jueves, 19 de diciembre de 2013

Fraude (Scam) del cheque sin fondos

La semana pasada, y casi simultáneamente, recibí varias llamadas y correos de diferentes abogados solicitando mi opinión sobre unos extraños correos electrónicos que habían recibido. 

Curiosamente, todos ellos habían recibido un mensaje de un tal He Weijian con el siguiente contenido:


Algunos de los abogados ignoraron el mensaje y lo eliminaron; otros -más recelosos- contactaron conmigo después de abrirlo para que revisara si contenía un virus; y , finalmente, otros contactaron conmigo después de haber respondido e intercambiado algunos e-mails con el Sr. He.

El mensaje no contenía ningún archivo adjunto ni ningún enlace a un sitio web, con lo que, de momento, descartamos que se trate de un correo que pretenda instalar un malware en el equipo o iniciar algún ataque de phishing.

Sospechando que se trata de un mensaje falso, que puede ser un cebo para realizar una estafa, lo primero que podemos hacer es analizar las cabeceras de los correos e intentar determinar las direcciones IP de origen por si nos proporcionan alguna información.  De este análisis obtenemos lo siguiente:

a) Con la utilidad SmartWhois de All NetTools (http://all-nettools.com/toolbox/smart-whois.php) observamos que, aparentemente, los mensajes provienen de un servidor de un ISP ubicado en Lagos (Nigeria)
   
b) Con la herramienta MxToolBox (http://mxtoolbox.com/SuperTool.aspx) buscamos si esas IP están en listats negras (blacklist) y, efectivamente, así es.
    
c) Finalmente, una simple búsqueda de noticias en Google sobre el supuesto ISP de origen nos ofrece notícias como esta: “Nigerian ISP, SpectraNet, is world’s most crime infested- Survey

Así que, venga o no venga -el correo- de Nigeria, todo resulta muy extraño.  Por supuesto, visto el contenido del mensaje y la poca fiabilidad del origen del correo, podríamos casi asegurar que estamos ante un intento de estafa clásica (scam), aunque en esta ocasión ni nos ha tocado la lotería, ni una herencia, ni ninguna de las otras ganancias habituales en las estafas nigerianas, sino que nos solicitan ¿un presupuesto de servicios legales?.  Lo sorprendente de este caso es la segmentación tan precisa del objetivo, ¡se dirige exclusivamente a despachos de abogados!

viernes, 11 de octubre de 2013

Navaja Negra Conference (2 de 2)

Este es la segunda parte del resumen de las conferencias "Navaja Negra" realizadas en Albacete entre los días 3 y 5 de octubre de 2013.

[Continuo el resumen donde lo dejé, en la primera sesión de la tarde del segundo día.]

========== Día 2 ==========

"Economías criptográficas" (Sergi Álvarez "Pancake")

Sergi Álvarez (@trufae) trató el tema de los Bitcoins, la moneda digital creada en 2009 por Satoshi Nakamoto. Tras una interesante introducción sobre los orígenes de Bitcoin (BTC) y el enigmático personaje (o grupo) que se esconde tras "Satoshi Nakamoto" (algunas teorías aseguran que es la NSA quien está detras ese seudónimo), la charla abarcó los cuatro aspectos imprescindibles para entender el funcionamiento de Bitcoin: Economía, Criptografía, Redes P2P y Hacking. Detalló el funcionamiento de las transacciones con Bitcoin, destacando la importancia del "blockchain" (la cadena de bloques donde se guardan todas las transacciones).

Pancake también se refirió a otras criptomonedas como FreiCoin, LiteCoin, PPcoin, etc. En www.coinchoose.com puede verse una extensa lista y su relación con BTC. También existen sitios como www.bitstamp.net que permiten "tradear" con Bitcoin (comprar, vender o intercambiar BTC con moneda corriente (USD, EUR, ...)). A día de hoy, el cambio de BTC está a unos 120$.

"Trash Robotic Router Platform (TRRP)" (David Meléndez)

David Meléndez (@taiksonTexas) nos presentó su nuevo Cuadricóptero ATROPOS (algunos ya lo habíamos visto en la Rooted 2013, pero a Albacete vino con un algoritmo mejorado). Se trata de un drone de 4 hélices construido a partir de material reciclado. Para ello ha aprovechado una Fonera reconfigurando el servidor web para el control de vuelo del aparato via WiFi, o el giroscopio y el acelerómetro de los mandos de la Wii para estabilizar el cuadricóptero. Más información en la web del proyceto: http://taiksonprojects.blogspot.com.es/

Aunque asegura que no sabe manejar el drone (las pruebas las realiza un amigo suyo aficionado a los vehículos de radiocontrol) en esta ocasión, y con algunos nervios, se atrevió a realizar un vuelo del aparato en directo sobre el escenario, que fue todo un éxito.


"How I met your botnet" (Manu Quintans & Frank Ruiz)

Manu Quintans (@groove) y Frank Ruiz (@francruar) dieron un repaso a la situación actual del cibercrimen poniendo de manifiesto que, dado que los foros underground donde se reunen los cibercriminales son muy cerrados, la información sobre las amenazas es muy especulativa. Ambos realizaron un buen análisis comparativo sobre las diferencias entre los troyanos que operan en diversas partes del mundo: Asia, Latinoamérica, Rusia, o Estados Unidos y Europa. Por otro lado comentaron como funcionan los "Affiliatte Programs" para la distribución de malware.

Tras citar distintos tipos de malware como RAT, Ransomware, distintos troyanos bancarios (SpyEye, Citadel, Kasper) concluyeron con una demo del funcionamiento de una botnet.

"LIOS: A tool for IOS Forensics" (Lorenzo Martínez)

Lorenzo Martínez (@lawwait) presentó su herramienta LIOS#FF para el análisis forense de dispositivos iOS (Lorenzo aclaró que se refiere al sistema operativo de los iPhone , no al IOS de Cisco!). La herramienta permite extraer la información de los datos de usuario y apps (agenda, contactos , llamadas, fotos, notas, historial de navegación, etc.) y, lo que es más interesante, permite clasificarlo todo en una especie de timeline o linea temporal para analizar la actividad completa del usuario en el intervalo de tiempo que se desea investigar.

========== Día 3 ==========

"El lado oscuro de TOR: La Deep Web" (José Luis Verdeguer)

TOR fue creado en 2002 a partir del proyecto "Onion Routing" del Laboratorio de Investigación Naval de los Estados Unidos (NRL en sus siglas en inglés) y actualmente esta siendo mantenido por "Tor project" (www.torproject.org). José Luis Verdeguer (@pepeluxx) aclaró que TOR no es la Deep Web sino una forma de acceder a ella. En su presentación destacó que "se puede utilizar TOR de dos formas: para acceder anónimamente a la red, o para acceder a la red formada por dominios .onion que ofrecen acceso a servicios ocultos."

"Anteproyecto del código procesal penal: Análisis Técnico" (GDT)

César Lorenzana, del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil se refirió al anteproyecto de reforma de la Ley de Enjuiciamiento Criminal (LECrim). Señaló que esta Ley es del año 1882 y aunque, en su momento, regulaba perfectamente el control de las comunicaciones postales, con la aparación de nuevos medios (telégrafo, teléfono, móviles, Internet, comunicaciones cifradas) se ha intentado asimilar su aplicación aunque en algunos caso se ve claramente ineficiente.

Por su parte, Javier Rodríguez (@javiover) explicó algunos de los métodos de protección que han implantado en su "Herramienta de Inspección Remota" (él lo definió como "buenware").

"Divulgación del trabajo de la Brigada de Investigación Tecnológica" (BIT)

David Pérez, de la BIT (que ahora pasará a llamarse UIT - Unidad de Investigación Tecnológica) de la Policía Nacional nos puso al corriente del nuevo plan estratégico llamado "Policía 3.0" al mismo tiempo que describía la estructura y el funcionamiento de la unidad (fueron los encargados de realizar la investigación sobre Ransomware que finalizó con 11 detenidos por el caso del llamado "virus de la policía"). Para finalizar lanzó a la sala una solicitud de colaboración, por parte de los asistentes, en la lucha contra el cibercrimen.

Mesa redonda: "CFSE, Troyaos, hackers y demás fauna"

Los tres días de jornadas concluyeron con un interesante debate moderado por Daniel García "cr0hn" que contó con la presencia de todos los ponentes de la mañana a los que se sumó el abogado experto en Derecho Tecnológico Pablo Fdez. Burgueño (@pablofb). El público participó activamente con un gran número de preguntas que abordaron temas como PRISM, SITEL, el caso Snowden, la responsabilidad penal en determinadas acciones, o donde está el límite legal para un investigador o auditor de seguridad. También se debatió a fondo sobre la necesidad de unificar las normativas internaciones o que herramientas de colaboración están a disposición de las policías de distintos países, en este sentido, César Lorenzana concluyó que "estamos haciendo frente a un fenomeno global con normativa local".

Al finalizar el evento, disfrutamos de una estupenda comida en la que pudimos intercambiar impresiones con la práctica totalidad de los ponentes de esta edición de "Navaja Negra" y en la que todos coincidimos en agradecer a los organizadores, colaboradores y voluntarios su dedicación para sacar adelante estas jornadas y la excelente acogida que nos brindaron.

jueves, 10 de octubre de 2013

Privacy and Body Scanners at EU Airports

¿Escáneres que nos muestran desnudos?

El año pasado, en el número 217 (mayo-junio) de la revista Novática se publicó un artículo mío titulado "Privacidad en los escáneres corporales en los aeropuertos de la U.E." [consulta el artículo].

Ahora, se acaba de publicar un número especial de Novática en inglés que lleva por título "Privacy and New Technologies" que incluye mi artículo (revisado y  actualizado).  Esta edición, realizada en colaboración con Privacy International, es de acceso es libre y gratuito.



En el artículo repaso aspectos como:
  • análisis de las diferentes tecnologías de escaneo existentes,
  • marco normativo europeo,
  • nivel de adopción de estos dispositivos en los distintos países de la UE, 
  • impacto de estas medidas de seguridad sobre la privacidad de los usuarios.
Puesto que había transcurriso casi un año desde la publicación del artículo original (y un año y medio desde la investigación que dió lugar al artículo) mientras realizaba la traducción aproveché para actualizar el contenido del mismo ya que en este periodo ha habido algunos cambios en relación a la implantación de los escáneres corporales en los aeropuertos europeos.

A continuación copio el abstract del artículo y los enlaces al contenido completo del mismo en la web de ATI (Asociación de Técnicos de Informática).

 
Acceso al número especial de Novática: http://www.ati.es/novatica/2013/ASA/nvS2013sum.html
Acceso al artículo (PDF, 6pág., 280 KB, Inglés): http://www.ati.es/novatica/2013/ASA/NvS2013-49.pdf 
Acceso al artículo original, en español: http://blog.joanfi.net/2012/09/privacidad-en-los-escaneres-corporales.html 
  
At the beginning of 2010, with the aim of improving aviation security controls, some airports started to use full-body security scanners, also known as body scanners or  security scanners. Body scanners make a full body screening of passengers, producing detailed images of the screened person’s body in order to detect both metallic and non metallic  objects that might be concealed under the clothes.   
  
Deployment of such scanners may entail an invasion of people’s privacy since they produce a detailed display of the passenger’s  body with no clothing, revealing anatomical details and private parts, including medical prostheses.   
 
This article will analyse the currently existing screening technologies (millimetre wave systems -active or passive- and X-ray backscatter systems) as well as their level of deployment at EU airports, focusing on the impact they may have on passengers’ privacy. In order to  harmonize the various national regulations, the European Commission has passed a proposal on the use of body scanners at European airports, scanners which shall only be used under  specific conditions.

martes, 8 de octubre de 2013

Navaja Negra Conference (1 de 2)

[Nota: Debido a su extensión, he divido el post en 2 entradas.  En breve publicaré la 2ª parte]
 
[>>>>>>>>>> Actualizado: 11/10/2013: Enlace a la 2ª parte <<<<<<<<<<]



La semana pasada tuve ocasión de asistir a las conferencias "Navaja Negra" que tuvieron lugar en Albacete. En tres días (del 3 al 5 de octubre) pudimos disfrutar de hasta 21 charlas sobre seguridad informática, a cual más interesante (ver programa).

Esta 3ª edición congregó a casi 200 profesionales, expertos, estudiantes, interesados, amantes etc. de la seguridad informática en un espacio donde compartir conocimiento y experiencias, siempre fieles a los 3 principios con los que se creó Navaja Negra según declaran sus organizadores "Humildad, Compartir y Aprender".

Trasladarse de Barcelona a Albacete, desde un punto de vista logístico, no es tarea fácil (motivo por el cual no asistí al evento del año pasado), así que para este año me propuse realizar el trayecto en coche. Nunca podré agradecer lo suficiente al que tuvo la feliz idea de incluir en la web del congreso el enlace "comparte coche", gracias al cual encontré a otros 3 compañeros de viaje que también iban al Navaja Negra. La buena experiencia del congreso, para mí, empezó ya a unos 550 kilómetros de Albacete cuando los cuatro nos montamos en el coche dispuestos a aprovechar al máximo estas jornadas.


 A continuación os dejo un breve resumen de las diferentes ponencias (a causa del viaje nos perdimos las sesiones de la mañana del primer día) pero sé que la organización grabó todas las charlas en vídeo y próximamente las publicará, así como las presentaciones que realizaron los ponentes.

========== Día 1 ==========

Las charlas que me perdí fueron las 4 primeras: "Telepathy: Harness the code" (Juan Carlos Montes @jcmontes_tec), "De pacharanes por Racoon City: Cómo sobrevivir al día a día real de un pentester" (J. Daniel Martínez @dan1t0), "Fuzzing browsers by generating malformed HTML/HTML5" (Florencio Cano @florenciocano) y "SDR: Lowcost receiving in radio communications" (Alfonso Moratalla @alfonso_ng & Ricardo Monsalve @cenobita8bits).

"¿Nadie piensa en las DLL?" (Adrián Pulido)

 Adrián Pulido (@winsock) presentó una interesante ponencia sobre los peligros de las librerías (DLL) como puntos de entrada de código malicioso. Con ejemplos, demostró como la capacidad de las DLL para ejecutar código puede ser utilizada para atacar un equipo y como pueden ocultarse para no ser detectadas por los antivirus o no despertar sospechas en los usuarios.

"Automated and unified opensource web application testing" (Daniel García "cr0hn")

Daniel García (@ggdaniel, uno de los organizadores de las jornadas) nos presentó la herramienta "GoLismero" que ha creado junto a otros 2 compañeros. Se trata de una interesante herramienta para auditores de seguridad: un framework que permite unificar herramientas open source de pruebas de seguridad web. Según su autor, "El punto fuerte de esta herramienta es que los resultados son capaces de realimentarse entre todos".

Más información y descarga de GoLismero en: www.golismero-project.com



"1100101001001110" (Jaime Peñalba)

Jaime Peñalba (@nighterman) realizó una exposición detallada sobre lo que se necesita saber para realizar exploiting: entender como funciona un procesador, cuales son los registros principales, como funciona la memoria o como ésta pasa los registros a la pila (stack). Lástima que calculara mal el tiempo de su presentación y no pudiera entrar en profundidad en las técnicas de exploiting y las contramedidas que pueden aplicarse.

Jaime utilizó IDA para la parte práctica (mostrando en directo el comportamiento de la pila y del direccionamiento de memoria), y contó con la colaboración de Sergi Alvarez "Pancake" (@trufae) quien le echó una mano con la herramienta Radare.

"Adivina quien viene a CDNear esta noche" (Alejandro Nolla)

Alejandro Nolla (@z0mbiehunt3r) y Felipe Martín (@fmartingr) nos hablaron de las redes CDN (Content Delivery Network), cuyo uso es cada vez más habitual. En estas redes, todo el contenido se replica en varios puntos de presencia y el cliente recibe la copia más cercana a su ubicación. En la charla se puso de relieve la sensación de falsa seguridad que presentan estas redes, ya que - aparentemente - el servidor de origen no está accesible y no puede recibir, por ejemplo, ataques DDoS. Sin embargo demostraron como conectándose a los routers puede obtenerse mucha información de la red (con un traceroute, por ejemplo) a partir de la cual y mediante procesos de "trilateración " pueden llegar a descubrirse los servidores de origen. Alejandro está desarrollando una herramienta que automatiza estas tareas (Felipe es quien se encarga de interfaz gráfico).

========== Día 2 ==========

"Where is my money? The evolution of Internet fraud" (Marc Rivero)

Marc Rivero (@seifreed) presentó una ponencia sobre "e-Crime", sobre el alcance de mismo y como prevenirse. Empezó hablando de métodos de autenticación, de troyanos bancarios (sinowal, carberp, ...), de Ransomware (el llamado "virus de la policía"), de los troyanos "Man-in-the-browser" y de los denominados "Kits de Phising". Como contramedida a estos últimos citó la herramienta "Social Engineering Toolkit" (herramienta de test de penetración usando ingeniería social) o el proyecto www.social-engineer.com.

Se refirió a determinados proyectos de SandBox, aunque también advirtió que los "malos" también tienen los suyos para verificar que un virus no será detectado por los antivirus.

"ZeuS'R'Us" (Santiago Vicente)

Santiago Vicente (@smvicente) presentó su estudio sobre el troyano "ZeuS". Este troyano, que fue descubierto en octubre de 2006, ha ido evolucionando y ha visto incrementadas sus funcionalidades. Poco después de la aparición de SpyEye, se publicó el código fuente de ZeuS (2011) y aunque algunos expertos auguraban el abandono de ZeuS, lo cierto es que ha continuado evolucionando y sigue muy activo, propiciando también la aparación de nuevas variantes (como Licat).

Parte de lo expuesto por Santiago, puede encontrarse en el último artículo de su blog http://invisson.blogspot.com.es/

"Cool Boot: It's cool" (Pedro Candel)

La persistencia de la memoria RAM oscila entre 25 segundos y 2 minutos en condiciones normales. Pedro Candel "Saur0n" (@nn2ed_s4ur0n, otro de los organizadores del evento) partiendo de un paper de la Universidad de Princeton (https://citp.princeton.edu/research/memory) ha investigado este tema, corroborando que, mediante la aplicación de sprays enfriadores para circuitos electricos, la memoria RAM puede congelarse hasta alcanzar unos -50ºC. En este estado, el contenido de la memoria se mantiene hasta unos 30 minutos después de desconectar el equipo. Nos presentó una herramienta propia que consiste en un USB de arranque con un "RAM Dumper" que permite acceder al contenido de la memoria RAM congelada. La demostración en vivo y en directo fue todo un éxito.

"Cryptography: The mathematics of secret code is a game" (Daniel Kachakil)

Daniel Kachakil (@kachakil) nos ofreció una amena charla sobre retos criptográficos en los CTF (Capture the Flag). A partir de ejemplos prácticos mostró los diferentes tipos de cifrado, centrándose en los monoalfabéticos (cifrado César, cifrado por sustitución genérica) y citando algunos polialfabéticos como Vigènere.

Desde su experiencia como participante en diferentes retos CTF internacionales desveló las técnicas más usuales de descifrado con herramientas de software libre como Cryptool v1 o Cryptool v2 (http://www.cryptool.org): fuerza bruta, análisis de frecuencias, reconocimeinto de patrones, etc. Todo ello ilustrado con interesantes anécdotas que ha vivido en primera persona en estos retos.

"Offensive MitM" (José Selvi)

José Selvi (@JoseSelvi) ofreció una charla sobre una de las técnicas que se pueden usar en un pentesting: "Man-in-the-Middle". Mediante procedimientos de ARP spoofing, DHCP spoofing o ICMP redirect (entre otros) se consigue desviar el flujo natural de tráfico de datos para conseguir que pase por el equipo que controlamos. A partir de ahí, con diferentes herramientas puede analizarse el tráfico o su contenido. Estas herramientas van desde un Wireshark (más genérico) a Xplico o NetworkMiner, o a otras de propósito más concreto como Cain o Ettercap.

 
[>>>>>>>>>> Segunda parte en: "Navaja Negra Conference (2 de 2)" <<<<<<<<<<]

 

viernes, 21 de junio de 2013

La AEPD abre un procedimiento sancionador a Google por su política de privacidad

En octubre de 2012, la Agencia Española de Protección de Datos (AEPD) publicó, en nota de prensa, el documento "Política de Privacidad de Google.  Principales conclusiones y recomendaciones" que recogía las recomendaciones que el Grupo de Trabajo del Artículo 29 (GT29) transmitía a Google tras analizar la modificación de las políticas de privacidad de todos sus servicios en marzo de 2012.

Ante la nula respuesta de Google a estas recomendaciones (le otorgaron un plazo de 4 meses), las Autoridades Europeas de Protección de Datos, con el CNIL francés a la cabeza y el apoyo de Alemania, Italia, Holanda, Reino Unido y España han decidido actuar haciendo uso de sus competencias sancionadoras en sus respectivos países.

En España, la AEPD ayer (20/06/203) publicó una nota de prensa en la que informaba de la apertura de un expediente sancionador a Google por la presunta comisión de 5 infracciones graves y una leve, sancionables con multas de 40.001 a 300.000 euros cada una de las graves y de 900 a 40.001 la leve (sin duda "calderilla" para Google).

Las posibles infracciones serían por no informar claramente sobre el uso de los datos que recoge, por tratamiento de datos más allá de la finalidad para la que se recogieron, tratamiento desproporcionado o conservación de los mismos durante un periodo de tiempo indeterminado o injustificado.

A continuación transcribo el contenido de la nota de prensa de la AEPD. 


Nota informativa de 20 de junio de 2013

La AEPD abre un procedimiento sancionador a Google por su política de privacidad
  • El inicio de este procedimiento se produce tras finalizar las investigaciones previas realizadas por la AEPD, que han permitido constatar la existencia de varios indicios de infracción
  • La falta de información clara, la ausencia de finalidades específicas para varios servicios, el tratamiento desproporcionado de los datos de los usuarios o la conservación de datos por tiempo indeterminado o injustificado son algunos de ellos
  • Esta acción tiene lugar en el marco de una actuación coordinada con las Autoridades de Protección de Datos de Alemania, Francia, Holanda, Italia y Reino Unido

viernes, 3 de mayo de 2013

InfoSecurity Europe 2013

La semana pasada tuvo lugar el evento InfoSecurity Europe 2013, al cual, este año tuve ocasión de asistir. Se celebró del 23 al 25 de abril en el recinto ferial de Earl's Court, en Londres.
 
Según los organizadores, se trata del "mayor evento de seguridad de la información de Europa" contando -en esta edición- con más de 350 expositores y un total de 15.000 visitantes acreditados.
 
La parte más "visible" del evento es la feria comercial que ocupa por completo los casi 25.000 m2 de la planta principal del recinto ferial, pero el otro gran aliciente es lo que llaman el "educational programme", un conjunto de actos en diversos formatos (mesas redonas, presentaciones, workshops, sesiones técnicas, etc.) en las que reconocidos expertos comparten experiencias y conocimientos con los asistentes.
 
Bajo el nombre de "Keynote Theatre" se organizaban las mesas redondas donde los CISO de grandes compañías debatieron sobre temas como estrategias de ciberseguridad, alineación de la seguridad IT con el negocio, Big Data o protección de infraestructuras críticas entre otros. (Todos les detalles de la agenda en http://www.infosec.co.uk/keynote)
 
Muy interesante era el programa del "Technical Theatre", sesiones técnicas de 25 minutos donde conocer las últimas novedades en materia de seguridad. Entre las que me llamaron la atención:
  • Anatomy of the Eurograbber attack against Internet Banking
  • Incident response and forensics best practice using Big Data security analitics
  • Attack path analysis: Find systems exposed to exploitation and their trusted connections
  • SSL and browsers: The Pillars of broken security
  • Hacking the big four databases: Exploiting top vulnerabilities and misconfigurations
(Toda la información en: http://www.infosec.co.uk/technical)
 
Previo registro, los asistentes también podíamos participar en los "Security Workshops", sesiones eminentemente prácticas, en grupo reducido y de 2 horas de duración.
 
La apretada agenda se completaba con los "Technology Showcase" (http://www.infosec.co.uk/techshowcase), "Business Strategy Theatre" dirigido a directivos (http://www.infosec.co.uk/business) y los "Information Security Exchange" donde el cliente final puede tratar directamente con el fabricante o el proveedor (http://www.infosec.co.uk/ise)
 
En fin, unas jornadas muy completas en las que conviene realizar una planificación previa de la visita para no verse abrumado por tantas actividades intesantes. Finalmente, dando una vuelta por los stands de la feria, y a la vista de los productos presentados, pude constatar que la industria de la seguridad TI confirma las tendencias apuntadas por los profesionales del sector:
  • Seguridad y privacidad en entornos cloud
  • MDM y securización de dispositivos móviles (incluyendo BYOD)
  • Governance Risk & Compliance
  • Lucha contra el cibercrimen
  • Gestión de la seguridad en el Big Data
Por el número de expositores y productos, llamaba la atención la gran cantidad de compañías presentando sus dispositivos UTM o IPS y los appliances para la prevención de ataques DDoS.  También destacaba una numerosa presencia de empresas que ofrecían herramientas y servicios de Pentesting.  Por supuesto, entre los 350 expositores, estaban la mayor parte de las 'grandes' compañías del sector: AhnLab, Acuity, AlienVault, BSI, Check Point, Cisco, Comodo, Dell, ESET, Fortinet, Fox-IT, G Data, IBM, Imation, ISC2, Juniper Networks, Kaspersky, Palo Alto, Qualys, SafeNet, Sophos, Spam Titan, Symantec, Trend Micro, WatchGuard, Websense, etc, etc, ...
 
En la web del evento encontrareis amplia información:
 
 

martes, 30 de abril de 2013

Nuevas guías de la Agencia Española de Protección de Datos

El pasado viernes, 26 de abril, se celebró en Madrid la "5ª Sesión Anual Abierta de la AEPD" en cuyo programa ya se anunciaba la presentación de la guía y directrices sobre cloud computing, y la inminente publicación de una nueva guía sobre la regulación de las cookies.

Así fue.  La guía sobre cloud computing se divide en dos documentos, el primero dirigido a los clientes que contraten servicios en la nube ("Guía para clientes que contraten servicios de cloud computing") y el segundo dirigido a los proveedores que prestan dichos servicios ("Orientaciones para prestadores de servicios de cloud computing").


Enlaces a las guías (PDF) desde la web de la AEPD:

Sobre la guía para clientes, en palabras del Director de la Agencia, José Luis Rodríguez Álvarez, "hemos optado por una guía eminentemente práctica que, sin prescindir del rigor técnico, facilite incluso a los no iniciados el conocimiento sobre qué es el cloud computing, cuáles son los elementos de riesgo que se deben tener en cuenta y qué garantías se deben recabar y asegurar en el momento de la contratación".

En el mismo acto se anunció que el lunes 29 de abril se presentaría la "Guía sobre el uso de las cookies" que pretende "ofrecer orientaciones sobre cómo cumplir con las obligaciones previstas en el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), tras su modificación por el Real Decreto-Ley 13/2012, de 30 de marzo".

Enlace a la guía (PDF) desde la web de la AEPD:

En la guía se hace referencia al dictámen 4/2012 del Grupo de Trabajo del Artículo 29, al que -en su momento- dedicamos un post en este blog.


martes, 19 de marzo de 2013

Clonando discos con HDClone

Nota: Este post es de marzo de 2013, aunque la herramienta HDClone sigue siendo útil, en la actualizad prefiero utilizar la herramienta Guymager (que viene, por ejemplo, en la distribución CAINE).  Ver uso de Guymager en este otro post.

Desde hace unas semanas, y casi a diario, uno de mis ordenadores mostraba el mensaje de error "Hard-disk drive failure" cada vez que ponía en marcha el equipo.  Curiosamente, tras un segundo intento el equipo iniciaba con normalidad (solo en alguna ocasión fue necesario un tercer intento).


El mensaje no aparecía siempre, pero sí con bastante frecuencia, así que, antes de que se fastidiara completamente el disco duro, decidí remediarlo. Opté por adquirir un disco duro nuevo y crear un duplicado del contenido del disco defectusoso mediante la herramienta HDClone.
HDClone es un software que permite realizar copias 1:1 (clones) tanto de discos duros completos como de determinadas particiones.  Yo he utilizado la versión freeware (para uso doméstico) pero hay versiones superiores que incluyen más opciones: crear imágenes lógicas, convertir un disco físico en virtual (para VMware), cifrar las imágenes obtenidas, gestionar las particiones, etc.
Tras clonar el disco, basta con reemplazar el disco defectuoso por el nuevo y el ordenador debería arrancar a la perfección.
A continuación detallo los pasos a seguir para clonar un disco con HDClone 4.2:
1) Descargar la versión freeware (uso doméstico) de HDClone

La aplicación está disponible para descarga en la web del fabricante (http://www.miray.de/).  Este es el link directo a la descarga: http://www.miray.de/public/download/hdclone.fe.en.zip
El archivo ZIP contiene: la aplicación HDClone 4.2 ejecutable directamente en Windows; una herramienta para crear un CD o USB de arranque; un completo manual de instrucciones en PDF (en inglés); y una imagen ISO de la herramienta.
En nuestro caso, crearemos un USB de arranque para iniciar el PC desde él y proceder con el duplicado de los discos.  El procedimiento para crear un CD/DVD de arranque es similar.
2) Crear un USB de arranque
En el equipo donde hemos descargado HDClone 4.2 (puede ser el equipo que contiene el disco duro a duplicar u otro equipo, da igual), debemos tener insertado un pendrive USB vacío, que utilizaremos como dispositivo de arranque.
En este equipo ejecutamos el fichero hdclone.exe y elegimos la opción "Create bootable medium".  Aparecerá la ventana "HDClone Boot - Setup" en la que seleccionaremos la unidad de USB que vamos a utilizar y pulsaremos el botón "Make bootable".
3) Conectar los dos discos duros en el mismo equipo
En mi caso he utilizado discos SATA, el original de 180 GB y el nuevo de 500 GB (el disco de destino debe de ser de igual o mayor tamaño que el de origen).  Antes de nada hay que tener presente disponer de los cables adecuados para conectar ambos discos (conector SATA y de alimentación).  Si trabajais con disco IDE/ATA tendreis que revisar la configuración Master/Slave de los discos, extremo que nos ahorramos al trabajar con discos SATA.

Nota: Las versiones superiores (de pago) permiten operar también con tecnología USB 3.0, SCSI o Firewire.

Cables SATA y sus conectores a la placa base
4) Iniciar el PC desde el USB de arranque con HDClone 4.2
Previamente hay que asegurarse que el equipo puede iniciar desde un dispositivo USB conectado a  él.  Normalmente habrá que acceder a la BIOS (en la mayoría de los casos pulsar [Del] o [F2] en el arranque) y configurarlo en el apartado "Boot selector" o equivalente.  Muchos equipos también permiten realizar la selección pulsando [F8] o [F9] en el momento del arranque.
Al iniciar desde el dispositivo USB, se accede directamente a la aplicación HDClone 4.2
5) Realizar el clonado del disco
El proceso es sencillo e intuitivo.  Basta con seguir los pasos indicados por el programa:
Copy mode  >  Source  > T arget  >  Options
La pantalla de inicio muestra los iconos de las categorías "Backup", "Restore" y "Cloning" aunque no todos están habilitados en la versión Free.
En nuestro caso, seguiremos estos pasos:
  1. Pulsar sobre "Copy Disk" y, luego,  "Next"
  2. Aparacerá una lista con los discos detectados, seleccionar el disco de origen (el que contiene los datos que queremos copiar).  Pulsar "Next"
  3. Ahora aparecerá de nuevo la lista de discos, seleccionar el de destino (normalmente un disco en blanco).  Pulsar "Next"
  4. Se mostrará la ventana de Opciones, que en el caso de la versión "Free" son escasas y no conviene modificar.  Pulsar "Next"
  5. Finalmente, pulsar "Start" para iniciar la copia.
Una barra de progreso nos va informando del avance de la tarea.  El tiempo depende de varios factores como la velocidad del equipo o el tamaño de los discos, entre otros.  En mi caso, tratándose de un equipo antiguo, tardó algo más de dos horas y media (2:40) para realizar el clonado de un disco de 180GB.  (Las especificaciones del fabricante indican una tasa de transferencia máxima de 1,8 GB/min para la versión Free).
Importante: puesto que desde HDClone no podemos visualizar el contenido de los discos, hay que tener bien clara la identificación de cada disco para no confundirse y realizar el clonado sobre un disco equivocado, ya que se perdería toda la información que contiene.  Resulta fácil identificarlos si se trabajamos con discos de distinto tamaño o fabricante, pero no lo es tanto cuando se trata de discos iguales.
No confundirse de discos o podríais borrar todos los datos del disco equivocado

6) Sustituir el disco defectuoso por el disco clonado
Una vez finalizada la copia, apagar el equipo y retirar el dispositivo USB de arranque.
Solo nos queda desconectar y retirar el disco defectuoso (origen) y conectar, en su lugar, el disco nuevo, duplicado.  Al poner en marcha el PC, arrancará con total normalidad sin necesidad de configurar nada más.  (Como mucho, según el tipo de BIOS, podría aparecer un aviso de que ha detectado un cambio de disco duro, basta con "Aceptar" y listos).


En este caso, yo he utilizado HDClone para duplicar un disco que podría estar defectuoso, pero son diversas las situaciones en las que podríamos necesitar un programa de este tipo: realizar una copia de seguridad completa del disco, sustituir un disco que se ha quedado sin espacio por uno de mayor capacidad, copiar la instalación de una máquina en otro equipo, disponer de una copia para análisis forense, etc.
Espero que os sea de utilidad y no dudeis en plantear cualquier duda que os pueda surgir con esta herramienta.

viernes, 15 de marzo de 2013

Estrategia Europea de Ciberseguridad

Un mes después de la puesta en marcha del Centro Europeo de Ciberdelincuencia (EC3), la Comisión Europea ha publicado (febrero 2013) el Plan de Ciberseguridad de la UE para "proteger una red abierta plena de libertad y de oportunidades en línea".

Según el comunicado de prensa de la Comisión:



«La estrategia de ciberseguridad, "Un ciberespacio abierto, protegido y seguro", representa la visión de conjunto de la UE sobre cómo prevenir y resolver mejor las perturbaciones de la red y los ciberataques. El objetivo consiste en impulsar los valores europeos de libertad y democracia y velar por un crecimiento seguro de la economía digital. Se prevén una serie de medidas específicas para reforzar la ciberresiliencia de los sistemas informáticos, reduciendo la delincuencia en la red y fortaleciendo la política de ciberseguridad y ciberdefensa internacional de la UE».


El documento destaca el enorme impacto de Internet (y el ciberespacio en general) en la sociedad actual, tanto para ciudadanos, empresas y organismos públicos.  Los avances a nivel social y económico dependen de un buen funcionamiento conjunto de las tecnologías de la información y de la comunicación.  En este contexto la estrategia propone un marco común en los Estados miembros para garantizar un entorno digital seguro y confiable, incluyendo, para ello, la propuesta de Directiva de la Comisión sobre la seguridad de las redes de la información (NIS, en sus siglas en inglés).

Al mismo tiempo, mientras el mundo digital aporta grandes beneficios, se muestra claramente vulnerable a las ciberamenzas.  Los incidentes de ciberseguridad van en aumento, ya sean intencionados (con fines criminales, terroristas, políticos, ...) o accidentales; las instituciones y compañías de los países de la UE están siendo víctimas de ataques cibercriminales: intrusión, robo de datos, ataques a sistemas, ciberespionaje, cibersabotaje, intentos de control de infraestructuras críticas, etc.  En este sentido, el Foro Económico Mundial (WEF) afirmó que en los siguientes 10 años existe una probabilidad del 10% de que haya una gran crisis de Infraestructuras de la Información Críticas con unos posibles daños económicos de más de 250 billones de dólares.

Por todo ello, la estrategia se articula en torno a cinco prioridades:
  • la ciberresiliencia;
  • la reducción drástica de la delincuencia en la red;
  • el desarrollo de una política de ciberdefensa y de las capacidades correspondientes en el ámbito de la Política Común de Seguridad y Defensa (PCSD);
  • el desarrollo de los recursos industriales y tecnológicos necesarios en materia de ciberseguridad;
  • el establecimiento de una política internacional coherente del ciberespacio en la Unión Europea y la promoción de los valores europeos esenciales.

La Directiva propuesta permitirá desarrollar estos aspectos en todos los Estados miembros.  Entre las medidas de la propuesta cabe destacar:
  • Los Estados deberán adoptar una estrategia de ciberseguridad y designar a una autoridad competente para la prevención, la gestión y la resolución de riesgos e incidentes.
  • Creación de un mecanismo de cooperación entre los Estados miembros y la Comisión que permitirá difundir alertas tempranas sobre riesgos e incidentes.
  • Los operadores de infraestructuras críticas, los proveedores de servicios de la sociedad de la información y las administraciones públicas deben adoptar prácticas de gestión de riesgos y comunicar los incidentes significativos de seguridad.

Documentos para descargar (PDF, en inglés):

  1. Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace - JOIN(2013) 1 final - 7/2/2013
  2. Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union - COM(2013) 48 final - 7/2/2013





lunes, 28 de enero de 2013

Día Europeo de la Protección de Datos

Hoy, 28 de enero, se celebra el Día Europeo de la Protección de Datos.  47 países, así como diversas instituciones y organismos celebran este día organizando diversos actos para promover y concienciar sobre el derecho a la protección de datos.  La fecha conmemora la aprobación del Convenio (108) del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981.

La Agencia Española de Protección de Datos (AEPD) ha organizado para hoy una jornada conmemorativa de los "20 Años de Protección de Datos en España", en la que participan diversas personalidades y expertos que representan a todos los agentes que han participado activamente en el desarrollo de este derecho fundamental en nuestra sociedad (ver programa).

APEP, la Asociación Profesional Española de Privacidad, que participa en la jornada de la AEPD, ha publicado en su web una serie de interesantes artículos sobre los retos y oportunidades de la protección de datos personales.  Los artículos, firmados por los miembros de su Junta Directiva, pueden consultarse aquí:


Listado de artículos:

  • Día de la Protección de Datos en Europa: retos para los profesionales de la privacidad (Ricard Martínez, Presidente APEP).
  • Tratamientos de datos de menores.  Un reto presente y futuro para los profesionales de la privacidad (Miguel Geijo, Junta Directiva).
  • La reciente jurisprudencia del tribunal constitucional sobre el derecho fundamental a la protección de datos (Cecilia Álvarez, Vicepresidenta APEP).
  • La protección de datos personales en las administraciones públicas: retos (Carmen Sánchez, Tesorera Junta Directiva).
  • Un año conociendo al Delegado de Protección de Datos (Marcos Mª Judel, Junta Directiva).
  • Profesionales del Derecho de la Privacidad: futuro, retos y oportunidades (Jordi Saldaña, Junta Directiva).
  • Las certificaciones en privacidad (Eduard Chaveli, Vicepresidente y Carmen Sánchez, Tesorera).
  • …veinte años no es nada. Tango, arrebato y malevaje (Javier Peris, Consejero Delegado APEP).
  • La protección de datos personales: un reto y una oportunidad (Cristina Atienza, Junta Directiva).
  • Cookies y su nueva regulación (Santiago Bermell, Secretario APEP)

Consulta los artículos en la web de APEP: