jueves, 11 de diciembre de 2008

Seguridad en Wireless - Manuales y demas...


1. Seguridad en Wireless
2. Manuales y Guías sobre Windows Vista e Internet Explorer
3. Entorno de Análisis de Riesgos 4. Resultados de los Sorteos de la semana 5. Desafío de la semana
1. Seguridad en Wireless
Desde el Blog "Un Informático en el lado del mal", Chema Alonso, MVP de Windows Security ha desarrollado seis interesantes artículos sobre Seguridad Wireless. En Segu-Info los hemos recopilado y pueden ser descargados de nuestra sección de Terceros.
Los artículos originales pueden ser consultados en: http://elladodelmal.blogspot.com/2006/10/proteger-una-red-wireless-i-de-iii.html http://elladodelmal.blogspot.com/2006/11/proteger-una-red-wireless-ii-de-iii.html http://elladodelmal.blogspot.com/2007/01/proteger-una-red-wireless-iii-de-iii.html
La próxima recopilación entregada será Atacar WPA/WPA2 PSK que ya puede verse en el Blog de Chema.
Y, para aquellos curiosos con ganas de investigar: http://www.segu-info.com.ar/libros/ http://www.seguridadwireless.net/ http://books.google.com.ar/books?id=DojR6q1E5ZUC
2. Manuales y Guías sobre Windows Vista e Internet Explorer
Luego del revuelo armado en Black Hat por la presentación de "How to Impress Girls with Browser Memory Protection Bypasses" [1] realizado por los investigadores Mark Dowd de IBM y Alexander Sotirov de VMware, presentando ataques de Buffer Overflow a Windows Vista a través de navegadores, es necesario aclarar que este tipo de investigaciones son normales a cualquier aplicación, incluso son necesarias y no dudo que benefician al producto a mejorar en cuanto a su seguridad.
No es un secreto para nadie que el último sistema operativo de Microsoft ha sufrido y seguirá sufriendo este tipo de estudios (ataques) y, si los mismos son con fines de investigación, no veo el motivo para desestimar, hacer amarillismo o exagerar sobre los mismos [2].
En estos casos es recomendable leer, con criterio, la documentación al respecto [1], conocer las herramientas disponibles y las consecuencias de lo que los investigadores mencionan [3].
Y, como si esto fuera poco, una guías de Windows Server 2008, a través del Windows Tips, el Blog de Juanito.
[1] How to Impress Girls with Browser Memory Protection Bypasses http://taossa.com/archive/bh08sotirovdowd.pdf http://blackhat.com/presentations/bh-usa-08/Sotirov_Dowd/bh08-sotirov-dowd.pdf http://blackhat.com/presentations/bh-usa-08/Sotirov_Dowd/bh08-sotirov-dowd-slides.pdf
[2] ¿La seguridad de Windows Vista en entredicho? http://seguinfo.blogspot.com/2008/08/la-seguridad-de-windows-vista-en.html http://seguinfo.blogspot.com/2008/08/la-seguridad-de-vista-intil.html http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1324395,00.html http://www.kriptopolis.org/la-puntilla-para-vista
[3]Conclusiones sobre 'Bypassing Browser Memory Protections' (BH08) http://fluzo.org/blog/post/conclusiones-sobre-bypassing-browser-memory-protections-bh08
3. Entorno de Análisis de Riesgos

Este artículo es una continuación de nuestro Boletín 77 y Boletín 79.
Presentamos una herramientas para el Análisis de Riesgo llamada PILAR [1] que está basada en MAGERIT, una metodología de Análisis y Gestión de Riesgos para los Sistemas de Información.
"Para conocer el estado de seguridad de un sistema, necesitamos modelarlo, identificando y valorando sus activos, e identificando y valorando las amenazas sobre dichos activos. Así pues, podemos estimar el riesgo a que el sistema está sujeto.
El riesgo se puede mitigar por medio de las salvaguardas o contramedidas desplegadas para proteger el sistema. Es inusual que las salvaguardas reduzcan el riesgo a cero; es más frecuente que sigua existiendo un riesgo residual que la organización o bien pueda aceptar, o bien intente reducir más, estableciendo un plan de seguridad orientado a llevar el riesgo a niveles aceptables.
El análisis de riesgos proporciona información para las actividades de tratamiento de los riesgos. Estas actividades se ejercen una vez y otra vez, incorporando nuevos activos, nuevas amenazas, nuevas vulnerabilidades, y nuevas salvaguardas."

PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto a ISO/IEC 27002:2005 y SP800-53:2006.
Estas herramientas permiten clasificar los activos, valorarlos con escalas pautadas, establecer un mapa de riesgos contra un catálogo de amenazas y determinar el efecto de los controles sobre el estado de riesgo.

Las herramientas PILAR son propiedad de A.L.H. y José Antonio Mañas (Catedrático de Universidad Depto Ingeniería de Sistemas Telemáticos, ETSI de Telecomunicación, Universidad Politécnica de Madrid y Redactor de MAGERIT) y pueden descargarse libremente pero para generar nuevos análisis de riesgos, se requiere una licencia comercial [1].
[1] PILAR http://www.ar-tools.com/ http://www.ar-tools.com/tools/pilar_basic/index.html http://www.csi.map.es/csi/tecnimap/tecnimap_2004/comunicaciones/tema_06/6_022.pdf