El viernes ocho de Mayo de 2009, ISSA organiza en colaboración del Consejo Superior de Investigaciones Científicas la primera edición de las Conferencias ISSA de Seguridad. La conferencia se celebrará en el edificio del Instituto de Física Aplicada del CSIC.

Programa:
- 18:00 Apertura a cargo de Gonzalo Álvarez Marañón (CSIC)
- 18:05 “Seguridad en Entornos Web de Código Abierto” - Victor Manuel Fernandez (OpenSolaris)
- 19:10 “Retos para la Seguridad de Cloud Computing” - Oscar Delgado (CSIC)
- 20:00 Descanso
- 20:15 “Metadata Security” - Chema Alonso, (Informática 64)
- 21:00 Despedida

Dado que el aforo está limitado a 80 plazas recomendamos inscribirse suscribiéndose a la lista de Eventos ISSA enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Los inscritos tienen preferencia sobre los no inscritos para acceder a la sala antes de las 17:55

El Instituto de Física Aplicada está en la Calle Serrano, 144.

Para recibir una invitación para los próximos eventos de seguridad organizados por ISSA unos días antes de su anuncio público, lo que da mayores oportunidades de asistir cuando el aforo es limitado, recomendamos suscribirse enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Para apuntarte al Capítulo como socio internacional debes acceder a la página de la Asociación Internacional (www.issa.org) e indicar el Capítulo de España. Existe la posibilidad de disfrutar de tres meses gratuitos de prueba (recibirás la revista y podrás asistir a las reuniones aunque no podrás disfrutas de los descuentos y promociones a los socios oficiales). La cuota anual es de 155 dólares.

Ser socio internacional permite acceder a descuentos en eventos internacionales aplicables a socios de ISSA Internacional, así como recibir la revista ISSA Journal mensualmente. Es necesario ser socio internacional para poder ser elegido como miembro de la Junta Directiva de la asociación.

Junta Directiva Actual

Los miembros actuales de la Junta Directiva son:

• Presidente: Vicente Aceituno
• Vicepresidente: Fernando Bahamonde
• Tesorero: Javier Pages
• Secretario: Rafael Díez
• Comunicación: Rafael Díez

Desde el año 2006 la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, CAPSDESI, viene organizando el Día Internacional de la Seguridad de la Información bajo las siglas DISI. Una iniciativa de la Association for Computing Machinery ACM que en 1988 propone celebrar todos los años, con fecha 30 de noviembre o día laboral más próximo, el Computer Security Day CSD, con el objetivo de concienciar a la sociedad sobre la importancia de la seguridad en el uso de las Nuevas Tecnologías de la Información.

• Elimina spam con MaiWasher o SpamFighter.
• Protege a los tuyos de contenidos inapropiados con NetNanny.
• Detecta que tu disco duro va a fallar antes de que lo haga con tecnología S.M.A.R.T.
• Conecta la computadora y sus periféricos a una o dos bases de enchufe con interruptor. Si en la zona en que vivimos el suministro eléctrico es pobre, las bases de enchufe deberían tener además una protección contra sobretensiones.
• Desconecta de la corriente la computadora y sus periféricos cuando vayamos a estar fuera de casa mucho tiempo, o cuando haya una tormenta eléctrica fuerte. Si hemos instalado bases de enchufes, basta con apagar los interruptores.
• Para evitar el sobrecalentamiento el ordenador, lo que puede conducir a fallos hardware, hay que evitar ponerlo cerca de fuentes de calor como la calefacción, y dejar libre la ventilación.
• No se deben poner líquidos cerca de un portátil.
• Si estas en España y desgraciadamente has sido ya víctima a través de tu ordenador de fraude, espionaje u otros delitos puedes denunciarlo a la Policia:
• Fraude de Telecomunicaciones: delitos.telecomunicaciones@policia.es
• Fraudes en Internet: fraudeinternet@policia.es
• Virus, Crackers: seguridad.logica@policia.es

Tal y como se conduce en España, la probabilidad de que el lector hay recibido una multa por aparcar cinco minutos en prohibido, o por conducir en zona de 40 a 42 son relativamente altas. Seguro que muchas veces hemos escuchado o proferido quejas como “Pero si sólo estuve un minuto de más” o “Es imposible ir a menos de 45 en esa recta”. Pues bien, es aquí donde el dilema del burócrata nos pone, por una vez, en su piel. La arbitrariedad de los límites burocráticos, como a partir de que ingresos se ofrece una subvención, o a partir de que altura se puede ingresar en la policía es en la práctica inevitable. Si, por ejemplo, a una persona que midiera una centímetro menos del mínimo se le admitiera en la Policía Nacional, todas las personas que midiesen igual serían admitidas, dado que la ley debe ser igual para todos. Eso convierte en efecto a ese centímetro menos en la nueva altura mínima. No tardará una persona que mide justo dos centímetros menos que el antiguo mínimo en pedir el ingreso, argumentando que es sólo un centímetro más bajo. El proceso continua hasta que no existe ninguna altura mínima. Luego la postura del burócrata es la de poner un límite, sabiendo que es arbitrario, y atenerse a él por absurdo que sea, dado que la alternativa es que no exista ningún límite. Tomar decisiones basadas en criterios objetivos simples implica con frecuencia imponer criterios inflexibles que pueden, y de hecho dan, lugar a situaciones paradójicas.

En el caso de la seguridad, el dilema del burócrata se ve agravado por el hecho de que la seguridad es un entregable negativo. La ausencia de incidentes por un periodo prolongado nos lleva a pensar que estamos seguros. Si vivimos en una ciudad en la ni nosotros ni nadie que conozcamos hay sido nunca atracados, nos sentiremos seguros, por ejemplo.

Existe una relación indirecta entre la actividad de seguridad y los objetivos de seguridad. Intuitivamente la mayoría creemos que hay una relación directa entre lo que hacemos (nuestros resultados) y lo que queremos conseguir (nuestros objetivos). Esta creencia la alimentan experiencias como hacerse un sándwich. Compramos los ingredientes, vamos a casa, los cortamos y apilamos, quizá incluso lo tostamos y, ¡ya está!: Un sándwich listo.

Por desgracia esta relación no es siempre directa. En el caso de la Investigación no hay una relación directa entre objetivos (descubrimientos) y la actividad (experimentos y publicaciones). Se pueden intentar cientos de experimentos y aún así no encontrar una cura para el cáncer. Lo mismo pasa con la seguridad. Los objetivos (confianza, seguridad), y la actividad (controles, procesos) no están directamente relacionados.

¿Cómo afectan estos dilemas al cumplimiento normativo? Las leyes y reglamentos intentan expresar con precisión a qué esta uno obligado, de modo que la Agencia Española de Protección de Datos pueda determinar cuando se está incumpliendo la ley para imponer la sanción correspondiente. Pero no sólo los requerimientos son arbitrarios (¿Cuánto bits de longitud de clave son insuficientes?), si no que los requerimientos no garantizan el resultado que busca la ley. Una empresa puede cumplir íntegramente con la LOPD, y a pesar de ello sufrir un incidente en el que se divulga información personal especialmente sensible.

La Ley y el Reglamento dicen qué medidas deben tomarse para proteger la información, esto es legislan la actividad, pero no legislan el objetivo. Si se legislara el objetivo, entonces la Ley debería establecer un límite burocrático sobre el número o cantidad de información personal que es tolerable perder al año; pero no lo hace.

La Judicatura no determina la culpabilidad únicamente por la tipicidad, sino que utiliza criterios como la naturaleza de los derechos afectados, la intencionalidad, la reincidencia y los daños y perjuicios ocasionados, entrando en lo podríamos llamar “el espíritu” de la ley.

Esta situación tiene un doble efecto; Por un lado una organización entiende que no necesita ir más allá de la actividad exigida por la ley para proteger su información personal. Por otro lado, en caso de un incidente la organización que cumple con las medidas que marca la ley entiende que queda exenta de responsabilidad dado que puede demostrar que ha cumplido con ella.

Para resumir, la unión del dilema del burócrata con la falta de relación directa entre la protección de la información y la seguridad de esa información, nos lleva a una situación perversa; algunas organizaciones se ven obligada a invertir de más para cumplir con la letra ley, cuando con una inversión inferior podrían cumplir con la intención de la ley; mientras otras organizaciones se paran mucho antes de la meta, dado que el cumplimiento con la letra les exime de responsabilidad por no cumplir con el espíritu, que sería el de tomar todas las medidas necesarias para proteger los derechos del ciudadano.

Esta no es una situación sencilla de resolver; en USA han tomado la medida de obligar a las empresas a declarar la pérdida de información de clientes, en la esperanza de que los posibles efectos negativos de esas declaraciones les fuercen a proteger su información, por la fuerza del mercado, de una forma más efectiva. Sólo el tiempo dirá si esa aproximación es más o menos efectiva que la Europea.

Vicente Aceituno (ISSA España)

(Muchas gracias a Gonzalo Salas por sus comentarios para mejorar este artículo)

El mayor peligro de un portátil es que nos lo roben; en segundo lugar, que alguien pueda acceder a nuestra información. Para prevenir el robo y dificultar que el ladrón pueda beneficiarse del mismo es aconsejable:

• Anotar su número de serie, para poderlo reclamar e identificarlo si sucede lo peor.
• Etiquetarlo clara y permanentemente como de nuestra propiedad.
• Poner una contraseña de arranque (no de setup) en la BIOS. Normalmente al arrancar sale un mensaje diciendo que tecla presionar para entrar en Setup. En algunas BIOS se puede poner el nombre, de modo que aparece en la pantalla mientras arranca el ordenador.
• Activar un salvapantallas con contraseña, si pensamos ausentarnos dejándolo encendido en un lugar de acceso público.
• Desactivar la conexión USB, Firewire, por Infrarrojos y bluetooth cuando no la estemos usando.
• Usar un candado o una alarma (o alarmas)cuando estemos en lugares de acceso público. La alarma funciona en sitios en los que no hay donde fijar un candado.

Evitar los fraudes por Internet en el fondo no es muy diferente del tradicional. Personas deshonestas intentarán engañar a aquellos que les den una oportunidad, sea mediante phising, cartas encadenadas, vendiendo productos o servicios defectuosos o perjudiciales o falsificando sus conocimientos, capacidades o personalidad.

Es saludable ser un poco escéptico ante lo que leemos o nos llega por correo. Debemos especialmente cuidadosos con la información económica y médica.

Para evitar conectarnos a páginas que parecen nuestro banco, pero no lo son, un posible solución es buscar un enlace a nuestro banco mediante Google. Al evitar que se direccione el navegador sin nuestro conocimiento podemos salvaguardarnos del “phising”, que consiste en engañar al usuario para que de sus contraseñas de acceso a servicios bancarios por Internet.

Los sitios de información médica que se adhieren a este código de conducta merecen mucha más confianza que los que no lo hacen.

Para que no nos engañen, conviene recordar algunas características comunes de los correos encadenados:

• Solicitan que se envíen a todas las personas que se conozcan. A veces recurren a la amenaza o al chantaje emocional.
• Alertan sobre peligros como virus, intoxicaciones alimentarias, defectos en productos de consumo, niños perdidos, etc. A veces justifican la imposibilidad de comprobar la supuesta noticia, como “El antivirus no lo detecta” o “El gobierno quiere mantenerlo en secreto”.
• Los correos en que se pide que se añada el nombre al final por alguna causa noble son totalmente ineficaces, debido a que son muy fáciles de falsificar y por tanto no son aceptados como reivindicación. Las noticias sobre fabricantes que regalan productos si se hace esto y aquello son normalmente falsas, ni hay empresas ni organizaciones gubernamentales que utilicen correos encadenados como medio de comunicación. Si un correo encadenado dice venir de Hotmail, Microsoft, Nokia, o la Policía, es sin ninguna duda falso. En caso de duda, podemos comprobar en Rompecadenas si hay información sobre ese correo en concreto.

Al conocer gente por Internet es necesario tomar ciertas precauciones incialmente como:

• No dar más información personal de la necesaria.
• Pedir una foto.
• Ser especialmente desconfiado cuando haya cualquier inconsistencia en la información dada, sea aspecto, edad, etc.
• Encontrarse siempre en lugares públicos. Ser especialmente cuidadoso al encontrarse en ciudades distintas de la de residencia.
• Cortar el contacto ante sospechas acerca de las intenciones o equilibro de la otra persona.

Para proteger nuestros secretos, nuestra privacidad y evitar ser espiados podemos tomar una serie de medidas que normalmente implican el uso de medidas de cifrado o que nos permitan actuar de manera anónima.

1. Protección de la conexión: Para evitar que cualquiera que pase cerca de casa pueda usar nuestra red inalámbrica y conexión a Internet debemos configurarla para que utilice cifrado tipo WPA o WPA2 con una contraseña fuerte. Desde aqui podemos probar la seguridad de nuestra red inalámbrica. Configurar redes con cifrado WPA o WPA2 puede ser complicado; por eso hay herramientas que simplifican la configuración, como Wireless Network Ignition y Network Magic. Puede ser interesante utilizar una conexión cifrada de pago como HotSpotVPN o Witopia que cifra nuestra conexión con Internet aunque estemos fuera de casa, como por ejemplo en un aeropuerto.
2. Rastros de navegación: Si compartimos un ordenador con otros usuarios es aconsejable configurar el navegador para que no recuerde contraseñas (En Explorer hay que desactivar “Autocompletar”). Podemos disminuir o eliminar también los históricos de acceso de las aplicaciones, si nos preocupa que se pueda saber que hemos estado haciendo con la computadora. Usando el TweakUI de nuestra versión de Windows podemos configurar que se borre la historia de lo últimos archivos accedidos al apagar. Utilizando de vez en cuando una herramienta como Cleanup o CCleaner podemos eliminar todo el rastro de nuestra navegación por Internet, uso de la computadora, y archivos temporales. Pero (y es un gran pero) en caso de que nuestra conexión con Internet sea a través de un Proxy de terceros (como puede ser un cibercafe o una empresa) normalmente el Proxy guardará durante un tiempo qué sitios hemos visitado. Para ocultar la dirección desde la que nos conectamos, o manipular de forma avanzada la conexión a Internet, podemos usar servidores proxy anonimos de Internet, servicios cifrados y anónimos de navegación, mensajería instantánea y correo, como OperaTor (con Tor incluido), Virtual Browser, Anonymizer, o JAP.
3. Protección de Archivos: Si nos preocupa que alguien pueda obtener lo que hay en el disco duro, debido a su importancia, podemos usar herramientas como Truecrypt para cifrarlo, o bien PGPDisk. También podemos usar una herramienta como Eraser para garantizar el borrado de información de forma irrecuperable.
4. Correo: Configurar nuestro cliente de correo para enviar y recibir correo cifrado, por ejemplo con Thunderbird+Enigmail.
5. Cesión de Información personal: Evitar registrarse siempre que sea posible usando BugMenot. Dar información falsa en caso de tener que registarnos en un sitio en el que no confiamos usando FakeNameGenerator. También podemos comprobar la seguridad de nuestro correo.
6. Cuando usemos una computadora pública, como las de una universidad o cibercafé, debemos conectarnos con opciones seguras cuando tengamos que escribir contraseñas:Desactivar cualquier opción de ser “recordados”, especialmente contraseñas, y es mejor si en lugar de cerrar el navegador hacemos “logout”.
7. Para evitar difundir la lista de direcciones de correo al escribir un correo a múltiples destinatarios, en vez de poner las direcciones en “Para” o “Copia”, es mejor usar “Copia oculta”. Difundir direcciones de correo ayuda indirectamente a difundir el spam.

Malware es el término que engloba a los virus, troyanos, spyware, rootkits, etc. Aunque otros sistemas también sufren infecciones por malware, los basados en Windows son particularmente vulnerables. La mayor parte del malware está diseñado para explotar Internet Explorer o OutLook. La siguiente lista de medidas nos protegerá contra el malware, por orden de importancia:

1. Usando FireFox para navegación y Thunderbird para correo es una forma sencilla de evitar la mayor parte de las infecciones. Algunos de los enlaces mencionados más adelante por desgracia sólo funcionan con Internet Explorer 5.0 o superior.
2. Para evitar que terceros puedan tomar control de nuestro PC o espiar su contenido es buena idea instalar un cortafuegos personal. Existen alternativas gratuitas al que viene por defecto en algunas versiones de Windows que facilitan el control de que se conecta a y desde nuestro PC, como ZoneAlarm o Kerio En Upuseros o Symantec podemos comprobar qué se ve de nuestro computadora desde Internet. No hay porque asustarse si nuestra dirección IP y versión de navegador son visibles.
3. Debido a que Windows tiene comparticiones ocultas (como C$) debemos poner una buena contraseña al usuario Administrador. Si ejecutando en la línea de comandos “start \\127.0.0.1\C$” aparece una ventana de Explorer sin pedir contraseña, es que lo tenemos activado. Ejecutando en la linea de comandos “net view \\127.0.0.1\” podemos listar las comparticiones activas.
4. Para la mayor parte de los usuarios es aconsejable instalar un antivirus que se actualice automáticamente. Karspersky es uno de los sitios desde donde podemos analizar si tenemos virus online. Para verificar archivos individuales es mejor Virus Total. Nod32 es un buen antivirus de pago, AVG es una buena opción gratuita. No se deben instalar dos antivirus, da más problemas que la posible mejora de protección. Para recibir avisos sobre medidas urgentes a tomar ante la extensión de cualquier virus o gusano por Internet, suscríbete en Alerta Antivirus.
5. Como medidas complementarias podemos comprobar si el PC si tiene adware y spyware, e instalar soluciones gratuitas como Spybot Search & Destroy y Ad-aware. Si queremos tener una precaución extrema, podemos usar un AntiRootkit.
6. El malware siempre busca medios de mantenerse siemrpe activo. Mediante Startup Inspector o Autoruns podemos vigilar y modificar qué se ejecuta al iniciarse Windows.
7. Si tu ordenador ya está infectado, Apaga el ordenador, desconéctalo de Internet, enciéndelo, y arranca en modo seguro con F8 antes de pasarle el antimalware.
8. Dado que el malware suele explotar los defectos encontrados recientemente Windows y en programas populares, es aconsejable mantener el sistema actualizado manualmente o con Windows Update. Si eres usuario de Office también puedes necesitar actualizaciones. En general mediante Secunia podemos averiguar qué software podríamos actualizar. Podemos encontar actualizaciones de driver en DriversHQ.
9. Para evitar la infección mediante memorias USB, es muy importante mantener AutoPlay desactivado.
10. VMware hace ahora disponible el VMware player, que en conjunto con una máquina virtual solo para navegar pueden prevenir la entrada de malware al visitar sitios especialmente peligrosos.
11. Mediante DeepFreeze o Windows SteadyState es posible “congelar” Windows de modo que el efecto de cualquier malware puede eliminarse simplemente reiniciando el sistema.
12. Para aquellos a los que no les importe hacer un esfuerzo adicional, se pueden desactivar servicios, o no hacer login como admin.

Es muy difícil subestimar el trabajo que le lleva a un usuario sentirse comodo con su PC. Con frecuencia es necesario instalar más de 50 programas y drivers, configurarlos, elegir contraseñas, así como ajustar las opciones del sistema operativo. Por ello tener una copia de seguridad de nuestro sistema operativo puede evitar decenas de horas de trabajo, por no hablar de la posibilidad de que se haya perdido alguno de los números de serie necesarios para instalar el software licenciado (copialos donde los puedas encontrar). Para poder hacer la copia de seguridad del sistema es necesario separar los datos de los programas. Necesitaremos dos discos físicos o particionar nuestro disco duro en al menos dos particiones, C: y D:.

Para particionar el disco puede ser suficiente con utilizar las opciones del sistema operativo, aunque disponer de Partition Magic puede simplificar notablemente la tarea.

Haciendo click derecha sobre “Mis Documentos” nos aparece la opción de Mover; seleccionado como carpeta destino D:\Mis Documentos. Si bien esto no mueve todo el contenido personal del directorio “home”, como los favoritos de Internet Explorer, es suficiente para la mayor parte de los usuarios. Actualmente la mejor solución para no peder favoritos por reinstalaciones es usar delicious.

Los usuarios de Thunderbird deben seguir estas instrucciones para cambiar la localización de su directorio de correo. Para los de Outlook es suficiente con cerrar Outlook, mover los directorios que contengan correo (sean .dbx o .pst) a D:\Mis Documentos\Mi Correo, e indicar a Outlook donde están los archivos al iniciarlo la siguente vez.

Una vez que conseguimos sacar los datos de C:, y tenemos copia de seguridad de estos en un disco separado, podemos utilizar Partition Saving, Acronis, o Ghost para hacer una copia de la partición C:.

En caso que queramos restaurar fácilmente aunque haya un cambio de placa base antes de hacer la copia de seguridad hay que cambiar en el administrador de dispositivos los controladores IDE ATA/ATAPI a “Controladora estándar…”. En “Actualizar driver” hay que seleccionar “Instalar desde una lista…” y luego… “No buscar, seleccionare mi dispositivo”, por último seleccionar el controlador “Controladora estándar…”

Para restaurar la copia de seguridad puede ser suficiente con arrancar el PC en modo seguro pero lo mejor es tener un disco de arranque que nos permita usar el ordenador independientemente del estado del sistema operativo. Los productos comerciales suele venir con un CD/DVD que facilitan esta opción. De nuevo es aconsejable tener copia de seguridad de los datos en un disco aparte antes de intentar la restauración.

Si no fuera por el pobre soporte de dispositivos USB desde MS-DOS, UBCD sería la mejor opción. La versión para Windows, UBCD4Win, es una buena alternativa.

Con una copia de seguridad del datos y otra del sistema, podemos enfrentarnos a casi cualquier desgracia, incluido incendios y robos…a menos que guardemos el PC y su copia de seguridad demasiado cercanos.