martes, 31 de julio de 2007 0 comentarios

Ley inversa de Pareto, la seguridad antiterrorista en los aviones vista por los pilotos.

De nuevo Bruce Schneier vuelve a criticar y plantear la "verdadera" seguridad aérea. Si tal preocupación debiera existir, las cosas no se están haciendo bien aunque nos vendan que se gestionan correctamente. Leo vía Microsiervos parte del artículo publicado que a su vez referencia a otro con las opiniones de los pilotos sobre la seguridad del avión. Como suele hacerse en el análisis de riesgos, es necesario entrevistar a los actores principales para conocer cuales son las amenazas reales y cuales sus vulnerabilidades. Esto parece ser que ha sido lo que han hecho los pilotos, desmontando la actual estrategia de seguridad que contempla al pasajero como la principal amenaza cuando las vulnerabilidades parecen estar dentro del propio aeropuerto cuando el avión está aparcado.

Por tanto, parece que se ha aplicado la ley inversa de pareto, "se destina el 80% de los recursos a mitigar el 20% de las amenazas y vulnerabilidades", aunque justamente es el 20% que "mediaticamente y políticamente" se vende mejor.

A los estrategas de la seguridad les gusta pensar que el enemigo está fuera cuando realmente las mayores vulnerabilidades son la "ausencia de control" dentro. Quizás porque demostrar "descontrol" interno siempre se vende peor que justificar e invertir en hipotéticas amenazas.

El artículo podéis leerlo en la referencia de Microsiervos en el enlace La seguridad antiterrorista en los aviones, vista por los pilotos | Microsiervos

Esperemos que filosofías basadas en la gestión como es la propia ISO 27002 desmonten estas falsas protecciones y sensaciones de seguridad que realmente no son efectivas.
jueves, 19 de julio de 2007 0 comentarios

Muere la ISO 17799 y nace ISO 27002.

Aparece en el blog de Paloma Llaneza la noticia de que se ha producido ya el renombrado de la ISO 17799 por otro número dentro de la serie 27000. El post original puede leerse en palomallaneza.com - » La 17799 ha muerto.
miércoles, 18 de julio de 2007 0 comentarios

Guía de seguridad para empresas

Vía el INTECO, aparece hoy publicada una guía sencilla de seguridad con los consejos básicos a tener en cuenta elaborada por el Gobierno de Aragón. Con solo 12 páginas, se describen los conceptos de seguridad que afectan a la protección de toda empresa.
La guía puede obtenerse en Guía de seguridad para empresas y autónomos.

Quiero aprovechar para recordar que aquí en Murcia hemos realizado también algunas iniciativas al respecto en las que personalmente he podido participar.

Se ha elaborado por parte de Timur otra guía, orientada más a la gestión de la seguridad de la información, que apareció en marzo de este año donde intentamos concienciar a las empresas a los conceptos del marco normativo ISO 27001 e ISO 17799. El documento está accesible en
Guía de seguridad de la información para pymes.
Además, se realizó un comic general de concienciación y una guía básica para usuarios y ciudadanos con un repaso a los conceptos básicos de protección y consejos respecto a la adquisición y protección de la informática doméstica. Esta guía está disponible en Guía de seguridad para ciudadanos.
lunes, 16 de julio de 2007 1 comentarios

No aprendemos de la historia, el caballo de troya sigue funcionando

En Youtube pueden verse de vez en cuando algunos ejemplos curiosos de la seguridad real. En el fondo, las cosas no han cambiado mucho con el paso de la historia, como puede verse en el video que incluyo a continuación.



Y es que la confianza a menudo se basa en la percepción y basamos nuestros criterios de autenticación en supuestos o incicios pero no en hechos. ¿Cuantas veces hemos pedido a una persona vestida de policía su placa de identificación? ¿Quién discute la autoridad de una persona vestida de guardia de seguridad en unos grandes almacenes?

En fin, hechos y no percepciones...
viernes, 13 de julio de 2007 0 comentarios

Restoration, herramienta freeware de recuperación de archivos borrados

Restoration es una sencilla herramienta de recuperación de archivos eliminados cuando estos no se encuentran ya en la papelera de reciclaje o han sido eliminados sin pasar por ella. Puede servir también para recuperar archivos o fotos de tarjetas de memoria incluso si estas han sido formateadas.

Como todo este tipo de herramientas, se debe indicar la unidad de donde recuperar archivos y solicitar una busqueda de elementos borrados. Una vez inventariados, ya es cuestión de elegir lo que se quiera recuperar. No requiere instalación previa por lo que puede ser ideal para tenerla en un dispositivo usb y funciona en entorno Windows con sistema de ficheros NTFS y FAT.



Podéis descargarla en: Restoration de SnapFiles
jueves, 12 de julio de 2007 0 comentarios

Original y copias

Como ya estamos en pleno verano y la pereza inunda nuestros cerebros, el post de hoy tiene un carácter más humorístico y anecdotario aunque no deja de ser por ello interesante.

Se han puesto muy de moda los programas de televisión de "corta y pega" que resumen en breves videos lo mejor de las cadenas, los conocidos como programas de zapping. Pues según parece, la competitividad voraz de las diferentes cadenas llega ya incluso hasta este tipo de programas.

El supuesto trabajo de este tipo de espacios televisivos es visualizar lo más relevante del resto de cadenas y seleccionar los contenidos más significativos con cierto criterio. Como parece que, aunque no es un trabajo creativo si lo es tedioso, en alguna cadena se ha puesto de moda "usar" la selección hecha por el vecino en vez de tener que molestarse en visualizar videos de todas las cadenas y con criterio propio hacer una selección particular.

Ya hemos comentado alguna vez en este blog que en el mundo digital desaparece el concepto de original y copia. Todos los documentos digitales tienen una serie de propiedades (fecha de creación, de modificación, autor, etc.) pero no existe a priori una diferencia física y significativa entre el documento inicial y sus copias derivadas. Si existe una manera de probar que dos documentos identicos son iguales en contenido mediante pruebas de integridad. Por tanto, para probar documentalmente el plagio, suele ser habitual introducir de forma intencionada erratas en el texto o errores tipográficos para ver si el plagiador también las presenta y de esta manera demostrar la copia. Pues nuestros amigos del programa de la Sexta "Se lo que hicisteis..." han puesto un anzuelo a Gonzalo Miró de Cuatro que tiene una sección de zapping cuyos contenidos curiosamente coinciden con la selección que realiza previamente la Sexta. El video colgado en Youtube muestra como han pillado con evidencias claras al plagiador.



Destacar que aunque el plagio jode al autor, esta gente de la Sexta lleva su humor hasta este hecho generando más contenido entretenido con la anécdota. Al copión, como se suele decir, a las pruebas me remito.
martes, 10 de julio de 2007 0 comentarios

Microsoft Malware Protection Center

Microsoft ha hecho pública su nueva Web de información contra el mundo del malware. Al igual que las Webs de otras empresas antivirus, se describen las amenazas más relevantes y las amenazas más detectadas. También se permite la descarga de las últimas actualizaciones de los productos Windows Defender y Microsoft Forefont Client Security y la consulta de una enciclopedia de malware.


La url de acceso es Microsoft Malware Protection Center
miércoles, 4 de julio de 2007 0 comentarios

El hacking del libro "Harry Potter", una demostración de una operación psicosocial

La noticia que aparece hoy en Noticiasdot.com con la entrevista al autor del bulo sobre el hacking de los servidores donde se encontraba el último libro de Harry Potter trae interesantes reflexiones que dan mucho que pensar. Ya en este blog se ha comentado varias veces que la facilidad para públicar contenidos y la voracidad de los medios de comunicación por destacar entre la marabunta informativa crea el caldo de cultivo ideal para que este tipo de "operaciones psicologicas" tengan éxito. En su momento etiqueté esta nueva amenaza como "contaminación de contenidos" aunque en su momento esta técnica se manifestaba introduciendo información falsa respecto a la evolución de acciones y valores para influir en el mercado y obtener beneficio de ello.

En la entrevista que aparece traducida en Noticiasdot.com, el supuesto autor del bulo de Harry Potter confiesa sus intenciones, la táctica utilizada para generar tanto revuelo y las conclusiones que se deducen del hecho. A continuación selecciono los trozos de la entrevista que me parecen más significativos:

  • "La receta de las [operaciones] psicológicas incluía:
    - Religiones porque es algo que puede hacer que la gente haga cosas inusuales, y ¡el Papa es muy popular!
    - Hackers, porque los medios de comunicación siempre están interesados en delitos relacionados con las nuevas tecnologías y en ellos.
    - Noticias que no se puedan negar, porque si es innegable nadie podrá decir que no es verdad.
    ¿Cuál, sino un Arcángel, sería la mejor elección para ofrecer servicios útiles a la comunidad religiosa y al Papa?"
    Haz las noticias atractivas, haz que la red de medios, blogs, noticias en línea, rss y gente que chatea hablen sobre esto y ganarás autoridad cada vez que alguien hable.


  • ¿Debemos relacionarles con algún movimiento político? ¿Tienen motivaciones políticas o religiosas?

    Nosotros no representamos ningún movimiento político que no sea la comunidad internacional involucrada en la libertad de expresión, anti-censura, estrictamente relacionada con la filosofía del open source, con pasión por los asuntos globales, económicos, temas sociales y tecnología.
    Queremos que la gente piense sobre los riesgos de la contaminación informativa y de la manipulación de los medios de comunicación porque un día usted puede rendirse convencido de que vive en una democracia sólo porque la televisión y los diarios lo dicen.
    Las nuevas tecnologías aparecieron en nuestras vidas demasiado rápido y la gente está ahora preparada para estimar y evaluar los riesgos relacionados con la Sociedad de la Información basada en la encomia del conocimiento y usted se tendría que preguntar “¿cuánta gente sabe cuán rápido cambia la sociedad?”


  • En sus comunicaciones resalta la importancia de ser consciente de la manipulación que podemos padecer como sociedad. ¿Querría comentar sus preocupaciones sobre el tema?

    ¿Cuánta gente conoce usted que nunca ha tenido dudas en cuanto a las causas de la guerra de Iraq o en cuanto al peligro real del terrorismo?
    Nosotros conocemos a muchos, cada día. Son las personas normales y corrientes que puede encontrar en cualquier lado.
    ¿Cree que los controles en el aeropuerto son realmente útiles o que son sólo una manera de hacer creer a a el gente que la situación está bajo control?
    La manipulación de la opinión pública (para los intereses “públicos” o para los “privados”) va en contra de los derechos humanos. El poder hoy en día está representado por aquellos que controlan y producen información, y no por aquellos que producen o emplean armas convencionales.
    Los gobiernos y las multinacionales combaten principalmente con información, los campos de batalla son los medios y la guerra está en curso.


  • Es curioso que un simple mensaje publicado en una lista de correo o enviado a los medios haya levantado tanta polvareda. ¿Ha intentado algún medio de comunicación contactar con usted para comprobar la información?

    Nadie ha comprobado la información. Todos los medios han reproducido exactamente lo que han necesitado para hacer las noticias.
    Por ejemplo, nadie se ha dado cuenta que pusimos propaganda anti-islámica al final del mensaje.
    De todas formas, por favor, piense que la autoridad de unas noticias es lo que hace la noticia real. No el hecho de que sean reales en el mundo real.
    Nosotros hemos trabajado al mejorar la autoridad de nuestra noticia falsa, y lo hemos hecho con éxito.


La entrevista entera puede leerse en El hacker del “caso Harry Potter” se explica: conversaciones con un ingeniero social.



Como datos interesantes, la entrevista enlaza con las definiciones de operaciones psicológicas de la Wikipedia y las herramientas útiles para estos propósitos. Me ha llamado mucho la antención Touchgraph, un constructor de redes sociales asociadas a los resultados de una busqueda.
Como muestra de los resultados al buscar "seguridad de la información" aparece este gráfo donde están las "principales" (según el buscador) urls relacionadas con el tema. Curioso que la url más referenciada sea a monografías.com. Imagino que uno de los mayores usos de Internet actualmente por parte de la población más joven es el usar y pegar a la hora de hacer trabajos para el colegio, lo que justifica este hecho.

Otros enlaces interesantes son:

Herramientas OSINT:
 
;