Como habríais notado en los últimos tiempos del Blog, no sólo estaba centrado en el ámbito de la seguridad (que por supuesto también) sino que comencé a abordar otros campos que para mí tenían (y tienen) mucho interés como el Gobierno de TI, la Seguridad en Entornos Industriales y Protección de Infraestructuras Críticas, la Psicología de la Seguridad o todo este “nuevo” mundo del Cluod Computing, entre otros.

En esa línea, durante este tiempo (hoy hace 322 días, casi 11 meses, que no actualizaba el Blog) han pasado cosas interesantes:

He tenido una hija que tiene, casualmente, 11 meses … (y ya 8 dientes!)

Estoy cursando el segundo semestre del Grado de Psicología en la UOC y voy por la octava asignatura con unos resultados que me están sorprendiendo muy gratamente (no solo en las calificaciones sino en la nueva perspectiva a aplicar en el resto de temas que estoy manejando).

Desde Intermark seguimos investigando, participando y ejecutando temas de mucho interés en Seguridad en Entornos Industriales. En este sentido muy recientemente hemos coordinado e impartido el 1er Taller de Seguridad en Productos y Sistemas de Control Industrial (SCADA) organizado en nuestro país, coincidiendo con el I Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).

Estoy participando todo lo activamente que puedo en la Comisión para el Buen Gobierno Corporativo de las TIC del capítulo de Madrid de ISACA, en las Comisiones de Seguridad  y de Software de ASIMELEC y en el recientemente constituido grupo de Cloud Computing de dicha comisión, entre otros.

Tras habernos certificado en ISO 27001 el año pasado (además de 166001 y 9001 hace tiempo ya), en Intermark estamos en pleno proceso de implantación de ISO 20000, con un objetivo de certificación antes de final de año.

El Equipo M45 de seguridad en el que participo como Gerente,  lleva ya casi 2 años de feliz andadura con importantes logros y referencias en el ámbito de la Administración Pública. Enhorabuena desde aquí a todos sus participantes. Creo que somos un gran ejemplo de trabajo en colaboración entre empresas y profesionales de un mismo ámbito que en ocasiones pueden ser competidores y en otras aunar esfuerzos en busca de un objetivo común.

Han pasado muchas más cosas, pero creo que con este pequeño resumen (de hecho únicamente con el primer punto sería suficiente) podéis justificar mi ausencia “bloguera”.

Como está próximo mi cumpleaños, voy a intentar “regalarme” el propósito de continuar estando presente aquí con nuevos contenidos y espero que diversas noticias profesionales, del sector (y personales) que puedan ser de vuestro interés.

A los que me habéis ido preguntando: aquí estoy de nuevo. Al resto, ya que estáis leyendo esto, gracias por permanecer a la escucha.

Seguiremos informando

Pero mejor leamos lo que nos ofrecen ellos directamente en su nota de publicación:

Desde iso27000.es lanzamos un nuevo proyecto en la URL iso27002.es como ampliación y complemento para la difusión de la seguridad de la información, ahora mediante una plataforma wiki colaborativa.

El objetivo de iso27002.es es recoger diferentes propuestas y posibles soluciones prácticas para cada uno de los 133 controles que indica la norma y que aparecen aquí resumidos en formato de ficha práctica.

Desde cada control se accede por enlaces directos a otros relacionados y la barra de búsqueda permite localizar rápidamente aquellos relacionados con posibles palabras clave, entre otras ventajas.

También se explica con formatos de video y ejemplos prácticos los puntos básicos claves a considerar en la implantación de un SGSI en relación al estándar ISO 27001.

La explicaciones recorren un esqueleto de SGSI que ya ha sido utilizado con éxito en implantaciones desde tiempos de la BS 7799-2 y en pymes de varios países.

El site permite además aportar preguntas y respuestas a los usuarios que se den de alta así como información completa sobre cada una de las normas de la serie ISO 27000 publicadas hasta el momento.

Se incluyen aquí las últimas noticias publicadas en iso27000.es con el objetivo de mejorar la rapidez de acceso a su lectura on-line por parte de visitantes habituales del continente americano, aunque de forma similar a iso27000.es existe la posibilidad de sindicación RSS a cualquiera de las páginas de interés.

Enlace al wiki disponible en modo lectura en iso27002.es o también en iso27000.wik.is para los interesados en iniciar sesión y comentarios como anonimo/anonimo.

Vaya desde aquí mi enhorabuena a estos 2 grandes profesionales (y amigos)  por esta nueva iniciativa y por supuesto, nuestro agradecimiento por contribuir de esa forma a la difusión de la seguridad de la información. Gracias Agustin, Jose!

Una herramienta realmente útil para utilizar como laboratorio de pruebas, como herramienta de formación en redes y seguridad, y en cualquier otro uso que podéis imaginar.

Han llamado a este proyecto NETinVM, y está accesible públicamente para su descarga con más información, documentación, etc. aquí.

David, Carlos, gracias desde aquí por vuestra contribución!

Por ello, a modo de “zapping” entre ellos, os incluyo a continuación algunos que me han parecido interesantes:

- Situación actual de la serie 27000 (por Javier Cao): Una puesta al día del estado de las distintas normas de la serie tras la última reunión del Subcomité 27 de ISO en Kyoto.ç

- PCI SSC emite una nueva norma para la seguridad en las aplicaciones de pago electrónico (por ISO27000.es): El PCI Security Standards Council, el organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información en la Industria de Pagos con Tarjeta (PCI DSS), requisitos de seguridad para los dispositivos de entrada de PIN (PED), y aplicaciones de pago (PA-DSS), anunció la presentación de la versión 1.1 de la Norma de Seguridad de la Información para las Aplicaciones de Pago (PA-DSS, Payment Application Data Security Standard).

- Checklists de Seguridad del Information Assurance Support Environment (por Sergio Hernando): Sergio comparte con nosotros unos enlaces que apuntan a algunos checklist de seguridad de distintos ámbitos, que pueden ser de mucha utilidad.

- Introducción a la LOPD en vídeo (de la mano de Julián Inza): Julián incluye en su blog un vídeo de YouTube en el que se describe breve y sencillamente los aspectos más relevantes de esta ley.

En breve más temas de interés (espero ).

Aquellos que estén interesados en el diseño y arquitectura de un honeypot inalámbrico (por el momento 802.11, más adelante parece que incluirán otras tecnologías, como bluetooth o WiMAX), sus componentes, requisitos o simplemente en ampliar sus conocimientos en seguridad inalámbrica, tienen en este artículo una lectura obligada.

Podéis acceder al artículo completo aquí.  En el blog que comparte con David y Jorge,  ha incluído un resumen del mismo y un par de enlaces bastante interesantes a 2 informes (gartner, ABI) publicados recientemente en los que se recoge lo mejor y peor de distintos fabricantes de tecnología inalámbrica. Echadle un vistazo. Es interesante.

De la mano de Javier Cao descubro en su blog un nuevo dispositivo de seguridad que sin hacer algo demasiado espectacular, sí que aborda el problema de una forma novedosa. Se trata del “Yoggie Gatekeeper Pico”, un dispositivo portátil (tipo llave USB) que incorpora un sistema de seguridad hardware que incluye entre otras cosas AntiVirus, AntiSpam, AntiPhishing, AntiSpyware, Control de Contenidos, IPS, IDS, etc. y hasta cliente VPN en alguno de sus modelos, con la ventaja consiguiente de liberar al equipo personal de la carga de trabajo que todas estas aplicaciones supondrían (se trata de un microPC con un linux que contiene aplicaciones como Snort, Kaspersky, MailShell, etc.).

Podríamos decir que sería una especie (esto me lo invento yo) de “mini-UTM” portátil que pinchado en nuestro equipo personal nos protegería de las distintas amenazas existentes en la red y hasta nos permitiría conectarnos de forma segura a nuestra red corporativa (con el modelo que soporta cliente VPN).

Podéis acceder a más detalles en el post original de Javier aquí o en la página oficial del dispositivo aquí.

No he tenido oportunidad de probarlo y como bien comenta Javier, no se puede confiar en todo lo que digan los “datasheets” y presentaciones, pero al menos, por mi parte ya tiene un positivo: una forma de abordar el problema radicalmente distinta a las existentes.

En otro orden de cosas, en este caso desde “el otro lado” aparece también algo “novedoso”. Se trata del nuevo “malware troyano” que hace uso del registro de arranque del ordenador para albergarse en el mismo al más puro estilo de los antiguos virus de MBR (Master Boot Record). Una prueba más de que la innovación en el “otro lado” no es sólo hacer cosas nuevas, sino evolucionar métodos antiguos hacia las nuevas tecnologías. Este nuevo especimen (Trojan.Mebroot) ha pillado a los fabricantes de antivirus con el pie cambiado… esperemos su reacción.

Innovación, innovación! A ver si este 2008 nos trae más sorpresas en esa línea… (la primera, claro )

A raíz de unos comentarios en un foro, he llegado a un artículo bastante completo sobre el “kit” que un profesional de la seguridad debe llevar consigo para la respuesta a un incidente, o como suele llamársele allende los mares, el “computer security jump bag”.

El artículo es bastante completo y se centra quizás más en las herramientas necesarias para un informático forense, pero la mayoría es de aplicación para casi todos nosotros.

En el foro que me llevó a este artículo existe un “thread apasionante” sobre el tipo de bolsa a llevar, donde hay defensores a ultranza de las mochilas (de todo tipo, número de bolsillos, tamaños y precios) mientras que los más clásicos optan por los maletines y los más presumidos por las maletas rígidas de aluminio (algunas de más de 500$!!). En este caso, la bolsa la dejo a vuestra elección… mientras resista

Podéis acceder al artículo completo aquí. Os recomiendo su lectura.

No se trata de una serie de ficción, sino algo casi tipo documental. La serie aborda todo tipo de temas relacionados con la seguridad (física, lógica, ingeniería social, etc.) de una forma muy entretenida y efectista, pero siendo bastante fiel a la realidad.

Se trata de un grupo de profesionales de élite contratados para infiltrarse en importantes negocios y corporaciones con el objetivo de mostrara las debilidades de los sistemas de seguridad más sofisticados utilizados habitualmente.

Tiger Team está compuesto de los especialistas en auditoría de seguridad Chris Nickerson, Luke McOmie y Ryan Jones, quienes emplean diversas técnicas cada vez que reciben un nuevo “encargo” en cada episodio.

Para aquellos que no tenemos la oportunidad de verlo en televisión, habrá que escudriñar la red en busca de algún episodio

En YouTube tenéis accesible un breve anuncio de la misma.

[Actualización 07-Ene-2008]

Según parece la serie no va a continuar de momento. Fuentes de la cadena de TV han comentado que se trataba de un especial y que posiblemente no haya continuación (probablemente la falta de audiencia tenga la culpa).

Richard Bejtlich se hace eco de esta posibilidad aquí.

Desde Asturias un grupo de profesionales englobados en la compañía SIGEA, a alguno de los cuales tengo el gusto de conocer, ha desarrollado una herramienta de buena calidad para el análisis de riesgos llamada GxSGSI que recientemente ha sido incluída en el catálogo de ENISA de este tipo de herramientas en el que sólo aparece por el momento otra herramienta española.

Desde aquí mi más cordial enhorabuena al equipo de SIGEA, en especial a Paco, y mucha suerte y ánimo para seguir avanzando en esa línea.

Podéis acceder a la nota de prensa aquí,  y a una demo de GxSGSI aquí.

Las principales novedades son (extraído textualmente):

* We will be releasing a ~ 1 GB USB / DVD image, as well as a stripped down 700 MB iso.
* Dual core issues have been fixed.
* Wireless card compatibility has maximised, and injection patches applied wherever possible.
* Xorg configuration scripts have been improved.
* Updated exploit repositories, updated metasploit exploit framework and dependencies.
* PXE network boot feature finally added (USB Version)
* PwnSauce Instant John the Ripper Cluster feature finally added (USB version)
* Compiz with ATI/Intel Drivers (USB version)
* Linux bt 2 6 21 5 #2 SMP

Podéis descargar BackTrack 3.0 Beta aquí.