martes, 12 de junio de 2018

Kevin Mitnick y los hackers del “El arte de la Intrusión”

El Arte de la Intrusión, Kevin Mitnick y William L. Simon

Estoy leyendo el libro de Kevin Mitnick y William Simon “El Arte de la Intrusión”. Llego a él con retraso. La edición tiene unos años; pero se sigue vendiendo. Lo he podido comprobar la semana pasada en la Feria del Libro de Madrid.
Los libros de ciencia y tecnología, sobre todo estos últimos, rápidamente se quedan anticuados. Por lo tanto debemos afrontar su lectura como la historia reciente del “hackerismo”, amena y didáctica.

Como indica el propio autor, recopilar hechos reales de la actividad hacker es difícil. Las empresas ocultan los incidentes. Las técnicas utilizadas no se divulgan. Mencionar los nombres verdaderos de las personas, cuando son conocidos, no es posible porque han participado en hechos ilegales. Los sucesos, únicamente narrados por boca de los propios hackers, pueden ser exagerados, desfigurados y por qué no, inventados. No obstante, Mitnick nos ofrece su compañía como asesor crítico velando por la verosimilitud de las hazañas recopiladas en el libro.

Las historias son muy variadas. Ofrecen una amplia muestra de casos: recopilan diferentes técnicas, indagan en la mentalidad de los hackers, sus artimañas, motivaciones y objetivos.

Leer más »
Publicado por en No hay comentarios:
Etiquetas: , ,

sábado, 14 de abril de 2018

El ciclo de vida de las vulnerabilidades frente al riesgo

Aparentemente, la presencia de un parche que está disponible sugiere a que una vulnerabilidad ha sido resuelta. Induce a creer que el "terreno" es seguro. Pero esto no es cierto.

El estudio de las vulnerabilidades en el tiempo es esencial, éstas cambian y diversifican. Inicialmente, el fabricante o proveedor lanza un parche sin que se hayan conocido ataques o exploits. Posteriormente aparecen informes y noticias de un exploit que aprovecha la vulnerabilidad que motivó el parche. Es la primera referencia sobre ésta. Suelen ser publicados por los investigadores que la descubrieron. En pocas semanas los hacker tratan de explotar la vulnerabilidad antes que los parches comiencen a instalarse globalmente. A la vez, se crean herramientas para probar la eficacia del parche.
Esta cadena de acontecimientos aumenta el riesgo en general de nuestros sistemas y organización.

Estos son algunos de los factores de riesgo de la vulnerabilidad en los que se debe profundizar. Están relacionados con el conocimiento del ciclo de vida:
¿Cómo se identifica y describe la vulnerabilidad?
  • ¿Dónde y quién la ha publicado?
  • ¿Cuándo se descubrió?
  • ¿Cuándo se ha explotado?
  • ¿Cuándo se publicó el parche?
  • ¿Cuándo se aprovechó por primera vez la vulnerabilidad en los ataques?
  • ¿Es difícil de explotar?, ¿Qué elementos adicionales se necesitan?
  • ¿Está disponible el código para realizar pruebas?
  • ¿Existe un software comercial que solucione la vulnerabilidad? O por el contrario ¿hay que desarrollar uno específico?
  • ¿Cuáles son los requisitos previos para explotar la vulnerabilidad?
  • ¿La vulnerabilidad está siendo utilizada actualmente en ataques?
  • ¿Los ataques son dirigidos o generalizados?, si son dirigidos ¿persiguen algún objetivo concreto?

Conocer las vulnerabilidades no es suficiente,  hay que revisar los activos que pueden ser afectado.

  • ¿Cuán crítico es el activo para el servicio?, ¿y para el negocio en su conjunto?
  • ¿Qué tipo de información guarda?
  • ¿Está en la infraestructura crítica?
  • ¿Forma parte de algún proceso crítico del negocio?

Cuando se han identificado las vulnerabilidades, ¿cómo se pueden relacionar con la configuración de nuestros activos?, ¿éstos cumplen las condiciones descritas en las vulnerabilidades?

Ahora podemos reflexionar ¿Cómo estamos de expuestos al riesgo con estas informaciones?
Tenemos las siguientes tareas pendientes:
  • Corregir nuestra exposición al riesgo hacia un conocimiento más preciso.
  • Redactar informes más detallados a la administración de la exposición al riesgo en el momento actual. Estos informes deben ir acompañados de la valoración de las medidas de reducción del riesgo.

Podemos concluir que siempre hay que estar pendiente de las vulnerabilidades y los parches, aunque haya pasado tiempo desde su descubrimiento y resolución. Nuestra exposición al riesgo cambia y evoluciona conforme lo hacen aquellas amenazas que puedan beneficiarse de las vulnerabilidades . Las amenazas es esconden agazapadas en los rincones de los sistemas esperando su momento.

L.F.Real


Publicado por en No hay comentarios:
Etiquetas: , ,

martes, 10 de abril de 2018

Monográfico Temas Investigación y Ciencia: "La sociedad hiperconectada"


Cada trimestre la revista "Investigación y Ciencia" edita un número monográfico con la recopilación de artículos publicados.

En número del primer trimestre de 2018 está dedicado a las tecnologías de la información con el título "La sociedad hiperconectada". Los artículos se seleccionan por temática destacando: internet, ciberseguridad, computación, tecnología, sociología, economía, ... De este modo, ofrece un panorama bastante amplio, tratado desde diversos puntos de vista y cubriendo  novedosas áreas de investigación.


Voy a dedicar unas notas a algunos artículos con la intención de motivar el interés, para que el lector averigüe más por su cuenta.


Leer más »
Publicado por en No hay comentarios:
Etiquetas: , ,

viernes, 2 de marzo de 2018

¿Qué novedades trae el Proyecto de Ley de la LOPD?


El Proyecto de Ley Orgánica de Protección de Datos se presentó en la Mesa del Congreso y su publicación en el Boletín Oficial de las Cortes Generales, BOCG, durante el mes de noviembre de 2017. Deberá ser aprobado antes de mayo de 2018, cuando entre en vigor el Reglamento (UE) 2016/679. Hasta esa fecha, el Proyecto de Ley podrá sufrir modificaciones a través de las enmiendas parciales o a la totalidad que puedan presentarse. Por lo tanto, los comentarios al Proyecto de Ley de los siguientes párrafos deberán ser corregidos o matizados en el futuro.

El Proyecto de Ley se ha debatido durante el mes de febrero de 2018 en el Congreso de Diputados estando en fase de enmiendas.

El objeto del Proyecto de Ley es trasladar el Reglamento (UE) 2016/679 (de aquí en adelante nos referimos como Reglamento) al derecho español. Los cambios que impone el Reglamento son tan amplios y profundos que exigen la elaboración de un nuevo marco legislativo sobre la protección de datos. La “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” y el “Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999” serán derogados y sustituidos por otras leyes y reglamentos similares.

Sesión solemne del Congreso de los Diputados (origen de la imagen es.wikipedia)

Como es de suponer, el Proyecto de Ley reconoce a la Agencia Española de Protección de Datos, AEPD como la autoridad de control principal y a las Agencias de las Comunidades Autónomas como otras autoridades de control. El Título VII “Autoridades de protección de datos” regula las Agencias y sus relaciones tal como establece el Reglamento. En un futuro habrá que aprobar el Estatuto de la AEPD mediante Real Decreto.
Situados en el papel que juega la AEPD, procedemos a destacar algunos puntos interesantes del Proyecto de Ley.

Leer más »
Publicado por en No hay comentarios:
Etiquetas: ,

jueves, 15 de febrero de 2018

3 Notas sobre servicios SOC: qué son, su evolución y la relación con NOC



La entrada de enero donde reflejamos el anuncio de la implantación de un Security Operations Center, SOC, para la Administración General del Estado, nos motiva para añadir unas notas sobre estos servicios ( "Implantación de un SOC para la Administración General del Estado" ).
En los siguientes párrafos explicamos brevemente su relación con los servicios Network Operations Center, NOC, y dejaremos unas líneas sobre la evolución de los servicios SOC.

Leer más »
Publicado por en No hay comentarios:
Etiquetas: , , , ,

miércoles, 24 de enero de 2018

Proyecto de Ley Orgánica de Protección de Datos

Hace unos meses recopilé en una entrada las grabaciones en vídeo de conferencias que explicaban las novedades del Reglamento Europeo de Protección de Datos.
La entrada en 3temastic: "Reglamento Europeo de Protección de Datos a la espera"

En la conferencia que ofreció Ana Mazo Portera en octubre de 2016 anunciaba que serían necesarios cambios en la legislación española para trasponer el reglamento europeo. Pues bien, en noviembre de 2017 la Mesa de la Cámara del Congreso admitió el Proyecto de Ley Orgánica de Protección de Datos.

El proyecto de ley se puede consulta en:
Proyecto de Ley Orgánica de Protección de Datos. BOCG-12-A-13-1.PDF

En cuanto a las fases de elaboración del Proyecto de Ley, así como temas pendientes podemos consultar en el Portal de Transparencia:
Anteproyecto de Ley Orgánica de Protección de Datos

Habrá que estar atentos a la evolución de dicha normativa.
Publicado por en No hay comentarios:
Etiquetas: ,

miércoles, 17 de enero de 2018

Implantación de un SOC para la Administración General del Estado



Durante los días 13 y 14 de diciembre se celebraron las XI Jornadas CCN-CERT.
Como cada año, en estas jornadas los expertos revisan la situación entorno a la Ciberseguridad, tanto en el sector público como en el privado.
Las conclusiones que se presentan son las que se extraen después del análisis y evaluación de los incidentes que han ocurrido en el año que finaliza, las deficiencias y dificultades que se han encontrado en la gestión de amenazas y percances, las soluciones implementadas y los retos futuros.

Hay que prestar especialmente atención a los temas de cumplimiento, al desarrollo normativo y legislativo. En estas conferencias se presentan las propuestas del gobierno.
Leer más »
Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)