Archivo de la categoría: Herramientas

Securewave Sanctuary Device Control.

1 respuesta

Mensaje para directivos y responsables de seguridad.

  • Evite que los empleados se lleven ficheros y documentos de la empresa sin su consentimiento.
  • Publique y haga cumplir sus políticas de gestión de la información.

Hay normas como la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) que imponen ciertas obligaciones a las empresas respecto a las medidas de seguridad que deben seguir.

Lo que pretende esa norma es proteger los datos de las personas, que pueden verse sometidos al abuso de un tratamiento indiscriminado en manos de empresas de marketing y publicidad, especialmente con las posibilidades de tratamiento masivo que dan los ordenadores. Sin embargo, las medidas de seguridad que impone su Reglamento (de momento el Reglamento de la anterior LORTAD, aunque se espera la próxima publicación del Reglamento específico de la LOPD) son de gran utilidad para proteger otros tipos de información.

Controles de Sanctuary Device ControlUno de los riesgos que han aparecido recientemente es el de los dispositivos de almacenamiento (como memorias y discos duros) que son utilizables mediante puertos USB. Y puesto que prácticamente todos los ordenadores tienen puertos USB, la información de la empresa (tanto la que está en el disco local del ordenador como la que está en los servidores de ficheros y en la intranet) corre el riesgo de acabar en uno de esos dispositivos.

La empresa Securewave, cuyos productos distribuye mi empresa Albalia Interactiva ha creado diferentes aplicaciones de seguridad, de las que la más interesante, para atajar el problema que he descrito, es Sancturay Device Control.

Sancturay Device Control es una aplicación ligera que se instala en cada ordenador de la organización y controla los diferentes dispositivos que se le conectan y la información que entra y sale por ellos.

Se gestiona centralizadamente en entornos de red Microsoft que dispongan de Active Directory y permite dar permisos de acceso a periféricos (CD, DVD, Floppy, memory sticks ..) relacionados con grupos de usuarios o de máquinas.

Estos permisos de acceso pueden ser del tipo escritura, lectura o temporales, e incluso en relación con la cantidad máxima de información que se puede insertar o extraer de ellos diariamente. Para usuarios cuyo perfil deba permitir que no se impongan limitaciones, el sistema permite controlar la natiraleza exacta de los ficheros que entran y salen de los dispositivos.

Esta herramienta, de muy bajo coste unitario por licencia (menos de 100 euros, aunque depende del número de unidades adquiridas en una determinada instalación) es una ayuda esencial para poder dar cumplimiento a algunas de las obligaciones de la LOPD que eran muy difíciles de satisfacer hasta fechas recientes.

Virtual PC, máquina virtual gratuita alternativa a Vmware

14 respuestas

Gracias a Sergio Hernando. en su artículo sobre Windows Fundamentals for Legacy PCs (WinFLP) he visto la referencia a Virtual PC.
En la informática forense, el uso de máquinas virtuales, habitualmente VMWARE,  es habitual, por lo que se han convertido en una herramienta imprescindible.

Veremos que tal pita Virtual PC 2004, la herramienta de virtualización que Microsoft pone a disposición de los usuarios de forma gratuita.

Sin embargo, hay que reconocer que Vmware lleva ventaja  en lo referente a experiencia y estabilidad, y, pese a ser un producto propietario (aunque muy reconocido en entornos open)  ha reaccionado rápidamente y también dispone de heramientas gratuitas.

Ley de Benford – Newcomb

5 respuestas

La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.

En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.

Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.

De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.

Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.

Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:

1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %;  7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %

i-Button y RFID

3 respuestas

Hace poco se ha publicado alguna vulnerabilidad de ciertos dispositivos RFID.

Sin minimizar el efecto que la mayor o menor seguridad de estos dispositivos pueda suponer en las aplicaciones prácticas, o la alarma social que signifique el riesgo de suplantación de los futuros Pasaportes que incluirán esta tecnología, cabe recordar que existen muchos tipos de dispositivos RFID y con diferentes medidas de seguridad.

Los RFID sofisticados funcionan a través de un mecanismo de «challenge»-«response» y con tecnología de clave pública: El sensor (adosado a un equipo que aloja los certificados o las claves públicas de las personas autorizadas) genera una clave aleatoria (el reto) que envía al dispositivo RFID. Este «despierta», y cifra el reto con su clave privada, convirtiéndolo en la respuesta. Lo envía al sensor que es capaz de descifrar el reto con ayuda de uno (y solo uno, se supone) de los certificado alojados. Este sistema es «skimming-resistant» y suficientemente robusto para el uso cotidiano.

1-wire 1-hilo i-Button de Maxim Dallas

El anillo Java de Scott McNeallyUna interesante alternativa al RFID son los dispositivos de «1-hilo» o «1-wire». Es decir, dispositivos que funcionan por contacto pero uno solo, sin requerir alimentación ni hilo de masa. Estos dispositivos también disponen de diferentes variantes y pueden ser criptográficos o incluir una máquina virtual Java.

Echad un vistazo al i-button, que usa esta tecnología y que permite poner una máquina virtual Java en un anillo como los de Scott McNeally (lo que a él le encanta: ha llegado a bromear que espera ver a Bill Gates con otro anillo Java).

Contratación Electrónica y Arbitraje

3 respuestas

Una de las iniciativas más interesantes que se están poniendo en marcha respecto a la contratación electrónica y la posibilidad de resolver controversias por via arbitral es Tractis. Detrás está la empresa Negonations impulsada con gran impulso emprendedor por David Blanco y con el respaldo de un selecto número de colaboradores dotados de una gran capacidad tecnológica.

Uno se siente orgulloso de que desde España se acometan proyectos de este tipo, que miran sin complejos a lo que es está desarrollando entre lo más avanzado del nuevo paradigma de la Maraña Mundial (World Wide Web).

El proyecto tendrá que lidiar con las diferencias legales y referenciales de paises disímiles, como los continentales o los anglosajones, con la cultura latina y la de la CommonWealth, con el derecho romano y la Common Law. Sin mencionar otras influencias como las del derecho árabe o del confuciano.

Y donde no lleguen las Comisiones Rogatorias y el alcance de los Tratados, puede llegar el consenso y el arbitraje.

La iniciativa es muy seria, con estudios legales y técnicos de cierta profundidad y con un planteamiento de negocio realista.

Una de las iniciativas que han iniciado ha sido la de recopilar en un Wiki la situación actual de la certificación digital y del arbitraje en España. Animo a todos los que se dedican a este negocio a que accedan y completen los datos que faltan.

La banca pacta un nuevo sistema centralizado para frenar el fraude

1 respuesta

Las estafas crecen un 20% al año y ya provocan pérdidas de 110 millones.

Un tipo que logra suplantar la personalidad de un cliente desviando dinero de su cuenta o usando su tarjeta de crédito, otro que solicita préstamos en distintas entidades en varios puntos del país con datos falsos, un tercero que hace creer en Internet que su página web es la de determinada caja de ahorros… Morosos e impostores logran timar cada año a las entidades financieras y a sus clientes en torno a 110 millones de euros al año. Y el problema crece a un ritmo del 20% anual. Internet y la banca telefónica multiplican además las posibilidades

Para intentar frenar el problema, el Centro de Cooperación Interbancaria (CCI), la asociación que agrupa a más de 200 bancos y cajas de toda España, está promoviendo el proyecto llamado Servicio de Prevención del Fraude. El grupo Santander, el BBVA, el Banco Popular, Bankinter, el Banco Pastor, el Banco Gallego, el Banco de Finanzas e Inversiones y la Caja de Ahorros del Mediterráneo han acordado ya su implantación, según ha podido saber EL MUNDO.

El proyecto, que será presentado en las próximas semanas al Ministerio del Interior y que puede arrancar este mismo año, está encabezado con la creación del llamado Centro de Observación del Delito Económico. «Se trata de un equipo profesional contratado, formado por expertos en la lucha contra el fraude», según afirma Rafael Marín, director de Administración del CCI.

El Code se encargará de vigilar la red y difundir alertas tempranas de nuevos fraudes para prevenir a los asociados del CCI, a sus clientes y al público en general. Se convertirá en un centro de estudio del delito en España, capaz de colaborar con las fuerzas de seguridad y en la formación del personal bancario.

Y, sobre todo, el proyecto prevé la creación de tres bases de datos con un sistema centralizado. «Hasta ahora, cada entidad se defiende como puede del fraude, pero uniendo fuerzas en un sistema que proporcione alertas a todos los bancos y cajas se puede ser mucho más eficaz», afirman los promotores.

Intentos. El fichero de Solicitudes y Operaciones Registradas (SOR) almacenará los datos de fraudes conocidos que han afectado a los usuarios en algún momento. Las entidades que lo han sufrido alimentarán esta base con sus datos y utilizarán herramientas automáticas de análisis de solicitudes.

DNI robado. El Servicio de Actualización de Datos Personales (SADP) integrará en una base de datos los datos de personas físicas y jurídicas que se quieran incluir voluntariamente en un fichero de vigilancia. Personas que han perdido su documentación o que han sufrido un robo pueden darse de alta. Si alguien pretende realizar una operación financiera con sus datos serán avisados en tiempo real. «Por ejemplo, se les enviará un mensaje a su móvil de que alguien intenta algo con sus cuentas en ese momento», explica Marín.

Incoherencias. La base de datos de información de solicitudes (SOL) comparará posibles incoherencias. Si una misma persona pide un préstamo en BBVA alegando que gana 50.000 euros y al día siguiente solicita otro en el Santander asegurando que su sueldo son 55.000, será descubierto. «Ningún banco sabrá a qué otra entidad se ha dirigido, pero sí que esa persona está dando datos incoherentes en otras oficinas», resume Marín.

Intimidad. Los promotores aseguran que el proyecto no va a poner en peligro la intimidad de los usuarios, «al contrario, se van a ver más protegidos». El CCI ha mantenido reuniones con la Agencia de Protección de Datos y el Banco de España y, de acuerdo con Interior, será explicado a las fuerzas y cuerpos de seguridad del Estado.

La tentación vive en la casa de al lado
Un ejemplo de fraude que los promotores del proyecto creen que podrán atajar es el del vecino defraudador. Se trata de un caso real que sucedió en Reino Unido y que fue neutralizado por un sistema de alerta temprana similar al que la banca española quiere introducir ahora en el país.

Un ciudadano que preparaba un cambio de vivienda cedió la llave a su vecino durante un tiempo y le pidió que le recogiera su correspondencia.

El vecino no resistió la tentación de abrir las cartas del banco y, al ver la existencia de fondos y cuentas, decidió hacer fortuna.Se hizo con claves que encontró en la vivienda y utilizó el servicio de banca telefónica de la entidad financiera. Siguió los pasos correctamente para desviar fondos a sus cuentas, pero cometió un error. No supo responder a una pregunta del banco sobre la fecha de nacimiento del cliente y colgó.

La equivocación bastó para que saltara una alerta en el sistema y que una investigación de la procedencia de la llamada, puesta posteriormente en conocimiento de la policía, sirvieran para descubrir todo el pastel.

El proyecto que impulsa el CCI no afecta al ya existente Registro de Aceptaciones Impagadas (RAI).

El RAI es el fichero utilizado por los bancos para ver si una empresa ha devuelto letras o pagarés; es propiedad del CCI y sólo se puede acceder caso a caso y tras consultar un informe.

Fuente: El Mundo
13.03.06

Noticias relacionadas: