lunes, 30 de junio de 2008

Saber decir "no"


Hoy toca un post sobre el que aquí os escribe... una pequeña experiencia en el curro ;)

Por mi trabajo, tengo que manejar información confidencial sobre seguridad, por ejemplo, informes de auditoría. Estoy ahora mismo destinado en cliente (y estaré una temporada), y me he hecho colega de todos los que están allí, "externalizados" como yo. A veces, hablo de aquello en lo que trabajo con mis compañeros de todos los días, como todo el mundo.

Hoy, uno de mis compañeros de trabajo se me ha acercado, preguntándome cómo se estructuraba un informe de auditoría, si tenía alguno, porque tenía que aprender sobre ello. Por su propia labor, supongo que podría darse el caso de que necesitara saber algo así... le he hablado de OSSTM, resulta que lo conocía. Le he explicado que la forma de estructurar el informe depende del ámbito y el alcance de la auditoría a realizar, por ejemplo. Pero no era suficiente... así que me ha pedido que le pasara uno hecho.

Y ahí está una situación difícil para mí... me encantaría ayudarle, pero tengo el deber de guardar la información confidencial a la que tengo acceso, como parte de mi trabajo. Por ética profesional, en primer lugar. Y porque mi empresa, como todas, tiene firmado su correspondiente acuerdo de confidencialidad con su cliente, y tengo la obligación de hacer que se respete.

Así que, obviamente, le he dicho que no iba a darle información así, sin un motivo de peso para hacerlo. Querer aprender no es, ni de lejos, suficiente.

Si llegas a este caso, y las cosas no salen bien, pues puede ocurrir que la otra persona no lo entienda, aún cuando también se dedique a seguridad, aunque haciendo otra tarea. La gente no es perfecta. Puede pasar que se enfade contigo, al no haber confiado en él, otro profesional y compañero del departamento, con el que colaboras en otros proyectos. Si sacamos las cosas de quicio, este es un punto de partida cojonudo para situaciones de mal rollo laboral, que pueden ser bien chungas. Y en fin, no veáis el mal que me ha entrado al pensarlo.

En fin, regla de oro para el futuro: tener la fuerza de decir "no" es muy importante, en este trabajo. Lo han dicho muchas veces: "Be reluctant to trust". Si la información sale de tí, ya no la controlas... y te puede caer un buen marrón por ello. A lo mejor tu colega es profesional y no revela la información que le pasas, pero va y le roban el portátil... o confía en otro informático y segurata, al que le pasa la información, y así, suma y sigue. O peor, resulta que no tiene ningún escrúpulo y te traiciona vilmente, usando la información que le has dado para fines poco éticos.

Por fortuna, he tenido suerte, y mi compañero y colega entiende mi punto de vista. Pero si me pasa en el futuro (o si te pasa a tí) podría no ser así... dios no lo quiera.

Slds!

jueves, 26 de junio de 2008

OpenSolaris Day 2008


Me había propuesto acudir, hoy y mañana, a una serie de talleres sobre OpenSolaris, que se celebran en Madrid (España).

Contarán las últimas novedades en este sistema operativo, y se harán talleres donde expertos en el sistema enseñarán los entresijos del mismo. Los hay, por ejemplo, de Cherokee, del sistema de ficheros ZFS, o de monitorización. Puedes consultar el listado de talleres. La asistencia es libre y gratuita, y te puedes inscribir aquí.

Pero... ¡ay¡ el trabajo no me deja ir...

martes, 24 de junio de 2008

Microsoft security development lifecycle


Últimamente tengo mucho menos tiempo para dedicar al blog del que me gustaría, así que quizá esto sea para tí una noticia pasada. El caso es que Microsoft ha hecho pública bastante información acerca de su proceso de desarrollo de software, cuyo objetivo es reducir al mínimo la cantidad de problemas de seguridad que sus desarrollos presentan.

Les ha servido bien, cuando en las comparativas que he leído últimamente, por ejemplo el de ENISA del que hablábamos, sale que Microsoft era el que menos problemas de seguridad tuvo últimamente (los datos se referían al 2007, aunque no lo recuerdo con precisión).

Obviamente, un recurso muy interesante al que echar un vistazo :)

Sobre el SDL hay un blog de MSDN, de reciente creación, en el que se pueden leer entradas de autores de relevancia, sobre desarrollo seguro, buenas prácticas de programación, las impresiones de los autores al dar formación sobre el SDL (cómo lo "encaja" el alumnado) etc.

Vía: VirusAttack
Otros recursos: Microsoft Security Developer Center

sábado, 21 de junio de 2008

Haz algo útil con tu ordenador para variar


Leo en El País sobre Ibercivis, un nuevo proyecto computación distribuida del Consejo Superior de Investigaciones Científicas (CSIC), del mismo tipo que el conocido SETI.

Te instalas un programilla de nada en tu PC, y lo dejas sin más. No hay que hacer nada de nada, ni va a causar molestias de ningún tipo (al menos, no es la intención). Este programa aprovechará los tiempos muertos de tu procesador, para conectarse a los servidores del proyecto, recibir encargos (cálculos matemáticos a realizar), y procesarlos.

El trabajo realizado es para colaborar en proyectos de investigación realizados en España, que hayan sido seleccionados previamente como candidatos para Ibercivis. Ahora mismo, forman parte del programa un proyecto de investigación sobre fusión nuclear del CIEMAT, otro para desarrollo de fármacos del Centro de Biología Molecular Severo Ochoa, y un tercero sobre Física, que investiga nuevos materiales como los vidrios magnéticos, que realizan en conjunto la universidad Complutense, la de Extremadura, y la de Zaragoza [Francisco, seguro que este te mola ;) ].

En fin, que digo yo, que en vez de hacer caso a un email titulado por ejemplo "Las gemelas Ols... grabadas desnudas!" y acabar siendo infectado por algún malware (visto en Malicious spam related to false porntube page) que convierta tu ordenador en un zombie al servicio de una botnet criminal (botnet: misma idea que un proyecto de computación distribuida, pero al servicio del crimen, para que nos entendamos. Apunto esto porque siempre que leo "botnet" tiene connotaciones maliciosas), pues puedes colaborar con proyectos como Ibercivis, que vale para algo de provecho.

¿Cómo lo ves? Slds.

martes, 17 de junio de 2008

"Security and economics"


En el trabajo nos han presentado hoy un resumen de este informe de ENISA, titulado "Security, Economics, and the Internal Market". Menos mal, porque son 114 páginas de informe, y la verdad, ya se sabe que el tiempo es oro así que uno se plantea seriamente cuánto tiempo puede dedicar a leer qué cosa al día.

La ENISA (European Network and Information Security Agency) es una agencia de la UE cuya función es aconsejar a la Comisión Europea y a los Estados Miembros en materia de seguridad de la información. Sobre estas recomendaciones, se tomarán después decisiones sobre legislación a nivel europeo. La realización de un informe como el que se indica es una de sus funciones.

Como lectura en realidad es muy entretenido, y nos ha dado para buen rato de debate. Si tienes ocasión, se puede leer al menos las 6-8 primeras páginas, que traen un resumen de todo lo que viene después. Da una serie de recomendaciones, elaboradas para la UE, y extraídas a partir de un estudio socioeconómico, sin duda interesantes. Queda por ver cómo las aplicarán.

De entre todas las recomendaciones, me he quedado particularmente con la sexta (en la página 64 del informe), que dice:

"We recommend that the EU adopt a combination of early responsible vulnerability disclosure and vendor liability for unpatched software to speed the patch-development cycle"


porque hace que me plantee una pregunta. La publicación responsable de una vulnerabilidad consiste en avisar primero al fabricante, esperar a que salga la actualización, y después informar al público sobre la vulnerabilidad. El informe agrega que no se dará ningún tipo de exploit como prueba de concepto. Argumentan, por ejemplo, que en la lista bugtraq esto no siempre es así, es decir, que hay quién publica directamente las vulnerabilidades.

El caso es que si algo así llegara a legislarse, me pregunto: ¿significaría que listas de correo como la mencionada bugtraq, u otras como full-disclosure o similares, llegarían a estar prohibidas?. Porque sería una verdadera lástima... ¿o estoy exagerando mucho y eso no pasaría?. ¿No lo he entendido bien, quizás?. ¿?.

A ver qué pasa de aquí a unos años...

Slds!

P.D. encontré enlaces a este trabajo de ENISA en Cryptex, Sahw, y Schneier.

BSC


"Balanced ScoreCard", así es como se llama a una de las técnicas que están más de moda hoy día, en el mundillo de la seguridad (particularmente, en la cosa de la consultoría y el gobierno de TI). Y claro, en mi conversión al mundo del traje y la corbata, pues no podía ser yo ajeno a esta.

Buscando un poco (poco) por Google el Oráculo, lo primero que he conseguido es un vídeo, que lo explica muy bien y muy claro. Habla Alfonso López Viñegla, del Departamento de Contabilidad y Finanzas de la Facultad de Económicas de la Universidad de Zaragoza y consultor experto en BSC. ¿Por qué pongo un vídeo de un economista?. Pues porque el concepto es el mismo, en este caso aplicado al campo profesional de la seguridad informática.

Aquí lo dejo (está en videolever, se permite la reproducción según acuerdo de licencia):






Espero dedicar alguna entrada posterior en el blog a herramientas que implementan un BSC... no creáis que pongo una entrada como esta así porque sí ;)

Slds!

domingo, 15 de junio de 2008

DNS spoofing con ettercap


Ettercap es una utilidad para recuperar el tráfico que circula por una red de área local y realizar ataques de man-in-the-middle, entre otras cosas. Vía carzel he encontrado un video (sencillo) que enseña cómo hacer un DNS spoofing gracias a un plugin de esta herramienta, dns_spoof. Se puede ver en irongeek (la página del autor).


Slds

jueves, 12 de junio de 2008

ISO 27005:2008


Como nota personal, a recordar: hace varios días se publicó la norma ISO 27005:2008 "Information Security Risk Management", que reemplaza a las partes 3 y 4 de la norma ISO 13335.

"Sólo" cuesta 154$...

Vía: secugest

miércoles, 11 de junio de 2008

Nessus


Hacía algún tiempo que no prestaba atención a uno de los proyectos libres que he usado más: el escáner de vulnerabilidades open source software libre Nessus. Hoy me llega un email para recordar algo que ya dijeron (y de lo que no me había enterado :O )... han cambiado el modelo de licenciamiento del software.

Antes tenían un tipo de licencia muy del agrado de todos los que querían usarlo profesionalmente sin pagar ni un euro: el Registered feed. Básicamente, te podías descargar todas las actualizaciones de plugins gratuitamente, con un retraso de 7 días con respecto a los usuarios que pagaban por una licencia Direct feed. Con lo cual, todo el mundo lo usaba sin pagar.

Gracias a este modo de funcionar, surgieron a su alrededor otros proyectos libres, básicamente interfaces de usuario distintas a la oficial (NessusClient), o programas que utilizaban su información en una base de datos propia. Algunos ejemplos son InProtect, Simpleness o Nessconnect. Hubo otros proyectos open source relacionados que buscaron la manera de usar los resultados de Nessus, como fue Metasploit.

NessusClient

Hace algún tiempo Tenable Network Security, la empresa que desarrolla el sistema, empezó a cambiar su modelo de negocio y el escáner totalmente libre empezó a ser no tan libre. Primero vino la noticia del nuevo motor de escaneos, con el que pasaban a la versión 3: el código fuente ya no era de libre distribución.

Después, la versión de pago empezó a adquirir capacidades que la libre no tenía, como la aplicación de políticas o el análisis de actualizaciones de seguridad, así se justificaba el dinero invertido (me parece muy bien, por cierto). Y comenzaron a crear productos como el Security Center, usando como base el escáner que ya tenían.

Ahora cambian el modelo de licencias, dejando sólo dos: el Direct feed de pago, y uno nuevo llamado Home feed. Este último es para usuarios domésticos que deseen probar el escáner, tiene todos los plugins inmediatamente, pero no puede ser usado con fines comerciales. De hecho, la FAQ que han colgado es para decirte eso, de 19 formas diferentes. Alguna medida habrán puesto para evitar que les timen, digo yo, porque si no es así, estarán en las mismas que con el Registered feed. Y es que todos querrán ahorrar 1200$, si es que pueden.

Voy a poner el tag "proyectos libres" en esta entrada, aunque puede que ya no sea del todo adecuada...

Actualización 19/09/08: el enlace para Simpleness estaba mal. Actualizo con la nueva dirección.

Generadores de troyanos


Me gusta poner imágenes chulas de las herramientas que se venden ahora para generar malware... hace un par de días salía esta en el blog de Pandalabs:

Turkojan v4

Trae de todo, por 249$...

jueves, 5 de junio de 2008

El sentimiento del currante hackeado


Salía hoy en Kriptópolis la entrada "ya está bien", remitida por un anónimo. Me da que ha sido una de esas cosas que se escriben del tirón, porque salen directamente del corazón. Habla de que tiene que sufrir la ola de ataques de SQL injection (tendrá que ver con cositas como Asprox), y básicamente, está hasta los cojones.

Entre los comentarios de la gente hay de todo, como siempre. Aunque yo le entiendo perfectamente, la verdad.

miércoles, 4 de junio de 2008

Remove!


Hace algún tiempo vi un video en el blog UnMundoBinario, titulado "Remove", que me dejó alucinado. Hoy he vuelto a verlo, y he vuelto a alucinar. Sus autores, delacrew.net, dicen que su corto ha sido seleccionado para participar en un festival de cine, nada menos que en Hollywood.
Aquí está:



Se les puede votar aquí.

El youtube de la seguridad informática


Vía dragonjar, leo que ha salido un nuevo portal con videos de seguridad informática, que no tiene mala pinta. Se llama SecurityTube.

De momento acaba de empezar, pero ya tiene videos suficientes como para que valga la pena echarle un vistazo. Está dividido en las siguientes categorías:

1. Coding - Estos videos se centran en la enseñanza de las bases de programación
2. Tools - Se centra principalmente en entender el uso y operación de herramientas
3. Basics - Fundamentos sobre diversos temas (para novatos)
4. Fun - Un poco más de diversión

Dejo este, con una tontería sobre redes P2P:

, shockwave-flash@http://www.youtube.com/v/JcuH27IwWVk&hl=en" href="http://www.youtube.com/v/JcuH27IwWVk&hl=en" id="">


Un pequeño recurso a tener en cuenta en el futuro :)

Podemos encontrar también en learnsecurityonline (genéricos), y por supuesto en los portales propios de algunas herramientas, como backtrack o metasploit (que por cierto han actualizado el diseño de su website, no lo había visto).

Slds!

Sexy Pandas


El lunes se celebró la ronda de clasificación para la CTF de DEFCON, otra de las conferencias hacker más famosas del mundo. Un equipo formado por españoles, los Sexy Pandas, se ha clasificado para entrar en la ronda final, con muy buen resultado: en segundo lugar, ¡nada menos que empatados con los primeros!.

Se pueden ver los resultados en Kenshoto.

Quisiera dar mi enhorabuena a estos fieras, y decirles la envidia que me dan ;)

martes, 3 de junio de 2008

P2P mirado con lupa


Me quedo un tanto perplejo, al leer esta noticia de ayer, en el País. También en Público.

Es cierto que la información publicada a través de redes P2P es pública. Este tipo de rastreos, por ejemplo, forma parte de la metodología de auditoría OSSTM desde hace años.

La cosa es que el Tribunal Supremo dictó sentencia para revocar otra de la Audiencia Provincial de Tarragona, que no admitió como prueba un rastreo de la policía en el que detectó que una mujer de Pineda (Tarragona) se había bajado pornografía infantil. (El País dice que la mujer es de Zaragoza ¿?).

La noticia del País no dice, por ejemplo, si esta descarga se produjo por accidente o se estaba buscando adrede. Todos sabemos que se descarga uno porno, quiera o no, porque dan a las películas títulos de otras más normales. Por ejemplo, busca “Harry Potter”, y ¡miedo va a dar lo que puedas encontrar!. La noticia de Público dice que se supo que se usaba, como términos de búsqueda, “bebés”, “mamás” o “mamás con bebés”, y que no quedó acreditado que se estuviera buscando explícitamente pornografía infantil.

No se muy bien qué pensar de una noticia como esta. Si es un límite, una censura, o si el fin justifica los medios, la verdad. Me da que la información que han presentado en estas dos noticias está sesgada, que faltan cosas por decir. Por ejemplo, si este es un caso único, o si ya se utiliza de forma habitual los rastreos en las redes P2P como prueba judicial, entre otras cosas.

En cualquier caso, es un precedente interesante.

P.D: todo hay que decirlo, algunas cosas se buscan mucho mejor en la biblioteca pública, que en el eMule... ;)

Me entero, por cierto, por Versvs.

Formación de postgrado en seguridad informática


Leo hoy un listado de másters y cursos de postgrado, que se presenta en el boletín de Mayo 2008 de Criptored. Entre ellos, están los que mencionaba hace ya algún tiempo.

¡Me han ahorrado el trabajo de buscarlos!. Como ya veíamos, la formación que se imparte cuenta con profesionales con buen nombre, y hay un número suficiente de programas (a mi modo de ver).

El listado incluye no sólo los de universidades españolas (donde, como no, las provincias que se llevan la palma, con diferencia, son Barcelona con 7 cursos, y Madrid con 6) sino que están los que se conocen en Argentina, Chile, y otros países de habla hispana.

Slds!

lunes, 2 de junio de 2008

Padre de Internet en Zaragoza


Hace cuatro días Vinton Cerf estuvo en el Centro Politécnico Superior de la Universidad de Zaragoza, la facultad que ha parido al que os escribe. Aunque no pude ir, por estar geográficamente lejísimos, y tener que trabajar además, sí he podido ver un video de 15', gracias a uno de los asistentes, Eduardo Paz. El video está en Internet y la World Wide Web en 2008 por Vinton Gray Cerf, Vicepresidente de Google, lo enlazo aquí directamente:










Se sigue muy bien.

Hay fotos en Flickr. Me ha resultado muy agradable ver a los que fueron mis profesores, junto a uno de los padres de Internet :)

vía: reflexiones e irreflexiones.