InfoSecMan Blog

Como sabéis estoy en Barcelona (y sin tiempo disponible), por lo que no tengo tiempo para mucho más.

Desde hace un tiempo, mi amigo Nacho está desarrollando un glosario de términos de seguridad extremadamente interesante. Cada vez que ve algún término de interés lo va incorporando y “las notas” empiezan a tomar forma. Como siempre, una excelente idea por su parte.

Mientras tanto, os dejo aquí un RFC muy interesante (que seguro que ya conocíais) con el Glosario de Términos de Seguridad en Internet. Ya tiene un tiempo, pero es muy interesante y está bastante completo. Se trata del RFC 2828.

Podéis obtenerlo aquí.

El próximo día 3 de Mayo del 2007 tendrá lugar en Oviedo uno de los eventos AsturSec 2007 organizados por ASIMELEC en el cuál tendré el honor de participar como ponente presentando la ponencia “Políticas de Seguridad: Un Enfoque Holístico”. Estáis todos invitados (e invitadas).

El seminario tendrá lugar en el Hotel AC Forum – Pza. de los Ferroviarios, 1 – 33003 Oviedo y podéis inscribiros y obtener más información en la página web oficial del evento: AsturSec.

En Astursec 2007 ASIMELEC difunde los conceptos más importantes relacionados con la Seguridad Informática y las soluciones a los retos mas frecuentes a los que se enfrentan las empresas desde la PYME a la Multinacional.

El programa, aún provisional, por el momento es este:

9:30-10:00 Recepción de Asistentes

10:00-10:10 Presentación inicial por el Presiente de la Jornada

Adrian Moure
Presidente Comisión de Seguridad
ASIMELEC

10:15-10:45 Apertura de Honor del Seminario

D. Martín Pérez
Presidente
ASIMELEC

D. Luis Iturrioz Viñuela
Viceconsejero de Presupuestos y Administración Pública
GOBIERNO DEL PRINCIPADO DE ASTURIAS

10:45-11:30 Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico y LOPD

D. José Helguero
Director General
HELAS

11:30-12:00: Coffee Break

12:00-12:45 Riesgos Informáticos en Internet:
Firewalking, looping spoffing ip,exploits, backdoors)…ataques de ingeniería social.

D. Victorino Martín Jorcano
Director Seguridad TIC
ICA. INFORMATICA COMUNICACIONES AVANZADAS

12:45-13:30 Politicas de Seguridad: Un enfoque holístico

D.Samuel Linares Fernández
Gerente Area de Seguridad
TECNOCOM

13:30-14:00 Politica de Seguridad: ISO 27001 y gestión de riesgos
APPlus+

14:00 15:30 Pausa para la comida

15:30-16:30: Aplicaciones de la Firma electrónica en la empresa: e-factura
D. Santi Casas
Director General
ALBALIA CATALUNYA

16:30-17:00 Aplicaciones de la Firma electrónica a la e-contratación
D. Jorge Gómez
Director General
C3PO

17:00-17:30 Aplicaciones de la Firma electrónica: la e-relación Ponente por determinar

17:30-18:00 Conferencia de Clausura: Firma, Autenticación y Seguridad del dni-e

Mientras escribo esto me encuentro en el aeropuerto camino de Barcelona. Estoy rodeado de un grupo bastante grande de jubilados que van de vacaciones (supongo que en un viaje organizado del Imserso) y no puedo evitar el mirarlos como posibles victimas de fraudes, timos, etc. (deformacion profesional… o deformacion, sin mas). Por sus caracteristicas (normalmente muy respetuosos ante la autoridad, confiados ante determinados roles, gran importancia al aspecto fisico y forma de vestir, etc.), la mayoria de estas personas probablemente proporcionarian un monton de informacion a alguien que los inquiriese, bien vestido y con un dicurso creible. Son las victimas habituales de timadores tradicionales, estafadores, ladrones y carteristas.

Con la llegada de las nuevas tecnologias, unas veces por curiosidad y otras por necesidad (sus hijos viven fuera, es mas barato comunicarse, etc), estas personas de avanzada edad entran en contacto con Internet, los ordenadores, etc. Y al igual que ocurre en la vida diaria, se convierten en victimas de fraudes en linea, de robos de identidades, etc.

Como vengo diciendo repetidamente en diversos articulos, es necesaria formacion, o al menos informacion de los riesgos existentes en la red. Mi madre, que es una de esas personas que ha aprendido a leer y contestar correos electronicos (y nada mas, sin saber NADA de su funcionamiento, de su significado y evidentemente, ningun detalle tecnico), para poder estar en contacto mas facilmente con su hijo que viaja mucho, no sabe que es el phising, ni el Spam, ni otros terminos similares, pero con unas muy pocas indicaciones que le he comentado (las que ya suponeis, no abrir mensajes desconocidos, etc. etc.) creo que esta a salvo de un gran numero de posibles fraudes, al menos de los mas importantes.

Sin embargo, tengo una tia que ha asistido a diversos cursos de Internet para personas mayores que desconoce muchos de los riesgos a los que se ve expuesta cada dia (sin comentar que ella misma es una pequeña fuente de Spam de cadenas de powerpoints, niños perdidos, apoyos economicos a tribus inexistentes, etc. 😉 ). ¿Que temario y quien da esos cursos? No hace falta que contesteis 😉

¿No deberia existir algun tipo de campaña informativa sobre los nuevos riesgos a los que nos sometemos? ¿Algun anuncio publicitario en TV? Es posible que este un poco obsesionado con esto, pero es que estoy SEGURO que la mayoria de las personas que me rodean en este momento serian victimas de algun tipo de fraude, hecho por ejemplo por alguien como yo (me refiero al aspecto fisico, etc) sin casi ningun esfuerzo… y me apena bastante.

Espero no dar ideas, pero cualquier mensaje relacionado con su pension, incremento o disminucion en la misma, solicitando confirmacion de sus datos o similar, daria un alto indice de resultados positivos (para el timador)…

Trato de imaginar cual sera el riesgo al que estaremos expuestos nosotros a su edad, pero no lo logro. Ese es el problema, probablemente estaremos en la misma situacion con otra tecnologia, otro medio de comunicacion, otras amenazas, y no nos daremos cuenta… si alguien no nos informa.

Nota: disculpad la falta de tildes en el texto, estaba escribiendo desde mi PDA

Hace unos días hablaba de la seguridad en dispositivos móviles en el post “Esnifando Bluetooth” y comentaba sobre mis temores de una “epidemia” en ese sentido.

Ahora leo en un gran artículo de Pattrick Love en Security Computing Magazine más información sobre ese tema.

Pattrick describe en ese artículo las distintas amenazas existentes en estas tecnologías y por dónde parece que empezarán a aparecer más problemas en los próximos tiempos. Hace un análisis bastante acertado del porqu&eaccute; aún no se ha extendido más el código malicioso en estos dispositivos y las razones por las que los fabricantes de antivirus quieren entrar en este nuevo mercado. Muy interesante.

Especialmente interesante me parece lo que explica sobre la tendencia de las operadoras de moverse de las grandes celdas GSM a las pequeñas celdas Pico (Pico cells), especialmente si se tiene en cuenta que se puede conseguir una “Pico cell” por unos 200EUR, cogería dentro de un maletín y permitiría interceptar conversaciones de otros interlocutores :-O (los teléfonos móviles se conectan y hacen roaming a la señal más fuerte)…

En definitiva, este artículo da un “baño” bastante completo y rápido a lo que parece que será el futuro de las amenazas en dispositivos móviles. Altamente recomendable.

Muy brevemente. Joseba Enjuto ha publicado en su Blog Seguridad y Gestión un resumen de referencias más que interesantes sobre este tema.

Artículo disponible aquí.

Navegando por distintos sitios he encontrado un vídeo bastante interesante sobre el robo de identidad, algo realmente importante y que cada vez se está dando más, especialmente en Estados Unidos. Incluye unas cuantas técnicas de ingeniería social, buceo en la basura, etc.

¿Rompéis bien vuestros recibos cuando los tiráis a la basura? 😉 No quiero repetirme demasiado (tampoco es mucho, una vez al día verdad?), pero como siempre la formación es necesaria. ¡Somos el eslabón más débil!

El vídeo pertenece a la serie “The Real Hustle” de la BBC. En YouTube podéis encontrar otros vídeos interesantes buscando “Real Hustle” sobre otros timos y fraudes. Algunos están realmente bien y otros son bastante obvios, aunque todos están muy bien hechos y son entretenidos. Me parecen muy interesantes para alguna presentación, formación o similar, y en todo caso para entretenerse un poquito.

Muchos son los fabricantes que presentan “nuevas funcionalidades”, “tecnologías totalmente innovadoras” o “aproximaciones novedosas” sobre la monitorización y gestión de la seguridad de la información, de sus dispositivos, de sus eventos e incidentes.

Pues amigos míos (y amigas mías 😉 ), no todo es tan cierto como se dice (como por otra parte ya todos suponíais). Hay gente que lleva trabajando ya muchos años en ese tema y que se le “ponen los pelos como escarpias” al escuchar que algo es novedoso cuando ellos ya lo hacín hace más de 10 años.

Richard Bejtlich ha escrito un excelente artículo reivindicando lo que comento más arriba, que muchas de las novedades que tanto se comentan hoy ya estaban siendo utilizadas hace más de una década. En el artículo cuenta de forma general la historia de la “monitorización de seguridad de red” (Network Security Monitoring) incluyendo un pasaje de su libro “Tao of Network Security Monitoring”, y añadiendo alguna anotación adicional.

Os recomiendo su lectura, a mí me ha parecido muy interesante, sobre todo porque está contado en primera persona basándose en su experiencia personal y su involucración en los distintos proyectos.

Artículo completo aquí.

Ya sé que este es un Blog de Seguridad, pero no he podido resistirme a poner este enlace a la historia de Windows, Unix y los Lenguajes de Programación. Éric Lévénez ha hecho una labor bastante tediosa al recoger en distintos diagramas (descargables, imprimibles, etc.) la historia de Windows, Unix y Lenguajes de Programación incluyendo líneas de tiempo, fechas, versiones, cambios, etc.

Sé que es algo bastante “freak”, pero son los típicos posters que tanto gustan para poner en salas de cursos, de reuniones o similar. Además como curiosidad personales son francamente interesantes.

Podéis ver su página aquí.

Eso es lo que alguno(a) podría pensar esos días en que se encuentra especialmente atractivo(a), se ha peinado muy bien (si tiene pelo 😉 ) y va excelentemente vestido, con una simpatía desbordante, etc.

Pero no es a eso a lo que me refiero. Leía esta mañana un artículo (“Googling your date”) que enlaza bastante bien con mi reflexió de hace unos días en “Juventud, divino tesoro (o la edad de la inocencia)”. En él comentan que es una práctica habitual entre los que buscan pareja en la red el investigarla (mediante Google, por ejemplo) antes de tener una cita.

Comentan también que se han encontrado con casos de “fetichismo bizarro”, amantes del vampirismo y otras tantas cosas (¡menuda novedad!) y que en algún caso alguna de sus parejas la ha “estado investigando” en Google para saber cada uno de sus pasos “electrónicos”, por dónde se movía, que escribía, etc.

Una vez más es un claro ejemplo que Internet no es más que una extensión del mundo “físico” (porque real también lo es). No se me mal interprete, que no voy a entrar en disquisiciones sobre Matrix ni cosas similares. A lo que me refiero es que se dan cada vez más situaciones similares a las existentes en nuestro mundo tradicional, claro está adaptadas a las peculiaridades del medio. Ya lo comentaba tambien hace un par de dís en la evolución de los timos y cada vez me voy convenciendo más. Estamos asistiendo, y asistiremos cada vez más a la aparición de todos los comportamientos (buenos y malos) que vivimos tradicionalmente en el entorno de Internet, con la salvedad que desde pequeños a todos nos instruyen en ciertas reglas básicas de convivencia, de seguridad y protección que en la mayoría de los casos, para Internet y el mundo electrónico se desconocen por completo.

Al margen de esto, y volviendo a las citas y el “ligoteo”, ¿dónde han quedado las miradas a los ojos, guiños y flirteos? (que a mí tanto me gustan, por otra parte). Y enlazando con el concepto de riesgo, después de haber estudiado muy en detalle, amenazas, vulnerabilidades y probabilidades de ocurrencia, yo asumo (y gestiono 😉 ) cierto nivel de riesgo al preferir las “metodologías” tradicionales de “búsqueda de pareja”, basadas en un contacto visual total inicial (cruce de miradas lo llaman otros 😉 ). Me encanta la ingeniería social, ya lo sabéis, pero no me encaja su aplicación en las relaciones personales de ese tipo.

Porque, siguiendo ese razonamiento, aunque no conociese a alguien en Internet, la siguiente noche de conocerla deberí ir a buzear en su basura, ¿no? Mmm… prefiero otro tipo de métodos para conocer a alguien.

Nota: me ha quedado un post un tanto descafeinado y rosa hoy, quizás debería crear otra categoría de “Corazón Electrónico” 😉

Ya han publicado los vídeos de la pasada conferencia Shmoocon 2007. Aquellos que no hemos tenido la oportunidad de asistir, al menos podremos echar un vistazo a lo que se “coció” por aquellos lares.

¡A por ellos! [Download]