Security Architecture and Tool Sets

--Originally published at Security

The Security Architecture and Tool Sets have 5 objectives, and I will define in my words each one of them and add some thoughts about them.

As we saw every project must have some security frameworks, policies, controls and procedures, but it is extremely important to also have Quality Control measures to verify and check the precense and efectiveness of security controls. I think that this is the main objetive because it’s useless having frameworks or procedures if you’re not sure that they work properly.
Nowadays data is usefull for so many purposes, and even security is one of them. You can use data to recommend remedies of security issues. Which data? You can use location, frecuency and behavior.
The third objective is being able to review security architectures and have the knowledge to implement compensating controls.
The fourth one is use security best practices in the software development lifecycle, because as Ken said, you cannot left security to the end, and add it as a complement. You must be thinking about it since the beginning of the project.
The final objetive is being able to compare and contrast various cybersecurity tools and technologies. This doesn’t mean that you should know how to use and implement each one of them, but it is important to know their perks so you can decide which one implement in different escenarios.

Tipos de autenticación

--Originally published at Security

La autenticación es la forma en la que se demuestra que el usuario que utiliza el sistema es quien dice ser. Para lograr este mecanismo de seguridad se puede hacer por medio de 3 elementos.

Lo que se sabe.
Lo que se tiene.
Lo que tú eres.

El primero, lo que se sabe. La forma más sencilla de especificar esto es por medio de una contraseña. La contraseña es el método más simple y económico, pero es necesario asegurarse que la contraseña sea “fuerte”. ¿Cómo? Muy fácil, que la contraseña sea de mínimo 8 caracteres, que tenga minúsculas, mayúsculas, caracteres especiales, números y por supuesto que no sea parecida o igual a otra contraseña propia.

El segundo método son las smartcards y los tokens. Las tarjetas son muy conocidas, se usan en las oficinas, bibliotecas y hasta para entrar en el estacionamiento del Tec. Los tokens se ven más para entrar a los portales bancarios, sí, son esas tarjetitas con una mini pantalla en donde te da un código para ingresar. La desventaja de estos es que se deniega el acceso en caso de no traer alguno de ellos y puede mermar la experiencia de usuario.

El método de “lo que tú eres” es el biométrico. Apple lo hizo famoso con su Touch ID, sin embargo la huella no es la única forma, Samsung utiliza el reconocimiento de Iris y más reciente el iPhone X utiliza reconocimiento facial. Este método es el más caro y más seguro, sin embargo no es infalible, ya que como comenté en un blog pasado (https://softwaresecurity2017.wordpress.com/2017/08/20/do-you-lock-your-smartphone/) se han dado casos en los que se puede engañar a los sensores.

Personalmente no creo que uno sea la mejor opción, sino que combinarlos haría que el nivel de seguridad fuera mucho mejor.

Framework de administración de riesgos

--Originally published at Security

La administración de riesgos es compleja, pero por fortuna las organizaciones no deben diseñar uno desde cero, ni reinventar la rueda. Existen frameworks establecidos y el más usado fue desarrollado por el Instituto Nacional de Tecnología y Estándares, el cual es una agencia federal gubernamental de Estados Unidos. Este proceso es obligatorio para muchos sistemas computacionales del gobierno, pero actualmente muchas instituciones privadas lo han adoptado porque lo han encontrado útil.

El proceso del framwork NIST cuenta con 6 pasos principales, sin embargo, antes de empezar el proceso es necesario tener información de dos categorías:
1.- Descripción de la arquitectura: modelos, limitantes del sistema
información del proceso de negocio, etc.
2.- Información específica de la organización como leyes, políticas,
objetivos, cadenas de suministros, etc.

Ya que se tiene esta información ahora si se puede comenzar a realizar los otros pasos.

1.- Categorizar la información que se almacena, procesa y transmite en el sistema.
2.- Selecciona los controles de seguridad para la información previamente categorizada.
3.- Implementar los controles de seguridad que se seleccionaron.
4.- Revisar si los controles se implementaron correctamente, estánfuncionando y si cumplen los requerimientos de seguridad.
5.- Autorizar la información del sistema.
6.- Monitorear los controles de seguridad para cambiarlos de ser
necesario.

Personalmente este tema me llamó la atención porque jamás me había detenido a pensar en el proceso necesario para administrar, preveer y mitigar riesgos, entonces conocer que existen frameworks en donde basarme cuando sea necesario es de gran ayuda.

Web security

--Originally published at Security

¿Qué es la seguridad web? El nombre es bastante straightforward, pero no es tan fácil definirlo y mucho menos asegurarlo.

Entonces, la seguridad web es mantener al servidor web y sus aplicaciones protegidas y a salvo de cualquier daño. Para lograr esto, la seguridad, es necesario tener en mente dos conceptos indivisibles, que sin ellos sería imposible asegurarla: Awareness & protection. Esto tiene muchísimo sentido ya que como en cualquier aspecto de la vida que busques asegurar, primero es necesario tener conciencia de los riesgo y peligros para después poder protegerlo.

Algo que personalmente he aprendido durante la segunda parte de mi carrera es que en ocasiones se necesitan sacrificar algunas aspectos en aras de potenciar otros. En Bases de Datos Avanzadas vimos que el teorema CAP establece que es imposible para un sistema distribuido asegurar consistencia, disponibilidad y tolerancia a particiones en todo momento. En administración de proyectos hemos visto un triángulo compuesto por: calidad, tiempo y costo; en el cual si una de las 3 se modifica las otras también sufren repercusiones. En seguridad web es lo mismo, en ocasiones es necesario perder usabilidad o facilidad de uso para ganar seguridad, aunque esta última sea imposible de asegurar totalmente, por lo que se debe buscar que cumpla con tus necesidades y metas y que lo que en realidad necesitas de seguridad se ejecute realmente bien.

WT… is Denial of Service?

--Originally published at Computer and Information Security

Hi reader! I hope you are enjoying my posts, this time I am going to talk about DoS (Denial of Service). So, in simple words, this is a common and most used technique by hackers and people that want to see the world burn, it occurs when an attacker takes action that prevents legitimate users from accessing targeted computer systems, devices or other network resources.

This type of attacks usually send a lot of information, data or traffic to a server, through a bunch of other helpers called zombies, in order to staturate the network in that server or victim resources and make it impossible for the victim to use the service properly.

Some characteriztics of this attack are:

Degradation in network performance, especially when attempting to open files stored on the network or accessing websites.
Inability to reach a particular website.
Difficulty in accessing any website.
A higher than usual volume of spam e-mail.
Hard to play a videogame since there is a lot of lag or traffic from the nework.

Resultado de imagen para DoS attack

To restore the normal use of the service in those cases, a reboot of the system fixes the DoS attack, but there are a lot of different types of this attack that can more difficult to recover from:

Buffer overflow attack: Is a catchall description most commonly applied to DoS attacks that send more traffic to a network resource than was ever anticipated by the developers who designed the resource. One example of such an attack sent, as email attachments, files that have 256-character file names to recipients using Netscape or Microsoft email clients; the longer-than-anticipated file names were sufficient to crash those applications.
DDoS attack: The attacker may use computers or other network-connected devices that have been infected by malware and made part of a botnet. Distributed denial-of-service attacks, especially those using botnets, use command-and-control (C&C)

Continue reading "WT… is Denial of Service?" →

EnCt2f77414a168e32e21d0c46de0293ee5fd928f9150f77414a168e32e21d0c46de0f9SQsv2CBQG rZ5NOuFn3uoq9IbqNHOkOIZkQDVwQLXed0mULbym4elmSssBv3Q==IwEmS

--Originally published at Security

Para descifrar el título entrar a https://encipher.it con el password kenbauer

El cifrado data desde tiempos muy antiguos, desde A.C. con el emperador romano Julio César el cual usaba el método de cifrado en honor a su nombre. A pesar de que tiene mucho tiempo se popularizó durante la segunda guerra mundial con la máquina Enigma. Personalmente me interesaba este tema, tanto que tomé un tópico en Semana I del 2016 en donde conocimos parte de la historia y vimos varios métodos de cifrado y programamos en Java para descifrar.

Ahora, ¿qué son los servicios de seguridad? Son los servicios que hacen seguros nuestros sistemas y nuestras transferencias de datos. Son 5. El primero es la confidencialidad la cual se asegura por medio del cifrado. La integridad se asegura por medio de hash, la responsabilidad con una firma digital , el rechazo con un código de autenticación y la disponibilidad, que es el último de ellos, es el más difícil de asegurar.

Algo interesante y que personalmente yo no sabía es que hay dos tipos de ataques, pasivos y activos, pero cuáles son las diferencias. En un ataque pasivo el intruso escucha el mensaje estando escondido, pero no lo modifica, por lo que es más difícil detectarlos. Los ataques activos son en los que el intruso se posiciona en alguna parte de la comunicación como en el man in the middle.

Code of Ethics

--Originally published at How to HACK

Reading the documents for this subject I liked the term all of they were using, code of ethics, sounds great for a document as for the title – also we will discuss about the ethics in programming (code) – that’s why my chose for this post title.

A code of ethics is a document with some rules that an specific person has to follow or it is supposed to follow, just like the rules that are stablished by any institution like the university, etc. Well, this document in particular has some variations, but a few authors agree that it should exist just one global code of ethics for everyone. I think the same, I mean, I can consider myself an ethical person if I follow my code but a different person thinks that’s bullshit if they have a better or more complete code of ethics which to follow.

USENIX has its code of ethics which I liked it because I think it has the necessary and it’s short…(here) The first code that it mentions is the professionalism which in my belief is the most important in any job and the reason is this: […] will not allow personal feelings or beliefs to cause me to treat people unfairly. Follow this rule is difficult but if it is possible, the other rules are easy to complete. This is based on my opinion and anyone can think different.

Talking about computing security, the most popular rule would be privacy which was mentioned in my last post basics of computing security and is part of the code of ethics by USENIX. They declare it as follows

I will access private information on computer systems only when it is necessary in the course of my technical duties. I will

Continue reading "Code of Ethics" →

Ethical Use of Data

--Originally published at Security

I have been thinking about which approach I will be doing this entry, and honestly I had no idea. Then I start reading some articles and I found one that caught my attention, and was about some simple rules given by Sheila Colclasure (Chief Global Privacy and Public Policy Executive at Axciom) to have an ethical use of data. After reading it I decided to give my opinion on each one of the five rules.

WSQ2: Computing Ethics

--Originally published at Título del sitio

ALBERTO————————-

Talk about ethics or moral in technology is a big challenge because we have a lot of ways to analyze, for example in our country Mexico, who is a crime? in base of Federal Penal Code article 7, crime is the act or omission that sanction criminal laws (Jimenez, ND). But in the technology area Mexico is growing because until 2013 the government of Peña Nieto modified some articles in the constitution to include topics about telecommunications like the access to internet, publications or opinions (Cuervo, 2014).

With this information, we find a topic that is controversial in the technologies, the information that we could share, copy, get or use because all new technologies give us access to lot of information like audios, movies, videos, articles, books, publications, etc. All information has an author or owner in consequence this information is not available to get free and we need to pay but people find methods to share information and break the law. One of the most recent and important examples is the history of Aaron Swartz where he downloaded illegally the JSTOR data base and was incriminate for several crimes like computer fraud, wire fraud, criminal forfeiture, etc and the interesting is that most of the charges were based on a law from 1986 and we don’t know is was justice or not.

We share information in many places and is our right but we need to know where is our limit and here is where the ethics are important because in our country is easy download or share file and could be in an illegally way is our decision if we do these actions or not.

Fernando——–

When it comes to talking about computer ethics is very complicated, because as a computer user some things that have

Continue reading →

I can CIA you

--Originally published at Computer Security

While surfing the Internet a lot of thins happen with the websites that we visit. Some of them store information about our location or some data that we provide to log in or sign in, but what if this information falls into the wrong hands?

As we know, in the Internet there´s all kinds of people (even those ones that you couldn’t ever imagine), some of them are malicious persons looking for even the minimum vulnerability on the websites for retrieving information or taking advantages in some way of the security breaches. This breaches could be found by curious people that are looking at the source code of the websites, by people that know about vulnerability on the security or even those users that want to play to be God.

Because of that, exists the renamed CIA (no, I’m not talking about that one that probably is watching you while you reading this)

https://giphy.com/embed/li4hG3WqUqDNm

I’m talking about Confidentiality, Integrity and Availability. This model that allows us to be safe that the websites that we provide our information it’s safe in it (it could be encrypted), that ensures that the information is not altered by malicious people and that can only be acceded by authorized users.

https://giphy.com/embed/bWqZQ2qlXV0Gc

So, it’s not that bad, if the website accomplishes this specifications you can relax, so keep watching memes calmly.

https://giphy.com/embed/14f7i886ytj56