Analytics

viernes, 16 de agosto de 2013

El PCI Council avanza nuevos cambios para PCI DSS y PA DSS

Hoy, el PCI Security Standards Council (PCI SSC), foro global y abierto para el desarrollo de estándares en materia de seguridad de tarjetas de pago, ha publicado PCI Data Security Standard (PCI DSS) and Payment Application Data Security Standard (PA-DSS) 3.0 Change Highlights, un PDF con las principales modificaciones, para la versión 3.0, del estándar de seguridad de datos de aplicaciones de pagos (PA-DSS) y el estándar de seguridad de datos (PCI DSS), dónde podremos encontrar un anticipo de la nueva versión de los estándares, cuya publicación está prevista para noviembre de 2013.

Los cambios que se realizarán en los estándares han sido clasificados en tres categorías:

Aclaración (Clarification): Cambios principalmente en el texto descriptivo del control, orientado hacia una mejor explicación del objetivo. 

Guía adicional (Additional Guidance): Introduce ejemplos, instrucciones o definiciones adicionales que permiten aumentar el entendimiento o proporcionar mayor información en relación con algún aspecto del requisito.

Evolución del requisito (Evolving Requirement): Modificaciones completas o parciales del control que implican un cambio importante con el fin de adaptarse a las amenazas emergentes y/o cambios en el mercado.

A continuación se enumeran los cambios más importantes en cada uno de los estándares. Sin embargo, este listado está sujeto a modificaciones hasta que se realice la publicación final.

Cambios previstos en PCI DSS v3.0

Entre los principales cambios previstos en PCI DSS v3.0 se encuentran:
  • Mantener un diagrama de red que describa los flujos de datos de tarjetas de pago
  • Mantener un inventario de componentes de sistema dentro del alcance de cumplimiento (ver Cardholder Data Matrix)
  • Evaluar las amenazas provenientes de malware para sistemas que no son comúnmente afectados por malware
  • Actualización de la lista de vulnerabilidades comúnes para alinearse con OWASP, NIST, SANS, etc. para ser incluidas en prácticas de desarrollo seguro de software
  • Consideraciones adicionales de seguridad para mecanismos de autenticación tales como tokens físicos, smart cards y certificados
  • Protección contra manipulación o sustitución de terminales TPV (POS) y otros dispositivos
  • Implementar una metodología para la ejecución de pruebas de penetración y ejecución de este tipo de pruebas para verificar que los métodos de segmentación son operacionales y efectivos
  • Mantener información acerca de los controles de PCI DSS gestionados por proveedores de servicio y por la entidad. Los proveedores de servicio deben reconocer y aceptar su responsabilidad en el mantenimiento de los controles de PCI DSS que les aplican

Cambios previstos en PA DSS v3.0

Entre los principales cambios previstos en PA DSS v3.0 se encuentran:
  • Mejoras en los requerimientos orientados a los procesos de desarrollo de sistemas incluyendo revisiones de seguridad periódicas, verificación de la integridad del código fuente, una metodología de gestión de versiones, uso de técnicas de aplicación orientadas a modelado de amenazas en aplicaciones (application threat-modeling techniques) y un proceso de autorización formal antes de la publicación (release) final.
  • Actualización de la lista de vulnerabilidades comúnes para alinearse con OWASP, NIST, SANS, etc. para ser incluidas en prácticas de desarrollo seguro de software
  • Nuevos requerimientos para vendedores de aplicaciones de pago para proveer “Release Notes” en todas las actualizaciones
  • Nuevos requerimientos para la formación y entrenamiento de integradores/distribuidores (integrators/resellers) y personal de ventas

Fechas clave en el despliegue de las normas:

  • 4 - 5 Sept - Preparing for PCI DSS and PA-DSS 3.0: Standards Change Highlights Webinar (general public)
  • Early Sept - Draft versions of standards shared with PCI community
  • Sept, Oct, Nov - Community Meetings - Standards Discussed
  • 7 Nov - Standards Published
  • 1 Jan 2014 - Standards Become Effective

El listado completo de todos los cambios previstos se puede encontrar en el documento “Version 3.0 Change Highlights“.
Descárgate el pdf

Referencias

http://www.pcihispano.com



Autor: David Eduardo Acosta - CISSP, CISA, CISM, PCI QSA, CCNA Security, OPST, CHFI Instructor, BS25999 Lead AuditorDepartamento de Consultoría

viernes, 9 de agosto de 2013

A vueltas con las Fugas de Datos

Information is Beautiful ha publicado una infografía donde podemos revisar donde se han llevado a cabo ataques informáticos a consecuencia de los cuales se han producido importantes fugas de datos.

A vueltas con  las Fugas de Datos
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/


Este tipo de situaciones ponen al descubierto la ineficacia o insuficiencia, de las medidas de seguridad que las empresas adoptan para su protección.

Si bien estas noticias suelen causar bastante alarma en la red, en general los responsables de las empresas lo ven como un tema “que afecta a otros” y nunca se ven a sí mismos como la  víctima de este tipo de situaciones.

Debemos recordar que implantar medidas técnicas y organizativas que garanticen la seguridad de la información es una necesidad pero también una obligación.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, es la normativa de referencia en materia de seguridad en el tratamiento de datos personales e impone una serie de obligaciones al respecto.

Su incumplimiento, si bien acarrea graves consecuencias económicas a las empresas infractoras tiene otra grave consecuencia, el deterioro de la imagen pública de estas empresas.

Pero no solo debemos preocuparnos por los Datos de carácter Personal sino en general por toda la información de nuestras organizaciones, aplicando medidas correctivas. Una auditoría de nuestra red perimetral o una revisión interna puede evitarnos muchos quebraderos de cabeza, y evitar andar a vueltas con las fugas de datos en nuestra empresa.


Autor: María del Carmen Areces
Departamento Comercial


miércoles, 7 de agosto de 2013

Learning by doing

Una de las principales características de un buen pentester es la capacidad de mantener una formación continuada.

No es ningún secreto que para ser eficiente y efectivo como pentester debes estar actualizado y al corriente de las nuevas vulnerabilidades y de las nuevas metodologías de ataque y defensa. Un modo de conseguirlo es leer. Leer toda la información que seas capaz e intentar absorber los conocimientos que puedas. Leer libros, papers, blogs, advisories, noticias, etc. Sin embargo, una cosa es leer y la otra es interiorizar esos conocimientos.

Es cierto que cuando uno lee un artículo, obtiene unos conocimientos generales que le permiten saber de lo que se está hablando dada una situación que lo requiera, sin embargo, el trabajo de un pentester va más allá de entender las cosas por encima. Un pentester debe ser capaz de poner en práctica los conocimientos adquiridos y entender todos los detalles involucrados para ser capaz de llevar a cabo una intrusión exitosa. Y es aquí donde entran en juego los wargames.

Un wargame no es más que un juego que nos permite poner en práctica los conocimientos que hemos obtenido de artículos, papers, advisories, etc. Nos permite llevar a cabo los ataques que de otro modo no podríamos probar. De esta manera, practicando, es como los conocimientos arraigan y nos permiten tener la seguridad de que somos capaces de realizar un ataque que podría ser complejo técnicamente.

Hay diferentes tipologías de wargames. Tienes wargames en los que accedes a una aplicación web y se te presentan diferentes retos, otros wargames en los que accedes a máquinas externas vía SSH y otros en los que te descargas máquinas virtuales que ya están preparadas para ser vulnerables. A continuación se describen alguno de los wargames más completos que podéis encontrar en la red y que, en conjunto, os pueden servir como guía para ir obteniendo conocimientos de vulnerabilidades a nivel de aplicación, a nivel web, vulnerabilidades de red o hasta vulnerabilidades relacionadas con aspectos criptográficos.

Over the Wire

El primer wargame que presentamos es Over The Wire. Este es el wargame por antonomasia. Over The Wire está dividido en varios sub-wargames y cada uno está dedicado a una temática en concreto. Sin embargo, en lo que se especializa Over The Wire es en la explotación de aplicaciones de sistema.
Con este propósito se nos presentan los sub-wargames
Cada uno de estos wargames es una evolución del anterior, de modo que el nivel de dificultad entre las pruebas se va incrementando a medida que vamos obteniendo los conocimientos para ir avanzando. Realmente es una manera ideal para ir aprendiendo.

Sin duda este wargame es de los más completos de la red, aún más después de haber añadido en su repertorio el wargame Natas, en el que tienes 23 niveles dedicados a seguridad web.

Además, por si fuera poco, también tienen otro wargame compuesto por 6 niveles llamado krypton enfocado en atacar diferentes vulnerabilidades relacionadas con criptografía.

Exploit Exercises

Dentro de la tipología de wargames en la que se nos proporciona una máquina virtual tenemos Exploit Exercises. Exploit Exercises nació hace más bien poco y también está enfocado a la explotación de vulnerabilidades a nivel de sistema. La gracia de Exploit Execises es que nos presenta tres máquinas virtuales, Nebula, Protostar y Fusion, que nos introducen en el mundo de la explotación de software y nos llevan hasta niveles bastante decentes en los que deberemos vulnerar diferentes medidas de seguridad implementadas para mitigar la explotación de software en los sistemas operativos de hoy en día.

Lo cierto es que desde que nació, Exploit Exercises ha madurado como el vino y puede que, actualmente, sea una de las opciones más didácticas para introducirse en el mundo del exploiting. A modo de ejemplo, si se accede a la web de Fusion, se puede ver todo un listado de niveles y en cada uno de estos niveles se nos explica qué medidas de seguridad están implementadas, tal y como se puede ver en la siguiente imagen.

Listado de niveles dónde se explica qué medidas de seguridad están implementadas en la web de Fusion

OWASP Broken Web Applications Project

Este wargame viene de la mano de OWASP (Open Web Application Security Project) y se enfoca en la seguridad, como no, de aplicaciones web.

Como ocurría con Exploit Exercises, para jugar este wargame nos tendremos que descargar una máquina virtual en la que tendremos diferentes aplicaciones vulnerables.

El wargame contiene diferentes tipologías de aplicaciones.
Por un lado, tenemos las aplicaciones de entrenamiento que no son más que aplicaciones implementadas para que un usuario pueda formarse de un modo amigable en lo que son las vulnerabilidades web. Entre ellas destacan las aplicaciones Damn Vulnerable Web Application y OWASP WebGoat.

Por otro lado tenemos otras aplicaciones que se han dejado vulnerables intencionadamente, pero que son un poco más realistas que las anteriores. De estas aplicaciones destaca el proyecto de Google llamado Gruyere, del que se puede encontrar mucha más información en http://google-gruyere.appspot.com. Como se puede ver en esa web, Gruyere trata muchísimos de los conceptos relacionados con la seguridad web como por ejemplo las diferentes tipologías de XSS, CSRF, XSSI, vulnerabilidades en Ajax y un largo etcétera.

Por último y siendo algo muy interesante, tenemos otro conjunto de aplicaciones web reales entre las que hay, por ejemplo, Wordpress o Joomla que son vulnerables debido a que son versiones antiguas con diferentes vulnerabilidades descubiertas.

Como conclusión, decir que el mundo de los wargames no termina aquí. Existen decenas y decenas de wargames con los que puedes especializarte en diferentes áreas. Existe una magnífica web que ha realizado un recojo de muchísimos wargames en una especie de mindmap que divide los wargames según su temática. Podéis encontrar este recurso en el siguiente enlace.


Autor: Albert López
Departamento de Auditoría