viernes, 29 de abril de 2005 0 comentarios

El panopticon, teoría de la vigilancia.

Aunque ya lo había leído hace tiempo, lo he releído hoy vía Kriptópolis y me ha recordado que no lo había posteado en el blog. El artículo es un curioso edificio que se diseño como paradigma de la auto-vigilancia.

Fuente: Teoría de la vigilancia: El Panopticon

"El PANOPTICON fue propuesto como prisión modelo por Jeremy Bentham (1748-1832), un filósofo y teórico utilitario inglés.

El Panopticon ("verlo-todo") se diseñó como un edificio o máquina de la vigilancia circular. Su diseño se aseguraba que ningún preso podría ver jamás al “inspector” quién ejercía la vigilancia desde una ubicación central privilegiada dentro del edifico. El preso nunca podría nunca saber cuando estaba siendo vigilado: la propia incertidumbre mental sería un instrumento crucial del método de vigilancia.




Por lo tanto el efecto principal del Panopticon es inducir en el interno un estado de conciencia sobre su visibilidad permanente que asegura el funcionamiento automático del sistema. De manera que la vigilancia es permanente en sus efectos, incluso si es discontinua en su acción; que la perfección del sistema debe ser tal que haga innecesaria una vigilancia continua; que este aparato arquitectónico debe ser una máquina para crear y sostener una relación de la poder independiente de la persona que la ejercita; en resumen, los internos deben quedar cogidos en una situación de sumisión de la cual sean ellos mismos los opresores. Para lograr esto, el prisionero no debe ser observado demasiado, pues no sabrá cuando lo están observando, ni demasiado poco pues debe sentir los efectos de la vigilancia. En vista de esto, Bentham colocó el principio de que el poder debe ser visible y no verificable. Visible: el interno tendrá constantemente antes de sus ojos el contorno alto de la torre central de la cual sobre lo espían. No verificable: el interno debe nunca saber si lo están mirando algún momento; pero él debe ser seguro que puede ser siempre vigilado. Para hacer la presencia o la ausencia del inspector no verificable, de modo que los presos, en sus céldas, no puedan incluso ver una sombra, Bentham consideró no solamente las persianas venecianas en las ventanas del pasillo central de la observación, sino además, en el interior de las particiones que intersectan el pasillo perpendicularmente un sistema tal que, para pasar a partir de un cuarto al otro, no existan puertas sino aperturas en zigzag; pues el ruido más leve, un destello de la luz, un brillo en una puerta mitad-abierta delataría la presencia del guarda. El Panopticon es una máquina para disociar ver del ser visto realmente: en el anillo periférico, uno se ve totalmente, sin poder ver jamás al vigilante; en la torre central en cambio, se puede ver todo sin jamás ser visto."
martes, 26 de abril de 2005 0 comentarios

Gestión del espacio en disco

A menudo es un problema para el usuario identificar en qué ocupamos esa gran cantidad de megas y gigas que los discos duros convencionales nos proporcionan. Dado que es importante tener un buen backup, un paso previo es saber que se tiene y qué se debe poder recuperar en cualquier momento. La herramienta de hoy que es freeware para usuarios permite identificar en qué se ocupa nuestro disco. Esta herramienta es una versión reducida de otra mucho más interesante como es Treesize.

Herramientas de gestión del espacio en disco:

- Diskdetective
- Treesize
jueves, 14 de abril de 2005 0 comentarios

Gestor de redes Wifi

Hace tiempo que no proporciono herramientas gratuitas de seguridad pero hoy he encontrado una buena para una necesidad en aumento que es la gestión de redes Wifi.

El software de la empresa AdventNet se llama ManageEngine Wifi Manager y permite una gestión centralizada de los aspectos más importantes a controlar en este tipo de redes. La dirección que posteo os llevará a la captura de las diferentes pantallas para que os hagáis una idea de que es lo que hace este programa.

Matizar que la version gratuíta solo permite controlar 1 Access Point y 10 dispositivos wireless, pero entiendo que para un entorno de usuario es más que suficiente.

Para redes más grandes, el software ya es comercial.
Dirección: AdventNet ManageEngine Wifi Manager - Screenshots
miércoles, 13 de abril de 2005 0 comentarios

MANIFIESTO POR LA LIBERACIÓN DE LA CULTURA

Cultura:
2. f. Conjunto de conocimientos que permite
a alguien desarrollar su juicio crítico.
3. f. Conjunto de modos de vida y costumbres, conocimientos y grado de desarrollo artístico, científico, industrial, en una época, grupo social, etc


(Diccionario de la Real Academia Española . Vigésima segunda edición, en línea)


Manifestamos,
que al calor de los resultados fruto del esfuerzo en la creación de contenidos culturales, existe una floreciente industria de difusión y distribución de dichos contenidos.
que la extrema vigencia temporal de los denominados "derechos de autor" tal y como están establecidos en la actualidad representan una barrera a la incorporación de la cultura al dominio público, bien común, en una época histórica análoga a la que acompaña la revolución de la imprenta.
que desde determinadas organizaciones se viene incurriendo en un proceso de demonización de la red de difusión, distribución e intercambio de información más igualitaria jamás concebida, así como en un afán recaudatorio injusto, abusivo y a todas luces excesivo.
que la mera edición impresa, o publicación de cualquier contenido audiovisual disfruta de unos derechos de explotación comercial cuyo plazo de duración, ampliado artificialmente, amenaza el ejercicio del derecho de acceso universal a la cultura.
que la historia reciente muestra, con ejemplos como los logros obtenidos por el software libre, que el poder creativo, intelectual y cultural de los inmensos colectivos a que dan lugar las redes de telecomunicaciones no puede ser despreciado.
que el acceso universal a la cultura beneficia tanto al público como a los creadores.
que nadie posee ni nuestros pensamientos, ni nuestras ideas.
Renegamos,
de los argumentos falaces que equiparan la cultura con la explotación comercial, industrial o que la degrada a un mero elemento de consumo.
Reivindicamos,
que acorde a los tiempos, se garantice el acceso universal y la distribución masiva, de forma libre y gratuita de todos los contenidos culturales propiedad del estado en sus fondos, bibliotecas o almacenes de depósito legal.
que la sociedad, la industria y los autores busquen un nuevo modelo de relaciones económicas que, en vez de constreñir el uso de las tecnologías de la comunicación, potencie y se aproveche de su desarrollo y multiplique sus beneficios.
que este nuevo acuerdo entre los autores y el público garantice las recompensas necesarias para incentivar la creación sin impedir la difusión de la cultura.
la limitación temporal de los llamados "derechos de autor" en unos términos más acordes con el derecho de acceso a la cultura reconocido por la Constitución Española y la Declaración Universal de Derechos Humanos.
La recuperación de las funciones originariamente atribuidas al Ministerio de Cultura en detrimento de la actual actitud de salvaguardia a la industria del entretenimiento.
Exigimos a nuestros representantes y poderes públicos,
que lleven a cabo las medidas ejecutivas y legislativas necesarias para llevar a la práctica las reivindicaciones arriba expuestas tanto en el ámbito nacional, como especialmente en el ámbito de la Unión Europea.
martes, 12 de abril de 2005 0 comentarios

El dilema del destornillador, un util de doble filo...

Mi reflexión de hoy, como empieza a ser habitual va a comentar el post de ayer de Bruce Schneier al que admiro porque es capaz de analizar la seguridad con un consciente sentido común que no es el más común de los sentidos.
Su post "Security as trade-off" comenta el editorial aparecido en The Economist sobre el necesario equilibrio que debe considerarse al pensar en la seguridad. Imagino que todas estas reflexiones se justifican dado que los Estados Unidos están usando y abusando de la seguridad como principal criterio para tomar decisiones y muchas veces algunas cosas se están llevando demasiado lejos, llegando incluso a un estado de paranoia nacional.

Como bien dice el artículo, todas las tecnologías tienen buenos y malos usos. El debate se abre por la decisión de introducir antenas para dar cobertura a los moviles en el metro. Como bien sabemos, los atentados de Madrid utilizaron las alarmas del móvil como elemento para activar la detonación. Si ahora se permite tener cobertura dentro del metro, podría utilizarse una llamada para lo mismo. Por el hecho de que esta posibilidad exista, ¿es justo plantearse el no dar este servicio?

La reflexión del The Economist me recuerda al dilema del cuchillo o del destornillador, que puede ser un útil o un arma en función de la persona que lo utilice. Por tanto, no se trata de demonizar las nuevas tecnologías, el correcto uso por parte de la gente inocente debe primar frente a los pocos que abusan o mal utilizan estos medios para producir daño.


También en este sentido, aparece hoy en BBC Technology un artículo sobre la iniciativa del Instituto ISECOM y la Universidad de "La Salle" de Barcelona sobre el curso de hacking ético. El artículo se referencia en Training a new breed of hacker.

Aunque imagino que su publicación ha sido un elemento de marketing, el tratar el hacking en positivo es una medida de concienciación necesaria. A las nuevas generaciones que ya nacen con la tecnología aprendida hay que enseñarles cuales son los criterios por los que estas tecnologías han sido creadas. Esa reflexión también aparece en el libro de Michael Cripton "Parque Jurásico". Habla del diferente uso que se le da a un descubrimiento. Quien sabe lo que ha costado conseguirlo y el por qué de lograrlo tiene conciencia de cual debe ser su correcto uso. Quien hereda todo ese conocimiento, no valora de forma adecuada ese descubrimiento y puede llegar a hacer un mal uso de el.

De alguna forma, con el tema del hacking nos está ocurriendo lo mismo. Herramientas de seguridad que han sido creadas para facilitar la gestión de redes y sistemas pueden ahora ser vistas como herramientas para buscar agujeros de seguridad y cometer delitos. El cómo se enseñe para que sirven estas tecnologías puede influir en cual debe ser su uso.

En cualquier caso, es importante que las nuevas generaciones entiendan el por qué te tipifican como delito estas nuevas fechorías. Que robar o matar sea facil no relaja su calificación moral sobre el acto. Que hackear o espiar sea facil no rebaja la gravedad de esta fechoría que atenta contra un derecho fundamental como es la intimidad de las personas y que tanto tiempo nos ha costado construir.
viernes, 8 de abril de 2005 0 comentarios

El crimen organizado también cambia sus prácticas utilizando a la red.

La noticia que aparece hoy en BBC News "Online criminals challenge police" se refiere a los cambios en las prácticas del crimen organizado con la utilización de la red como medio para cometer delitos.

El texto apunta los siguientes hechos significativos:
- Los grupos del crimen organizado suelen recurrir a expertos en las áreas técnicas que son utilizados como herramientas. Estos hechos suelen aparecer casi siempre en las películas de accion relacionadas con este tema y era algo que se venía advirtiendo en el mundo de la seguridad informática. Lo que hace pocos años se veía como gracias o demostraciones técnicas de habilidad se ha convertido hoy en un aliado del crimen organizado. La facilidad para obtener cuantiosos ingresos sin grandes infraestructuras ni recursos y la dificultad para probar e investigar estas operaciones son circunstancias que contribuyen a su rapido aumento.

- Las actividades que desarrollan estos expertos son o bien el desarrollo de codigo malicioso para robar información confidencial o bien la creacion de sitios webs para hacer phishing o bien la creación de codigo que convierte a los PC de usuarios en bots para poder usar su conexión y sus equipos como PC zombies y así atacar sitios webs, enviar spam o difundir virus.

- Estos grupos rara vez se reunen y rara vez se conocen entre sí, por lo que el realizar las investigaciones para atraparlos son bastante más complicadas que las habituales.
miércoles, 6 de abril de 2005 0 comentarios

La contaminación de contenidos, una nueva amenaza contra la seguridad de la información

Este blog tiene como tema principal la seguridad de la información, que queda garantizada por sus cuatro principales propiedades que son la autenticación, la integridad, la confidencialidad y la disponibilidad.

La noticia que hoy quiero comentar tiene que ver con la contaminación de contenidos o la difusión de noticias falsas como si fueran verdaderas. En estos casos nada amenaza a la información en sí sino a su procesamiento. A un hecho o noticia se le da validez porque se confía en una fuente que posteriormente se demuestra que no es fidedigna.

En este caso, alguien confiable da credibilidad a una fuente no contrastada mediante suficientes fuentes. Ese que es el principal trabajo de un periodista ultimamente está siendo olvidado. No es la primera vez que un medio se hace eco de un rumor aparecido en Internet como si cualquier cosa publicada en Internet fuera fiable. En un medio de comunicación en donde no existe ninguna garantía sobre la identidad del autor ni ningún código ético por parte de los profesionales que en él escriben, semejante suposición es un error.

La noticia que leo hoy en el mundo y que me sirve para ilustrar estos hechos es que una agencia de noticias italiana ha tenido que desmentir que haya enviado un comunicado anunciando que Bin Laden vaya a asistir al entierro del papa. Y todo, porque el mensaje que llegó a quien le dió la credibilidad inicial tenía las mismas marcas de texto que los mensajes que envía esta agencia de noticias.

¿Con semejante mecanismo de verificar la veracidad de la información, quién puede fiarse de los medios?

Noticia relacionada: Elmundo.es - Ansa, obligada a explicar que Bin Laden no irá al funeral del Papa
0 comentarios

El ciber-robo comienza a popularizarse y la cuantias aumentan.

Aunque ayer aparecían noticas positivas respecto a la lucha contra el cibercrimen relacionadas con:

- Condena de 14 años de carcel a un pirata informático por haberse apoderado de información relacionada con usuarios, claves de acceso y numeros de cuenta corriente.

-Detenido en Estonia el presunto autor de una estafa de banca 'on line' en España


Hoy aparece en BBC News una noticia relacionada con el éxito de la policía britanica que ha conseguido abortar un intento de robo en un banco electrónico. Los autores de la fechoría pretendían robar más de 423 millones de dolares tras haber conseguido entrar en el sistema informático del banco. La noticia original puede leerse en: BBC NEWS UK police foil massive bank theft
martes, 5 de abril de 2005 0 comentarios

Enciclopedia de los logs de seguridad en Windows

Hoy quiero compartir un enlace interesante relacionado con la información de seguridad que Windows es capaz de registrar. Aunque ya he posteado muchas cosas respecto a este tema y hace pocas semanas, una referencia a cómo eliminar ruido en los logs, el enlace de hoy detalla cada código del event log de seguridad qué significa y que nos puede indicar.
El enlace puede visitarse en
Windows Security Log Encyclopedia
lunes, 4 de abril de 2005 0 comentarios

Nueva generación de código malicioso

Leo en Diario TI un reportaje entorno a una nueva tendencia en el mundo del código malicioso que pone en peligro la estrategia de las empresas antivirus frente a la detección de código malicioso.
La mayoría de las compañías utilizan la detección basada en patrones. Aunque hace poco fabricantes como Panda anunciaron una nueva tecnología que se basa en una detección preventiva de código (Truprevent), el resto siguen utilizando los patrones como sistema de detección.

Fuente: DiarioTI-Previenen contra malware profesional y deliberado

"WORM_JEANS.A es un gusano informático que produce sus propias variantes, usando para ello su propio código fuente y un compilador integrado.

Si pensamos que hoy por hoy la creación de código malicioso sigue siendo un acto espontáneo de muchachos que experimentan con obras de programación, podemos estar en un error. El trabajo de creación de virus, gusanos y otros tipos de programas malintencionados parece ser cada vez más profesional, deliberado y planeado.

WORM_JEANS.A es un gusano informático que genera sus propias variantes, usando para ello un archivo que viaja a través del correo electrónico y que contiene los componentes suficientes para contagiar una máquina y luego realizar en ella una copia del código entero del gusano, así como las herramientas de programación para volver a compilar el código y crear una variante nueva, con una apariencia diferente, que será la que se envíe en los mensajes de correo que esa computadora remitirá a sus nuevas víctimas.

Este novedoso método de programación automatizada pretende, evidentemente, eludir la detección antivirus en las computadoras, a través de un sistema permanente de mutación que estaría, virtualmente, generando variantes nuevas en cada máquina infectada.

En los hechos, JEANS.A resulta incapaz de lograr su cometido, ya que contiene un error que le impide ejecutar con éxito su rutina de autopropagación. Sin embargo, lo importante en este nuevo ejemplar es que deja patente el hecho de que los autores están ya probando una nueva generación de gusanos que tienen la capacidad de propagar otros gusanos diferentes a sí mismos, con características que no salen de un laboratorio sino de su antecesor inmediato.

Si nos atenemos a las firmas que porta el propio gusano, JEANS.A es obra de uno de los integrantes del grupo 29A, aquellos que en su momento se atribuyeron la liberación de diversas pruebas de concepto de código malicioso, entre las que se cuentan el primer gusano para teléfonos celulares que corren en la plataforma Symbian (SYMBOS_CABIR), así como el primer gusano diseñado especialmente para sistemas que corren en Windows de 64 bits (WORM_RUGRAT), entre otros.

No es difícil suponer entonces, que JEANS.A se trata de un nuevo experimento para probar que es posible construir en cada computadora infectada un robot programador, que produzca otros gusanos cada vez que infecta un sistema."
viernes, 1 de abril de 2005 0 comentarios

Malas prácticas en el desarrollo de software seguro

En varias ocasiones he posteado noticias relacionadas con la generación de código fuente seguro y metodologías de programación en donde la seguridad es un requisito de diseño.

Hoy quiero postear una referencia a un documento que además de curioso es "otra" forma de ver el problema de la in-seguridad.

En este caso se trata de describir qué son malas prácticas en el desarrollo software y la seguridad. Tal como se plantea el texto, puede servir para descubrir lo que se hace mal y corregirlo o para identificar malos habitos adquiridos y reflexionar sobre la consecuencia de esa mala praxis.

Por estos diversos motivos, creo interesante postear hoy este texto que puede consultarse en Worst Practices in Developing Secure Software
 
;