Guía 800 – Glosario de Términos y Abreviaturas del ENS. (Borrador)
Guía 801 – Responsables y Funciones en el Esquema Nacional de Seguridad.
Guía 802 – Auditoría del Esquema Nacional de Seguridad.
Guía 803 – Valoración de sistemas en el Esquema Nacional de Seguridad.
Guía 804 – Medidas de implantación del Esquema Nacional de Seguridad. (Borrador)
Guía 805 – Política de Seguridad de la Información.
Guía 806 – Plan de Adecuación del Esquema Nacional de Seguridad.
Guía 807 – Criptología de empleo en el Esquema Nacional de Seguridad.
Guía 808 – Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. (Borrador)
Guía 809 – Declaración de Conformidad del Esquema Nacional de Seguridad. (Borrador)

Se está trabajando para incorporar las siguientes guías:
Guía 810 – Guía de creación de CERT,s
Guía 811 – Interconexión en el Esquema Nacional de Seguridad
Guía 812 – Seguridad de los servicios Web en el Esquema Nacional de Seguridad
Guía 813 – Certificación de productos en el Esquema Nacional de Seguridad
Guía 814 – Seguridad del correo electrónico en el Esquema Nacional de Seguridad

El libro está escrito por Juan Luis G. Rambla y José María Alonso
Cebrián de Informática64, bajo la coordinación de Héctor Sánchez
Montenegro, National Technology Officer de Microsoft Ibérica.

En los prólogos cuenta con las aportaciones de María Garaña, Presidenta de
Microsoft España; Víctor M. Izquierdo Loyola, Director General de
INTECO; Fernando de Pablo, Director General para el Impulso de la
Administración Electrónica del Ministerio de Política Territorial y
Administración Pública; y Javier García Candau, Subdirector General
Adjunto en funciones del Centro Criptológico Nacional.

La versión PDF del mismo está disponible de forma gratuita para su
descarga en la siguiente dirección.

Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone.

En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto.

La edición del 2010 presenta las siguientes categorías:

A1 – Inyecciones.
Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.

A2 – Cross-site Scripting.
El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada.

A3 – Gestión defectuosa de sesiones y autenticación.
Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.

A4 – Referencias directas a objetos inseguras.
Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.

A5 – Cross-site Request Forgery.
Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.

A6 – Ausencia de, o mala, configuración de seguridad.
Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.

A7 – Almacenamiento con cifrado inseguro.
Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.

A8 – Falta de restricciones en accesos por URL.
Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.

A9 – Protección insuficiente de la capa de transporte.
Relacionada con A7 pero orientada a la protección del tráfico de red.  Elección de un cifrado débil o mala gestión de certificados.

A10 – Datos de redirecciones y destinos no validados.
Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

Fuente:

• Hispasec

Más información:

• Sitio principal de OWASP
• OWASP Top 10 for 2010 [PDF]

Tambien incluye las entrevistas realizadas a destacados personajes del sector: Bruce Schneier, Eugene Kaspersky, Cuartango, Mikel Urizarbarrena, Jorge Ramió, Johannes Ullrich…

Enlace de descarga

La iniciativa fue defendida ante el Senado por el portavoz socialista en la comisión de Industria, Comercio y Turismo de la Cámara Alta, Félix Lavilla, “una iniciativa sobre ciberseguridad que consideramos positiva para el Senado de España porque lidera una propuesta al Gobierno en el ámbito de la Unión Europea desde nuestro Parlamento, es positiva para España porque es un eje estratégico para proteger su seguridad, para impulsar la I+D+i, y aprovechar el fuerte impulso de las empresas del sector en materia de seguridad, y es positiva también para el conjunto de la Unión Europea.”

Según palabras del senador Iñaki Anasagasti, ”Internet no es siempre un lugar seguro, el 50% de usuarios ha sufrido un ataque o engaño cibernético alguna vez, y es que la mayoría de asaltos en la red, el 95%, se dirigen a consumidores domésticos, según datos ofrecidos por la propia Policía”, y más tarde apostilló, “Indudablemente esto no es un alegado contra Internet sino a favor de la protección que debe tener la propia seguridad del funcionamiento de Internet.”

Por el Grupo Parlamentario Catalán en el Senado de Convergència i Unió, el senador Josep Maldonado afirmó “Apenas en unos años se han desarrollado nuevas formas de comunicación y de negocio al filo del avance de Internet en nuevas redes de comunicación social. Ello ha provocado un gran desfase entre la realidad, muy dinámica y cambiante, y el espíritu de las normas legales y convencionales que regulan su funcionamiento, pues en la mayoría de los casos lo que existe es un gran vacío. Esta situación cambiante, que ha comportado una gran facilidad
para la comunicación, también ha constituido una oportunidad para el delito y el crimen.”.

“En un mundo global necesitamos instrumentos que también lo sean. Igual que en la sociedad hay todo tipo de personas, algunas con muy buenas intenciones y otras con no tantas, en el ciberespacio encontramos a
personas que utilizan los instrumentos globales con una visión positiva y enriquecedora de la sociedad y a otras que emplean estos mismos instrumentos para fines ilícitos e ilegales que pueden perjudicar a los demás.”, dijo María Assumpta Baig, del Grupo Parlamentario Entesa Catalana de Progrés.

En palabras de Jose María Chiquillo, por el Grupo Parlamentario Popular, “tengo que decir que a los políticos nos preocupa, al Senado le preocupa, y a este senador le preocupa y apasiona esta materia, y los expertos en el cibercrimen andan muy preocupados también por el aumento exponencial de los ataques informáticos contra las infraestructuras críticas de información y comunicación de los gobiernos en los últimos tiempos. El uso pervertido de las tecnologías de la información y de la comunicación electrónica, el llamado cibercrimen, está aumentando de
manera preocupante en los últimos años, y ante ello hay que actuar.”

El texto final, aprobado por consenso, comprende los tres puntos iniciales de la iniciativa defendida por el Grupo Parlamentario Socialista y dos enmiendas del Grupo Parlamentario Popular:

• Impulsar un Plan Europeo de Cyberseguridad en la Red en el marco de la Unión Europea durante la Presidencia de España 2010.
• Implantar en INTECO un laboratorio de certificación de sistemas de gestión de infraestructuras críticas que permita elaborar un catálogo de empresas y productos certificados, tanto de España como de la Unión
  Europea.
• Definir un Plan Estratégico de Seguridad Nacional que sea referente y ayude a trabajar de forma continua en los modelos de prevención. Dicho Plan permitirá identificar las oportunidades para la industria, el
  desarrollo del Sector de la Seguridad Digital, la creación de empleo para profesionales de alta cualificación y la potenciación internacional de la industria. Igualmente, se fomentará la creación de actividad económica basada en la aplicación práctica de la I+D+i nacional.
• En la elaboración de dicho Plan Estratégico de Seguridad Nacional se fomentará la participación de los sectores implicados, en particular el Consejo Nacional Consultivo de CiberSeguridad (CNCCS).
• A Ratificar el Convenio del Consejo de Europa sobre la Ciberdelincuencia – nº 185 – (Budapest 23.11.2001) y proponer en el seno de los organismos europeos que la Unión Europea devenga Parte del
  Convenio.

Fuente: Hispasec

Más información

Dichos perfiles han sido certificados con fecha del 23 de febrero y publicados en el Boletín Oficial del Estado del 14 de abril, con lo que están disponibles para su uso por desarrolladores de aplicaciones certificables en el entorno del DNIe.

Los requisitos técnicos, elaborados por INTECO, se reconocen internacionalmente como Perfiles de Protección o Protection Profiles y en ellos se recogen los requisitos de seguridad estándar según la normativa internacional de referencia Common Criteria (ISO 15408).

Estos perfiles, denominados técnicamente como PPSCVA-T1-EAL1, PPSCVA-T1-EAL3, PPSCVA-T2-EAL1 y PPSCVA-T2-EAL3, además de impulsar el desarrollo de aplicaciones seguras en el entorno del DNIe, son las herramientas básicas para difundir la cultura de la certificación entre desarrolladores y la cultura en el uso de herramientas seguras entre los usuarios de estas aplicaciones.

Entre las principales ventajas que se obtienen de la certificación de estos perfiles de protección destaca la posibilidad por parte de los usuarios de disponer de aplicaciones seguras y certificadas para el uso del DNIe como dispositivo de firma electrónica, fortaleciendo de este modo su confianza en este dispositivo en sus trámites electrónicos con la administración o con el sector privado. Asimismo, la industria desarrolladora de aplicaciones tendrá a su disposición los medios para diseñar, certificar y comercializar servicios seguros bajo una normativa o estándar reconocido.

Por otra parte, para garantizar la protección del usuario en la utilización del DNIe, en el grupo de expertos para la elaboración de estos perfiles de protección han estado representados la Dirección General de la Policía, la Agencia Española de Protección de Datos, el Centro Criptológico Nacional- Centro Nacional de Inteligencia y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, así como las principales asociaciones de la industria española.

INTECO, apoyándose en un laboratorio acreditado, ha elaborado cuatro documentos de perfiles de protección para aplicaciones de creación y verificación de firma electrónica con el DNIe: dos para plataformas TDT, PDA y dispositivos móviles; y otros dos para ordenadores personales con sistemas operativos de propósito general.

Para cada entorno se han certificado, a su vez, dos perfiles para que el desarrollador pueda optar a dos niveles de garantía de seguridad diferentes en cuanto a su certificación, denominados: EAL1 y EAL3 (Evaluation Assurance Level). El primero está dirigido a todo tipo de desarrollos, mientras que el segundo está diseñado para aquellos desarrollos que quieran obtener un nivel superior de garantía de seguridad.

Con la intención de facilitar a los desarrolladores y a la industria en general la adopción de estos perfiles de protección, como referente para el diseño y desarrollo de sus aplicaciones de firma con el DNIe, INTECO ha elaborado unas guías para la aplicación de los perfiles de protección en la elaboración de aplicaciones certificables de creación y verificación de firma con DNI electrónico que ya se encuentran disponibles en la web de INTECO, en la sección: Seguridad >DNI Electrónico>Desarrollo de aplicaciones para DNIe

Dichas guías y perfiles de protección están disponibles en la página web de INTECO.

A pesar de que la idea original es la de una botnet, su objetivo no es crecer exponencialmente y adquirir más nodos para aumentar su poder, en este caso las víctimas eran tratadas de forma muy personalizada y atendiendo a su importancia. Mientras una botnet puede oscilar entre los 30.000 y más de 100.000 bots, el número de  máquinas infectadas en “GhostNet” es de solo 1.295, una población casi insignificante.

Esta investigación fue efectuada por el “Information Warfare Monitor“, alianza del think tank de seguridad canadiense “DevSec Group”, la Universidad de Cambridge y “Citizen Lab“, a raíz de las acusaciones al gobierno chino por ciberespionaje al gobierno tibetano.

Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos y redes en las distintas oficinas que el gobierno en el exilio del Tibet posee distribuidas en diferentes países. En el análisis de la información obtenida hallaron los interfaces de varios servidores de control y se percataron de que lo que tenían delante era solo la punta del iceberg. Entre los nodos que componen “GhostNet” se hallaban
ordenadores de los ministerios, embajadas y cancillerías de países como
Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc.
Hasta un total de 103 países fueron contabilizados, aunque solo el 30% del total de nodos fue marcado como objetivos de alto valor.

Las máquinas eran infectadas por un troyano denominado “gh0st RAT” capaz de obtener un control completo del huésped, entre otras posibilidades, apagar y encender dispositivos como cámaras o micrófonos y capturar audio y vídeo. La ingeniería social empleada en el ataque daba a entender que previamente se estudiaba a la víctima aprovechándose de la información capturada a otros infectados y usándola como parte de un engaño donde tanto el asunto como el remitente de un correo electrónico eran conocidos por el receptor.

Aunque el 70% de los servidores del control de la red se sitúan en China y el evidente carácter político de los objetivos, el informe final no responsabiliza directamente al gobierno Chino de la autoría, al contrario que el informe paralelo de la universidad de Cambridge que lo incrimina y relaciona directamente.

Fuente: Hispasec

CCleaner es un freeware de optimización de los sistemas, la intimidad y la herramienta de limpieza. Elimina archivos no utilizados de su sistema – permitiendo a Windows correr más rápido y liberando un valioso espacio en el disco duro. También limpia rastros de sus actividades en línea tales como su historia de Internet. Además, contiene un completo limpiador del registro. Pero la mejor parte es que es rápido (normalmente toma menos de un segundo para correr) y no contiene Spyware o Adware!

HijackThis es una utilidad gratuita que escanea rápidamente un ordenador Windows para encontrar configuraciones que pueden haber sido cambiados por spyware, malware u otros programas no deseados. HijackThis crea un informe, o archivo de registro, con los resultados de la exploración.

Pero hay que tener en cuenta que HijackThis no determina lo que es bueno o malo. Sólo usuarios expertos pueden analizar los informes y determinar los cambios en la configuración. Existe una gran comunidad de usuarios que participa en foros en línea, donde los expertos HijackThis ayudan a interpretar los resultados del análisis para limpiar equipos infectados.
Enlaces:

• Hijackthis en softonic
• Trendsecure

El ‘gusano’ aprovecha una brecha en seguridad en el sistema operativo Windows. Además, trata de decodificar contraseñas débiles. También es posible su transmisión a través de memorias USB.

Entre las acciones de ‘Downadup’ figura la de acceder a determinadas direcciones de Internet de las que dispone en su código. El virus aprovecha el acceso a estas páginas para descargarse otros programas maliciosos. No se descarta que el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red ‘zombie’ (‘botnet’).

Recomendaciones

• Actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
• Tener instalado un antivirus actualizado en el ordenador y proteger con contraseñas fuertes las carpetas compartidas.
• Para tratar de evitar problemas, es conveniente analizar con un antivirus actualizado todos los dispositivos extraíbles antes de conectarlos al equipo.

Cualquiera que intente leer páginas web que proclamen las frases “Obama renuncia a la presidencia” o su versión en inglés, “Barack Obama has refused to be a President” descargarán el virus en su computadora. Se recomienda prestar muchísima atención a los links y a los pop-up con este tipo de mensaje y no abrirlos.

Cuando el pop-up es clickeado por el usuario, se descarga en la computadora un virus que convierte a la computadora en zombie, esto es, que puede ser controlada remotamente para el reenvío de todo tipo de spam.

El virus en cuestión fue encontrado por la empresa Panda, que hasta el momento ha descubierto mas de 40 páginas infectadas.

Mas información en Panda.