El bloc de d'Artagnan

After Checking Your Bank Account, Remember To Log Out, Close The Web Browser, And Throw Your Computer Into The Ocean

Posted in Seguretat, Uncategorized by dartagnan on 5 Mai 2013

Tot llegint el diari satíric The Onion (portal a l’estil de El Mundo Tirat), he trobat aquests consells sobre l’ús de la banca online.

At Chase Bank, we recognize the value of online banking—it’s quick, convenient, and available any time you need it. Unfortunately, though, the threats posed by malware and identity theft are very real and all too common nowadays. That’s why, when you’re finished with your online banking session, we recommend three simple steps to protect your personal information: log out of your account, close your web browser, and then charter a seafaring vessel to take you 30 miles out into the open ocean and throw your computer overboard.

També inclou consells sobre l’ús de mòbils, xarxes WiFi públiques o ordinadors públics.

Enllaç:  The Onion

Anuncis

¿Están preparadas las empresas españolas ante posibles ciberataques?

Posted in Seguretat by dartagnan on 15 febrer 2013

Article publicat al suplement Economía y Negocios del Diari de Tarragona.

¿Están preparadas las empresas españolas ante posibles ciberataques?

Para conocer la percepción que las empresas españolas tienen de la ciberseguridad y las medidas que están tomando para protegerse, Deloitte ha realizado una encuesta a 273 empresas españolas, cuyas conclusiones se recogen en el último Barómetro de Empresas correspondiente al segundo semestre de 2012.
De los resultados se desprende que las empresas españolas tienen una preocupación real por la ciberseguridad (…)

Enllaç a l’Article DiariTarragona 10feb.

Enllaç al suplement sencer.

Diari d’Andorra – Ens pot passar a nosaltres?

Posted in Seguretat by dartagnan on 26 Mai 2012

Article publicat al Diari d’Andorra: Ens pot passar a nosaltres?

El fet de recolzar més i més serveis sobre la xarxa i la tecnologia fa que l’impacte d’una fallada, fortuïta o intencionada, cobri major rellevància. Al mateix temps, el benefici que es pot treure o el dany que es pot causar mitjançant ciberatacs és major (…)

Enllaç: Article al Diari d’Andorra

Tagged with:

Ciberatacs en les prediccions tecnològiques del 2012

Posted in Seguretat by dartagnan on 23 febrer 2012

En les prediccions pel 2012 de la revista CIO, hi trobem l’augment de la importància dels ciberatacs i les seves conseqüències.

Cyberattacks get scarier

2012 will be the year that a cyberattack really does hit a U.S. public utility hard, taking down an electric grid. Along those same lines, industrial control systems in Iran will be rocked with a sustained cyberattack that will make Stuxnet look like child’s play in a year that increasingly will find that cyber-sabotage and cyberwar are realities that must be reckoned with.

Enllaç: http://www.cio.com/article/697093/Ten_IT_News_Stories_We_ll_Read_in_2012?page=1&taxonomyId=3191

Ciberatac al banc més gran d’Israel

Posted in Política, Seguretat by dartagnan on 19 febrer 2012

Això dels ciberatacs va en augment. I el seu ús en conflictes armats, també.

According to Israeli tech blog, NewsGeek, Bank Hapoalim is one of the latest Israeli institutions to come under cyberattack [Hebrew]. With attacks continuing to take place by both Israeli and Saudi hackers, Iranian hackers are now believed to have been involved in the latest attack.

I el que és més curiós, la tecnologia utilitzada és bastant senzilla: un codi maliciós en un fitxer Powerpoint…

NewsGeek reveals that the attack began with a spear fishing email sent to the bank’s employees, containing a PowerPoint file. Opening the file infected the users’ computers with a worm, which began spreading inside the bank’s network. According to Feldman’s explanation, the way in which the worm works traces the infection back to Iranian hackers: (…)

La protecció no és gaire complicada, però tampoc és gaire estesa. Les últimes versions de Powerpoint porten desactivada de fàbrica l’execució de codi dins d’un fitxer quan l’obrim. Però no les versions anteriors.

Enllaç: Israel’s Largest Bank Comes Under Cyberattack.

Tecnologies de seguretat que estan de moda

Posted in Seguretat by dartagnan on 17 febrer 2012

Tot llegint el Hype Cycle for Infrastructure Protection, 2011, he trobat una sèrie de tecnologies de seguretat que m’han cridat l’atenció especialment. Comencem per veure què és el Hype Cycle segons Gartner:

Gartner’s 2011 Hype Cycle Special Report provides strategists and planners with an assessment of the maturity, business benefit and future direction of over 1,900 technologies, grouped into 89 distinct Hype Cycles. The Hype Cycle graphic has been used by Gartner since 1995 to highlight the common pattern of overenthusiasm, disillusionment and eventual realism that accompanies each new technology and innovation. The Hype Cycle Special Report is updated annually to track technologies along this cycle and provide guidance on when and where organizations should adopt them for maximum impact and value. Each Hype Cycle document also contains a second graphic, the Priority Matrix, that compares the relative benefit and maturity of technology candidates.

mitjançant Gartner’s Hype Cycle Special Report for 2011 | 1758314.

A continuació, una breu menció a les tecnologies que considero especialment interessants, separades segons el seu estat de maduresa / expectació generada:

Peak of inflated expectations

  • Introspection: tecnologia utilitzada per monitoritzar les màquines virtuals sense instal·lar-hi cap programet, des del propi software de virtualització. Els punts que es poden monitoritzar són l’ús de recursos (de memòria, de disc, de processador) o les comunicacions. En algun cas, fins i tot es pot fer un escanneig anti-virus.
  • Security in the switch: que consisteix en introduir tecnologies habituals de seguretat en xarxa com firewalls, routers o sistemes de detecció d’intrusions (IDS) als elements centrals de la xarxa (core switches). Aquesta bona pràctica, que té anys d’història, ara és més aplicable perquè els equips de xarxa tenen major capacitat de processament, i més necessària perquè la virtualització de servidors fa esvair les fronteres.

Trough of Disillusionment

  • Database Activity Monitoring: que no sé si classificar com a eina de seguretat o bé d’auditoria i control. Aquest tipus d’eines analitzen i identifiquen comportaments estranys en l’accés a una base de dades, potencialment il·legals, fraudulents o no desitjables. Com que actuen directament sobre la base de dates, es poden desplegar sense modificar les aplicacions afectades.

Slope of Enlightment

  • XML Firewalls o Web Services Firewalls: apliquen controls de seguretat sobre els web services, aspecte que permet separar la programació de funcionalitats (el servei web), del seu control d’accés (els firewalls inclouen funcionalitats de gestió d’identitats, autenticació amb certificats digitals, etc.) i la seva protecció (els firewalls incorporen IPS, xifrat i desxifrat, validació de formats, protecció contra atacs de buffer overflow, etc.).

No poso algunes coses de la llista a la meva selecció pels següents motius:

  • Mobile Data Protection perquè Gartner només parla de xifrat en aquest sentit, i no de molts altres controls tant o més necessaris (p.ex.: bloqueig del terminal perquè un terminal desbloquejat ens permet accedir a la informació encara que estigui xifrada!).
  • DDoS Defense perquè Gartner no aprofundeix en el servei, i per tant no ho veig com una tecnologia. Sí que hi ha tècniques DDoS molt interessants, però Gartner es limita a recollir el servei de forma general.

Reconeixement facial en Android 4.0?

Posted in Android, Seguretat by dartagnan on 25 Octubre 2011

Un altre pas en la bona direcció, si s’acompanya d’una bona configuració (cal reconeixement facial per desbloquejar en tot moment? o només cada cert número d’hores? o només quan no recordes el PIN?)

Google hasn’t really released too many details on the new “Face Unlock” feature in Android Ice Cream Sandwich, which lets users unlock their handhelds by simply staring into their devices’ digital camera lenses. So it’s unclear whether or not Face Unlock will meet organizations’ security requirements and serve as a suitable number- or alphanumeric-password replacement. But if so, the feature could make it easier for users to unlock devices while still maintaining data security.

mitjançantAndroid 4.0 Ice Cream Sandwich: Best New Features for Business CIO.com.

Xifrat en Android 4.0

Posted in Android, Seguretat by dartagnan on 22 Octubre 2011

Un pas en la bona direcció:

The latest version of Android, 4.0, supports full on-device data encryption, according to Dan Morrill, a Google engineer who works on the Android OS. Past versions of the Android handheld OS could connect to Microsoft Exchange Servers for access to corporate e-mail, calendars, contacts and more, but only if those Exchange Servers did not have a device-encryption IT policy enabled.

mitjançantAndroid 4.0 Ice Cream Sandwich: Best New Features for Business CIO.com.

40 hard-won business continuity lessons from the NZ and Japan quakes

Posted in Seguretat by dartagnan on 1 Octubre 2011

Un article molt interessant sobre les lliçons apreses en els desastres de Nova Zelanda i Japó.

Rob Slade and I wrote an article capturing forty business continuity lessons arising from the massive earthquakes in New Zealand and Japan. It has just been published in EDPACS and, thanks to the generosity of the publishers Taylor and Francis, it is available as a free PDF download.Aside from the specific lessons concerning resilience, crisis management, disaster recovery, and contingency management, our article illustrates a broader point, namely that it is not necessary to experience disasters first-hand in order to learn from them. If you are fortunate enough not to live and work in an earthquake-prone area, there are still valid lessons here to help you survive other natural and unnatural disasters.Gary Hinson CISSP

Enllaç: ISC2 Blog: 40 hard-won business continuity lessons from the NZ and Japan quakes.

Per la lectura que n’he fet, m’agrada molt l’èmfasi que posa en la planificació o anticipació de la possibilitat de sofrir un desastre i alguns consells d’activitats preventives (per exemple: preveu com comunicar-te sense el correu, la centraleta telefònica o el directori de l’empresa). Però m’ha semblat entre fluix i desencertat la forma de tractar els mitjans de comunicació (intentar evitar-los???) o algunes propostes excessivament paranoiques per incloure-les en un document generalista. Alguns exemples d’aquest últim punt:

  • prepara queviures per sobreviure setmanes??? estem parlant d’empreses!
  • pensa en com fer tornar els empleats a la feina tot i els problemes que puguin tenir a casa i amb la família? en general, la família ha d’anar molt per davant de l’empresa! (és clar que hi ha excepcions en cas d’emergència pública)

ekoparty: atac a SSL/TLS

Posted in Seguretat by dartagnan on 25 Setembre 2011

Divendres de la setmana passada, a la conferència No CON Name, ens van avançar que hi havia un nou atac a SSL/TLS que s’explicaria a la Ekoparty de divendres. A la web de l’ekoparty podem veure-hi la descripció de la xerrada i el resultat presentat:

We present a new fast block-wise chosen-plaintext attack against SSL/TLS. We also describe one application of the attack that allows an adversary to efficiently decrypt and obtain authentication tokens and cookies from HTTPS requests. Our exploit abuses a vulnerability present in the SSL/TLS implementation of major Web browsers at the time of writing.

Es pot trobar l’article en què s’explica l’atac: Here come the + Ninjas[RAR]. A molt alt nivell, l’atac criptogràfic:

  • és de tipus chosen-plaintext attack, és a dir, es basa en fer xifrar al navegador un text en clar conegut.  Es basa en:
    • capacitat d’escoltar la comunicació xifrada (network eavesdropping privilege)
    • capacitat de generar peticions a la web atacada (chosen boundary privilege) i podent controlar part del contingut enviat  (Blockwise Privilege). Per exemple, peticions a web atacada del tipus (en gris, contingut escollit per l’atacant):
      • POST /AAAAA HTTP1.1<CR><LF>
      • <capçalera amb cookie id sessió><CR><LF>
      • BBBBB
  • els punts anteriors s’aconsegueixen si l’usuari es connecta a la web de l’atacant (cosa que es pot aconseguir amb un atac MITM, però també amb enginyeria social, o infectant un lloc web vulnerable), i allà es descarrega codi JavaScript, o un applet de Java, entre altres opcions.
  • l’atac era conegut des de fa anys a nivell teòric, però ara es disposa d’una eina per veure que funciona a nivell pràctic.
  • afecta als principals navegadors actuals, i la seva correcció seria bastant senzilla (evitar certs protocols o mètodes de xifrat simètric), però llavors deixaríem de poder accedir a bastants llocs web que només admeten la forma de comunicar-se vulnerable.

També és interessant llegir la resposta d’un dels programadors de Google Chrome: Chrome and the BEAST, que li treu bastant ferro a l’assumpte, però caldrà comprovar si té raó. Per exemple, menciona que cal accés MITM i això no tinc clar que sigui necessari.

The attack is still a difficult one; the attacker has to have high-bandwidth MITM access to the victim. This is typically achieved by being on the same wireless network as the victim. None the less, it’s a much less serious issue than a problem which can be exploited by having the victim merely visit a webpage. (Incidentally, we pushed out a fix to all Chrome users for such a Flash bug only a few days ago.)

En el que sí que té raó és que, gràcies a la configuració d’actualització automàtica de la majoria de navegadors web actuals, aquest problema es podrà resoldre de forma generalitzada amb poc d’esforç.

Propers passos (si tinc un lloc web)

Segons l’article, la vulnerabilitat està lligada als protocols SSL v3.0 i TLS v1.0. Però el fet de desactivar aquests protocols a nivell de navegador (podria fer-se amb una actualització automàtica del navegador) convertiria molts llocs web amb inaccessibles. Per això, val la pena vetllar per tenir un lloc web compatible amb TLS v1.1 i v1.2.

Per una altra banda, l’atac es basa en generar moltes peticions repetides al lloc web atacat (unes 128 per cada byte a desxifrar), de manera que també es podria estudiar la possibilitat d’afegir regles en IDS per detectar aquest tipus d’atacs.