<$BlogRSDURL$>
Information Security Management for Users
martes, enero 27, 2004
  Navegando con Google, he encontrado en un blog vecino, un resumen de las Jornadas que el Ministerio de Ciencia y Tecnología dedicó en noviembre del 2003 a la Certificación de la Seguridad. A continuación, os posteo los comentarios que en este blog recogen lo hablado en las jornadas.

Otro día, dedicaré mas tiempo a hablar de la ISO 17799-1 y los sistemas de gestión de la seguridad de la información.

Salu2


"Diario de Sesiones

Hoy el MCYT nos ha convocado en las intalaciones del CSIC (los listos que cuidan de que el árbol de la ciencia crezca sano y frondoso en nuestro país) y nos ha convocado para una jornada divulgativa , planteada también como punto de encuentro de la industria relacionada con la certificación de la seguridad de la información. Se trata de una iniciativa que se enmarca dentro de la directriz de seguridad del plan para el desarrollo de la sociedad de la información (SI) Espańa.es. De modo que, con el habitual retraso de siempre, nuestro estimado colega, Jorge Pérez Martínez nos ha dirigido unas palabras, a modo de apertura, donde insistía en la importancia de la seguridad de la información que circula por las redes y del creciente grado de dependencia que vamos asumiendo a medida que avanzamos en el desarrollo de esa SI. Y hacía hincapié en dos cosas: la percepción de confianza, como factor indispensable para que la sociedad civil acepte la implantación efectiva de ese nuevo modelo de sociedad basada en el conocimiento y en una capacidad de interacción ilimitada; y la necesaria participación del tejido empresarial que definir los mecanismos y estándares (en el sentido de las buenas prácticas) que permitan esa percepción. Evidentemente, Jorge, como buen profesional, metido en su nuevo papel, no perdió la ocasión para vender el proyecto de Firma Digital, y el DNI Digital, que se espera entre en piloto pronto.

La mańana se organizaba en torno a dos mesas redondas: la primera, formada por las entidades de certificación, pretendía dar el enfoque normativo; mientras que la segunda, formada por representantes del mundo empresarial, pretendía mostrar la realidad de la certificación desde el mundo real, de la competencia empresarial.

Después de las dos mesas, se cerraba la programación con la visión de la Administración Pública, en base a las ponencias, por un lado del Ministerio, y por otra del CNI.

Antes de la primera mesa, vimos como las expectativas de cumplimiento con el horario previsto se diluían lentamente a lo largo de tres ponencias previas. En la primera, la entidad acreditadora a nivel nacional, ENAC, nos intentaba ilustrar el esquema que siguen los procesos de acreditación y certificación en Espańa y en Europa, y nos daba una idea del cuerpo normativo con el que se cuenta actualmente para abordar la certificación de los sistemas de gestión de los sistemas de información, situándonos en su contexto la norma estrella del día: la BS-7799, originaria de la BSI, acreditada por UKAS (el análogo de ENAC en el Reino Unido).

La siguiente ponencia, a cargo de un chaval de Marketing del BSI, ahondó más en la BS-7799, insistiendo más en la separación, ya introducida por la representante de ENAC, entre la parte 1 de la norma, convertida ya en 1999 en el estándar internacional ISO/IEC 17799-1, y que básicamente contiene un conjunto de buenas prácticas para la gestión de la seguridad de la información (127 criterios divididos en 10 temáticas), y la parte 2, que es donde realmente se certifican los procesos y la implantación de los mismos en la operación de la empresa. Es aquí donde comienza el discurso comercial vendiendo esta parte de la norma prácticamento como un estándar de facto y haciendo hincapié en el éxito que está teniendo en los paises asiáticos, aprovechando su enfoque de búsqueda de la integración con otras normas de certificación de sistemas de gestión, como la ISO 9000 y la ISO 14000.

A continuación, un representante de AENOR, detalló un poco más el cuerpo normativo existente en nuestro país... A destacar la UNE 71501, y lo que todavía es PNE 71502 (que se espera UNE a fin de ańo). Más de lo mismo, con la misma efectividad: ni siquiera estoy seguro de esos dos números.

Más interesante resultó la presentación de ASIMELEC, con los resultados más relevantes de su informe sobre la adopción de sistemas de seguridad en la empresa espańola: sobre la base de una encuesta de 140 preguntas, realizada sobre un universo de 52 empresas, se vertía una visión francamente pesimista () donde se destacaba la baja adopción de tecnologías de seguridad que se consideraban ampliamente difundidas y, sobre todo, la falta de una cultura orientaba a la actuación proactiva, que nos llevaba a bajos niveles de adopción incluso en temas de conformidad legal, como la LOPD.

Resultó bastante clarificadora la exposición de un chaval, con acento canario y apellido nórdico, que en representación de Applus+ nos contó la situación en que se encontraba el desarrollo de lo que será, algún día, el ISO/IEC 17799-2, a partir de los trabajos del SC27. Lejos de confirmar los deseos del BSI, dando por hecho el que era sólo cuestión de tiempo el que se lanzara un Fast Track para la adopción directa de la BS 7799 parte 2, se ha decidido hacerlo por la vía del Normal Track (5 ańos) y sobre la base de un estudio preliminar de varias de las normas existentes, una de las cuales es la BS 7799-parte-2, siendo otra de las destacadas una norma del NIST norteamericano que presenta la peculiaridad de no ser compatible con ISO 9000 o ISO 14000.

Esta presentación ya resaltaba el tema de la tendencia integradora de los sistemas de certificación; muy deseable a priori desde el punto de vista de las empresas, que deben afrontar las auditorías correspondientes a diferentes certificaciones de sistemas de gestión, con lo que ello comporta en cuanto a la asignación de recursos y su productividad.

La mesa se cerraba con la intervención de un representante del INTA, que hizo un intento de exposición de lo que significa el CommonCriteria y sus orígenes; y digo intento, porque lo que casi consiguió es dormirnos a todos leyendo una serie de transparencias en un fondo azul soporífero... Sin embargo seńaló una cuestión que se había obviado, y que sin embargo es fundamental: Toda la normativa sobre la que giraban las jornadas estaba destinada a la certificación de sistemas de gestión en general, y de sistemas y seguridad de la información en particular; y no a la certificación de la implantación de esos sistemas...

Un breve receso para el café dio paso a la segunda mesa, donde un chaval de EADS-CASA exponía más o menos claramente el proceso que se sigue en la evaluación, certificación y acreditación de la seguridad de los sistemas de información en la industria. Más enriquecedora, y esperada, fue la exposición del representante de Ericsson Espańa, puesto que presentaba el único caso de una empresa en este país en posesión de la certificación BS 7799-2:2002 (La última Revición del BSI). Un caso práctico que se reveló como una respuesta a una necesidad del mercado. En este caso Ericsson quería certificar la seguridad de los algoritmos que las operadoras les confiaban bajo la custodia de su oficina del AUC de su centro de I+D de Madrid. Un caso que destacaba dos puntos: la importancia de la definición del alcance en un proyecto de certificación, y el valor de la certificación como ventaja competitiva, y por tanto su utilización como argumento de venta.

Cerrando la segunda mesa, la directora general de Finmatica Espańa, daba la visión desde el Management moderno relacionando la certificación con la cobertura de la necesidad de cuantificación que surge al integrar la seguridad al mismo nivel que la calidad dentro de los sistemas de gestión de la empresa... Insistía esta mujer en una idea que casí todos los ponentes habían dejado sobre la mesa: LA SEGURIDAD NO ES UN PRODUCTO, SINO UN PROCESO, con todo lo que eso implica al considerarla dentro del sistema de gestión. Me refiero a la necesidad de un esfuerzo de comunicación a todos los niveles, el compromiso explícito de la Dirección, la necesidad de mejora contínua.

Al final, el autor de estas líneas, indignado ante la falta de seriedad en la programación del tiempo (un fallo recurrente, inaceptable de todo punto) optó por desaparecer e irse a compartir mesa y mantel con otro segmento del tejido empresarial del país... La visión del Ministerio de Administraciones Públicas y del CNI habrá que deducirla del material presentado.

Punto de reflexión: La tendencia a la integración de los estándares de certificación de sistemas de gestión y su relación con el valor como ventaja competitiva de los certificados, así como su efecto en el mercado de confianza (impacto en los distintos actores: auditores, consultores, certificadores, acreditadores, y comercializadores de las normas como BSI).

Enlaces que hay que visitar: el sitio de asimelec, el portal del BSI sobre la BS-7799-2:2002 y la Web del MCYT, donde se podrán descargar en breve las presentaciones de las diferentes ponencias.



# posted by ANTONIO : 1:01 AM"
Blog de Antonio relacionado con las TIC y la empresa 
lunes, enero 26, 2004
  Este es el documento rector de la seguridad de Microsoft.
Personalmente, creo que está muy bien planteado, ya que determina el por qué la seguridad de la información es importante, y establece cual es el rumbo que a adoptado Microsoft en este tema. Además, justifica todos estos hechos en base a un análisis del riesgo de sus sistemas, y una definición clara de la misíón y objetivos, respecto a la seguridad informática, que Microsoft tiene.

Security at Microsoft
 
  En esta página se recogen algunos consejos de seguridad, para garantizar una mínima protección cuando se navega.
Consejos de Seguridad para usuarios en la Red

Aunque fué un propósito de a?o nuevo, todavía no he conseguido elaborar un documento ilustrativo sobre el cómo protegernos, en base a un análisis dde riesgos sencillo. Con este documento, pretendo hacer ver cuales son los fuegos más importantes que deben apagarse a la hora de conectar un ordenador a Internet, y justificar cada medida de forma razonada. A ver si algún dia saco tiempo... 
jueves, enero 08, 2004
  Microsoft publica en su Web para usuarios XP unas recomendaciones básicas a utilizar para garantizar la seguridad del PC. Está disponible en la siguiente dirección:
Cheklist de seguridad para la configuración de la seguridad en entornos XP


A continuación, se resume el contenido del Web:

"Seguridad con Windows XP - lista de puntos a comprobar

Esta lista de puntos a comprobar resume los pasos que debe seguir para lograr un adecuado nivel de seguridad con Windows XP Professional, tanto en instalaciones autónomas como dentro de un dominio de Windows 2000 o Windows NT.

IMPORTANTE:

El propósito de esta lista de puntos a comprobar es el de dar instrucciones para configurar un nivel básico de seguridad para ordenadores con Windows XP. Esta guía no ofrece una lista de todas las funciones de seguridad incorporadas en Windows XP, o de su forma de uso. Hay una lista completa de las funcionalidades de seguridad disponibles en Windows XP en el sitio web de Microsoft. Esta lista de chequeo contiene información sobre modificaciones en el Registro. Antes de editar el Registro, asegúrese de que sabe cómo recuperar la situación anterior en caso de surgir algún problema. Para más información acerca de cómo hacer esto, lea la ayuda en línea del Editor del Registro.

Configuración de Windows XP Professional

Pasos
1.- Verificar que todas las particiones de disco están formateadas con NTFS
2.- Proteger adecuadamente las carpetas compartidas
3.- Utilizar la función Conexión Compartida a Internet para conexiones compartidas a Internet
4.- Habilitar la función de Firewall para la Conexión a Internet
5.- Utilizar las políticas de restricción de software
6.- Utilizar passwords para las cuentas de usuario
7.- Deshabilitar los servicios no necesarios
8.- Deshabilitar o eliminar las cuentas de usuario innecesarias
9.- Asegurarse de que la cuenta Invitado está desactivada
10.- Implantar políticas de password estrictas
11 .-Implantar políticas de bloqueo de cuenta estrictas
12.- Instalar software antivirus y actualizarlo adecuadamente
13.- Mantenerse al día con las últimas actualizaciones de seguridad

Detalles - lista de puntos a comprobar de la configuración de Windows XP

Asegurarse de que todas las particiones de disco están formateadas con NTFS
Las particiones NTFS ofrecen controles de acceso y protección que no existen en los sistemas de archivos FAT, FAT32 o FAT32x. Compruebe que todas las particiones de disco de su ordenador están formateadas con NTFS. Si es preciso, utilice el programa Convert para transformar sus particiones FAT en NTFS sin destruir los datos.

Proteger las carpetas compartidas

Por defecto, los ordenadores con Windows XP Professional que no se conectan a un dominio utilizan un modo de acceso a la red denominado "Compartición simple de archivos", donde todos los intentos de conexión al ordenador desde la red se convierten en accesos forzados con la cuenta Invitado. Esto supone que el acceso en la red mediante Server Message Blocks (SMB, utilizados para acceso a archivos e impresoras), así como las llamadas a procedimientos remotos (RPC, Remote Procedure Call, utilizados en la mayoría de las herramientas de gestión remota y acceso remoto al registro), solo estarán disponibles para la cuenta Invitado.

En el modelo de Acceso Simple a Archivos, los archivos y carpetas compartidos pueden crearse de manera que el acceso desde la red se haga en modo solo lectura, o alternativamente, con permisos para leer, crear, cambiar y borrar archivos. Simple File Sharing está pensado para usarse en redes domésticas y detrás de un firewall, como el que se incorpora dentro de Windows XP. Si Vd. Está conectado a Internet y no está protegido por un firewall, debe tener presente que cualquier recurso compartido que cree podría ser accedido por cualquier usuario desde Internet.

El modelo clásico de seguridad se utiliza cuando el sistema Windows XP se incorpora a un dominio o cuando se deshabilita Simple File Sharing. En el modelo clásico de seguridad, los usuarios que intentan hacer logon en la máquina local desde la red han de autentificarse como cuentas de usuario propias, no se hacen corresponder con la cuenta de Invitado. De esta manera, los recursos compartidos pueden crearse de modo que solo puedan se accedidos por los grupos y usuarios con los privilegios adecuados.

Utilizar Internet Connection Sharing (ICS) para las conexiones compartidas a Internet

Windows XP ofrece la posibilidad de compartir una única conexión a Internet entre varios ordenadores en una red doméstica o pequeńa red empresarial con la función ICS (Internet Connection Sharing). Un ordenador, denominado "Host ICS" conecta directamente a Internet y comparte esa conexión con el resto de los ordenadores de la red. Las máquinas clientes se apoyan en el host ICS para salir a Internet.

El uso de ICS refuerza la seguridad de la red porque solo el host ICS es visible desde Internet.

Para activar ICS haga clic con el botón derecho del ratón en una conexión a Internet dentro de la carpeta Conexiones de Red. Haga clic en Propiedades, luego en la solapa Avanzadas y después seleccione el cuadro de opción adecuado.

También puede configurar ICS utilizando el Asistente para Redes Domésticas. Para más información acerca de ICS puede consultar el Centro de Soporte y Ayuda en Windows XP.

Activar el Firewall de Conexión a Internet (ICF)

El Firewall de conexión a Internet está diseńado para su uso en casa o en pequeńas redes empresariales y proporciona protección para máquinas Windows XP que se conectan directamente a Internet o para ordenadores y dispositivos conectados al host ICS que está ejecutando este Firewall. El Firewall de Conexión a Internet utiliza un filtrado de paquetes activo, lo que significa que los puertos del firewall se abren dinámicamente solo por el tiempo necesario para permitir el acceso a los servicios que se desea.

Para activar ICF haga click con el botón derecho en una conexión a Internet en Conexiones de Red. Después seleccione Propiedades y la solapa Avanzadas, y finalmente, seleccione la opción correspondiente. También puede configurar ICF usando el Asistente para Configuración de Redes Domésticas. Para más información sobre ICF puede consultar el Centro de Soporte y Ayuda en Windows XP.

Usar políticas de restricción de software

Las políticas de restricción de software ponen a disposición de los administradores un mecanismo basado en directivas que identifica el software que se ejecuta en su dominio y permite controlar la ejecución de dicho software. Mediante políticas de restricción de software un administrador puede prevenir la ejecución no deseada de ciertos programas; esto incluye virus, troyanos y otro software del que se sabe que puede causar problemas cuando se instala. Las políticas de restricción de software pueden utilizarse en una máquina aislada configurando las directivas locales de seguridad. Las políticas de restricción de software también están integradas en Políticas de Grupo y Directorio Activo.

Para más detalles acerca de la creación de políticas de restricción de software recomendamos leer el documento What's New in Security for Windows XP Professional and Windows XP Home Edition white paper.

Utilizar passwords para las cuentas de usuario

Para proteger a los usuarios que no protegen sus cuentas con passwords, las cuentas de usuario de Windows XP Professional sin password solamente pueden iniciar sesión en la consola física del ordenador. Por defecto, las cuentas con passwords en blanco no podrán utilizarse en adelante para acceder remotamente desde la red, o para ninguna otra actividad de validación excepto desde la pantalla de inicio de sesión de la consola física. Por ejemplo, no se puede utilizar el servicio de inicio de sesión secundario ("RunAs") para ejecutar un programa como un usuario local con password en blanco.

Mediante la asignación de passwords a las cuentas locales se evita la restricción que prohibe hacer logon en la red. Esto permite a las cuentas de usuario acceder a los recursos para los cuales tiene permisos, incluso a través de la red. Por consiguiente, es preferible dejar una cuenta con la password en blanco que asignarle una password fácil de descubrir. Cuando se asignen passwords, asegúrese de que tiene una longitud de nueve caracteres como mínimo, y que incluye al menos un signo de puntuación o un carácter ASCII no imprimible dentro de los primeros siete caracteres.

Precauciones:

Si su ordenador no está en una ubicación físicamente segura, se recomienda que asigne passwords a todas las cuentas de usuario locales. De no hacerlo así, cualquiera con acceso físico al ordenador podría fácilmente iniciar sesión utilizando una cuenta que no tiene password. Esto es especialmente importante en el caso de portátiles, que deberán siempre blindarse con passwords difíciles de descubrir para todas sus cuentas locales.

Nota:

Esta restricción no se aplica a las cuentas de dominio, ni tampoco a la cuenta local de Invitado. Si la cuenta de Invitado está activada y tiene password en blanco, se le permitirá iniciar sesión y acceder a cualquier recurso con permisos de acceso para la cuenta Invitado.

Si quiere deshabilitar la restricción contra el inicio de sesión en la red sin password, puede hacerlo a través de las Directivas Locales de Seguridad

.
Deshabilitar los servicios innecesarios

Después de instalar Windows XP se deben deshabilitar todos aquellos servicios de red que no se necesiten en el ordenador. En particular debe considerarse si su PC necesita servicios de Internet Information Server. Por defecto IIS no se incluye como parte de la instalación normal de Windows XP y únicamente debe instalarse si realmente se necesitan dichos servicios.

Deshabilitar o borrar cuentas de usuario innecesarias

Revise la lista de cuentas activas, tanto para usuarios como para programas en el sistema, por medio de la función de Administración de Equipos. Deshabilite las cuentas inactivas de usuario y borre aquellas cuentas que no sean necesarias.

Asegurarse de que la cuenta Invitado está deshabilitada.

Esta recomendación solo se aplica a los ordenadores con Windows XP que pertenecen a un dominio, o a máquinas que no utilizan el modelo de Compartición Simple de Archivos.

En sistemas Windows XP Professional que no se conectan a un dominio, los usuarios que intentan abrir sesión desde la red se ven forzados a identificarse como la cuenta Invitado por defecto. Este cambio se ha diseńado para prevenir los intentos maliciosos de acceso a los sistemas desde Internet haciendo login con la cuenta de Administrador local con password en blanco. Para utilizar esta funcionalidad, que es parte del modelo de Compartición Simple de Archivos, la cuenta de Invitado ha de estar activada en todas las máquinas con Windows XP que no se han incorporado a un dominio. Para aquellas que ya pertenecen a un dominio o para la que, sin pertenecer a dominio, han deshabilitado el modelo de Compartición Simple de Archivos, la cuenta local de Invitado debe deshabilitarse.

Así se previene la posibilidad de que los usuarios puedan conectarse desde la red usando esta cuenta.

Utilizar políticas de password estrictas

Para proteger a los usuarios que no protegen sus cuentas con passwords, en Windows XP Professional las cuentas sin password únicamente pueden abrir sesión en la consola física del ordenador. Por defecto, las cuentas con passwords en blanco no podrán utilizarse en adelante para acceder remotamente desde la red, o para ninguna otra actividad de validación excepto desde la pantalla de inicio de sesión de la consola física.

Nota

Esta restricción no se aplica a las cuentas de dominio, ni a la cuenta de Invitado local. Si la cuenta de Invitado está activada y tiene password en blanco, se le permitirá abrir sesión y acceder a cualquier recurso al cual se le autorice acceso a la cuenta Invitado.

Utilice la consola de Política Local de Seguridad para reforzar las directivas del sistema para la aceptación de passwords. Microsoft sugiere que se hagan los siguientes cambios:

Fijar la longitud mínima de la password en 8 caracteres


Fijar un periodo mínimo de persistencia adecuado a su red (generalmente entre 1 y 7 días)


Fijar un periodo máximo de vigencia adecuado a su red (generalmente no superior a 42 días)


Habilitar el mantenimiento de un registro histórico de las passwords (utilizando el botón "recordar passwords") de al menos 6.


Implantar políticas de bloqueo de cuentas

Windows XP incluye una funcionalidad de bloqueo de cuentas que desactiva una cuenta después de un número de intentos fallidos de inicio de sesión que fija el administrador. Por ejemplo, se puede indicar que se bloquee la cuenta después de 5 ó 10 intentos fallidos, resetear la cuenta no antes de 30 minutos y dejar la situación de bloqueo a "Siempre (hasta que el administrador la desbloquee"). Si es demasiado agresiva, puede considerar la posibilidad de permitir que la cuenta se desbloquee automáticamente después de un cierto tiempo.

Dos son los objetivos más comunes al utilizar los bloqueos de cuentas: el primero, poner de manifiesto que han tenido lugar un cierto número de intentos de abrir sesión con una cuenta utilizando una password no válida. El segundo, proteger las cuentas de usuario ante la posibilidad de intentar abrir sesión mediante ataques con diccionarios de claves o identificación reiterativa. No hay una receta que sea válida para todos los entornos. Considere los valores que más se ajusten a su entorno particular.

Instalar software antivirus y actualizarlo adecuadamente

Una de las iniciativas más importantes a la hora de proteger sistemas informáticos es utilizar software antivirus, y asegurarse de que está correctamente actualizado. Todos los sistemas en Internet, en una intranet corporativa o en una red doméstica deberían llevar instalado software antivirus.

Hay más información sobre seguridad antivirus en Microsoft TechNet Security Web Site.

Mantenerse al día con las últimas actualizaciones de seguridad.

La función de Actualización Automática en Windows XP puede detectar automáticamente y descargar los parches de seguridad más recientes desde Microsoft. La función de Actualización Automática se puede configurar para descargar automáticamente los parches en tareas de segundo plano y pedir permiso al usuario para instalarlos cuando se ha completado la descarga.

Para configurar la Actualización Automática, haga clic en Sistema, dentro del Panel de Control, y seleccione la solapa Actualizaciones Automáticas. Elija la opción de notificación previa para descargar las actualizaciones automáticamente y recibirá notificación cuando estén listas para ser instaladas.

Aparte esto, Microsoft publica boletines de seguridad mediante su Servicio de Notificación de Seguridad. Estos boletines se publican para cualquier producto de Microsoft en el cual se haya encontrado algún problema de seguridad. Cuando estos boletines recomiendan la instalación de algún parche de seguridad, Vd. Debería descargarlo a la mayor brevedad e instalarlo en sus ordenadores."
 
lunes, diciembre 29, 2003
  Este peque?o programita puede ahorrarnos una cara factura telefónica debida a la ejecución de uno de esos odiosos dialers. El uso es sencillo y se basa en la filosofía de lista negra, para evitar la marcación a numeros con prefijo de pago.

Checkdialer - ASOCIACION DE INTERNAUTAS 
martes, diciembre 09, 2003
  Estos enlace, realizdo utilizando el plug-in de la barra de Google, nos lleva a una fuente consultable sobre Hoax y otros mensajes cadena. Sirve para verificar, antes de reenviar una noticia por correo, si es o no un rumor (HOAX) y no formar parte de la cadena de difusión de estos mensajes inútiles que solo sirven para ocupar recursos y perder tiempo.

Las direcciones relacionadas son:
Charles Hymes' Hoaxes

HoaxBuster

Rob Rosenberger's links to computer virus myths, hoaxes, urban legends

8:26 a. m.
lunes, noviembre 24, 2003
  Una completa lista de enlaces sobre ITSecurity en general de Diego Gonzalez muy completo y exhaustivo
Web de seguridad de Diego Gonzalez
 
  Hola, el post de hoy tiene que ver con la nueva funcionalidad de la barra de Google, para ańadir links como post a tu web dentro de Bloger. Voy a ir pasando, poco a poco, mis enlaces preferidos a mi propio Blog de Seguridad, e iré comentando los links más interesantes.
El link de hoy nos lleva al Manual Alemán a utilizar como guía para la protección de sistemas de información.

Es completo y exhaustivo y establece, para cada conjunto de activos, sus posibles amenazas y las medidas de seguridad aplicables para contrarestarlas. Este documento es muy completo e ilustrativo. Se puede consultar accediendo a la dirección IT Baseline Protection Manual 
sábado, octubre 04, 2003
  Hoy he querido mencionar una clasificación sobre rumores (hoax) que circulan por correo electrónico, que como podéis ver, aunque parezcan inofensivos, también son una amenaza para la seguridad de la información. Es más, a veces se subestima su auténtico potencial, pero un rumor bien difundido y con mala intención, puede causar un dańo en la imagen de la compańia mucho mayor del que causa sobre los equipos, un virus informático.


A continuación, se detalla la clasificación de Hoax que ha realizado Hoaxbusters.

Hoax Categories

Malicious Code (Virus and Trojan ) Warnings
Warnings about Trojans, viruses, and other malicious code that has no basis in fact. The Good Times and other similar warnings are here.

Urban Myths
Warnings and stories about bad things happening to people and animals that never really happened. These are the poodle in the microwave and needles in movie theater seats variety.

Give Aways
Stories about give aways by large companies. If you only send this on, some big company will send you a lot of money, clothes, a free vacation, etc., etc. Expect to wait a long time for any of these to pay off.

Inconsequential Warnings
Out of date warnings and warnings about real things that are not really much of a problem..

Sympathy Letters and Requests to Help Someone
Requests for help or sympathy for someone who has had a problem or accident.

Traditional Chain Letters
Traditional chain letters that threaten bad luck if you do not send them on or that request you to send money to the top n people on the list before sending it on..

Threat Chains
Mail that threatens to hurt you, your computer, or someone else if you do not pass on the message.


Scam Chains
Mail messages that appear to be from a legitimate company but that are scams and cons.

Scare Chains
Mail messages that warn you about terrible things that happen to people (especially women).


Jokes
Warning messages that it's hard to imagine that anyone would believe.

True Legends
Real stories and messages that are not hoaxes but are still making the rounds of the Internet.

Hacked History
Real stories where the facts have been adjusted to fit someone's political agenda.

Unknown Origins
I created this section for stories that just don't ring true, but that I cannot prove one way or the other.

 
miércoles, octubre 01, 2003
  Hola, hoy de nuevo abordando el tema del tan indeseado spam.

Existe una web Spamhole que trata de proporcionar un servicio util, para aquellas webs que piden una dirección de correo y nos envian cualquier cosa que es necesario consultar. Para evitar dar nuestra dirección real, existe Spamhole.

Este servicio permite crear una cuenta temporal en spamhole y redirigir a tu cuenta real, los correos recibidos en la cuenta ficticia. Pasado el tiempo de vigencia de la cuenta, esta deja de estar operativa.
Si la hemos utilizado para alguna subscripción, recibiremos en nuestro correo real el mensaje deseado, y pasado el tiempo establecido para la cuenta, la cuenta deja de existir.

Salu2 
jueves, septiembre 25, 2003
  Hola,
El consejo de hoy, tmb tiene como objetivo, el tan indeseado efecto del SPAM. Muchas veces, este llega por el poco cuidado que tenemos a la hora de publicar nuestra dirección, otras, por la necesidad de tener que registrarnos en páginas o dar la dirección de correo para poder recibir una palabra de acceso a webs restringidos a usuarios registrados o descargarnos documentos tras la subscripción.

Pues bien, para esos casos, existe un Web que proporciona un servicio de acceso a una cuenta de correo ficticia, que podemos inventar y que nos sea un nemotécnico siempre que sea @mailinator.com

Ejemplo. Subscripción-pepe@mailinator.com

La dirección es lógicamente,
www.mailinator.com


Espero que sea práctico.
Un saludo
 
miércoles, septiembre 03, 2003
  Buenas,
En el portal de un compańero de trabajo (www.redlibre.net) he encontrado una noticia de alguien que también tiene una página dedicada a asesorar a usuarios y me ha gustado su planteamiento. A continuación, reproducto integramente su mensaje en el web de redlibre.

"He creado una pagina en http://www.geocities.com/aceituno/domestico.htm con consejos y enlaces para mejorar la seguridad de ordenadores domesticos. Como no he encontrado ninguna pagina buena sobre el tema, espero que esta lo sea.

Saludos

Vicente Aceituno"

Visitadla porque está muy bien, y establece la lista de mecanismos de seguridad que deben utilizarse asociadas a posibles situaciones que se plantean. A ver si un dia de estos tengo tiempo y comienzo mi prometido análisis de riesgos para entornos Home.
 
martes, septiembre 02, 2003
  Hola,

El consejo de hoy está relacionado con otra asociación profesional, que trata de normalizar y establecer estándares, normas y procedimientos relacionados con la Auditoría de Sistemas de Información. Esta asociación dispone de una certificación, el CISA, que este ańo me había propuesto obtener y que al final, he conseguido. En su web, recientemente modificada, encontrareis multitud de información, relativa tanto a la auditoría de sistemas, como a los temas de seguridad y las famosas Guias Cobit, que establecen los objetivos de control necesarios para poder conocer, si nuestros sistemas de información se ajustan a nuestras necesidades de negocio. A continuación, reproduzco parte del texto de presentación del web de la ISACA.


Information Systems Audit and Control Association
La Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información, o ISACA) comenzó en 1967, cuando un pequeńo grupo de personas con trabajos similares—controles de auditoría en los sistemas computarizados que se estaban haciendo cada vez más críticos para las operaciones de sus organizaciones respectivas—se sentaron a discutir la necesidad de tener una fuente centralizada de información y guía en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.

Hoy, los miembros de ISACA – más de 28.000 en todo el mundo – se caracterizan por su diversidad. Los miembros viven y trabajan en más de 100 países y cubren una variedad de puestos profesionales relacionados con TI – sólo para nombrar algunos ejemplos, auditor de SI, consultor, educador, profesional de seguridad de SI, regulador, director ejecutivo de información y auditor interno. Algunos son nuevos en el campo, otros están en niveles medios de supervisión y algunos otros están en los rangos más elevados. Trabajan en casi todas las categorías de industrias, incluyendo finanzas y banca, contaduría pública, gobierno y sector público, servicios públicos y manufactura. Esta diversidad permite que los miembros aprendan unos de otros, e intercambien puntos de vista con divergencias significativas en una variedad de tópicos profesionales. Ha sido considerada durante largo tiempo como uno de los puntos fuertes de ISACA.

Otro de los puntos fuertes de ISACA es su red de capítulos. ISACA tiene capítulos en más de 60 países en todo el mundo, y dichos capítulos brindan a los miembros educación, recursos compartidos, promoción, contactos profesionales y una amplia gama de beneficios adicionales a nivel local. Descubra si hay un capítulo cerca suyo.

En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información. Sus normas de auditoría y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas profesionales que desafían a sus constituyentes. Su certificación Certified Information Systems Auditor (Auditor Certificado de Sistemas de Información, o CISA) es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales. Su nueva certificación Certified Information Security Manager (Gerente Certificado de Seguridad de Información, o CISM) se concentra exclusivamente en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder en el campo de control de la información, el Information Systems Control Journal (Periódico de Control de Sistemas de Información). Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos y administrativos pertinentes a las profesiones de gobernación de TI y aseguración, control, seguridad de SI. Juntos, ISACA y su Instituto de Gobernación de TI (IT Governance Institute) asociado lideran la comunidad de control de tecnología de la información y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente.

Information System and Control Association (ISACA)
Copyright © 2003 Information Systems Audit and Control Association (ISACA®) All rights reserved
3701 Algonquin Road Suite 1010 Rolling Meadows, Illinois 60008 USA

 
miércoles, agosto 20, 2003
  Para empezar a hacer boca... esta dirección, nos permite saber que puertos tenemos visibles desde nuestro equipo a Intenet. Esta información, siempre da pistas a un posible intruso sobre las puertas que pueden estar cerradas, medio abiertas y abiertas.
Enlaces a escaneadores on-line del Portal www.alertaantivirus.es 
  Hola,

El consejo de hoy, comienza una serie de recomendaciones, para tratar de asesorar en la gestión de riesgo asociado a un equipo conectado a Internet. El orden lógico para hacer esto, debe seguir el ciclo básico de la seguridad, pero adaptada a usuarios domesticos.
Para ello, realizaremos un intuitivo análisis de riesgos, sin cuantificar variables, pero que nos aproxime a un conocimiento real del riesgo que se corre al estar, a dia de hoy, conectado a Internet. Por tanto, en dias sucesivos, trataremos de responder a las preguntas siguientes:

EL CONTEXTO
1.- ¿Donde me encuentro, cuál es mi entorno?

LOS ACTIVOS
2.- ¿Qué tengo yo de valor? żCuáles son mis elementos a proteger (Activos)?

LOS RESPONSABLES DE TOMAR DECISIONES
3.- ¿Quienes son los usuarios de mis activos? żQuién es el responsable de mi equipo?

LAS AMENAZAS
4.- ¿ A qué peligros estoy expuesto al estar conectado a Internet?
5.- ¿ Quienes son mis agresores?
6.- ¿ Qué tipo de amenazas podrían afectarme?

LAS VULNERABILIDADES
7.- Para cada una de estas amenazas, ¿estoy protegido?

LOS IMPACTOS
8.- Si por desgracia, alguna de estas amenazas se manifiesta en mi sistema, ¿qué daños sufriré?

EL RIESGO
9.- Teniendo conocimiento pleno de mi situación, ahora llega la hora de tomar decisiones. ¿Que armas puedo usar? ¿Cuales son las más efectivas en mi situación? ¿Cuales rentabilizarán mejor mi inversión?. Todas estas decisiones han de tomarse en base a los datos y estimaciones obtenidos de las preguntas anteriores.





 
lunes, agosto 18, 2003
  Buenas,
Retomo la andadura de este blog, que prometo actualizar más frecuentemente, con el anuncio de una asociación que pretende normalizar y establecer pautas de buena conducta dentro del mundo de la consultoría de la seguridad informática.

Se llama Asociación Espańola de Consultores de Seguridad Informática, y su dirección es
www.asociacion-aecsi.es.

Espero que en el futuro, tenga la relevancia nacional que debe atribuirsele, como órgano regulador de la buena praxis del sector.
 
lunes, mayo 05, 2003
  Buenas prácticas en el uso del correo electrónico.
Recopilado de la dirección http://www.rompecadenas.com.ar/netiquette.htm
Netiquette
El término Netiquette (la etiqueta de la Red) designa a un conjunto de reglas para el buen comportamiento en Internet. Hay reglas para los distintos servicios de Internet (listas de discusión, IRC, FTP, etc.).
Las que siguen son algunas de las reglas para aplicar al correo electrónico:


1) Identificación clara del remitente y el destinatario
En una casa u oficina, puede ocurrir que varias personas utilicen la misma computadora y la misma cuenta de mail.
Por lo tanto:
- Debemos escribir el nombre de la persona a la que va dirigido el mail.
- También debemos firmarlo.

No es agradable recibir un mail que diga solamente "el envío fue despachado ayer".
Recibo en mi trabajo varios mails de este tipo a la semana. Como no tienen ni remitente ni destinatario, van a parar a la basura ya que no sé de quién vienen ni a quién debo entregarlo.

2) Privacidad
El mail no es tan privado como parece.
Debemos tener cuidado con lo que escribimos. Otras personas pueden leerlo.

3) Del otro lado hay seres humanos
No olvidar que, aunque estemos mirando un monitor, lo que estamos escribiendo lo recibirá una persona. Si recibimos un mail que nos disgusta, lo mejor es esperar al día siguiente para contestarlo y no escribir algo de lo que después nos arrepintamos.

4) Cadenas
No reenviar ninguna cadena de solidaridad. La mayoría son falsas. Si querés colaborar con gente que lo necesita, te propongo que te pongas en contacto con instituciones serias que pueden canalizar tu inquietud.
Seguramente encontrarás alguna forma de ayudar en esta lista de instituciones.

5) Alertas de virus
No reenviar ningún alerta de virus. La mayoría son falsos. Podés mantenerte actualizado sobre nuevos virus suscribiéndote al boletín de Virus Attack o consultando nuestra breve reseńa de virus más difundidos.

6) Mensajes publicitarios no solicitados (spam)
No enviar nunca mensajes publicitarios no solicitados.
Si querés promocionar tu negocio o tu página web, conseguí las direcciones de forma lícita, por ejemplo, poniendo un formulario en tu página o creando un boletín.
Es muchísimo más valioso tener una lista opt in (o sea, de personas que se suscribieron voluntariamente) de 500 o 1.000 direcciones que 1 millón de direcciones de personas a las que no les interesa nuestro negocio.
Por eso, para preservar la privacidad de todos en la red, jamás compres o vendas direcciones de mail.

7) No responder ningún mensaje no solicitado
No responder ningún mensaje no solicitado ni siquiera con la palabra REMOVE o UNSUSCRIBE ya que respondiendo estamos diciendo que nuestra dirección es válida.
Los spammers utilizan esta técnica para confirmar las direcciones con lo cual, en vez de dejar de recibir mensajes, comenzamos a recibir más.

8) Subject o Asunto
No envíes un mensaje sin Subject.
En el Subject o Asunto, describí breve y claramente el contenido del mail.

9) żDe qué estás hablando?
No respondas un mail diciendo solamente "OK" o "Yo no".
Explicá en forma concisa de qué estás hablando.

10) No incluir todo el mensaje original en la respuesta
No incluyas, en la respuesta a un mensaje, todo el mail original.
Suprimí todo lo que no sirva, dejando solamente lo necesario para darle contexto a tu respuesta.

11) Reenviar mensajes
Si recibís un mail y querés reenviarlo asegurate de borrar todas las direcciones que aparecen en el mensaje.

12) Enviar un mensaje a un grupo
Utilizá el campo "CCO" o "BCC" para escribir las direcciones cuando quieras enviar un mail a varias personas.
De esta manera evitás que todos conozcan las direcciones del resto de la lista.

13) No utilizar MAYUSCULAS
No escribas todo el mensaje en mayúsculas. Es cansador para leer e implica estar gritando.

 
martes, abril 15, 2003
  Bueno, este ańo no he tenido mucho tiempo, pero voy a tratar de recuperar el ritmo de publicación y postear al menos una vez por semana algo.
Esta semana, vuelvo a dar información sobre el spam y como atajarlo.
Para ello, consultar esta dirección que indica, de donde suelen sacar los spammers las direcciones de correo.

Información sobre los origenes de las fuentes de donde sacan los spamers las direcciones 
jueves, diciembre 19, 2002
  Esta semana vamos a hacernos eco de una campańa por parte de la Asociación de Internautas que persigue los mismos objetivos que este blog. Por tanto, merece la pena apuntar a el y que lo visiteis. A continuación, reproduzco los contenidos aparecidos en la introducción en su web.

"Presentación
La Asociación de Internautas ha constatado la necesidad que tienen muchos internautas de información especifica sobre seguridad, debido a la proliferación de virus informáticos, intrusiones en ordenadores ajenos y un debate sobre la violación de las comunicaciones electrónicas.

Para paliar esa demanda sobre información de utilización de herramientas que garanticen seguridad en todos los aspectos necesarios, la Asociación de Internautas ha desarrollado hasta la fecha dos campańas formativas. Para ello ha dedicado un espacio especifico dentro de su sitio web, bajo el título de "CAMPAŃA DE SEGURIDAD EN LA RED", con el lema "POR UNA INTERNET SEGURA" y apoyada en Espańa por una completa red de difusión de información y contenidos en otros medios de comunicación tradicionales.

Este espacio web propone al conjunto de internautas, nuevos y experimentados, instrucciones, recomendaciones y descarga de herramientas software freeware que faciliten el conocimiento teórico necesario, así como el uso y manejo prácticos de todos los procedimientos de seguridad indispensables para una navegación segura.
"
La dirección es http://www.seguridadenlared.org/es/
viernes, diciembre 13, 2002
  En solidaridad con la catastrofe del Prestige, este enlace permite ir a una web en donde se exigen responsabilidades a los organismos competentes, que en este caso, parecen haber sido INcompetentes.

Prestige: Exigimos responsabilidades. 
viernes, noviembre 22, 2002
  Rumores(hoax) y mensajes en cadena

El consejo de esta semana, comenta los "mensajes en cadena" y "rumores (hoax)". En si, no son un peligro potencial de forma directa, o sea, por leerlos no suele pasar nada. De forma indirecta, y en función del contenido, si pueden producir mucho más dańo. Ya dependerá del objetivo que persiga el mensaje. Podemos distinguir varios
- Solo hacer perder el tiempo
- Hacer que la gente envie algo a algun sitio para saturar el servidor de correo destino
- Desprestigiar o atentar contra el honor de una persona u organización
- Intentar, por ingeniería social,que la gente proporcione información sensible (numeros de cuenta, contraseńas, etc)

Dado que supone una perdida de tiempo, y el hecho de reenviarlos no aportan ningun beneficio, solo conseguir hacer trabajar a los servidores de correo, como consejo, intentaría, antes de hacer un "reenvio compulsivo" tratar de verificar la noticia. Para ello, Google suele ser la mejor herramienta para saber si se trata o no de un rumor.

Suelen apelar a motivos humanitarios, porque de esa forma es mas facil sensibilizar a las victimas y hacer que se colabore en la difusión. Los motivos alegados suelen ser de lo mas variopinto, y no suele haber ningun tipo de escrúpulos a la hora de utilizar temas como la gravedad de un enfermo, evitar enfermedades, salvar una vida o hacer ingresar dinero.´A continuación, trato de identificar algunas reglas básicas para identificar este tipo de correos.

Características que comparten estos rumores (Hoax)
-----------------------------

- Algunos dicen en su texto que ESTE NO es una mentira (o una cadena, o una leyenda urbana, o lo que aplique)
- La mayoría pide explícitamente dentro de su texto que es necesario pasarlo al menos a n personas para tenga efectividad. Mientras más, mejor.
- Hay que mandar una copia del correo a una cuenta en especial, que generalmente no existe o el originador de la cadena lo hace precisamente para llenar el buzón de la víctima.
- Tienen títulos o contienen frases como "Por si las dudas, mas vale creer", apelando al sentido común de la gente


Mas información sobre que son los hoax y sus efectos en Hoax Buster y Rompecadenas

Saludos

 
martes, noviembre 12, 2002
  Parece que la seguridad no pasa solo por el software ni por el hardware. Las grandes empresas empiezan a darse cuenta de que hay que cuidar siempre el eslabon más debil de la cadena, y ese, es siempre, el más indefenso. En el caso de la seguridad informática, suele suceder que el desconocimiento, la desinformación o el descuido, suelen ser las principales causas que producen incidentes en la seguridad. Pero, żCómo vamos a saber la trascendencia de nuestras actuaciones si no entendemos los mecanismos de seguridad que estan implantados? żCómo configurar correctamente las herramientas de seguridad, si nadie dice que es lo importante a proteger?.

En seguridad, como en el resto de disciplinas, hacen falta dos cosas siempre.
- Responsabilidad , para establecer quien tiene que tomar decisiones
- Información para saber que decisiones se pueden tomar y cuales de ellas son adecuadas en nuestro contexto

żPor que delegar estos dos elementos al usuario, la persona posiblemente menos preparada?
Evidentemente, porque alguien no hace bien su trabajo, y no es capaz de establecer correctamente a quién deben otorgarse esas responsabilidades, y como siempre, eso es la labor de la dirección de la organización.

En resumen, SI NO HAY GESTÓN DE LA SEGURIDAD, no pidamos luego EFICIENCIA Y PROTECCIÓN de los mecanismos adoptados.

Esta semana, el enlace recomendado es Human Firewalls, una web que trata de explicar, que al final, los usuarios juegan un papel crítico en la protección de los sistemas, puesto que suelen ser siempre el eslabon más debil de la cadena, el menos cuidado y el mas desinformado. A quien le apetezca, podrá pasar un test para medir cómo está su organización en cuanto a concienciación y gestión de la seguridad.

Un saludo
 
jueves, octubre 24, 2002
  La recomendación de esta semana trata de solucionar de alguna forma, las molestias que supone el correo no deseado, conocido como "spam". El problema tiene una solucion técnica complicada, pues a priori es dificil saber que correos recibidos son deseados y que correos no lo son.

Este programa tiene una filosofía sencilla y es facil de utilizar. Se basa en puntuar los correos que entran, asignando pesos segun diferentes sintomas, como por ejemplo, que viene de cuentas conocidas por enviar spam, contiene palabras comunes de correos de spam, etc...

El programa que recomiendo es Spam Detective 2.10 que ahora se conoce tambien como Mail Shield Desktop al haber sido comprado el producto por otra compańia.

Spam Detective 2.10
Mail Shield Desktop

Bueno, espero que os funcione bien y os solucione el problema

 
lunes, octubre 14, 2002
  Esta página (http://www.firewallguide.com) contiene información muy interesante que puede ser de ayuda en la elección del adecuado firewall personal que podeis instalar.
Ir a Home PC Firewall Guide

 
  El primer consejo sobre seguridad informática para usuarios, no podía ser otro que unos requisitos y recomendaciones generales sobre la selección de contraseńas, que a día de hoy, es el mecanismo de autenticación y seguridad en general, más utilizado. Bueno, espero que este primer consejo os sea de utilidad
Saludos
Javier Cao Avellaneda

Requisitos para la elección de claves de acceso de seguridad normal
Todas las contraseńas del sistema deberán cumplir los siguientes requisitos:
• Contener dígito además de letras.
• Pueden incluir caracteres de control y /o espacios.
• Deben ser fáciles de recordar para que no haya que escribirlas, pero no se deben emplear datos propios que puedan ser averiguados por terceros (teléfono, fecha de nacimiento, nombre de la pareja, etc.)..
• Deben tener más de 6 caracteres.
• Las contraseńas deberán renovarse de forma periódica cada 3 meses.
Requisitos para la elección de claves de acceso de seguridad alta
Todas las contraseńas del sistema deberán cumplir los siguientes requisitos:
• Contener mayúsculas y minúsculas.
• Contener dígitos y símbolos de puntuación además de letras.
• Pueden incluir caracteres de control y /o espacios.
• Deben ser fáciles de recordar para que no haya que escribirlas, pero no se deben emplear datos propios que puedan ser averiguados por terceros (teléfono, fecha de nacimiento, nombre de la pareja, etc.)..
• Deben tener más de 8 caracteres.
• Las contraseńas de acceso se cambiarán de forma periódica.
• Las contraseńas deberán renovarse de forma periódica cada mes.

Sugerencias para la elección
Como sugerencias a la hora de elegir contraseńas podemos recomendar:
- Tomar dos palabras cortas y combinarlas intercalando un carácter especial o un número como arbol?madera, ventana-casa, etc.
- Poner junto un acrónimo que le diga algo como nssadespa ( No Se Si Algo De Esto Servirá Para Algo), euldlm (En Un Lugar De La Mancha)

Debe evitarse introducir claves como:
- Nombre propio, el de la esposa o del socio
- El nombre de la mascota o el hijo
- Nombres de amigos o compańeros de trabajo
- Nombres de personas
- Fechas significativas
- Patrones simples de letras de teclado como qwert
- Contraseńas que sean repetición de una misma letra
 
viernes, octubre 11, 2002
  Este es mi primer post de una serie de pequeńos trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilicitos.
Espero que los pequeńos consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros.
salu2...

Javier Cao Avellaneda

 
Este sitio pretende ser un lugar donde albergar un recetario sobre trucos y consejos de seguridad para usuarios

ARCHIVES
10/01/2002 - 11/01/2002 / 11/01/2002 - 12/01/2002 / 12/01/2002 - 01/01/2003 / 04/01/2003 - 05/01/2003 / 05/01/2003 - 06/01/2003 / 08/01/2003 - 09/01/2003 / 09/01/2003 - 10/01/2003 / 10/01/2003 - 11/01/2003 / 11/01/2003 - 12/01/2003 / 12/01/2003 - 01/01/2004 / 01/01/2004 - 02/01/2004 /


Powered by Blogger