Tag Archive for risk management

Sample Blackberry Enterprise Server Policy

The policy below provides an example of security measures that should be taken towards protecting a corporate network from the threats presented by mobile devices.

These configurations and options should be “taken with a grain of salt”; as a guideline to what features should be set to mitigate the risk of smart-phone being used as un-metered gateways into the corporate network.

The 5-step process should be put into action to address security issues related to smart-phones.

  1. Identify threats and vulnerabilities.
  2. Measure the risk.
  3. Determine what control should be put in place.
  4. Implement industry best practices and standards.
  5. Develop and communicate policy and awareness.


Device-Only Items:

Password Required: True
Allow Peer-to-Peer Messages: False (This can be set to be audited if enabled)
Minimum Password Length: 4
User Can Disable Password: False
Maximum Security Timeout: 5
Maximum Password Age: 180
User Can Change Timeout: False
Password Pattern Checks: (used to enforce complexity in passwords)
Enable Long-Term Timeout: True
Allow SMS: False (These can be set be audited if enabled)
Enable WAP Config: False

Desktop-Only Items:

Show Application Loader: False
Force Load Count: 0
Auto Backup Enabled: True
Auto Backup Include All: True
Do Not Save Sent Messages: False

Common Policy Group:

Lock Owner Info: Lock Information Text
IT Policy Notification:
Set Owner Info: (If found please return to message……)
Disable MMS: True

Password Policy Group:

Set Password Timeout: 20
Set Maximum Password Attempts: 5
Suppress Password Echo: True
Maximum Password History: 3

Security Policy Group:

Disable Untrusted Certificate Use: True
Disabled Revoked Certificate Use: True
Disable Peer-to-Peer Normal Send: True
Disable Key Store Low Security: True
Certificate Status Cache Timeout: 1
Disallow Third Party Application Download: True
Force Lock When Holstered: True
Allow Third Party Apps to Use Serial Port: False
Disable Invalid Certificate Use: True
Disable Weak Certificate Use: True
Disable Key Store Backup: True
Certificate Status Maximum Expiry Time: 4
Disable Stale Status Use: True
Disable Cut/Copy/Paste: True
Disable Radio When Cradled: True
Disable Forwarding Between Services: True
Disabled Unverified CRLs: True
Disable 3DES Transport Crypto: False
Disable Persisted Plain Text: True
Disable Unverified Certificate use: True
Disable IP Modem: True
Allow Smart Card Password Caching: False

SMIME Application Policy Group:

SMIME Minimum Strong RSA Key Length: 1024
SMIME Minimum Strong DH Key Length: 1024
SMIME Minimum Strong ECC Key Length: 163
SMIME Allowed Content Ciphers: AES (256-bit), Triple DES
SMIME Minimum Strong DSA Key Length: 1024

Memory Cleaner Policy Group:

Memory Cleaner Maximum Idle Time: 10
Force Memory Cleaner When Holstered: True

TLS Application Policy Group:

TLS Disable Weak Ciphers: Disable weak ciphers
TLS Disable Untrusted Connection: Disable untrusted connections
TLS Minimum Strong RSA Key Length: 1024
TLS Minimum Strong DH Key Length: 1024
TLS Minimum Strong ECC Key Length: 163
TLS Disable Invalid Connection: Disable invalid connections
TLS Minimum Strong DSA Key Length: 1024
TLS Device Side Only: False

WTLS Application Policy Group:

WTLS Disable Weak Ciphers: Disable weak ciphers
WTLS Disable Untrusted Connection: Disable untrusted connections
WTLS Minimum Strong RSA Key Length: 1024
WTLS Minimum Strong DH Ley Lenth: 1024
WTLS Minimum Strong ECC: 163
WTLS Disable Invalid Connection: Disable invalid connections

Browser Policy Group:

Allow BIS Browser: False

PIM Sync Policy Group:

Disable PIN Messages Wireless Sync: False
Disable SMS Messages Wireless Sync: False

Desktop Policy Group:

Desktop Password Cache Timeout: 10
Desktop Allow Desktop Add-ins: False
Desktop Allow Device Switch: False

Locking Down The Blackberry Network

Auditing SMS and PIN Messages on a BES


Locking Down The Blackberry Network

Early last year India threatened to discontinue Blackberry service if Research In Motion (RIM), the company behind the Blackberry did not allow the Indian Government to monitor the Blackberry network traffic raising serious security concerns. Here are a few articles from PCWorld, InfoWorld, and CNet.

Now president-elect Barack Obama vows to keep his Blackberry despite hacking fears and concerns by the Secret Service.

This will not only be a headache for the Secret Service but its pretty likely that hacking attempts towards the RIM network will increase exponentially.

Generally people just don’t think about the risk that a smart-phone poses, specially if its connected to a Blackberry Enterprise Server. How could my phone be a risk to anyone? Well a smartphone is not just a phone, but rather a miniature computer that is not just capable of making calls but it also an un-metered gateway into the corporate network.

In order to understand what actions to take to protect a smart-phone, in particular the Blackberry you have to understand how it works and how it interacts with the Blackberry Enterprise Server.


  • Lack of authentication
  • Lack of encryption
  • Lack of mobile code execution controls
  • Difficult to enforce controls
  • Peripheral devices introduce additional vulnerabilities
  • Infrastructure vulnerabilities service specific operating systems, platforms, applications, etc.
  • Small size is prone to theft and loss
  • All devices may not be corporate owned
  • Multiple configurations of the Blackberry Enterprise Server (BES) architecture
  • Limited centralized update mechanisms
  • Limited IT/CIO Control

Sources of Recommended Controls and Security Guidelines:

  • The Vendor (Microsoft, Treo, RIM, etc.)
  • SANS (www.sans.org)
  • NIST has a great publication
  • Other existing guidelines
  • 3rd Party Solutions often fill the gaps

Once the vulnerabilities have been identified we proceed to implement controls and audits.


Controls will include policies, standards, practices, procedures, guidelines, awareness, authentication, encryption, and asset management.


Once the scope has been defined, allow to review the implementation of policies between the BES, servers, Blackberry devices, and Blackberry desktop agents. Audits also allow the review of configuration and options to ensure that security is not just available but implemented. Additionally configurations pushed down to end devices need to be audited as well.

The infrastructure design and configuration of network components (firewalls, routers, switches, VLANs, etc.) will need to be audited as they play an intricate part of the overall security of the system.

Risk Assessment:

Although this requires additional resources and expertise, its a must in certain environments like corporate or government. A risk assessment will identity security vulnerabilities and provide a 2nd chance to identify all “assets”.

Once this has been completed, validating the risk by performing an “ethical hack” will remove any uncertainty by proving the vulnerabilities identified actually exist.


Providing documentation on the findings is vital. The documentation required will contain an executive summary, action items and details for system administrators, and a clear and concise report with both the good and the bad findings.

A couple of things that should not fall through the cracks are ensuring that the corrective actions are implementable within the organization and the next audit scheduled.

Sample Policy:

Sample Blackberry Enterprise Server Policy


Gerencia de Riesgos como Estrategia de Seguridad

No es un secreto que la seguridad informática es una cuestión de alta gerencia en muchas compañías, y que los presupuestos de seguridad tecnológica están creciendo exponencialmente. En una precipitación para asegurar la compañía, tanto vendedores como clientes frecuentemente no comprenden como describir la seguridad como parte integral de cualquier negocio. Solo necesitamos conectar la seguridad tecnológica con las iniciativas de negocios al cual protege.

Cuando analizamos una típica propuesta detrás de nuevas tecnologías de seguridad, vendedores e integradores tratan de ligar la seguridad tanto con ganancias como con el concepto de confiabilidad (“trust”). Implementando una robusta seguridad aumentaran sus ganancias, estableciendo confiabilidad (“trust”) entre sus clientes, proveedores y socios; así reza el slogan. Sin embargo, esto deja una confusión en los objetivos primarios de la seguridad de redes y como las organizaciones deben medir el éxito.

Solamente la seguridad no puede aumentar las ganancias. Una falta de seguridad puede disminuir las ganancias, porque usted perderá la confianza en el mercado. Lo contrario también es cierto: Demasiada seguridad puede reducir las ganancias. Si lo propio en su sistema de seguridad es negar el acceso, creando obstáculos para los clientes, entonces el negocio sufrirá. El truco esta en proveer el balance correcto entre una buenas medidas de seguridad que permitan a las personas correctas accesar la información correcta en el momento correcto.

Lograr este balance es un gran reto dada la dinámica de los negocios digitales. Si su meta es servir cientos de miles, sino millones de clientes, entonces simplemente n no puede darse el lujo de administrar cuentas para todos esos usuarios. Eventualmente, tendrá que aceptar entes que un tercero define y asegura. Usted tampoco puede saber que software de cliente esos clientes utilizan, por lo que tendrá que aceptar cualquier cliente, incluyendo celulares y PDAs, además de los navegadores Netscape y Microsoft IE.

La seguridad de los negocios digitales no es acerca de manejar confiabilidad (“trust”), sino de gerenciar el riesgo. Cuando establecemos y mantenemos una relación con un cliente, proveedor o un socio, debemos pensar en esta relación, no en términos de confiabilidad sino en los riesgos que estamos dispuestos a aceptar. Y debemos de ver nuestros sistemas de seguridad como una forma de gerenciar riesgos.

De aquí podemos ver lo útil que es observar como los negocios gerencian el riesgo. Primero, cuantifican el riesgo, evaluando las probabilidades y consecuencia de un nocivo acontecimiento. Luego determinan responsabilidad o quien se perjudica si el incidente ocurre. El segundo paso es tomar medidas correctivas. Los negocios normalmente aminoran el riesgo, disminuyendo las probabilidades, las consecuencias o ambas. Ellos también transfieren la responsabilidad. Los negocios frecuentemente adquieren pólizas se seguro para la indemnización de su organización y de terceros.

La seguridad de redes frecuentemente solo considera la prevención en esta ecuación. Para tener éxito a largo plazo, la seguridad debe ayudar a las organizaciones a gerenciar el riesgo, permitiéndoles ceder o y gerenciar la responsabilidad mas claramente. Sistemas de autenticación permiten a una organización transferir la responsabilidad a una cuenta, y la persona (o ente) a la cual pertenece dicha cuenta.

A través de políticas que se vinculan al proceso de negocios, usted puede definir explícitamente lo que las personas pueden hacer, y cuando lo pueden hacer. Funciones de registros (logging) y auditoria, le dan la habilidad inspeccionar y probar que algo paso.

Básicamente, usted puede sustentar o negar reclamos de responsabilidad basados en un récord de las actividades.

Finalmente, una amplia gamma de instrumentos de seguros esta emergiendo para indemnizar a los negocios digitales. Estas herramientas deben trabajar como anillo al dedo, para proporcionar la gerencia de riesgos que los negocios necesitan.

Muchos de los productos de seguridad de hoy en día, no cubren estas necesidades completamente. Pero la planificación de estrategias de seguridad por parte de las organizaciones deben seguir por estas líneas. Ir mas allá del concepto de confiabilidad (“trust”) como la base de sistemas de seguridad de un negocio es la clave para el éxito a largo plazo, y la verdadera justificación para ese presupuesto de seguridad.