Mostrando entradas con la etiqueta grada. Mostrar todas las entradas
Mostrando entradas con la etiqueta grada. Mostrar todas las entradas

lunes, 17 de noviembre de 2014

FOCA: Los metadatos nos traicionan




 
FOCA: Los metadatos nos traicionan

     
        A estas alturas cualquiera de nosotros limpia de metadatos las fotografías, los archivos que publicamos en nuestras webs y blogs, en redes sociales, incluso los selfies; tenemos establecidos procedimientos y herramientas de identificación y eliminación en nuestras empresas o entidades para que todo lo publicado no facilite una mínima pista a los atacantes de nuestros sistemas.

     No son hackers los que van a tratar de vulnerar el sistema; en todo caso, son delincuentes. El ‘hacktivismo’ ético tiene como objetivo favorecer el conocimiento sobre las vulnerabilidades de los dispositivos y redes, además de proponer soluciones para hacerlos más seguros.

     Si no estamos en el control de las publicaciones de metadatos, datos perdidos e información oculta, es el momento de tomar consciencia de cuánto nos estamos jugando. ¿Qué pueden encontrar en los metadatos? Los nombres de empleados, nombres de cuentas de usuarios de sistemas, fechas de creación y modificación, coordenadas GPS de geolocalización en fotografías, versiones de software, rutas de directorios, emails, direcciones MAC de tarjetas de red, direcciones IPs, contraseñas, etc. Con el análisis correcto de esos datos pueden obtener un mapa de red perfectamente estructurado con la información de servidores, clientes, usuarios, lo saben todo.




         Previo al ataque del sistema, realizando un análisis de los metadatos (datos ocultos) en los ficheros (pdf, doc, xls…) publicados en nuestra web o blog, y utilizando técnicas como ‘fingerprinting’ e ‘información gathering’, obtienen todo lo necesario para encontrar las vulnerabilidades del sistema.

     Dañar nuestra reputación online o manipular nuestra identidad digital se hace especialmente atractivo para quienes, con fines delictivos, utilizan la propia información que les favorecemos con nuestros documentos.

     La norma ISO/IEC 27001 recomienda establecer un proceso de revisión de los documentos antes de hacerlos públicos, y accesibles. De la misma forma, para la Administración Electrónica, el R.D. 3/2010, regula el ENS y obliga a la limpieza de documentos antes de ser publicados.
  
     De la mano de Chema Alonso y el equipo de Eleven Patchs (Fingerprinting Organizations with Collected Archives) con la que podemos encontrar metadatos e información en los documentos que descargamos de la red.

     Los ficheros se localizan con diferentes buscadores: Google, Bing o Exalead. Los documentos pueden ser  de distintos tipos: Microsoft Office, Open Office, ficheros pdf, docx, jpeg, odf. Los elaborados con aplicaciones de diseño también son analizables. A través de la url de un sitio, o con el análisis de ficheros locales, podemos obtener información EXIF.
Con todo ello conoceremos los equipos donde han sido creados, así como los servidores y clientes que pueden esta relacionados.

     Deducir si un trabajo ha sido elaborado por la persona firmante (autora) o ha sido modificado previamente, tanto si lo ha sido un archivo, ¿por quién?, ¿cuándo?, ¿qué cambios?, ¿dónde lo han enviado?, ¿modelo de la cámara con la que se ha realizado?, puede servirnos de utilidad para proteger nuestros intereses.

     Rastreando la red podemos adquirir los conocimientos para hacerlo nosotros mismos.


Recursos:

INTECO
https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/Metadatos_webs_empresas

Análisis forense de metadatos

Eleven Paths – FOCA:
https://www.elevenpaths.com/es/labstools/foca-2/index.html


miércoles, 15 de octubre de 2014

Certificados y facturación electrónica: a un ´click´ más fácil



Portada Revista GRADA - octubre 2014 - #Grada83

Certificados y facturación electrónica: a un ‘click’ más fácil

     Amazon, que desembarcó en España en 2011 (aunque Jeff Bezos la fundó en 1994), es el líder mundial del ‘ecommerce’, y, junto a Google, la empresa de base tecnológica con mayor número de patentes tecnológicas; entre ellas, quizá la más relevante es ‘un solo click’, una innovación basada en la experiencia del usuario frente a su tienda online que revolucionó el comercio electrónico, junto con el abono del producto al ser recibido.

     A finales de los años sesenta del siglo pasado ya existían protocolos criptográficos para cifrar certificados electrónicos que asocian los datos de personas físicas, empresas y organismos a un fichero digital único, equiparable a nuestra identidad jurídica, lo que permite validar la autenticación de un usuario, sitio web, documento, software, y muchos otros usos que requieren tiempo, desplazamientos y costes.

     En España, la actual Ley 59/2003 de firma electrónica se ajusta a la Directiva 98/34/CE y fue desarrollada en el Real Decreto 1337/1999, que regulaba las normas que hasta el momento han conformado el marco jurídico que garantiza los certificados electrónicos y las transacciones digitales validadas. El Reglamento de la UE 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, deroga la Directiva 1999/93/CE, ofreciendo servicios de confianza a un mercado transfronterizo, intersectorial, y hasta el momento sin garantías para la seguridad en las transacciones.

     Así, procesos que hasta ahora requerían engorrosas tareas administrativas a empresas, organismos y ciudadanos (solicitar certificados de nacimiento, gestiones en la Seguridad Social, consultar los puntos del carnet de conducir...), se encuentran al alcance de un ‘click’ si se ha solicitado en sede electrónica el certificado digital y la firma electrónica y se ha validado nuestra identidad ante los prestadores de servicios de acreditación.



     
     Por otro lado, conforme a la Ley 25/2013 de impulso de la factura electrónica y creación de registro contable de facturas en el sector público, desde el próximo mes de enero las facturas que se remitan a las Administraciones Públicas serán electrónicas, lo que implica un mejor control contable de las facturas pendientes de pago, contribuyendo a mejorar el control del gasto público y reforzar la transparencia. En este sentido, Facturae, aplicación de software abierto desarrollada por el Ministerio de Industria, permite generar facturas electrónicas de manera sencilla, lo que la hace especialmente útil para pymes y trabajadores autónomos, evitando el almacenamiento de facturas en papel y el consiguiente ahorro de costes, mayor eficiencia y productividad, tareas automatizadas, control de errores y reducción de la morosidad.

     A modo de conclusión, nadie nos ha facilitado un ‘manual de supervivencia para la eAdministracion’ que nos permita incorporar con facilidad el uso de estas tecnologías; de momento no se consigue generar la ‘cultura de firmar documentos electrónicamente’ a través de aplicaciones tan diversas como Adobe Acrobat Reader, Microsoft Word, Microsoft Outlook, OpenOffice... y tantas otras que podrían hacer más eficaces y eficientes nuestras actividades empresariales, profesionales, académicas y vitales.

Recursos:

Sede electrónica FNMT-RCM:
www.cert.fnmt.es/certificados
VALIDe:
https://valide.redsara.es/valide
Portal de la Administración electrónica
http://administracionelectronica.gob.es/pae_Home
ECoFirma:
https://sede.minetur.gob.es/es-ES/firmaelectronica/Paginas/eCoFirma.aspx
Punto general de entrada de facturas electrónicas:
https://valide.redsara.es/valide/