acuerdo ni apoyo este tipo de ataques contra ningún tipo de sistema informático; además en España está tipificado como delito.

El domingo 26 de junio los portales web  movistar.es y telefonica.com fueron objetivo de un ataque de denegación de servicio distribuido (DDoS). Los promotores del DDoS fueron integrantes de Anonymous (eso que están sin cúpula )

En Security By Default analizan el ataque y según sus conclusiones la web siempre estuvo accesible, aunque devolvía un error “404 Página no encontrada”, como se puede ver en esta imagen.

Los medios recogían la noticia con información dispar:

• “El Mundo” dice que “Anonymous tumba Movistar“, mostrando una página con el error 404 comentado.
• Público indica “Escasa incidencia del ataque de Anonymous a Telefónica“, mostrando la misma imagen.
• “Cinco Días” comenta “El ataque de Anonymous contra Telefónica provoca pequeñas incidencias“, indicando que “Fuentes de la compañía aseguraban a primera hora de la tarde que todo funcionaba como estaba previsto“, hecho que las capturas de pantalla han dejado claro que no es correcto.
• El análisis más minucioso viene del portal “La Información”, que titula “Operación Telefónica: Anonymous funde a blanco la web de Movistar“, en el que detallan casi minuto a minuto lo que ha ocurrido en la tarde del domingo.

Como puntos comunes parece que la web no ha estado caída en ningún momento, por lo que Movistar.es puede enviar esta visión positiva de lo ocurrido a la prensa, pero realmente lo que ha ocurrido es que ellos mismos “han tirado” su web para evitar quedar en blanco, confirmándolo el continuo mensaje de error 404. Personalmente creo que el ataque DDoS ha sido efectivo, ya que aunque la web respondía, sus servicios han estado inutilizados, que es lo que realmente se busca en un ataque de este tipo.

Recomendable, como de costumbre, el análisis técnico de la gente de Security By Default.

Guías metodológicas de respuesta ante incidentes de seguridad

A través de un artículo de Inteco titulado “Recomendaciones ante ataques distribuidos y/o dirigidos” (vaya título, por cierto), llego a una serie de guías del CERT de la Société Générale (está en francés, pero las guías están en inglés) que pueden ser interesantes como punto de partida para mejorar la seguridad informática en varios segmentos:

Dropbox accesible sin contraseñas

Parece que la gente de Dropbox subió a producción una actualización con un ligero bug de seguridad: permitía acceder a cualquier usuario sin utilizar una contraseña válida.

Curioso el comentario en el blog:

This should never have happened. We are scrutinizing our controls and we will be implementing additional safeguards to prevent this from happening again.

Me imagino la situación:

• Programador junior. “Listo, actualización acabada. Ya compila”.
• Programador senior. “Pues venga, a producción”.
• Programador junior. “¿Pero no lo probamos ni le pasamos ningún tipo de batería de pruebas?”
• Programador senior. “Qué baterías ni que hostias. Compila, así que a producción!!!!”

Pues si empresas de este tamaño cometen errores tan gordos como éste, no quiero ni saber qué tipo de controles de calidad están usando hasta ahora, si es que los estaban usando. Digno de las mejores viñetas de Coderfacts.

Vía Slashdot.

MD5Summer. Generador MD5 para Windows

Me acaba de sacar de un apuro. Es un archivo autoejecutable (no necesita instalación) que permite generar un archivo resumen MD5 o SHA1 de uno o varios archivos en plataformas Windows. Es una alternativa al “md5sum” de Linux si no tienes un Linux a mano. Se puede descargar aquí.

Guía sobre almacenamiento y borrado seguro de información

En la actual sociedad del conocimiento, los avances tecnológicos en redes y sistemas posibilitan que la información se pueda generar, copiar, enviar y recibir desde cualquier lugar y en cualquier momento. Estos aspectos son vitales para el funcionamiento de las empresas y convierten a la información en un activo de gran valor en la toma de decisiones.

El conocimiento de la gestión del ciclo de vida de la información y el establecimiento de planes, normas y políticas de almacenamiento de la información y de seguridad de los datos, asegura un control y gestión de la información eficiente.

Por ello, la Guía sobre almacenamiento y borrado seguro de información aborda diferentes cuestiones: por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, en qué consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información.

Disponible la guía completa en castellano e inglés y la reseña de la misma en catalán, euskera, gallego y valenciano.

Restricciones sobre el cifrado de información impuestas por los Estados

Hace unos días que pasaba a portada de Barrapunto una pregunta, titulada “Aeropuertos y cifrado de disco“, en el que un usuario del portal preguntaba lo siguiente:

Dentro de dos meses me iré a vivir a Noruega, y como es de esperar, deberé llevar la mayor parte de mi información digital. No es que tenga secretos de estado, pero preferiría que la información vaya cifrada, de tal forma que las autoridades de los diferentes países (haré escala en Alemania) no tengan acceso a la información. Claro que podrían pedirme las claves y si no se las proporcionara me podrían confiscar los medios. ¿Cuál es vuestra experiencia al respecto? ¿Qué alternativas sugerís? Tengo acceso a una VPN cifrada, ¿debería pasar por los controles sin la información y recuperarla luego a través de Internet? Desde ya muchas gracias.

Particularmente no tengo nada tan importante en ninguno de mis equipos como para tratar de ocultarlo en una revisión en un aeropuerto. Si me piden que encienda el ordenador, lo arranco, me autentifico y dejo que revisen lo que quieran. Ya se cansarán de ver fotografías, vídeos, películas,… Pero cada uno es libre de protegerlos como quiera.

Las respuestas que dieron los comentaristas fueron varias, pero centradas en:

• usar sistemas de cifrado (TrueCrypt, BitLocker,…).
• llevar el portátil vacío y conectarse mediante una VPN al equipo donde tiene la información, lo que implica tener el equipo continuamente encendido en tu casa, en la de un familiar,… no demasiada buena idea si te vas a vivir permanentemente a otro país.

Otros comentarios rozaron lo paranoico (situación habitual por Barrapunto) y los divertidos, como éste:

Yo vivo en Noruega. Desde hace 2 años y hago unos 14 viajes de ida y vuelta al año y te puedo decir que podrías llevar una camiseta de “illegal content in my laptop” que no pasaría nada.

Algo que sí me resultó interesante fue un comentario de un “pobrecito hablador”:

Estuve trabajando en una compañía global donde se nos obligaba a cifrar todo el disco duro de los portátiles corporativos. Eso sí, teníamos una lista de países con las prohibiciones en temas de cifrado en cada uno de ellos.
En algunos lugares es ilegal entrar con material cifrado (y también depende de la fuerza del mismo) pero no salir o es diferente la dureza de ese cifrado permitida para ambos casos. Si consigo dicha lista, se la enviaré a los editores por si les interesa.
Como sugerencia, lleva lo mínimo sin cifrar y descarga (o lleva en una tarjeta SD de tu cámara de fotos) después lo que necesites.

Este tipo de comentarios, a pesar de considerarlos interesantes, siempre me suenan a comentarios de bar, a alguien que tiene un primo que un día escuchó que en no sé qué país no puedes entrar con el disco cifrado. Algo como lo de Ricky Martin, el perro y la mermelada, que nadie ha visto, pero que tiene un primo que tiene un vecino que sí que lo vio en directo. Por eso le pedí referencias (enlaces) en el post, a lo que contestó otro usuario con el siguiente comentario:

No se cuánto habrá que creerle, pero en el sitio web de PuTTY [greenend.org.uk] dicen que puede que la criptografía sea ilegal en determinados países. Y enlazan a este sitio [rechten.uvt.nl], que incluye este listado [rechten.uvt.nl] de información clasificada por país, según parece.
No lo leí demasiado, ni se cuán actualizado/cierto sea, pero puede ser un comienzo.

La primera de las direcciones nos lleva a un enlace interesante, en el que, de manera gráfica, a través de tres mapamundi, podemos ver los:

• Controles de entrada (enlace a la imagen).
• Controles de salida (enlace a la imagen).
• Controles para uso doméstico (enlace a la imagen).

que imponen los distintos Estados sobre la información cifrada. Incluyo enlaces a las imágenes y no las imágenes porque el autor no lo permite (“No permission is granted for electronic distribution or publication on another website.”)

Podemos decir, con las excepciones correspondientes, que:

• los Estados occidentales no imponen restricciones para la entrada y para el uso doméstico de información cifrada, mientras que sí la imponen para su salida del Estado.
• Los Estados de los antiguos bloques comunistas imponen restricciones en los tres apartados.
• Respecto al uso doméstico, ciertos Estados, como Reino Unido, Australia u Holanda obligan, bajo ciertas situaciones, a facilitar las claves de acceso a la información cifrada (como no sea mediante un ataque por fuerza bruta a la capa 8 de OSI: mediante unas ostias…, no se me ocurre cómo pueden hacerlo).

Así que ya sabéis, si sois unos auténticos paranoicos (o manejáis secretos de Estado) y vais a viajar a alguno de estos países, echadle un vistazo al anterior enlace para no tener ningún problema en la frontera. Y recordad, siempre os quedará la VPN.

Fotografía: http://www.flickr.com/photos/anvica/2947233762/ bajo licencia Reconocimiento-NoComercial-SinObraDerivada 2.0 Genérica.