Auditoria Informática

En octubre del 2007 vimos ataques a las cookies de google. Que gmail Aún sea beta quiere decir que pueden volver a aparecer vulnerabilidades. Además hay el riesgo en la seguridad de la información. Podemos ver el proyecto ECHELON de la CIA o lo que hace google con su adsense. Nuestra conclusión es que no deberia haber información crítica en gmail.

Unas recomendaciones básicas son:

• Utilizar la versión HTTPS en: https://mail.google.com/mail
• Formar/formarse para evitar ser engañado con ataques de enginieria social.
• Evitar la fuga de información en cláusulas contractuales, de igual forma que en USBs o CDs.
• Usar PGP a nivel empresarial siempre que se envie información crítica.
• Valorar el uso de correo dedicado con VPN para los accesos remotos.
• Valorar oferecer internet en una red aislada para el uso personal y cerrarlo en la red corporativa o cómo alternativa a utilizar técnicas de DMZ (con doble firewall).

convert this post to pdf.

De todos es sabido que las macros de office son un peligro para todo ordenador que abra un fichero no confiable. En los documentos de word se puede esconder código malicioso que instale un virus o troyano o que causen una pérdida de información.

Debido a las recientes alertas de vulnerabilidades de Adobe Reader ahora podemos considerar que los ficheros PDF también pueden ser un peligro.

Las vulnerabilidades encontradas son en la utilización de JavaScript incrustado en los documentos PDF.

Esto afecta a las veriones anteriores a la 8.1.2, pero siempre pueden aparecer nuevas alertas. Para probar el exploit puedes ir aquí.

convert this post to pdf.

Abrimos nueva sección en la que miraremos los ámbitos de aplicación de cada estándar o guia de buenas prácticas en la gestión de TI.

Empezamos por el marco de trabajo COBIT para ver que objetivos están dentro del alcance de cada uno.

convert this post to pdf.

Se han encontrado Vulnerabilidades de buffer overflows en controles ActiveX de subida de imágenes. Esta vulnarabilidad afecta a la funcionalidad de algunos sitios web facilitan para la subida de imagenes a través de InternetExplorer o Programas que usan controles ActiveX.

Ya existe la prueba del error para MySpace y en Facebook se utiliza el mismo componente. El código del exploit está disponible en http://milw0rm.com/exploits/5025

convert this post to pdf.

Es sabido que los correos masivos saturan algunos buzones de correo (Cadenas, powerpoints, imágenes…). Mucha gente directamente utiliza el botón de responder a todos sin pensar en las posibles consecuencias legales de divulgar las direcciones de correo de sus contactos.

La dirección de correo es un dato privado y divulgar un dato privado de esta forma es ilegal y peligroso. Las cadenas acaban reenviándose hasta la muerte, y cuando llegan a un spammer, éste obtiene miles (sí, miles) de direcciones de correo VÁLIDAS de forma instantánea.

La forma es intentar que todos los emisores recuerden poner siempre a los destinatarios como copia oculta. Todos los programas de correo y webmails tienen una casilla debajo de los destinatarios llamada “CCO” o “Copia de Carbón Oculta”. El contenido del correo no deberia tener tampoco direcciones de correo que se incluyen en el cuerpo del mensaje a causa de todas las acciones de “responder a todos” realizadas.

Las penalizaciones de la Agencia de Protección de Datos son acomulativas y 600.000 € es la mayor, además ya hay resoluciones en este sentido no sólo para empresas sino también para particulares.

convert this post to pdf.

Hemos recibido diferentes llamadas de usuarios de hotmail preocupados porqué temen que están leyendo su correo. Un truco consiste en escribir un email trampa en la bandeja de entrada sin abrir. Para este truco necesitamos de algun servicio web que nos ofrezca control de accesos o análisis de logs.

Los pasos son:

1. Generar una imagen en la que no pueda acceder nadie.
2. Escribir un email a tu propio buzón en formato HTML con la imagen incrustada.
3. No bajarse ni leer el correo trampa para poder controlar los accesos.
4. Si leen el correo podremos visualizar su IP y su hora de acceso en los logs de acceso del servidor que contiene la imagen.

Esto sirve para cualquier servicio de correo electrónico que lea HTML. Si no tienes una web con control de accesos puedes contratar el servicio de hosting web en einnova desde 150€/anuales.

convert this post to pdf.

Se ha encontrado una vulnarabilidad de buffer overflow en el cliente UltraVNC que permite acceder a los usuarios remotos con privilegios de usuario local.

Esta vulnarabilidad afecta a todas las versiones anteriores al enero de 2008  (1.02 i 1.0.4)

Ref: http://forum.ultravnc.info/viewtopic.php?t=1185

convert this post to pdf.

La polémica sobre la publicidad contextual de Gmail -la plataforma de correo electrónico de Google- surgió prácticamente desde su nacimiento. El sistema de correo fue y sigue siendo muy criticado porque utiliza AdSense de Google para incluir publicidad contextual junto a los mensajes de correo electrónicos, lo que significa que un bot , un tipo de programa informático,”lee” el contenido de los correos, vulnerando la privacidad de los usuarios.

A pesar de que los responsables del gigante tecnológico siempre han alegado que ningún humano tiene acceso al contenido  de dichas comunicaciones, Consumidores en Acción ha ganado al gigante estadounidense Google la primera batalla contra la intromisión en la privacidad del correo electrónico. Tras la denuncia que presentó el pasado octubre, la Agencia Española de Protección de Datos (AEPD) ha declarado ilegal el modelo de negocio en el que basa su servicio de correo electrónico, Gmail: el espionaje de los mensajes que reciben -y envían- sus usuarios para mostrarles publicidad personalizada en función de su contenido.

En resumen, Google tendrá que pagar una multa, cambiar las condiciones del servicio o quitar la publicidad contextual de GMail

En mi opinión es un exceso ya que por este echo no se incumple ninguna de las medidas de seguridad que se establecen en los reglamentos de la LOPD. Tratar datos personales sin almacenarlos en ningún fichero no deberia entrar dentro del alcance de la ley de protección de datos.

convert this post to pdf.

La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa.
Los principales objetivos que constituyen a la auditoría Informática son:

• el control de la función informática,
• el análisis de la eficiencia de los Sistemas Informáticos,
• la verificación del cumplimiento de la Normativa en este ámbito
• y la revisión de la eficaz gestión de los recursos informáticos.

Para la correcta administración de la Seguridad de la Información, se debe controlar, analizar, verificar y revisar los siguientes requerimientos básicos: La confidencialidad, integridad y la disponibilidad de los recursos informáticos de las organizaciones.

• Confidencialidad.- Para la Seguridad de Información, la confidencialidad busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional de la información. La pérdida de la confidencialidad puede ocurrir de muchas maneras, como por ejemplo con la publicación intencional de información confidencial de la organización.

• Integridad.- Para la Seguridad de la Información, el concepto de Integridad busca asegurar:
  • Que no se realicen modificaciones por personas no autorizadas a los datos, información o procesos
  • Que no se realicen modificaciones no autorizadas por personal autorizado a los datos, información o procesos
  • Que los datos o información sea consistente tanto interna como externamente.

• Disponibilidad.- Para la Seguridad de Información, la disponibilidad busca el acceso confiable y oportuno a los datos, información o recursos para el personal apropiado.

UNE-27001 y COBIT

Recientemente (Noviembre 2007) AENOR ha aprobado una normativa referente a los sistemas de gestión de la seguridad de la información 

Normativa ISO española referente a la Seguridad de los Sistemas de Información

• UNE-ISO/IEC 27001:2007
  Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005)

Best-practices en el proceso de Gestión de la seguridad

• Libro de gestión de la seguridad de ITIL
• CobiT Security Baseline

Certificaciones Seguridad

• CISPP: Certified Information Systems Security Professional, IS2
• CISM: Certified Information Security Manager, ISACA
• CISA: Certified Information Security Auditor, ISACA
• SECURITY++: Computing Technology Industry Association, COMPTia
• CEH: Certified Ethical Hacker

convert this post to pdf.

Recientemente se ha aprobado la ley RD 1720/2007, se ha publicado en el BOE el 19-1-08, referente al Nuevo Reglamento Medidas de Seguridad Ley Protección de Datos (LOPD 2007).

El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. trata sobre las siguientes materias:

• Agencia española de protección de datos.
• Autorizaciones.
• Consentimiento del informado.
• Drecho de acceso, cancelación, rectificación de los datos.
• Ficheros con datos personales.
• Flujo transfonterizo de datos (transferencias internacionales).
• Medidas de seguridad.
• Procedimientos administrativos y sancionadores.
• Publicidad.
• Registro general de protección de datos.

Novedades y cambios que introduce el reglamento 2007

• El reglamente se aplica ahora también a los ficheros y tratamientos no automatizados (papel) y se fijan criterios específicos sobre las medidas de seguridad de los mismos.
• Se garantiza que las personas, antes de consentir que sus datos sean recogidos y tratados, puedan tener un pleno conocimiento de la utilización que se vaya hacer de estos datos.
• El interesado dispondrá de un medio sencillo y gratuito para ejercitar su derecho de acceso, rectificación, cancelación y oposición, sin tener que usar correo certificado ni otros medios que le supongan un gasto adicional.
• Todos los datos derivados de la violencia de género pasan del nivel básico de seguridad a un nivel alto.
• Especificaciones sobre los menores de edad.
• Especificaciones sobre la solvencia patrimonial y crédito.
• Especificaciones sobre la Tarjeta sanitaria

Mayor seguridad de los datos personales

• Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.
• Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.
• Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.
• Sobre éstos y los restantes datos personales incluidos en el nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

Seguridad de los datos en papel

• Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.
• Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.
• Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto (ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados por la policía sin consentimiento de los afectados o actos derivados de violencia de género), deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.

Regulación de actividades de publicidad y prospección comercial en el Nuevo Reglamento LOPD

• La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
• Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
• Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.

Transferencias internacionales de datos en el Nuevo Reglamento LOPD

• Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declara la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la Unión Europea.
• También se aclaran los supuestos en se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director, incluyendo en este apartado las denominadas “binding corporate rules”, o códigos internos de los grupos multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la Agencia.
• Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.
• Teniendo en cuenta las sensibilidades que se pudieran dar en la transferencia internacional de datos, sobre todo cuando pueda implicar la deslocalización de servicios prestados en territorio español, se incluirá un procedimiento de autorización de un trámite de información pública, donde se podrán aportar alegaciones sobre la legalidad de estas actuaciones.

convert this post to pdf.