L’home dibuixat

L'agència ENISA (European Network and Information Security Agency, Xarxa Europea d'Informació i Seguretat) acaba de publicar l'informe «On National and International Cyber Security Exercicses» (PDF i resum executiu) on es recull el resultat de l'enquesta realitzada a diversos organismes internacionals, públics i privats, sobre exercicis de ciberseguretat. L'informe recull informació de 84 països, dels quals 22 són europeus, amb informació del període comprès entre els anys 2002 i 2012.

«On National and International Cyber Security Exercicses»

ENISA examined 85 exercises covering the period between 2002 and 2012. In total, 84 countries worldwide participated in the multinational exercises analysed in this report. A total of 22 European countries conducted in national cyber-exercises.

The main findings in this research include:

1. The number of cyber exercises has increased in recent years (71% took place in between 2010–2012). The reasons for this increase are the overall policy context that supports and boosts cyber exercises, the increased emphasis given by the EU Member States to cyber exercises, and the increasing threat of (cross-border) cyber incidents and attacks.
2. Cyber crisis cross border cooperation efforts are continuously developing. Cyber security is an urgent matter which receives increasingly more attention in European countries.
3. Public–private partnerships during cyber exercises are essential due to private sector ownership of most critical information infrastructures. There is a need to intensify public–private cooperation in cyber exercises.
4. More attention should be paid to developing exercise management tools which can support exercise execution and preparation.
5. The use of methodological planning, monitoring and evaluation is crucial for effective exercises.
6. There is broad consensus that cyber exercises help to enhance the preparedness, responsiveness and knowledge of stakeholders in responding to cyber incidents.

The report concludes with seven recommendations for stakeholders in the global cyber exercises area, which aim to increase the number and quality of cyber exercises. The main recommendations are:

1. Establish a more integrated global cyber exercise community;
2. Ensure the exchange of good practices on cyber exercises, including public–private cooperation;
3. Support the development of exercise management tools to support exercise planning, execution and evaluation;
4. Aim for more complex cyber exercises on an inter-sectoral, international and European level;
5. Enhance preparedness by including exercises in the lifecycle of Cyber Crisis Contingency Plans;
6. Update the good practices for national exercises and initiate a good practice guide for multinational exercises;
7. Develop feedback mechanisms for ensuring that lessons learned from cyber exercises are implemented resulting in enhanced cyber crisis preparation.

[Network World] Calculating the Cost of Full Disk Encryption. Publicat un informe que compara el cost d'implementació d'un sistema de xifrat integral del disc dur (Full Disk Encryption), comparat amb els possibles costos originats per una pèrdua d'informació. L'estudi s'ha realitzat a partir d'una enquesta a 1.335 professionals de la seguretat informàtica dels Estats Units, el Regne Unit, Alemanya i el Japó, amb aquestes conclusions destacades:

• Expected benefits of full disk encryption exceed cost in all four countries by a factor ranging from 4 to 20. In the context of this paper, the primary benefit of full disk encryption is a reduction in the probability of having a data breach as a result of a lost or stolen desktop or laptop computer.
• TCO varies by organizational size: The highest TCO is for organizations with fewer than 50 employees ($399) and more than 25,000 employees ($313). The pure software cost (license and maintenance) only represents a small fraction of the total cost of FDE encryption solution.
• TCO varies by industry. Heavily regulated industries such as financial services and healthcare have the highest TCO ($385 and $363, respectively). Lowest TCO are in entertainment & media and retail ($198 and $169, respectively).
• Respondents underestimate the TCO for full disk encryption. First, there is not a good understanding of the amount of technician time required to complete a procedure. Second, the time incurred by users, including idle time because of the inability to access their computers, is not taken into account.
• The most expensive component of TCO concerns the value of user time incurred operating a desktop or laptop with encryption. In the U.S., the average time extra with FDE it takes each day to start-up, shutdown and hibernate their computers during the “typical” workday is 42 seconds. In one year, that can amount to nearly 3 hours per employee. This can represent a significant cost to organizations with a large headcount.
• Germany has the highest rate of encryption of sensitive and confidential information. More than 50 percent of respondents report that their organizations encrypt trade secrets, financial confidential documents and employee records. Despite German organizations’ efforts to encrypt sensitive information, in many cases more than half of this data is vulnerable to a data breach.
• Japanese organizations encrypt data-at-rest primarily to comply with self-regulatory programs such as PCI DSS, ISO, NIST and others. U.S., UK and German organizations mainly encrypt to comply with state or federal/national data protection laws.

L'estudi estima que el cost mitjà d'implementació d'un sistema de xifrat integral del disc es situa als voltants dels 230 dòlars, mentre que les pèrdues provocades per la fuga de material sensible pot arribar a estar pels voltants dels 4.650 dòlars. L'estudi complet està a «Understanding the true cost of data encryption — Like never before» i a «The TCO for Full Disk Encryption. Studies in the US, UK, Germany & Japan»

Informe «Mobile Threat Report Q2» de F-Secure, sobre l'estat de la seguretat als dispositius mòbils, especialment en els basats en sistema operatiu Android.

Every quarter, Android malware continues to grow in number, and q2 2012 is no exception. we received a total of 5033 malicious Android application package files (APKs), most of which are coming from third-party Android markets. This amount is a 64% increase compared to the number in the previous quarter. Out of this amount, we identified 19 new families and 21 new variants of existing families. A high concentration of these new variants is coming from FakeInst and OpFake, two families that are found to be related. Malware in these two families share a lot of similarities that in some instances, they can be classified as one family. In general, the new variants retain the same malicious behavior as found in the previous ones, only improving on the method used in defeating anti-virus technology in order to avoid detection.

After a while on the scene, Android malware has begun to explore new methods of infection as evidenced by NotCompatible.A and Cawitt.A. In May 2012, the first Android malware to use the drive-by download method was spotted in the wild, detected as Trojan-Proxy:Android/NotCompatible.A. A simple visit to a malicious website could render a device infected, if the device is configured to allow installations from unknown sources. when visiting a specially crafted website, the device will automatically download an application from the site. This application is then shown in the notification menu, waiting for the user to install it. To convince the user into installing it, the malware relies on social engineering tactics, naming the application as “com.Security.Update’ and the filename as “Update.Apk.” Once infected, the device is turned into a proxy or becomes part of a bot network.

In addition to drive-by download, another infection method discovered in this quarter is the utilization of Twitter as a bot mechanism. Cawitt.A for instance, accesses a Twitter account (possibly set up by the malware) to obtain a server address, from which it communicates with and receives further command from. Upon receiving instructions, this malware sends out SMS messages to certain numbers, and forwards data on the device’s International Mobile Equipment Identity (IMEI) number, phone number, and Android ID to the aforementioned server.

Aside from the continuing growth of Android malware and the discovery of new infection methods, the second quarter also reveals a trend in regionally-based attack. In Spain for instance, we tend to get a lot of reports on banking-related attacks. This quarter, SmsSpy.F which is related to Zitmo, is a fairly popular case being reported. The malware appears to be specifically targeting users who perform an online banking transaction and need the Mobile Transaction Authorization Number (mTAN). It arrives as an SMS message, notifying the user to download a security application from the provided link.

Publicat un informe d'ONTSI (Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información) sobre l'impacte del núvol i la identificació de tendències i estratègies d'adopció d'aquest model tecnològic.

Reptes i oportunitats del núvol

Hi ha tres fitxers disponibles:

1. Presentació «cloud computing» a les petites i mitjanes empreses
2. Resum executiu de l'informe
3. Informe «Estudio Cloud Computing. Retos y oportunidades

Algunes dades d'una visualització ràpida del resum executiu:

• El 45,2% de las pymes españolas con página web conoce en cierta medida el cloud computing: el 20,5% reconoce tener un sólido conocimiento de las soluciones cloud computing y su aplicabilidad en la empresa y un 24,7% ha “oído hablar” sobre la tecnología, conociendo algunos ejemplos, pero no la conoce en detalle. Por el contrario, un 54,9% de las pymes señala no conocer en absoluto la tecnología.
• Tres cuartas partes (77,5%) de las empresas conocedoras de la existencia del cloud, no han utilizado nunca soluciones basadas en cloud computing.
• El 21,7% de las empresas conocedoras de la tecnología, declara estar usando soluciones cloud computing en la actualidad, lo que se traduce en un 9,8% del total de pymes encuestadas.
• Los sectores con mayor conocimiento de la tecnología cloud computing son el sector TIC y la industria, donde el 62,7% y 57,5% respectivamente de sus pymes con página web conocen la tecnología. Respecto al uso del cloud, destaca el sector TIC con el 37,7% de sus pymes conocedoras de la tecnología haciendo uso de la misma, así como el sector de actividades y servicios profesionales (jurídicas, contables, técnicas, científicas, etc.) con el 31,8%.
• La forma de implementación preferida para el despliegue es el cloud privado, utilizado por 6 de cada 10 pymes con página web usuarias de cloud. En segundo lugar, con el 33,8%, se sitúan los clouds públicos, y en tercero, las soluciones híbridas, con el 13,9%. Por último, se encuentran las soluciones cloud de comunidad, que apenas alcanzan un 1,7% de penetración.
• La familia de soluciones más utilizada por las pymes españolas usuarias de cloud es la infraestructura como servicio (IaaS) con un 76,1%. De este tipo de soluciones, los servicios de almacenamiento son los más solicitados (68,5%) seguidos por los de backup (22,4%). Algo más de la mitad de las empresas que utilizan cloud, contratan algún tipo de solución de software como servicio (SaaS), que representa el mayor grado de abstracción y externalización de entre las tipologías de soluciones cloud. Las soluciones de plataforma como servicios (PaaS) son las menos utilizadas en la actualidad, con un 18,8%.
• Las tres principales motivaciones de las pymes para la adopción del cloud computing son las siguientes: la flexibilidad y escalabilidad de los recursos (56% de empresas usuarias), la posibilidad de acceso desde cualquier dispositivo (49,1%) y la facilidad para la modernización de los procesos de gestión y negocio (41,8%).
• Los principales beneficios detectados por las pymes usuarias debido a la implementación de soluciones cloud son el ahorro en tiempo (71%) y el ahorro en costes (63%). Además, en la mitad de los casos (48%) consideran que las soluciones cloud han causado una mejora en la productividad general de la empresa. Con menor impacto se encuentra conceptos como el rediseño de procesos internos de negocio (30%), la alteración de los productos y/o servicios ofertados (28%) y la redefinición de las labores del personal interno (16%).
• Respecto al ahorro de costes debidos al cloud, el 71% de las empresas usuarias de cloud señala ahorro en coste mantenimiento, el 53% ahorro en costes de inversión y el 32% ahorro en el coste de las licencias de software. Entre los otros ahorros de costes citados por las empresas están conceptos como ahorro en personal no informático que atendía consultas específicas, en espacio, en energía eléctrica o en hardware.
• La principal preocupación que se plantean las pymes españolas a la hora de adoptar soluciones cloud es la confidencialidad y la seguridad de los datos corporativos gestionados (55%). Este problema es el principal factor que hace que las pymes no confíen en gestores externos para sus procesos clave de negocio. Otros motivos importantes de duda acerca de la adecuación del cloud para la gestión de procesos de negocio son la pérdida de control sobre los procesos (26%), la dependencia adquirida con el proveedor de los servicios (21%) y problemas asociados a la disponibilidad (18%) e integridad (17%) de los servicios contratados.
• El 62,7% de las empresas usuarias de cloud están satisfechas con la tecnología: el 34,8% ha cubierto totalmente sus expectativas respecto al cloud y un 27,9%, las ha cubierto en bastante medida.
• La mayoría de las empresas consultadas (63%) que son usuarias de cloud recomendarían el uso de la tecnología sin ningún tipo de dudas.
• Los motivos principales señalados para no implementar la tecnología cloud computing en las pymes –que aún conociéndola-, no la utilizan son: no considerarla necesaria para el desarrollo de su negocio (65%), no tener un conocimiento muy elevado de este tipo de tecnologías (22%), y la duda sobre si cumplirá el cometido por el que se ha implantado en la empresa (14%).
• Los dos principales factores que desaniman a las empresas a introducir el cloud son los factores de conocimiento y de coste, ambos con una importancia similar.
• La preocupación más recurrente para las pymes no usuarias del cloud es la seguridad y confidencialidad de los datos corporativos (60,1%). En un segundo plano se sitúan la disponibilidad de los servicios y datos, por parte del proveedor (32,7%), la pérdida de control sobre los procesos (27,4%) y la dependencia adquirida hacia el proveedor (26,1%).

Vist a Reflexiones e irreflexiones, que a la seva vegada ho ha vist al bloc del Bruce Schneier , on es fa referència a una prova realitzada per Symantec de deixar un telèfon mòbil avançat perdut per veure com es comportaven aquells que el trobaven (l'informe complet a «The Symantec Smartphone Honey Stick Project»):

• El 43% va intentar accedir a la banca online.
• El 50% va posar-se en contacte amb el propietari per tornar-li el telèfon.
• El 53% va intentar obrir un document anomenat «Nòmina».
• El 57% va intentar obrir un document anomenat «Contrasenyes».
• El 60% va obrir les aplicacions de les xarxes socials i de correu electrònic.
• El 72% va obrir la carpeta anomenada «Fotografies privades».
• El 96% dels telèfons perduts van ser utilitzats d'alguna forma per aquells que els havien trobat.

Un nou projecte per avaluar la qualitat dels llocs web amb SSL, SSL Pulse, no dibuixa un panorama molt encoratjador: el 75% dels llocs són vulnerables a l'atac BEAST i únicament un 10% dels llocs poden qualificar-se com a pròpiament segurs.

There is quite a bit of alarming data in what the project has gathered, and one of those pieces of information is that more than 148,000 of the sites surveyed are vulnerable to the BEAST attack, which was developed by researchers Juliano Rizzo and Thai Duong and disclosed last year. Their attack uses what's known as a chosen-plaintext attack against the AES implementation in the TLS 1.0 protocol and enables them to use a custom tool they wrote to steal and decrypt supposedly secure HTTPS cookies. The attacker can then hijack the victim's secure SSL session with a site such as an e-commerce site or online banking site.

The BEAST attack is complex, but it's a serious concern and the fact that three quarters of the top sites that the project surveyed are still vulnerable to the attack is troubling. Sites can protect against the attack by implementing mitigations in their TLS 1.0 deployments, including configuring their servers to only use the RC4 cipher during TLS 1.0 or SSL 3.0 sessions.

Al lloc web del projecte es pot verificar la qualitat del certificat per a qualsevol URL.

IBM X-Force 2011 Trend and Risk Report, el resum de l'any 2011 des de la perspectiva d'IBM.