Una de las preguntas mas complicadas y que mas confunden a todas las organizaciones, es ¿En que nivel estoy?

Esta es una pregunta importante ya que esto determina el trabajo que se debe realizar para el cumplimeinto con la nomra PCI DSS, la herramienta que les recomiendo en este artículo permite tener una vision rapida del nivel en el que la organización como comerciante o proveedor se encuentra, con esto podra tomarse una decición sobre el tiepo de formulario y activaidades que se deberan llevar a cabo.

Sin embargo es buena practica establecer comunicación con su adquiriente y preguntar que es lo que se debe completar, la otra opcion es contactar con un Asesor calificado QSA, para que este les clarifique cual es el nivel, cuestionario y posibles estrategias a seguir.

Para comenzar, le recomiendo ingresar a la siguiente dirección y probar.

Whatlevelami.com

¿What Level am I (Qué nivel estoy)? Está diseñado para ayudar a las organizaciones determinar su nivel de PCI, respondiendo a una breve serie de preguntas permite ver un resultado

Url: http://www.whatlevelami.com/

Hora de cambiar el navegador en la empresa

Pwn2Own 2011

Este marzo se ejecuto la 5ta versión de Pwn2Own, un evento organizado con la finalidad atraer investigadores de la seguridad, hackers eticos y cualquiera que crea poder probar su habilidad en seguridad tratando de obtener acceso a distintos sistemas mediante ataques no conocidos o documentados.

El evento recibe su nombre ya que, como sus organizadores de CanSecWest explican, ”Si se puede ejecutar código arbitrario (PWN) en  los ordenadores portátiles o teléfonos móviles a través de un navegador (Firefox, IE, Safari) usando una vulnerabilidad no divulgada previamente, puede llevarse el computador a casa (OWN)” junto a una remuneración economica muy buena.

Pwn2Own es auspiciada nada menos que por HP, los propietarios de la Zero Day Initiative de TippingPoint (ZDI). ZDI es un programa que paga por las vulnerabilidades, favoreciendo así a los cazadores de errores de forma que los resultados sirvan para retro alimentar a la comunidad de seguridad en lugar de venderse a los ciberdelincuentes. Pwn2Own añade algo de competitividad abierta en el negocio de la búsqueda de errores!

En esta edición como en otras los resultados fueron muy interesantes y nos permiten replantear en las estrategias y estándares en nuestras organizaciones ya que nuevamente se demuestra la inseguridad de los programas con los que trabajamos diariamente.

Resultados

• Entre los navegadores que se probaron, puedes encontrar Safari en el iPhone,Safari 4 para Mac Os X, Mozilla Firefox 3 e Internet Explorer 8 en Windows 7 y Chrome. de estos:
• Los investigadores de seguridad Vincenzo Iozzo y Ralf Philipp Weinmann lograron “hackear” la protección del iPhone a través de Safari en sólo 20 segundos. Para ello se utiliza un exploit que se integra en una página web y, al abrir esta página, el hacker puede enviar a un servidor remoto todos los mensajes de texto en la memoria del dispositivo.
• Para IE8 y Firefox 3 en Windows 7, un hacker, utilizo exploits diferentes que permiten al intruso de circunvalación, en ambos casos de ASLR y la protección DEP, permitiendo ejecutar código sin restricción.
• El único navegador que no ha sucumbido a los esfuerzos de los profesionales es Google Chrome 4, pese a que Google ofreció 20.000 dolares adicionales a quien lo conquiste. Dijeron que es debido a su arquitectura basada en caja de arena -Sandbox-  que impide la ejecución de código que permitiría cambiar el sistema, o acceder a datos sensibles.

Conclusión

Son ya cinco los eventos Pwn2Own realizados  por HP, y en estos siempre los primeros en ser hackeados son los sistemas operativos Windows y Apple y en el caso de los navegadores son Internet Explorer y Safari, esto deberia llevarnos a considerar si es realmente una buena estrategia mantener, en especial estos navegadores en nuestras organizaciones.

Por los resultados presentados en este evento, se puede pensar que Google es la empresa que tiene mas clara la estrategia de seguridad respecto a su navegador y no olvidemos que actualmente la forma mas sencilla de violentar la seguridad de su empresa y obtener acceso a información es sin duda atacando al usuario final mediante del navegador.

Referencias:

• Ducklin, P., 2011. PWN2OWN – Apple v. Google v. Microsoft v. Mozilla v. BlackBerry! | Naked Security. nakedsecurity.sophos.com, p.1. Available at: http://nakedsecurity.sophos.com/2011/03/14/pwn2own-2011-results/ [Accessed March 26, 2011].
• Partnoy, A., 2011. Announcing pwn2own 2011. DVabs Tippingpoint, p.1. Available at: http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011 [Accessed March 26, 2011].
• Naraine, R., 2011. Pwn2Own 2011: Google offering $20,000 for Chrome sandbox exploit | ZDNet. Zdnet Security Blog, p.1. Available at: http://www.zdnet.com/blog/security/pwn2own-2011-google-offering-20000-for-chrome-sandbox-exploit/8051 [Accessed March 26, 2011].

Un tema que se requiere revisar y que probablemente es uno de los que con regularidad se olvida para la implementación de PCI DSS es la Concientización de la Organización.

Se debe entender que el PCI, pide que se realice concientización, que se implemente un plan y se lo ejecute.

Para esto lo que se necesita es establecer un plan anualizado, que contemple la educación de los usuarios del sistema en un cronograma fijo, y que la ejecución de este plan produzca entregables que se puedan presentar al momento en que el auditor QSA solicite esta información.
De esto se debe recordar que este plan se debe establecer de forma que durante el año se afecte a cada individuo en la organización.

Para que esta información llegue a todos, se deben considerar estrategias como:

• e-learning
• posters
• correos a la organización
• posters, etc.

No se deben olvidar temas como:

• Comunicación de políticas de seguridad a la organización
• Comportamiento correcto
• Problemas de seguridad que se enfrentan día a día
• Riesgos que uno puede afrontar
• Como proteger a la compañía
• Seguridad de información general, etc.

Por último no olvidar que en el plan se deben considerar temas especializados para los usuarios de mayor riesgo:

• Desarrolladores
• Operadores de Centros de Computo
• Áreas de tecnología
• Áreas de facturación
• Gerencias, etc.

Se debe entender la importancia de este tipo de planes y no solo tomarlos como un requerimiento adicional para PCI DSS, si no porque estos fortalecen importantemente la seguridad de la organización, combaten de forma apropiada los riesgos de la Ingeniería Social y reducen significativamente los riesgos de compromiso de la red en la organización.

Recursos:

• SANS: http://www.securingthehuman.org/
• Security awarness Posters: http://bit.ly/h5PvOG
• SecurityCartoon.com:http://www.securitycartoon.com/

El 28 de octubre del 2010 se publico la nueva versión de PCI-DSS, la cual será valida para los proceso de certificación desde el 1ro de enero del 2011.

La nueva norma principalmente muestra cambios importantes en sentido aclaratorio, con esto lo que se puede esperar es que la implementación sea más sencilla de comprender

En los siguientes artículos revisare varios cambios de la norma, incluyendo la aclaración sobre el alcance, entornos virtualizados y otros temas.

En este artículo hare una breve revisión sobre el tema de Plantillas de configuración y endurecimiento, esto ya que tengo un artículo anterior en el que ya toco este tema (Plantillas de Configuración para la Infraestructura Tecnológica).

Plantillas de Configuración y Endurecimiento, según el PDI-DSS v2.0

En el requerimiento 2 de la norma “No utilice los valores predeterminados que ofrece el proveedor para las contraseñas del sistema y otros parámetros de seguridad”, se establece en el punto 2.2 la necesidad de elaborar Plantillas de Seguridad y Endurecimiento, los que denomina “Estándares de configuración”.

En la nueva versión, la norma ya nos especifica de forma clara tres puntos fundamentales:

1. Los documentos generados deben contener información para resolver las vulnerabilidades conocidas en estos sistemas.
2. Deben estar alineados a los documentos emitidos y aceptados por la industria para el endurecimiento de los mismos.
3. Las referencias aceptadas por PCI-DSS sin limitarse a las mismas son CIS, ISO, SANS, NIST pudiendo considerarse las emitidas adicionalmente por los proveedores (Ej. Microsoft, CISCO, HP, Redhat, Etc.)

Y dentro de esto se verificara:

Que la documentación este alineado a estándares reconocidos, que se actualicen los documentos con regularidad para reflejar que se estén aplicando soluciones a vulnerabilidades conocidas, que estos estándares se apliquen en todo sistema nuevo y finalmente que se incluyan en la documentación los puntos 2.2.1 – Implementar una sola función por servidor y 2.2.4 – Eliminar todas las funcionalidades no esenciales.

De esta forma en la nueva versión no debe quedar duda sobre como elaborar esta documentación que es esencial para mantener un mejor nivel de seguridad en todos los elementos del sistema.

Referencias:

Plantillas de Configuración para la Infraestructura Tecnológica

PCI-DSS – Libreria de Documentos

Según PCI-DSS 2.0

2.2: Desarrollar estándares de configuración para todos los componentes del sistema. Asegúrese de que estas plantillas contengan información para administrar las vulnerabilidades más conocidas para estos sistemas y que son compatibles con las normas aceptadas en la industria respecto al endurecimiento del sistema.

Las referencias en endurecimiento aceptadas sin limitarse a las mismas para la elaboración de las plantillas son:

• Center for Internet Security (CIS)
• International Organization for Standardization (ISO)
• SysAdmin Audit Network Security (SANS) Institute
• National Institute of Standards Technology (NIST)

NOTA: El documento actual de PCI a la fecha de publicación no tiene una traducción oficial al español, el texto incluido es una traducción realizada para el artículo.

El Servicio Secreto de Estados Unidos, el Buro Federal de Investigación (FBI), El Centro de Afección de Crimen en Internet (IC3 ), y el Servicio de Información y Análisis Financiero (FS-ISAC) han publicado un documento en el que se advierte a los Consumidores sobre los últimas actividades criminales en internet.

El documento “Involvement in Criminal Activity through Work from Home Scams (PDF).” advierte claramente que las organizaciones deben mejorar sus sistemas de seguridad con el fin de evitar fraudes financieros que ponen en peligro a las mismas.

En este documentos e explica que los criminales están usando diferentes técnicas para comprometer los sistemas de las organizaciones y de esta forma apoderarse de las cuentas financieras y de esta forma transferir los fondos, los cuales pasaran luego pro un proceso de limpieza.

Para el lavado del dinero robado, el crimen organizado está utilizando la prensa y medios similares para reclutar incautos ofreciendo beneficios a quienes presten sus cuentas bancarias.

El documento como tal debe servir como alerta general ya que los ataques a las empresas pueden extenderse a nuestros países, y además las técnicas y ofrecimientos para lavado de dinero llegaran pronto afectando a quienes sin saberlo se presenten para estas actividades criminales.

Referencias: documento PDF - Involvement in Criminal Activity through Work from Home Scams

Nota: Este es un documento que se publico en el Portal de Banred, es parte de una serie de artículos cortos que estoy publicando sobre PCI.

En el año 2005 y luego de las enormes pérdidas económicas producidas como consecuencia del creciente robo de datos de tarjetas de crédito y fraudes a nivel mundial, el Concilio de la Industria de Tarjetas de Pago conformado por las marcas de tarjetas de pago más importantes (Visa International, MasterCard Worldwide, American Express, JCB y Discover Financial Services) desarrollo y adopto los estándares PCI DSS (Payment Card Industry Data Security Standards) stándares de Seguridad de Datos de la Industria de las Tarjetas de Pago.

Estos estándares constituyen la normativa de seguridad de información que debe ser utilizada para toda empresa u organización que almacene, procese o trasmita datos de tarjetas de crédito.

Qué es el PCI-DSS ?
PCI-DSS es un conjunto de directrices de prácticas de seguridad de red y empresariales que deben ser observados y aplicados con la finalidad de garantizar la seguridad de la información, disminuyendo el riesgo de compromiso de esta información mediante un manejo adecuado de los datos de las tarjetas de pago.

El PCI-DSS es además un acuerdo contractual que describe en detalle cómo deben ser manejados los datos sensibles de las tarjetas de pago. La norma describe claramente lo que debe hacer en forma de “Cumplimiento de Requisitos” y la forma de demostrarlo en forma de “Requerimientos de validación”.

Requisitos de Cumplimiento
La norma PCI DSS se compone de un conjunto de doce requisitos de cumplimiento general en torno a seis objetivos principales conocidos como “objetivos de control”.

Cada uno de los doce requerimientos incluye una serie de controles de cumplimiento que juntos permiten crear un programa eficiente de seguridad orientado a la protección de números de tarjetas de pago y otros datos sensibles (tabla 1).

Conclusión
El cumplimiento de la normativa PCI DSS es responsabilidad ineludible, no opcional, de todos los negocios que manejan información de titulares de tarjeta incluyendo comercios, comercio electrónico, venta por correo, venta por teléfono, procesadores de pagos, bancos y proveedores de servicios (independientemente del tamaño del negocio).

Es estándar ha sido diseñado principalmente como una guía que permita el establecimiento de un programa de seguridad en sentido de línea base para las organizaciones. Como tal se recomienda que todas las organizaciones que manejan datos de Tarjetas de Pago, observen y apliquen el estándar.
Banred ha decidido adoptar al estándar de seguridad e implantarlo en la organización como parte de una estrategia para el endurecimiento de la plataforma tecnológica, además proponerlo e impulsarlo entre las instituciones miembros de la red de cajeros ATM con la finalidad de fortalecer en forma general a todos los que conformamos esta red.

Referencia:

• Documento Original
• Banred.fin.ec

Si, es imperativo que aprendamos a cubrir con nuetras manos al introducir el PIN o Codigo de acceso al usar el Cajero Automatico (ATM).

En el siguiente vídeo, podemos ver claramente la diferencia entre escibir el codigo de acceso en el ATM sin cubrir el teclado y mas tarde aquellas personas que si tuvieron la precaución de cubrilo.

Lo interesante del vídeo, es que el mismo fue tomado con una cámara escondida por verdaderos ladrones “clonadores” de tarjetas de crédito. La cámara fue encontrada por la gente de seguridad de un banco y el vidéo fue publicado con la intención de que podamos observar por que es tan importante aprender a proteger la clave.

Por último recordemos que esto no es un problema de otros países, este es un problema cotidiano en nuestro país, y con la precaución de ocultar la calve al escribirla nos protegemos. – Pasa la voz -

Para cerrar, lo dejo con otro vídeo, en el que se explica como se hace el skimming en los cajeros.

Una de las preguntas más comunes que he escuchado respecto a la configuración segura que exige la norma es, “De que se trata y donde consigo las Plantillas de configuración que me pide PCI”.

En la norma, el punto de control 2.2, pide que se desarrollen normas de configuración para los componentes del sistema, que en estas se contemplen la resolución de vulnerabilidades de seguridad conocidas y por último que estas normas elaboradas concuerden o estén basadas en los documentos emitidos como normas de alta seguridad y que sean aceptadas por la industria.

Como parte del punto de control se aclara en 2.2.a, que estas normas de configuración de sistemas de la organización incluyan a todos los equipos y que estén elaboradas en base y contemplando las mejores prácticas y recomendaciones aceptadas por la industria, en este caso ya haciendo referencia a entidades como: SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS) [Ver referencia].

El problema de esta exigencia radica en el desconocimiento de las fuentes a las que se puede acceder para tomar los referentes necesarios para esta documentación requerida y adicionalmente el significado de que comprende el cumplimiento del mismo.

 Una vista de pájaro

En pocas palabras, el PCI busca que se establezca una norma clara para loa configuración de los sistemas, tanto nuevos como aquellos en producción, en la que se contemplen los puntos de la norma referentes al tema. Adicionalmente se deberá establecer la documentación necesaria para realizar una configuración y endurecimiento de los sistemas y la forma en la que se revisara el cumplimiento de la misma y la documentación y generación de entregables para el QSA.

Desarrollo de normas de configuración - Para el desarrollo de la norma o política de configuración, se debería contemplar en la misma como mínimo:

• La creación de plantillas de configuración, que serán basadas en recomendaciones de industria y serán aplicadas en los sistemas pertenecientes al ambiente de tarjetas de pago
• Los sistemas pertenecientes al ambiente se mantendrán en una instalación de función única para cada servidor
• Se deshabilitara de estos sistemas todos los servicios, protocolos que sean inseguros o que no sean necesarios
• Configurar adecuadamente los parámetros de seguridad de los componentes de los sistemas.

Adicionalmente puede ser el lugar apropiado para incluir:

• Eliminar todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios.
• Solo se usaran accesos administrativos seguros y encriptados como SSH, VPN o SSL/TSL para acceder públicamente a los sistemas.
• Cambiar los valores predeterminados de los sistemas operativos y aplicaciones a instalar.
• Se realizara un análisis de vulnerabilidades en todo sistema nuevo, el cual solo entrara a producción luego de resolver cualquier encuentro.

Plantillas de configuración - En las plantillas es donde conviene la revisión de los documentos publicados por organizaciones como CIS, NIST o NSA. Para este caso se debe seleccionar la plantilla que corresponde al sistema operativo, aplicación o servicio y luego se debe revisar cada parámetro recomendado.

Con estas se debería elaborar un documento en el que se contemple cuales son los parámetros de sistema que se aplicaran, que configuraciones adicionales o cambios se realizaran en el sistema.

Revisión de cumplimiento – Para este punto, existen dos formas de ejecución, la primera es la revisión manual con una lista de cumplimiento (checklist) y la segunda que es más apropiada y racional, apoyándose en un sistema que permita la revisión automatizada y la generación de un informe de incumplimiento.

Para el caso de las aplicaciones mencionadas, por lo general uno inicia revisando plantillas internas en las que uno ajusta los valores a revisar basándose en las plantillas generadas. Luego se ejecuta un análisis contra los equipos que comparara cada parámetro con la configuración y reportara cada configuración que no esté alineada a la plantilla.

Estas aplicaciones generan documentación que por lo general deberán servir como muestra para cualquier auditor calificado “QSA”.

Conclusión

El PCI DSS establece de forma clara las regalas bajo las cuales deben configurarse todos los elementos pertenecientes al ambiente de tarjetas de pago y nos presenta todas las consideraciones respecto a los controles que se deben establecer para lograr una seguridad base. Siendo clara la posición del estándar, lo que se debe hacer es crear la norma o mejorar la que se tiene para que incluya los puntos requeridos; establecer las plantillas y configurar los sistemas. Considerando la documentación de todo el proceso que va a ser de utilidad como documentación a entregar al auditor. Y finalmente revisando trimestralmente que los equipos sigan configurados de la forma que se establece en la norma y las plantillas generadas. Nuevamente se debe considerar que lo que pide el estándar, es siempre una línea base sobre la que podemos construir continuamente una mejor seguridad.

NOTA: Revisar “Plantillas de seguridad – PCI-DSS V2.0“, una breve discusión sobre cambios al requerimiento en la nueva versión de la norma.  

Referencias:

SysAdmin Audit Network Security (SANS).- http://www.sans.org/

• Políticas

National Institute of Standards Technology (NIST).- http://www.nist.gov/index.html

• Information Technology
• Computer Security
• Publicaciones
• Repositorio de recomendaciones

Center for Internet Security (CIS).- http://cisecurity.org

• CIS Benchmarks

National Security Agency (NSA).- http://www.nsa.gov/

• Guías de Configuración

Aplicaciones de análisis automatizado de políticas:

Las siguientes son algunas de las herramientas que conozco hacer una buen trabajo en el análisis de políticas en la red, de estas las dos primeras las he podido usar siendo estas sobresalientes en el trabajo que realizan.

Qualys – Policy Compliance

• http://www.qualys.com/products/qg_suite/policy_compliance/

Nessus – Tenable

• http://www.nessus.org/products/professional-feed/index.php?view=compliance_checks

Policy Comander

• http://www.policycommander.es/

IT Sentinel

• http://www.opnet.com/solutions/network_planning_operations/it_sentinel.html

En la norma PCI-DSS

En Procedimientos de evaluación de seguridad y requisitos de las DSS de la PCI, v1.2

Pág. 19, 2.2 .- Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en la industria.

Pág. 19, 2.2.a .- Evalúe las normas de configuración de sistema de la organización para todos los tipos de componentes de sistema y controle que las normas de configuración de sistema concuerden con las normas de alta seguridad aceptadas en la industria, por ejemplo, SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS).

Exploración de PCI DSS: Comprensión del objetivo de los requisitos; versión 1.2

Pág. 19, Guía – 2.2 .- Existen debilidades conocidas en muchos sistemas operativos, bases de datos y aplicaciones de empresas, y también existen formas conocidas de configurar estos sistemas para arreglar las vulnerabilidades de seguridad. Para ayudar a quienes no son expertos en seguridad, las organizaciones de seguridad han establecido recomendaciones de alta seguridad de sistema, que aconsejan cómo corregir estas debilidades. Si no se eliminan estas debilidades de los sistemas, como una configuración de archivo débil o servicios y protocolos predeterminados (para los servicios o protocolos que generalmente no son necesarios), un atacante puede usar distintos puntos vulnerables conocidos para atacar servicios y protocolos vulnerables y, así, obtener acceso a la red de la organización.

Han pasado ya varias semanas desde el ultimo post, y a mi se me esta cayendo la cara de vergüenza.

Bueno hasta encontrar el tiempo para escribir artículos mas extensos, seguiré escribiendo una seria de artículos chicos con novedades que les pueden ser de interés.

Hoy una recomendación para quienes buscan probar productos de primera.

Como es de conocimiento de muchos la empresa Qualys, se dedica a productos para la gestión de vulnerabilidades, cumplimiento de políticas y otros similares.

Esta empresa ya desde hace unos meses como parte de la promoción y crecimiento normal de su catalogo de productos, nos ofrece tres paquetes gratuitos que nos pueden ayuda a mantener nuestra página segura, libre de vulnerabilidades y a probar sus productos que la verdad a mi me parecen de los mejores del mercado.

1. Qualys Guard gratis por 15 días. Si este es el producto estrella de la compañía, que además de ofrecernos un producto estrella para la detección y control de vulnerabuilidades, nos ofrece una suite completa para el seguimiento y gestión de implemento de la norma PCI-DSS.

Descripción del producto: http://www.qualys.com/products/qg_suite/

15 días gratis: http://www.qualys.com/forms/trials/qualysguard/

2. Un Scan Completo gratuito para un IP. Con el que puedes comparar y comprobar las bondades más básicas del producto completo o para quienes les es útil una herramienta para una sola IP publica.

http://www.qualys.com/forms/trials/qualysguard_free_scan/

3. GOSecure. Una herramienta que te permite analizar tu pagina, blog o sitio web para saber si en el están sembrados distintos tipos de amenazas. Cosa que permite saber que neutro sitio no es una amenaza para el resto.

http://www.qualys.com/products/qg_suite/GO_SECURE/

Pruebenlos, si les gustan contacten a la compañía para que un especialista los visite, seguro les ofrecera la suite completa de sus productos de forma gratuita para una evaluación, incluyendo el apliance que permitirá revisar su red interna (Sin costo alguno, ellos corren incluso con el costo de envio y devolución). Si todo esto sin costo.

Si necesitan, escriban en la hoja de contactos de esta pagina y les envío el nombre y dirección completa del representante de Qualys para que lo contacten directamente.