jueves, 31 de julio de 2008 0 comentarios

Cómo hacer ingeniería social

Bruce Schneier apunta en su blog a este "ilustrativo" ejemplo de cómo hacer ingeniería social para entrar por la cara en discotecas. Este método sigue siendo de los más efectivos. Como ya estamos a punto de irnos de vacaciones todos, un contenido ligero y amenno (aunque las conversaciones están en ingles).


Learn how to hack at 5min.com
miércoles, 30 de julio de 2008 4 comentarios

"Net war" contra la contaminación de contenidos

Venía en coche escuchando la radio y estaban entrevistando a gente de la Brigada Tecnológica en relación a un informe que ha solicitado la fiscalía sobre las Webs que asesoran de manera perniciosa sobre la anorexia.

La noticia que ha saltado a primera plana tiene que ver con una investigación que la Brigada de Investigaciones Tecnológicas de la Policía (BIT) a realizado a petición de los diferentes correos enviados por los ciudadanos y que han sido las remitidas a la Fiscalía General del Estado. Los agentes cibernautas han registrado hasta 150 páginas que a su vez son puerta a otras y así se calcula que puede haber unas 400 páginas web al alcance de cualquiera que hable castellano. Todas alentando, con instrucciones concretas, a quienes padecen anorexia y bulimia

En la entrevista se notaba cierto tono de impotencia, por parte de los dos miembros de la BIT dado que a día de hoy, estos contenidos no son delictivos y por tanto, pocas actuaciones pueden emprender. Investigando el tema por encima, he podido encontrar para mi alegría, otra noticia de la Sexta donde se comenta otro éxito de una iniciativa ciudadana por hacer "Google Bombing" contra este tipo de paginas. La incitativa denominada "Posiciona contra la anorexia" también ha tenido cierta cobertura mediática como se puede ver en Engaña a la anorexia - laSexta|Noticias.

Sin embargo y tratando de ser positivo, creo que se puede entresacar alguna conclusión.

1.- Todos los ojos cuentan a la hora de identificar los sitios contaminados y las denuncias de los ciudadanos a través de correo electrónico han iniciado una investigación que va a acabar como un informe a la Fiscalía General del Estado.

2.- Ante este tipo de contenidos, las estretegias basadas en "net war" o "guerras de red" parece que funcionan. Como dice la Wikipedia, "la guerra red, traducción de netwar, es un modo de conflicto social que involucra a sus protagonistas en el uso de formas de organización y doctrinas más relacionadas con el empleo de tecnología punta surgida durante la llamada era de la información que de estrategias militares tradicionales, al tiempo que sugiere una conformación de pequeños grupos dispersados que se comunican y coordinan sin un orden central que signifique la supeditación a estructuras jerárquicas específicas."

He estado dándole vueltas a la cuestión y aunque es una idea que acabo de "engendrar" y que tendría que darle alguna vuelta más, se me ha ocurrido una estrategia para combatir éste y otros problemas relacionados con "la contaminación de contenidos". A ver si puedo ser claro en exponer la filosofía basada en la colaboración y en el voluntariado internauta.

Sería un ejercito compuesto por dos lineas de ataque:
  • Por un lado, estarían los "exploradores" cuya misión principal sería localizar "Webs" perniciosas (con contenidos nocivos por alentar o hacer apología de cualquier delito o fomentar los daños contra la salud). Estas direcciones deberían enviarse a un "contenedor común" donde pasaran a ser "evaluadas". La filosofía de trabajo sería algo similar a lo que se ha hecho ya con las Webs de phishing como la barra de Netcraft pero para que luego estas urls sean cualificadas, por parte de personas "identificadas" y "acreditadas" que estos contenidos son nocivos.


  • En la segunda línea, estarían los "calificadores" que accederían a la información del contenedor y tratarían de clasificar estos contenidos nocivos en base a unos sencillos tags que identificaran claramente el tipo de contenido nocivo. Podría ser algo como "fomento anorexia", "xenofobia", "homofobia", "violencia de género", etc...
    Estos calificadores deberían generar otro "fichero final calificado" que pudiera ser utilizado por motores de búsqueda para etiquetar las urls denunciadas, de manera que se evitara la aparición de estas urls en los primeros resultados de los buscadores cuando la búsqueda pudiera ser genérica y pudiera corresponder a menores que tratan de localizar este tipo de contenidos nocivos.

No sería tanto censurar sino marginar y el criterio de calificación no sería un examen mecánico sino humano. Este "fichero final calificado" sería de acceso gratuito y libre para todos los motores de búsqueda que lo quisieran usar.

El resultado final al navegante debería ser una consulta etiquetada similar a la que proporciona Scandoo donde antes de acceder pudiera identiticar si el sitio al que puede acabar llegando puede o no ser interesante. Incluso para aquellos navegadores que proporcionan barras de navegación, podrían filtrarse los contenidos asociados a ciertas etiquetas o ser esta información también utilizada por software de control parental.

El proceso para pertenecer a este segundo colectivo calificador debería ser serio y podrían participar desde ONG's hasta asociaciones profesionales que quieran prestarse como voluntarios.

El esfuerzo de muchos pocos podría ser útil a la globalidad. No se cuanto de viable puede ser la idea desde el punto de vista técnico porque no conozco profundamente la mecánica de los buscadores y sus criterios de ponderación, pero si me imagino esto más cerca de la "Web semántica" que un examen basado en contenido y palabras sin un factor humano detrás que aporte conocimiento. Creo que colectivos a los que pertenezco como el "Colegio de Ingenieros de la Región de Murcia" o "Murcya" estarían interesados en participar. El esfuerzo sería, como internauta voluntario, dedicar 10 minutos al día o bien a localizar Webs o bien a calificarlas.
En España ya tenemos la ONG "Protégeles.com" trabajando desde hace tiempo en estos temas con iniciativas siempre muy interesantes.



A través de los comentarios se aceptan críticas y nuevas ideas. Ahora solo queda que empiece la cadena, así que siguiendo la primera regla de la Net-war, "pásalo".
viernes, 25 de julio de 2008 0 comentarios

Mejorando la protección antivirus casera

Llevo un par de meses con la aplicación ThreatFire instalada en casa como complemento a mi antivirus tradicional (Avast). Cuando encontre la aplicación me gustó el enfoque basado en la predicción de comportamientos y la monitorización de procesos, más que en el examen de patrones.
A ella llegué por otro producto PCTools que tengo instalado, el firewall. Es sencillo y permite tanto reglas de filtrado por aplicación como reglas genéricas, lo que ahorra mucho trabajo al definir lo que quieres dejar pasar.
El tema de la protección antivirus para usuario doméstico cada vez se complica mas. Las nuevas amenazas no tienen por qué encajar bajo el perfil de protección de los antivirus tradicionales y empieza a ser necesario una vigilancia basada en comportamientos extraños.

Podéis leer unos Consejos útiles contra el malware 2.0 en Windows que ha publicado Hispasec donde explica precisamente estos cambios que llevana denominar al malware como versión 2.0.

ThreatFire sirve para eso y permite ir definiendo un patrón de conducta, de manera que lo habitual no genere una alarma pero SI lo extraño y sospechoso. NO es recomendable para usuarios con pocos conocimientos porque al principio del aprendizaje genera bastantes avisos, pero para el resto puede ser adecuado. Otro aspecto que merece la pena destacar es que en la versión freeware, no se limita la funcionalidad de protección, aunque la versión comercial dispone de más servicios relacionados con el mantenimiento y soporte. Esta tabla indica las actividades de vigilancia y las diferencias entre la versión comercial y freeware.


Hoy me encuentro este chiste gráfico que ilustra bien la situación que vivimos actualmente. El malware está tan diversificado que utilizar una sola estrategia de defensa ya no es suficiente.


Leo además hoy en el Blog de Hispasec que se acaban de incorporar a VirusTotal += (PCTools), donde también destacan la excelente herramienta que es ThreatExpert.

También recomiendo visitar la Web ThreatExpert que pinta en tiempo real cual es el panorama respecto al malware que está circulando. Es interesante la estadística por países de las fuentes de problemas, donde España figura al final de los grandes.


lunes, 21 de julio de 2008 4 comentarios

La privacidad ya tiene certificación europea

La privacidad está de enhorabuena. La Unión Europea acaba de crear una certificación para evaluar en qué medida los productos de tecnología y servicios de la sociedad de la información respetan las regulaciones europeas en la materia.

La idea de la iniciativa es poder verificar el cumplimiento legal de la protección de datos y otorgar al servicio o producto una acreditación que así lo indique.



Iniciativas como estas habían sido hasta la fecha utilizadas por las empresas de consultoría para garantizar la calidad de sus servicios. Evidentemente, los sellos o acreditaciones eran "creados" por la propia empresa de consultoría y por tanto, tanto su credibilidad como su objetividad siempre han estado en entredicho. En mi empresa, Firma, creamos hace un año una metodología para construir un sistema de gestión basado en la ISO 9000 que definiera los procesos relacionados con la gestión de datos de carácter personal, permitiendo a una organización definir el mapa de procesos que estaría vinculado con la entrada de información de carácter personal, su tratamiento y la gestión de la seguridad así como la salida de datos. Todo ello, bautizado como SIGEDAPE intentaba mostrar que garantizar el cumplimiento de la Ley 15/1999 solo puede hacerse mediante un enfoque basado en procesos, puesto que la gestión y la protección de los datos de carácter personal debe ser una de las rutinas más de la empresa en el uso de información.

Esta certificación tiene por objetivo incrementar la transparencia de los productos software y los servicios de la sociedad de la información en relación al respecto de la privacidad, para generar una mayor confianza por parte de ciudadanos y consumidores. Se suma a otros esfuerzos realizados en materia de comercio electrónico como puede ser la iniciativa "Confianza online".

Para quien quiera conocer los criterios que son revisados en el proceso de certificación, están definidos en el documento EuroPriSe Criteria Catalogue donde se encuentran agrupados en base a los siguientes conjuntos:
- Set 1: Overview on Fundamental Issues
- Set 2: Legitimacy of Data Processing
- Set 3: Technical-Organisational Measures
- Set 4: Data Subjects’ Rights

Hay colgada una presentación en ingles que explica pormenorizadamente la iniciativa y se puede encontrar más información en EuroPriSe - European Privacy Seal
miércoles, 16 de julio de 2008 3 comentarios

Un día de furia de un administrador de sistemas

Hace tan solo unas semanas, en el post Un día de furia reflexionaba sobre un vídeo donde se veía a un empleado furioso destrozar una oficina (aunque realmente se trataba de una campaña de publicidad basada en el marketing viral).

Como siempre, la realidad supera la ficción y hoy me chivan vía comentarios una noticia relacionada con el tema. Publica "El País" que La red informática de San Francisco, bloqueada por un administrador cabreado. Este incidente no dejaría de ser un primer capitulo de un supuesto Caos total como el planteado en la Jungla de Cristal 4.

La hipótesis de un administrador deshonesto ya la plantee en el anterior post donde comenté que en el código de buenas prácticas de seguridad de la información (ISO 27002) se introduce un control en relación a la verificación y cotejo de los currículos de los candidatos a entrar en la empresa (A. 8.1.2). Hoy vamos a ampliar la información con otros controles basados en el seguimiento y vigilancia que debe hacerse sobre el personal responsable de los sistemas de información que, en el incidente que hoy se relata, serían los que habrían fallado:

  • 10.10.2 Uso de sistemas de monitorización: "Se deberían establecer procedimientos para la monitorización del uso de los sistemas de información y se deberían revisar regularmente los resultados de las actividades de monitorización."

  • 10.10 4 Registros del administrador y operador: "Se deberían registrar las actividades del administrador del sistema y el operador del sistema."

  • 10.10.3 Protección del registro de información: "Se debieran proteger los medios de registro y la información del registro para evitar la alteración y el acceso no autorizado."


Cuando realizando un diagnóstico diferencial ISO 27002 (que normalmente se hace con el Departamento de Informática en un alto porcentaje) planteas estos controles, la entrevista se tensa. Al valorar el funcionamiento interno del área o el grado de formalización de las tareas, se asume que en general la gestión se realiza como se puede dependiendo del buen hacer del personal técnico disponible y de la carga de trabajo a la que se ven sometidos.
Sin embargo, cuando se plantean estos controles donde se deja abierta la posibilidad de que los problemas sean de la honradez del propio personal al que estás entrevistando, la cosa ya no hace tanta gracia.

En general, el departamento de informática suele ser como la policía de los sistemas de información. Saben lo que pasa y toman medidas para resolver las incidencias o problemas detectados. Por tanto, cuando el personal se siente el bueno de la película no hay problema. Ahora, cuando barajando posibles riesgos, planteas que la amenaza sea precisamente esa acumulación de poder que tienen los perfiles más privilegiados en la administración de sistemas y cuestionas si basta con fiarse de la supuesta honradez del personal o es necesario tener "evidencias", entonces al policía ya no le gusta tanto tener que rendir cuentas. Y es que en general, nos gusta imponer las medidas y restricciones para los demás, pero nos cuesta asumir nuestros propios controles. Creo que es sano que el área que hace de policía demuestre con el ejemplo que son ellos los primeros en acatar las normas y políticas. Sin embargo, en la realidad se ve frecuentemente que los mismos que limitan y restringen al usuario para que no se extralimite, se dejan manga ancha en sus actividades porque ellos "si se fian de ellos" y supuestamente son conscientes de las amenazas.
Eso esta muy bien, hasta que ocurre como en la noticia, que quien vela por evitar los riesgos se transforma en uno y no existen controles compensatorios que mitiguen esta situación.
viernes, 11 de julio de 2008 2 comentarios

Manipulación fotográfica interesada

La tecnología aporta nuevos y constantes beneficios a la humanidad abriendo fronteras o puertas cerradas hasta el momento tanto para lo bueno como para lo malo.
Ya el año pasado, pude postear un vídeo que me impresionó sobre la manipulación de la imagen en "La importancia de la integridad de la información".

Mi reflexión circulaba en torno a las nuevas posibilidades que la infografía y los programas de edición tanto de vídeo como de imagen han abierto a campos como la publicidad o el cine.

Como siempre el problema no es debido al instrumento sino a la intención o finalidad que quiera darle el hombre que lo maneja. Salta hoy a prensa una noticia relacionada con otro "error" de los medios de comunicación, que han sido víctimas de manipulación.

El hecho ha sido unas fotografías sobre los ensayos por parte de Irán de unos misiles. La imagen fue difundida por la agencia France Press, que asegura que la obtuvo ayer de la página web de "Sepah News", la rama de prensa de la Guardia Revolucionaria iraní. Hoy la agencia Associated Press ha distribuido lo que parece ser una foto idéntica de la misma fuente, pero sin el cuarto misil, revela The New York Times.


La foto publicada contiene un misil de más, un hecho que no se había detectado antes de que la imagen apareciera en diarios como Los Angeles Times, The Chicago Tribune, en páginas web como BBC News, Yahoo! News, NYTimes.com y en España todos los diarios grandes.




La primera pregunta a considerar sería, ¿Es suficiente una sola fuente para dar credibilidad a una información? ¿No debería catalogarse la fuente para valorar su fiabilidad y credibilidad?

La Web origen de la dichosa foto corresponde a una de las partes, el Gobierno Iraní, por lo que a la noticia publicada no debía atribuírsele cierta objetividad. También es verdad que volverse tan paranoico como para dudar hasta de las fotos pero cuando se trata de hechos con cierta relevancia, quizás ya no deberíamos empezar a fiarnos de lo que vemos. La noticia ha sido publicada en Un misil de más · ELPAÍS.com

Ciertamente tampoco es un tema nuevo.Entre estas manipulaciones podemos destacar antes de los ordenadores las conocidas como "fotoestalinismo" -1924 hasta 1937- cuando Stalin no se contentó con ejecutar a sus enemigos políticos y quiso borrar su rastro y sus rostros en las imágenes fotográficas también, manipulando trucos fotográficos y realizando, a golpes ahora de tijeras, o cargas de tintes, haciendo todo tipo de fotomontajes, para glorificar su figura y ensombrecer la de los otros.

Sobre el tema hay un excelente artículo en Manipulación en el fotoperiodismo: ¿ética o estética?

Es un tema complejo de solucionar puesto que si no se dispone del original, no pueden hacerse las comprobaciones oportunas para verificar la integridad de una supuesta copia. En fin, no deja de ser un aviso más respecto a lo complejo que estamos volviendo este mundo, donde "ya nada es verdad o mentira, todo depende del interés de quien lo comunica".

Otras veces, estas mismas tecnologías nos permiten visitar "virtualmente" el pasado, como muestra esta recreación de cómo fue el magnífico teatro romano que tiene mi ciudad, Cartagena y que hoy inaugura un nuevo museo del arquitecto Moneo donde van a poderse contemplar estas maravillas de la historia de esta ciudad.

miércoles, 9 de julio de 2008 2 comentarios

Gmail permite la desconexión de sesiones de forma remota

Uno de los problemas de seguridad que como usuario Gmail te planteas a veces es el haber olvidado cerrar alguna sesión de trabajo abierta o en casa o en cualquier otro lugar.
Vía Fayerwayer me entero que la gente de GMail ha identificado el problema y desde ahora te permitirá manejar las sesiones abiertas de correo que tienes en otros equipos y dispositivos móviles, permitiéndote cerrarlas cómodamente desde donde estés.
La útil función para los olvidadizos de siempre no está disponible de inmediato, sino que — como siempre — será habilitada de manera progresiva y solo para usuarios de IE7 y Firefox. De inmediato me he puesto a verlo sobre mi cuenta y voilá, ya está operativo.



El nivel de detalle que Gmail proporciona te informa de las últimas conexiones y cuantas sesiones se encuentran abiertas en ese momento, permitiendo dejar solo la actual desde la que se están consultando los datos.



El tema está más documentado en Remote sign out and info to help you protect your Gmail account

Actualización (10-07-2008):
Para aquellos que también sean amantes de las mejoras estéticas, hay un addon para Firefox que transforma completamente el aspecto de Gmail.
Su nombre es Better Gmail2 y podéis encontrar un completo análisis de las mejoras que genera en Lifehacker.com.
El aspecto final cambia drásticamente y visualmente puede quedar, según configuraciones, tan espectacular como la imagen que presento a continuación.

Podéis descargarlo en Firefox Addons.
viernes, 4 de julio de 2008 1 comentarios

Estudio sobre seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas del INTECO.

Aparece en Guru de la informática un buen resumen del nuevo estudio publicado por el INTECO sobre la seguridad de los dispositivos móviles y redes inalámbricas en España.
La base del estudio se ha realizado con la opinión consensuada de profesionales de más de 20 empresas del sector así como de un panel expertos en seguridad y con la realización y análisis de resultados de 3.233 encuestas a usuarios que se conectan a Internet con dispositivos y redes inalámbricas desde el hogar.

Como bien resume Alvaro Paz, del estudio se pueden destacar aspectos como:
  • En los hogares españoles el 51% tiene portátil con Wi-Fi o bluetooth y el 50,3% Router Wi-Fi. Pero un 12,2% desconoce la configuración de seguridad de los dispositivos y un 7,9% no considera necesario tener sistemas de seguridad. Frente a un 26,1 % usa cifrado WEP y un 20% WPA.

  • Un 5.2% ha descubierto alguien usando su conexión y un 18.7% sospecha que alguien ha usado su conexión.

  • El 20% usa Bluetooth siempre encendido y listo para usar.

  • En lo que se refiere a amenazas mas importantes de seguridad móvil las organizaciones estiman que el 87,7 perdida o robo, 65% accesos no autorizados a la red.



La conclusión que se deduce del estudio es de nuevo la falta de formación por parte del usuario final respecto a este tipo de aspectos técnicos que no son fáciles de entender y que el usuario no ve como un riesgo.
El documento completo se puede obtener en “Estudio sobre seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas” del Observatorio de la Seguridad de la Información de INTECO.

Al respecto, choca mucho la opinión del experto Bruce Schneier que enfoca la seguridad WIFI, desde la perspectiva de usuario doméstico solamente, con una reflexión contraria a lo que podemos esperar de un experto. En el artículo titulado “Steal this WiFi“publicado en Wired hace un pragmático y riguroso análisis de riesgos de la seguridad desde su perspectiva de usuario y concluye dando sus razones particulares para mantener su red doméstica completamente abierta y sin contraseña de ningún tipo.

"Frente a los críticos que afirman que se trata de una práctica equivocada y peligrosa, Bruce afirma que para él se trata de un tema de educación básica para con sus invitados, comparable a ofrecerles calefacción, agua o una taza de café. Que aunque efectivamente existe la posibilidad de que una serie de malvados extraños se dediquen a sentarse en sus coches el la acera de su casa y se dediquen a todo tipo de malévolas acciones como enviar spam, o acceder a pornografía infantil, tal posibilidad, habiendo como unas cinco redes en las proximidades en las que el malo podría estar tranquilamente sentado en un agradable bar delante de una taza de café en lugar de un frío coche, le parece poco menos que absurda. Además, curiosamente, en caso de que alguien cometiese un delito desde su dirección IP, el hecho de tenerla abierta sería, de hecho, su mejor defensa: en caso de tenerla cerrada con contraseña, además de no evitar el crimen debido a los problemas de seguridad de protocolos como WPA, le resultaría mucho más difícil llegar a probar su inocencia."


Es otra manera de ver el problema, donde la "INSEGURIDAD" puede ser una circunstancia deseable como argumento de defensa jurídica en el caso en el que se le intentara imputar algún tipo de delito originado con su IP. Como siempre, Bruce Schneier demuestra "otra" forma de pensar.
jueves, 3 de julio de 2008 0 comentarios

Malos perdedores se cobran la revancha en otros ámbitos

Aparece publicada hoy en Arbor Networks una noticia curiosa. Parece que tras la derrota de Rusia frente a España, las Webs de nuestros equipos de futbol están sufriendo ataques de denegación de servicio.



Aunque los ataques no han tenido parece ser demasiado efecto y no se han producido daños notorios, si se ha detectado el tráfico DDoS. El texto original puede consultarse en Spain Wins Euro 2008, Comes under DDoS Attack
 
;