Fundamentos de almacenamiento de la información

Hemos visto en entradas anteriores de este blog cómo eliminar la información de manera adecuada en dispositivos extraíbles de almacenamiento de información, para que ésta no quede remanente en dichos dispositivos y no pueda ser recuperada en un futuro por una persona no autorizada:
No obstante, para acabar de entender de manera correcta los distintos procesos de borrado de información digital, necesitamos conocer previamente las particularidades de cada uno de los distintos soportes de almacenamiento de información digital existentes.

En esta entrada veremos las particularidades de cada uno de dichos soportes de almacenamiento.

Soportes de almacenamiento magnético
Los soportes magnéticos son los dispositivos de almacenamiento de información más antiguos, y que todos tenemos en mente, ya que los primeros disquetes (que seguro que todos recordamos) funcionaban de dicha manera. No obstante, el almacenamiento basado en soportes magnéticos sigue estando a la orden del día, y siendo altamente utilizado de hecho, como por ejemplo en el caso de los discos duros magnéticos (HDD) o las cintas de Backup.


En este caso, el almacenamiento de la información se basa en las propiedades magnéticas de las partículas contenidas en dichos medios. Lo que se hace para grabar la información en el dispositivo es dividir el soporte o plato en slots (de manera conceptual), y polarizar de una manera determinada las partículas magnéticas de cada uno de dichos slots, de manera que se pueda comprobar posteriormente la dirección de dicha polarización, y saber si corresponde a un “0” o un “1” a nivel digital. Para ello, y mediante la estimulación eléctrica del cabezal de escritura, se genera un campo electromagnético en el mismo, con la intensidad necesaria para modificar la orientación de las partículas magnéticas de dicho soporte.

Posteriormente, la lectura de los datos se consigue a través de la pequeña corriente eléctrica que se genera en la cabeza de lectura, al pasar por encima de cada uno de los slots magnetizados que conforman el soporte. La polaridad de dicho corriente eléctrico varía en función de la orientación de las partículas magnéticas contenidas en cada slot, y que han sido polarizadas en el proceso de grabación de la información. En función de la orientación del campo magnético, el sentido de la corriente será uno u otro, y se podrá distinguir si la información grabada en un slot concreto corresponde a un “1” o a un “0”.


Por lo tanto, si en los procesos de borrado de información logramos desmagnetizar todas las partículas de un soporte, con técnicas como el Degaussing o desmagnetización, variamos la polaridad de dichas partículas (con técnicas de sobreescritura de información) o bien destruimos físicamente todos los slots del soporte, nos aseguraremos que la información contenida en el dispositivo no quedará remanente en el soporte para ser recuperada en un futuro por personal no autorizado.

Soportes de almacenamiento electrónico
Los medios electrónicos son también altamente utilizados en la actualidad, en memorias de todo tipo, como memorias RAM, memorias flash o pendrives externos.


En este tipo de dispositivos, el almacenamiento de información digital se basa en transistores. Dichos dispositivos electrónicos facilitan o impiden el flujo de la corriente eléctrica entre su colector i su emisor, dependiendo de si se introduce o no voltaje en la base del transistor (Vin).

De esta forma, si polarizamos el transistor de una manera determinada cuando grabamos la información digital, posteriormente podemos comprobar en los procesos de lectura de información qué dígito concreto hemos guardado para cada transistor (nuevamente hay dos opciones, “0” o “1” a nivel digital).

Así pues, y para realizar una lectura de información, lo que hacemos es introducir un voltaje en Vcc, y realizar una lectura en Vout. Si hemos polarizado el transistor para que permita la corriente entre el colector y el emisor, en Vout tendremos un voltaje determinado, y consideraremos que se corresponde a un “1” a nivel digital. Si por el contrario hemos polarizado el transistor para que no permita el flujo eléctrico entre el colector y el emisor, en Vout tendremos cero volts (circuito abierto), de manera que determinaremos que el dato digital grabado en dicho transistor se corresponde a un “0”.

 Evidentemente, las memorias electrónicas han evolucionado mucho, existiendo en la actualidad varios tipos de transistores diferentes, e integrando un alto volumen de dichos elementos en las conocidas placas electrónicas, pero las bases de dichos medios de almacenamiento son las comentadas anteriormente.

En los procesos de borrado de la información contenida por dichos soportes, lo que debemos hacer es variar la polaridad de cada uno de dichos transistores (con técnicas de sobreescritura de información), o bien destruir físicamente todos los transistores del soporte, de manera que nos aseguremos de que la información almacenada en el mismo no pueda ser recuperada en un futuro.

Soportes de almacenamiento óptico
Los soportes ópticos son ampliamente conocidos por todos, y seguro que todos nosotros tenemos alguno de dichos dispositivos en casa. En esta categoría entran soportes como CD’s, DVD’s, discos de Blu-Ray, etc.


Para grabar la información digital en este tipo de soportes, lo que se hace es modificar la estructura metálica que cubre los discos con un láser de escritura, introduciendo un plano (land) o un orificio (pit) para cada uno de los spots del disco, que representarán cada uno de los bits grabados en dichos dispositivos.

En el proceso de lectura de información, lo que se hace es emitir un láser de lectura, que tiene una potencia más débil que el de escritura, para evitar que se corrompa el soporte, y que se refleja o no en cada spot del disco en función de si encuentra un plano o un orificio. En el caso de que la luz se refleje (debido a que existe un plano en el spot), el haz de luz modifica su fase al ser reflejado (se polariza la luz unos 180°), haciendo que éste sea fácilmente redirigible a través de un prisma de filtrado de luz según su fase. En el otro extremo del prisma, nos encontramos un sensor de luz, que emitiría un “1” en el caso de recibir el haz de luz. En el otro caso, en el que el haz de luz emitido se encuentra un orificio en un spot concreto,  éste simplemente no se reflejaría, y por lo tanto el sensor de luz del extremo del prisma no detectaría nada, y se generaría un “0” como output.


Así pues, y para borrar de manera segura toda la información contenida en dichos soportes ópticos, debemos destruir físicamente todos los spots del soporte, o bien es variar la estructura de mismos con técnicas de sobreescritura de información (solo en el caso de tratarse de un disco óptico regrabables).

Como curiosidad, y ahora que conocemos la lógica de almacenamiento de información existente en los soportes ópticos, vemos que algunos de los medios más modernos, como el Blu-ray, utilizan un haz de luz azul en vez de uno rojo (el utilizado en los CD-ROM/DVD). La longitud de onda de un haz de luz azul es menor que el de un haz de luz rojo, como podemos ver en la siguiente imagen, y por lo tanto, en la misma superficie de disco podrán grabarse muchos más spots que en un CD-ROM/DVD, que a su vez se traduce en que se podrán grabar muchos más bits a nivel digital. Por eso, los discos de Blue-ray tienen mucha más capacidad de almacenamiento que los medios basados en CD-ROM/DVDs.



Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.

Internet Security Auditors estará en el ANDICOM 2016 (Colombia)

ANDICOM 2016 es un evento TIC que se celebra en Cartagena de Indias (Colombia) que se está situando como foro de referencia TIC en la región. Al evento asisten todo tipo de empresas  de diferentes sectores Financiero, Seguros, Gobierno, TIC, etc.

El evento se celebrará en los días del 31 de agosto al 2 de septiembre en el Centro de Convenciones de Cartagena de Indias.

Internet Security Auditors estará en el ANDICOM 2016, gracias a la ayuda del organismo de la Generalitat de Catalunya, Acció, para la promoción de las empresas catalanas en el exterior, donde 8 empresas catalanas, entre las que nos encontramos nosotros, con el fin de poder ampliar nuestro oferta de servicios a empresas importantes y reconocidas de toda Colombia. Durante el congreso, además, presentaremos casos de éxito en proyectos ejecutados en diferentes áreas como son PCI DSS, PA-DSS, ISO27001, ISO22301, Madurez en S-SDLC en proyectos internacionales con clientes en Colombia y América en general.

Más información sobre el evento:
http://andicom.co/

Vicente Aguilera ponente en el Overdrive Hacking Conference

Overdrive Conference es un evento internacional, que se celebrará los días 24-25 noviembre, y que tendrá lugar en la Escuela Politécnica Superior de la Universidad de Girona.

Vicente Aguilera participará como ponente para hablar sobre investigaciones OSINT, un tema en auge y de gran actualidad en los últimos tiempos. El evento también contará con ponentes de países muy diversos, por lo que todas las conferencias serán efectuadas en inglés.

El objetivo principal es acercar a todas aquellas personas interesadas en esta disciplina, ya sea profesional o amateur, a través de ciclos de conferencias y otras actividades gratuitas que proporciona el evento.

Más información en:
http://overdriveconference.com/

Estudio Global de la Fuerza Laboral en Seguridad de la Información 2016

Internet Security Auditors, como Official Training Partner del (ISC)2, como multinacional española especializada en ciberseguridad con presencia en Latinoamérica con su, Centro de Operaciones para América en Bogotá, quiere apoyar este importante estudio sobre las capacidades y características de los profesionales del sector de la seguridad de la información conducido por el Center for Cyber Safety and Education, (ISC)² y Frost & Sullivan.

El objetivo de este estudio, es evaluar las opiniones de los profesionales de seguridad de la información con respecto a las tendencias y problemas que afectan a su sector y carrera profesional.

Con este estudio se pretende entender y trazar la realidad del sector de seguridad de la información en América Latina dentro de un contexto mundial y proporcionar ideas que ayuden a tomar decisiones estratégicas por parte de las empresas, gobiernos e instituciones académicas.

PCI SCC se pronuncia: ¡sí se puede!… reducir el entorno de cumplimiento con un cifrado no certificado bajo el esquema PCI

Desde el pasado mes de junio del 2016, los consultores e implantadores de la norma PCI-DSS que trabajamos en Internet Security Auditors estamos de buena nueva: el PCI Council ha decidido agraciarnos con una nueva FAQ (artículo numero 1162), que a pesar de que su liviandad lo sitúa más cerca de ser una mera directriz que de una guía detallada, es un gran avance en lo que respecta a establecer un criterio al eterno y turbio problema para conseguir reducir el entorno de cumplimiento del comercio mediante el cifrado de los datos de tarjeta dónde el proveedor custodia las claves asociadas.

¿Quién es quién en el contexto actual?:
Con el fin de contextualizar, en primer lugar describiremos de manera rápida las diferentes tecnologías involucradas en los procesos de cifrado punto a punto existentes hoy en día en España:
  • PCI Point-to-point encryption (P2Pe): estándar PCI bajo el que se certifican las soluciones para el cifrado de los datos de tarjeta desde el propio dispositivo de lectura de la tarjeta y hasta la pasarela o el procesador de pago.
  • Visa Technology Innovation Program (TIP): programa de VISA que permite adherirse a los comercios que cumplan ciertas condiciones, y bajo el cual los requerimientos a reportar a las marcas quedan sustancialmente reducidos en lo relativo a los sistemas por lo que se trasmiten los datos de tarjeta.
  • Sistema Nacional de Cifrado de Pistas (SNCP) -conocida también como Solución Normalizada de Cifrado de Pista -: sistema de cifrado de los datos de tarjeta desde el dispositivo de lectura de la tarjeta y hasta el procesador de pago, que desde el 2009 es empleado por las redes de tarjeta y procesadores en España. Aunque a día de hoy oficialmente no se ha hecho público que esté certificada bajo un esquema PCI, se puede considerar como una implementación P2Pe ad-hoc.
  • Servicios crossborder: bajo esta nomenclatura, algunos proveedores de servicios de pasarela de pago ofrecen tramitar la transacción con los datos de tarjeta capturados fuera de España a través de los procesadores REDSYS o CECA de España, y de este modo, bajo SNCP.

Prólogo: El escenario de la discordia
A modo de preludio imprescindible para cualquier drama tecnófobo que se precie, nuestros clientes con presencia internacional nos suelen describir un escenario en el cual realizan transacciones tanto dentro como fuera de territorio español, empleando dispositivos PIN-PAD/POS, que aunque certificados bajo un esquema PCI, transmiten la información a través de sus redes corporativas bajo protocolo TCP/IP y hasta la pasarela de pago sin desplegar una solución P2Pe certificada, y en el cual por lo tanto toda la electrónica de red y sistemas intermedios por donde se transmitan los datos estarían también bajo el alcance de PCI.

En este escenario, con el objetivo de lograr reducir el entorno bajo responsabilidad del comercio, las tareas a abordar se pueden resumir en dos hitos principales a cumplir:
  • a) El comercio no deberá tener acceso a los datos de tarjeta de pago capturados, procesados y/o transmitidos en ningún momento, y para ello, se aplicará un cifrado de los datos extremo a extremo (desde el propio dispositivo donde se capturan los datos, hasta el adquiriente o procesador).
  • b) Las claves de cifrado de los datos de tarjeta solo serán accesibles por una tercera parte ajena al comercio (típicamente será el proveedor de la pasarela o el procesador del pago).

Para lograr estos hitos, en una primera aproximación y a modo de oda al minimalismo, podríamos resolver por la vía rápida recomendando la implantación de una solución P2Pe para reducir el entorno, no obstante, cabe mencionar que actualmente no existe ninguna solución P2Pe certificada que opere en España (con toda seguridad motivado por la ya existencia de la solución SNCP de la que hablaremos unas líneas más abajo).

Descartada esta primera opción en la mayoría de los casos ¿Qué nos queda?: podríamos adherirnos al TIP de VISA. ¿Qué problemas presenta? Aunque se reducen los requerimientos a reportar a las marcas de tarjeta (a su vez los requerimientos quedan divididos entre “mandatory” u obligados y “recommended” o recomendados), los requisitos para optar a la adhesión no siempre podrán cumplirse (a modo de resumen):
  • El adquiriente (nuestro banco) debe aprobar la adhesión.
  • Al menos un 95% de las transacciones anuales realizadas presencialmente deben haber sido originadas en dispositivos con soporte a tarjetas con chip Europay MasterCard VISA (EMV).
  • El comercio no puede haber estado involucrado en ninguna incidencia en la que se hayan comprometido datos de tarjeta en los últimos 12 meses (criterio establecido en cada caso concreto a discreción de VISA Europe).
Si esta solución tampoco nos complace, bien porque no podamos optar a ella o bien porque no reduzca el alcance todo lo que nos gustaría, en España contamos con el antes mencionado SNCP.

SNCP: ¿Cómo funciona, que nos ofrece y como nos adherimos?
El SNCP es una implementación de cifrado extremo a extremo desarrollada, desplegada, gestionada y revisada por las redes de tarjetas españolas Servired, Sistema 4B y Euro 6000, procesadores de pago REDSYS y CECA, y en colaboración con las diversas entidades bancarias. Dicha implementación es prácticamente transparente para los comercios (el comercio puede advertir este sistema cuando el dispositivo PIN-PAD requiera renovar las claves bien porque han sido revocadas, deben ser instaladas de nuevo, etc.).

Tal y como se mencionaba anteriormente, no se ha dado a conocer al público general que oficialmente este sistema se encuentre certificado bajo un esquema PCI, por lo que hasta ahora, la implantación del mismo solo suponía una reducción del entorno de cumplimiento sujeto al criterio que el adquirente (nuestro banco) nos indicase en la forma de reportar nuestro cumplimiento a través de un cuestionario SAQ simplificado específico para SNCP.

Cabe señalar además, que dentro del despliegue de la solución SNCP, se contemplan dos situaciones diferenciadas según los datos de tarjeta visible por el comercio:

Categoría 1) El comercio en ningún momento tiene acceso al PAN en claro, siendo sólo accesible el BIN de la tarjeta (las primeras seis posiciones del PAN).
Dado que no se dispone del PAN en claro, no se almacenan, procesan o transmiten datos de titulares de tarjetas en los términos establecidos por PCI DSS.

Categoría 2) El PIN-PAD envía el PAN (o más de seis dígitos del BIN) en claro al comercio, que debe garantizar que éste se almacena de forma segura.
Al comercio le serán de aplicación los requerimientos de PCI DSS relativos a almacenamiento, procesado y transmisión especificados en el cuestionario simplificado específico para SNCP.

Para nuestro objetivo de reducción del alcance, deberíamos ir hacia el caso de una implementación del SNCP bajo categoría 2.

Por último, y relacionado con el párrafo anterior, es importante conocer que algunos de los proveedores de pasarela de pago que ofrecen servicios en España, permiten a aquellos clientes que capturen datos de tarjeta fuera de territorio español, poder procesar las transacciones realizadas en otros países a través de los procesadores ubicados en España (REDYSYS y CECA) y de este modo a su vez bajo SNCP.

¿Qué nos dice el PCI Council en esta FAQ y por qué es importante?
Como giro de guión inesperado en apenas dos párrafos, esta nueva FAQ nos viene a indicar que una solución de encriptación de los datos de tarjeta, a pesar de no estar certificada bajo PCI P2Pe ni incluida en los listados del PCI Council (como es el caso de SNCP), puede ser válida para reducir el entorno de datos de tarjeta (sacar del alcance toda la electrónica de red y dispositivos intermedios a través de los cuales viajan los datos de tarjeta) siempre que sea aprobada por el adquiriente o las marcas de tarjeta.

En resumen: lo que de facto ya veníamos haciendo en España para reducir así el entorno de cumplimiento del comercio con el SNCP bajo las directrices exclusivamente de nuestro adquiriente, ahora ya se encuentra aceptado formalmente y amparado bajo criterios del propio PCI SSC, otorgando así una seguridad a la hora de garantizar el cumplimiento con el estándar PCI-DSS utilizando esta implementación.


Autor: Ero Rodríguez - CISA, CRISC, ITILF, ISO 22301 L.A.
Departamento Consultoría