InfoSecMan Blog

Leo en el blog de Bruce Schneier que un par de investigadores de una firma de seguridad inglesa (ProCheckUp) han descubierto que pueden redirigir el fichero de vídeo que reproducen las cámaras de seguridad AXIS 2100, de forma que mostremos al posible “vigilante” las imágenes que deseemos, al más puro estilo que hemos visto en más de una película de Hollywood con las cámaras tradicionales. Seguro que recordáis más de una.

Teniendo en cuenta que esta es una cámara muy utilizada en ese tipo de mercado, probablemente más de uno esté pensando algo malicioso 😉

Este hallazgo se suma al que ya habíamos presentado aquí hace tiempo de “esnifar” o capturar la imagen que se transmite por una fibra óptica sin necesidad de cortarla. Recordatorio aquí.

Hace unos días descubría de la mano de mis amigos de ISO27000.es una referencia muy interesante sobre una checklist de la documentación que debe tener un sistema de gestión de la seguridad de la información (SGSI) publicada por el foro de ISO27001security.com.

Un recurso muy interesante. Podéis acceder a la lista aquí.

… Es un muerto viviente” … eso decía una conocida canción de Alaska y Dinarama de allá, si mal no recuerdo, los años 90.

Pero esto no ha quedado pasado de moda, no, ni mucho menos. Es posible que hoy haya en la red más zombies que nunca, y no sería nada extraño que el equipo de nuestra pareja (novia o novio) sea uno de ellos.

Javier Cao muestra en su blog 3 sencillas medidas que podemos tomar para revisar si nuestro equipo (o el de nuestra novia 😉 ) es un zombie.

Cortito, sencillo y eficaz. Os lo recomiendo. Lo tenéis aquí.

Las “celebrities” hacen acto de presencia en nuestro país en este último trimestre. La próxima celebración de DISI 2007, el Día Internacional de la Seguridad de la Información el próximo 3 de Diciembre en la Universidad Politécnica de Madrid, contará este año ni más ni menos que con el señor Martin Hellman (sí, el de Diffie-Hellman 😉 ). Además habrá otros ponentes de nivel, como mi amigo Julian Inza  de Albalia, Hugo Scolnik o el Director de la Agencia Española de Protección de Datos, Artemi Rallo, entre otros. Y además, todo ello, gratis. Fecha a reservar en la agenda sin duda. Si alguno de vosotros va, podemos tomarnos algo.

Pero eso no es todo, ya que en la II Jornada Internacional de ISMS Forum Spain, el próximo 20 de Noviembre, podremos contar entre otros, con ponentes de la talla de Bruce Schneier. Otra oportunidad para tomarnos algo juntos, si queréis. Por allí estaré.

Podéis acceder a ambas convocatorias aquí:

– II Jornada Internacional de ISMS Forum Spain. (20 de Noviembre)

– DISI 2007, Día Internacional de la Seguridad de la Información (3 de Diciembre)

La semana pasada en un evento celebrado en París asistí a una ponencia que a priori no me resultó nada interesante, pero que sin embargo despertó en mí cierta curiosidad hacia su ponente, Marc Blanchard, se supone que uno de los 12 investigadores que Kaspersky tiene en el mundo “acechando” los virus y malware existentes.

Investigando en internet un poco sobre él, he encontrado su blog (en francés) donde a su vez he descubierto un gráfico que me parece, cuando menos, interesante.

Se trata de un gráfico epidemiológico sobre el Malware (que debe interpretarse en 3 dimensiones) en el que pretende recoger los malware existentes atendiendo a su/sus:

– Velocidad de desarrollo

– Complejidad de desarrollo

– Riesgos de urgencias

– Vectores de propagación

– Implicaciones en la estación

– Percepción de infección por el usuario

– Impacto Financiero

El gráfico es el siguiente, espero que os resulte interesante:

Nuestros amigos Agustín López y Javier Ruíz del portal español ISO27000.es nos han hecho (a Nacho Paredes y a mí) una entrevista en formato podcast en la que describimos brevemente IS2ME y sus fases.

En 10 minutos podéis tener una idea bastante clara de qué pretende y cómo llevar a cabo una implementación de la seguridad siguiendo este método.

El reto está en aguantar los 10 minutos sin bostezar 😉 … es broma, aunque os aseguro que  en las presentaciones “en vivo” somos mucho más amenos 😉

Desde aquí, muchas gracias a Agustín y Javier por su apoyo. No dejéis de visitar su portal, siempre con contenidos muy interesantes.

Podéis descargar el podcast en formato MP3 aquí.

Tengo la satisfacción de anunciaros que el número 13 de la conocida revista (IN)SECURE Magazine, con más de 8000 subscriptores a nivel internacional, incluye un resumen de la metodología IS2ME: Information Security to Medium Enterprise, que hemos desarrollado Nacho Paredes y yo mismo.

Con esta publicación continuamos la difusión de este método que tan buena acogida está teniendo entre todos vosotros.

Podéis acceder a la versión on-line de la revista aquí.

Joseba Enjuto publica un interesante artículo sobre la gestión de perfiles realizando no una aproximación técnica basada en producto o tecnología, sino desde el concepto puro de perfil de usuario y lo que supone.

Un esfuerzo muy interesante sobre la abstracción de los conceptos y puntos claves de la seguridad desligándolos de las aplicaciones o soluciones finales, que tanto hace falta para poder entender realmente de qué estamos hablando.

Joseba, como siempre, ofrece un enfoque muy interesante (con el que me encuentro muy alineado), centrándose por el momento en esta gestión de perfiles, aunque todo parece indicar que será el inicio de una serie en la que abordará otros conceptos de la seguridad, sin duda muy interesantes.

No os lo perdáis, aquí.

Enlazando con el post anterior, y continuando la “saga” de los últimos días, leo en las noticias de mis amigos de ISO27000.es que Gary Hinson actualiza periódicamente un documento muy interesante sobre este tema.

Insisto, muy muy interesante, con referencias, opiniones, ejemplos, casos reales, etc. sobre concienciación en seguridad (Security Awareness).

Podeis acceder al artículo completo aquí.

Continúo con la duda: ¿y por qué no un programa de concienciación en seguridad a nivel nacional? …

Leemos continuamente en distintos medios, y no cesamos de decir, que la seguridad no es sólo un producto tecnológico, sino que existen otras muchas variables que establecen el nivel de seguridad de una organización (o de un país) y que una de las más importantes, que conforma uno de los pilares de la seguridad, son las personas, y concretamente su conocimiento, formación y `cultura` de la seguridad.
Se quejan los profesionales de nuestra área del mal comportamiento de los usuarios, de su desconocimiento de los riesgos y de la `inconsciencia` de los actos que realizan o de sus actuaciones.
Supongamos por un momento que todos los usuarios de una organización, o de los habitantes de un país, ciudad o pueblo yendo un paso más allá, tuviesen un conocimiento básico sobre seguridad. Y no me refiero a un conocimiento técnico, sino a su cultura de la seguridad (lo que los angloparlantes llaman security awareness). Si éste fuese el caso, los incidentes de seguridad en ese entorno serian casi inexistentes… Parad un momento y pensad en la mayoría de incidentes y noticias relativas a esta área: con una cultura de seguridad adecuada casi no existirían. ¿Cuántas infecciones por virus, troyanos o malware se darían? ¿Cuantas pérdidas de datos ocurrirían?
Me aventuro a elucubrar que probablemente se reducirían en mas de un 90% con todo lo que ello supondría en cuando a disminución de pérdidas económicas y mejora del nivel general de la organización y sus usuarios (o del país y sus ciudadanos).
Estaríamos hablando pues de un mundo ideal en ese sentido. Y, ¿qué  seria necesario para ello? Simplemente que las personas estuviesen concienciadas y formadas.
En este sentido creo que los países en vías de desarrollo suponen una oportunidad para incorporar la cultura de seguridad desde los primeros inicios en la formación básica del individuo.
Si se consiguiese desarrollar un plan de formación básico que se difundiese de forma masiva en esos entornos, se obtendrían unos resultados a medio y largo plazo muy positivos en la reducción de incidentes y nivel de riesgo, y por tanto en su impacto económico (en organizaciones, y en el propio país en el caso más favorable).
Podría compararse análogamente con las campañas de educación vial que pretenden disminuir los accidentes y daños causados por los conductores. Si estas campañas se aplican desde el inicio de la formación mas básica, antes de que el usuario adquiera malos hábitos, o `vicios` el resultado será mucho mejor (seria el caso de introducir esa formación en los países en vías de desarrollo) que en el caso de usuarios con una experiencia o formación previa, y que por tanto, esta formación o información modifica su forma de actuar adquirida en el tiempo.
Como punto de partida, habría por tanto que establecer cuál debe ser el marco de actuación óptimo, puesto que deberían tratarse de países con un mínimo desarrollo e infraestructura de formación en el área técnica, pero que aun no hayan conseguido un despliegue masivo de la tecnología entre sus habitantes. No estaríamos hablando de países totalmente subdesarrollados, ya que como es lógico éstos tienen otras prioridades mucho más fundamentales, pero sí podrían ser objeto de este tipo de proyecto países con un cierto desarrollo económico, aunque este sea mínimo y que se encuentren en el inicio del despliegue tecnológico.
Si en nuestro país hubiese existido un proyecto o programa formativo similar, por ejemplo a principio o mediados de los 90 antes de la aparición de InfoVía o de forma simultánea, es muy posible que la situación actual fuese muy distinta.
Seleccionado el objetivo y establecido el alcance, debería entonces desarrollarse un plan de formación adecuado en los ámbitos correspondientes, como podrían ser escuelas primarias y secundarias, complementándolo con módulos formativos en enseñanzas superiores que informasen a los usuarios (ciudadanos) de las amenazas y vulnerabilidades de la tecnología que están apunto de recibir.
¿Utopía o realidad? ¿Cuál es vuestra opinión? ¿Sería un proyecto viable? Quiero pensar un poco más sobre este tema por si pudiese llegar a darle forma, pero me gustaría conocer vuestra opinión…