domingo, 30 de noviembre de 2008

En casa del herrero...

Hoy leo en Coding Horror el post “Coding: It’s just writing”. Nos recuerda que programar bien, tiene que ver tanto con hacer que un programa haga lo que debe, como con hacer que los demás lo entiendan. Aplica lo mismo que a la escritura normal: ser claros y concisos es súper importante, expresar tus ideas de forma sencilla, y a ser posible con las palabras justas (o cantidad de código preciso), pero no menos de las necesarias. Podemos pasarnos la vida mejorando y refinando la forma en que redactamos, e igualmente, la forma en que codificamos. Lo mismo aplica a cualquier otro campo de la informática: lo que queda de un proyecto es lo documentado, así que al final, eso es el proyecto.

Nos mencionan el concepto de “Literate programming”, original de D. Knuth, con el siguiente párrafo, que escribió:

“Let us change our traditional attitude to the construction of programs: Instead of imagining that our main task is to instruct a computer what to do, let us concentrate rather on explaining to human beings what we want a computer to do.
The practitioner of literate programming can be regarded as an essayist, whose main concern is with exposition and excellence of style. Such an author, with thesaurus in hand, chooses the names of variables carefully and explains what each variable means. He or she strives for a program that is comprehensible because its concepts have been introduced in an order that is best for human understanding, using a mixture of formal and informal methods that reinforce each other.”

Esto os lo escribo porque dentro mis actividades como informático y segurata, también he tenido labores de analista y programador. Lo de programar lo llevo en el cuerpo, me encanta, estudié informática por eso. Pero… ¡Ay!: las prisas, el tener que desarrollar una funcionalidad compleja para mañana, porque la necesito para el último proyecto en el que estoy trabajando, llevan a no escribir bien. Particularmente: a escribir código de forma que luego es difícil de entender. Ocurre, aunque me crea un buen developer.... Y eso, por ejemplo, lleva a problemas de seguridad, o sea que se puede decir eso de “en casa del herrero, cuchara de palo”.

Hace ya algún tiempo (cuando me metí en el mundo del Traje y la corbata), nuevos informáticos y seguratas en la empresa heredaron mi trabajo, y tienen ante sí una doble tarea: desarrollar como les gusta y crear nuevas funcionalidades, y lidiar con partes del código que dan asco porque no tuve tiempo para codificar adecuadamente. Este post es para que conste: Kudos para ellos :)

Slds!

P.D. También nos mencionan este otro post sobre borrar código (), muy bueno ;)
P.D. Relacionado: Enrique nos presenta el Tao del programador

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...
Publicado por en 1 comentario:
Etiquetas:

miércoles, 26 de noviembre de 2008

MISSP en PYMES

¿Qué es un MISSP y por qué puede ser útil? Un Managed Internet Security Service Provider es un proveedor de servicios de internet (ISP), que complementa su oferta al cliente con servicios de seguridad gestionada, como firewalls en red, vpn, detección de spam, o detección de intrusiones.

La idea básica es proteger el acceso a Internet, tanto en tráfico entrante como saliente, desde la propia red del operador en vez de en las instalaciones del cliente. Típicamente será un servicio operado desde un Security Operation Center propiedad del ISP, que deberá contar con soluciones tecnológicas adecuadas y personal especializado.

No es un concepto nuevo, ni mucho menos. Pero tampoco lo conoce todo el mundo ;) . En el FAQ de Sans nos hacen una descripción de qué son, y comentan algunos factores a tener en cuenta antes de decidir si contratar, o no, servicios de estas características. Básicamente:
  • si se dispone de la capacidad de generar firmas propias para los sistemas de detección de intrusiones, o si por el contrario, se depende del fabricante del IDS
  • ¿se dispone de una variedad de soluciones, que permitan operar sobre entornos tecnológicos variados, o se utiliza una solución global para todo?
  • ¿qué medidas de seguridad física se emplean en el SOC?
  • ¿qué medidas se han aplicado con respecto a la tolerancia a fallos? ¿Cuál es el proceso de notificación de fallos? ¿Se revisa periódicamente el funcionamiento de los equipos? ¿Existe un sistema de centralización de logs, que permita revisar los mismos en caso de que un equipo se vea comprometido?
  • ¿se confía el servicio a personal propio o subcontratado? ¿Se investiga a las personas que componen el equipo, antes de contratarlas? ¿Se realizan acuerdos de confidencialidad en todos los casos?
  • ¿qué importancia da el proveedor a las certificaciones en seguridad? ¿El equipo que se ocupa del servicio recibe formación contínua, que le permita seguir al día?
A mí personalmente me parece interesante saber cómo el servicio se va a adaptar a las propias necesidades de mi organización, por ejemplo, si me va a proporcionar algún tipo de consola en la que se pueda parametrizar determinados aspectos del servicio, y si se pueden definir políticas y utilizar el servicio proporcionado para vigilar su cumplimiento de forma externa a la organización. También es interesante saber si el servicio proporciona informes en un formato personalizado o por el contrario es genérico, cuál es el detalle de las explicaciones que se proporcionan, si se incluyen servicios de consultoría que ayuden a comprender bien las características del problema que se haya reportado, la probabilidad de que ocurra y el impacto que podría tener, o si mantienen contacto con equipos CERT oficiales.

Otras cuestiones interesantes no tienen que ver tanto con el propio servicio en sí, como con la manera en que el cliente utilizará este servicio. Es el propio usuario el que tiene un conocimiento exhaustivo de su propia organización, y podrá distinguir amenazas reales de las que no lo son. Su gestión de riesgos es el motor del resto de las tareas a realizar en materia de seguridad, no se debe olvidar esto nunca. Una pequeña o mediana empresa podría pensar que contratando un servicio de seguridad gestionado como este resuelve todas sus necesidades de seguridad. Sin embargo, lo que hace es externalizar los medios técnicos necesarios, pero sigue teniendo necesidades organizativas a las que prestar atención.

Así será necesario que se defina un plan de acción en caso de que se detecte un riesgo real, y esto es algo que sólo el personal interno de una organización puede realizar. Sólo los usuarios pueden priorizar adecuadamente sus riesgos, decidir cuál el plazo fijado para la resolución del problema detectado, o establecer cuáles son las medidas de mitigación y supervisión adecuadas a su entorno y a los medios de que dispongan. Y son ellos los que deben definir sus propios planes de contingencia y de continuidad de negocio. Por eso, por ejemplo, en Inteco existe un plan de impulso a la certificación e implantación de un SGSI en la PYME (hay que decir que una empresa que decida implantarlo, obtiene una subvención del Plan Avanza que cubre un elevado tanto por ciento de los costes de implantación).

Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en No hay comentarios:
Etiquetas: , , ,

martes, 18 de noviembre de 2008

Quinto S.I.R. de Microsoft

Sólo una notita rápida para dejar este enlace al último informe de tendencias malware elaborado por Microsoft, presentado hace unos días y que leo hoy.

Basado en datos obtenidos mediante sus productos y contrastados (o eso dicen, no lo sé) con terceras fuentes, nos cuentan algunas cositas sobre:
  • Tendencias en publicación de nuevas vulnerabilidades
  • Tendencias en explotación de vulnerabilidades sobre productos Microsoft
  • Tendencias en explotación de vulnerabilidades en navegadores web
  • Incidentes de seguridad
  • Tendencias en malware
En otros muchos sitios darán su opinión con mucho más criterio que yo, claro... pero una cosa sí está bien resaltar: España figura entre los primeros (hay un mapa en que sale en color rojo) en infecciones y problemas detectados... por algo será.

Slds!

Otros sitios que se hicieron eco de este informe:
Michael Howard nos cuenta también sus impresiones.
Sahw

Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en No hay comentarios:
Etiquetas: , , ,

martes, 11 de noviembre de 2008

WPA/TKIP roto

Hoy es uno de esos días en los que siento que el tiempo no da para todas las cosas que quiero hacer, incluyendo trabajo, tareas domésticas, vida social, etc... y además ser blogger. Os confieso, últimamente lo llevo mal, esto consume, realmente mucho mucho tiempo. Hoy por ejemplo me gustaría escribir algo para recordarlo yo en el futuro (este blog es también mi memoria) y para compartirlo con todos vosotros, sobre el problema encontrado en TKIP, el algoritmo de cifrado que se utiliza en el estándar de redes inalámbricas WPA.

Podría acortarlo, imitando al maestro Schneier (con todo el respeto, eh), que sólo nos dice: I haven't seen the paper yet. Impresionante: un post realizado con sólo seis palabras, se apunta los enlaces, los comparte con todo el mundo y triunfa más que los Chichos. Bate otro récord: el de tener más comentarios que palabras en el post.

En RaDaJo, un blog más que recomendable que tengo entre mis lecturas obligadas, se portan mucho mejor y nos dan todo lujo de detalles acerca del problema, quién lo ha descubierto (miembros del equipo de aircrack-ng: Eric Tews y Martin Beck), cuándo se conocerán todos los detalles técnicos (en la PacSec 2008 de Tokio, esta semana. ¿Habrá ido el Rey a verlo, o sólo es casualidad que esté por allí?) y qué medidas aplicar al respecto, que son:
  • para usuarios finales: cambiar de TKIP a AES. Esto en algunos routers requerirá cambiar a WPA2, que obliga a tener algo más que TKIP. En otros se puede seguir utilizando WPA, pues permiten el uso de AES como algoritmo de cifrado.
  • para empresas: si no se utilizar puede AES, aplicar medidas de monitorización, por ejemplo mediante un Wireless IDS.
Gracias por ser mejores :)

Slds!

Algunos enlaces:
paper sobre el problema

Actualización 12/11/08: GigA también nos habla de ello, con más detalle técnico
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 3 comentarios:
Etiquetas: ,

sábado, 8 de noviembre de 2008

Una galleta

"¿Sabe Facebook demasiado sobre sus usuarios?". Es un tema del que se hablado muchas veces (yo mismo varias veces por aquí). Hace unos días por ejemplo, en El País. Aunque creo que lo han titulado mal, porque dicho así, parece que sea culpa de la aplicación el que los usuarios pongan la información ahí. Más bien habría que titularlo "¿Pones demasiadas cosas en Facebook?" (por decir uno, lo mismo en Orkut, Hi5, Tuenti...). El propio artículo va en esa línea.

Prácticamente todos nosotros tenemos cuenta en alguna, o varias de estas redes. No hay nada malo en ello. El problema está cuando no pensamos mucho no sólo en lo que ponemos, sino en quién podría verlo... . Y eso no siempre está tan claro. Se puede restringir quién ve tus cosas, claro. Pero esto también es confuso, por ejemplo, en Facebook está la regla que dice que mis fotos pueden verlas mis amigos y los amigos de mis amigos. ¿Quienes son los amigos de mis amigos?.

En mi caso, por ejemplo, entre mis amigos están algunos compañeros de trabajo, y uno de ellos en particular resulta que tiene agregado a mi propio jefe. ¿Y si me acaba pasando lo mismo que al "astuto" empleado que mencionan en El País? . Además ocurre que agregamos a casi todo el mundo: conocidos de tu ciudad de unas pocas noches de copas, antiguos compañeros de la facultad a los que no ves hace años, y con los que pudiste tener o no tener una relación particularmente estrecha, antiguos compañeros del cole, amigos de amigos con los que has coincidido unas cuantas veces... realmente podemos estar compartiendo nuestras intimidades con mucha gente.

Otro tema es que ponemos plugins en nuestro sitio de la red social, y al hacerlo damos consentimiento para poder utilizar algún dato de los que sabe el portal de marras sobre nosotros a alguien que no conoces. Claro... si no los utilizas, la verdad es que usar la red social que sea pierde algo de su gracia. Nos gusta decir a los demás qué pitufo somos, qué poder de "Heroes" es el que más nos pega, qué libros leemos y cuál estamos leyendo, cuál es nuestro famoso ideal o qué opinamos de Barack Obama o de la madre que parió al topo. Al usarlos, además de dar consentimiento para acceder a nuestros datos, podemos estar también abriendo una ventana para coger algún bichillo. Podría poner un par de ejemplos, pero me quedaría muy corto, mejor usa al oráculo.

Así que no es que la red social sepa demasiado sobre sus usuarios, sino que los usuarios se desmadran muchísimo a la hora de ceder sus datos. Y no se los dan sólo a la propia aplicación, que eso parece lo de menos. La cuestión es que se lo dan a otros sin mirar. Nos puede pasar a todos: mi propio perfil está todo lo restringido que puedo conseguir, pero siempre (SIEMPRE) podría cometer un error. Un despiste un domingo por la mañana lo tiene cualquiera, cuando has salido la noche anterior, hombre.

Y ahora quizás os preguntareis por qué titulo este post "una galleta". Pues porque hace falta que alguien se pegue una torta gorda con este tema. El artículo que menciono al principio dice que los españoles no tienen queja, de momento. Me empeño, y de vez en cuando advierto estas cosas a mis amigos... con el resultado de que me miran como diciendo "ya está otra vez el casco friki informático dando mal". Así que nada, mejor estar callado... que ya llegará la sangre, y la letra con sangre entra. Ocurrió con los sitios estos que supuestamente dicen quién no te admite o te ha eliminado: algunos de mi colegas aprendieron cuando a una amiga le robaron su cuenta de messenger.

Slds!

Algunos enlaces:
otro artículo reciente
algo de segu-info, y algo más
decálogo de normas para redes sociales (visto en blogantivirus)
también podemos poner información falsa (lo cuentan en el blog de S21sec)
guía legal sobre las redes sociales, menores de edad y privacidad en la red (de Inteco)
el malware asalta las redes sociales (en RedSeguridad)

Actualización lunes 10: D.Danchev también nos dice lo de las cuentas falsas, en este caso en Bebo. Y nos cuentan algo más sobre bichos en facebook, en Facebook worm drives by Google Reader and Picasa.
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 4 comentarios:
Etiquetas: ,

martes, 4 de noviembre de 2008

Puesta al día y algo sobre un gusano de MS08-067

Sigo con mi ciclo de puesta-al-día: hoy leo un poquito sobre malware variado alojado en webs del mundo mundial y el problemilla del MS08-067.

Por ejemplo en Websense nos explican que ahora, el malware en web no está sólo en javascript, sino que utiliza elementos HTML para almacenar contenido., y luego utilizar algún exploit de otro pack llamado The Poly Exploit. También sobre una cosita que afecta únicamente a blogs de Blogspot.

En F-Secure nos cuentan cómo bichitos antiguos siguen pululando por ahí, con posibilidades de infectar a gente, además. Y después rellenan contenido en su blog con la vulnerabilidad MS08-067, opinando que va a ser otro gusanito (de hecho nos dicen que ya es otro gusanito). En Hispasec nos llaman a la calma, indican que no se va a generar un problema de la magnitud que tuvo el gusano Blaster, que explotaba un problema de características similares. Mientras, en el blog de SDL de Microsoft Michael Howard parece enfadado, y no en mi opinión no le falta razón: no creo que se pueda pedir que funcione con carácter retroactivo, o dicho de otra forma, que sistemas operativos más antiguos tengan un nivel de seguridad tan bueno como el de los modernos. Podrán mejorar, pero no ser igual de buenos. Por tanto su SDL no ha fallado, todo lo contrario, parece que están haciendo las cosas bien.

Enlaces:
metasploit tiene plugin para esta vulnerabilidad
algo de Sans
algo en blog SWI de Microsoft
algo y algo más en Arbor Networks
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en No hay comentarios:
Etiquetas: , , ,

domingo, 2 de noviembre de 2008

Tecnología para beneficio de todos

Este post NO habla de seguridad informática, sino de ONGs y de hackers. ¿Interesado?. Entonces sigue leyendo...
Llevo un tiempo que no puedo escribir ni leer tanto como me gustaría, y hoy que por fin he tenido la tarde libre para poder hacerlo, quería informarme de cómo funciona el famoso Clickjacking, ya sabéis, la vulnerabilidad descubierta por Jeremiah Grossman y Robert "Snake" Hansen, de la cual se conocen los detalles más o menos, desde hace un mes. Hay paper sobre el tema, por cierto.

El caso es que uno de los autores nos menciona también una de sus iniciativas, en este caso, de buen samaritano con los países más desfavorecidos. Su proyecto se llama Hackers for Charity, y tiene como misión proporcionar equipo informático para crear aulas, así como realizar proyectos de ámbito informático (desarrollo de software, por lo que he visto) que se implantarán en países de África. Una de las maneras que emplean para promocionar el proyecto y conseguir arañar unos cuantos dólares es el acceso exclusivo, o al menos en primicia, a contenido sobre seguridad informática, en el portal Informer, que tiene bastante buena pinta.

El suyo no es el único proyecto de este tipo que he conocido hasta ahora. Más cerquita, tenemos por ejemplo a Ingeniería Sin Fronteras, una ONG que tiene como fin la caridad mediante la realización, gratis, de todo tipo de proyectos de ámbito tecnológico, y esto incluye, por supuesto, los que tengan que ver con la informática.

Me parecen iniciativas increíblemente loables, de las que vale la pena hacerse eco.

Slds!
Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...
Publicado por en 5 comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)