Security Art Work

Este pasado fin de semana leía en ElPaís.com una noticia sobre la Iniciativa MEGAPORTS, una iniciativa norteamericana encaminada a la detección de sustancias radioactivas en contenedores con destino los Estados Unidos.

Esta iniciativa, que ahora luego les detallo, surge como un complemento a la iniciativa CSI (Container Security Initiative), también norteamericana, que lanzó la U.S. CBP (Customs and Border Protection), algo así como la Agencia de Aduanas norteamericana, que tiene competencias tan variadas como el control de inmigración ilegal, la protección de la propiedad intelectual de empresas norteamericanas, el control del tráfico de entrada de armas o dispositivos terroristas en los EEUU, la prevención del terrorismo o el control de aranceles aduaneros.

¿Por qué se plantearon los Estados Unidos crear la iniciativa CSI? Como consecuencia de los atentados del 11S en Nueva York, y tras replantearse muchos de los sistemas de protección que hasta entonces tenían implantados, e imagino que abordar innumerables análisis de escenarios de riesgos y evaluar amenazas hasta entonces no valoradas con la suficiente consideración, descubrieron que tenían un importante agujero de seguridad: alrededor del 90% de las mercancías que se mueven por el mundo lo hacen en transporte marítimo “containerizado”, y sólo el 2% de los contenedores que entraban en los puertos de los Estados Unidos eran revisados. Teniendo en cuenta la gran cantidad de “amigos” que los Estados Unidos tienen repartidos por el mundo, evidentemente tenían un problema.

[Read more…]

Este post no pretende ser una introducción o revisión exhaustiva de las vulnerabilidades de inclusión de código local o remoto. Por el contrario sí opino que la información concretamente de la explotación de un LFI se encuentra repetida hasta la saciedad, así como cada investigador ha aportado de forma dispersa pequeños trucos que amplían el espectro de explotación. Por lo tanto, creo que es interesante realizar una recopilación de estas mencionadas artimañas para conseguir el control de una máquina, permitiendo ésta la inclusión de código de forma local. Algunas de ellas son bastante conocidas, pero por el contrario, durante el trabajo de recopilación he dado con varias que desconocía y que me han sorprendido.

Muy brevemente comentaremos el punto de partida: un servidor Web que por ejemplo presenta una inclusión de código no sanitizada o filtrada correctamente. Aislando el código podría ser lo siguiente:

[Read more…]

(N.d.E. Después de una semana menos activa de lo habitual, volvemos a la carga al menos hasta que el turrón haga acto de presencia de forma oficial)

En los últimos años las redes sociales se han extendido de forma masiva y ya resulta extraño encontrar personas que no hagan uso de estos servicios de forma habitual, eso sí, debo reconocer que yo soy uno de ellos y que únicamente tengo mi cuenta para mi comunidad de vecinos, por lo que seguro que cualquiera de ustedes sabe más de las redes sociales que yo mismo.

Sin embargo, lo que sí tengo claro es que mucha de nuestra información se encuentra disponible en estas redes y en muchos casos a la vista de mirones no deseados, aspecto que ya se ha tratado numerosas veces en entradas anteriores y en las que no voy a entrar en esta entrada. Lo que sí me gustaría hacer es aprovechar este post para felicitar a Facebook, la red social más conocida y utilizada, por su iniciativa de organizar la primera hacker cup, una competición dotada con 5000$ en un único premio, que intentará reunir a personas interesadas en la seguridad de todo el mundo. La competición se encuentra dividida en 4 fases, las 3 primeras online y la última en las oficinas de Facebook ubicadas en Palo Alto (California, EEUU) donde se encontraran los 25 mejores clasificados; esperemos que se encarguen ellos de pagar el viaje.

La primera prueba consistirá en una ronda de clasificación de 72 horas, que da comienzo el Viernes 07 de enero de 2011 a las 16:00h, horario de España, en la que se presentarán tres problemas, de los cuales al menos habrá que conseguir resolver uno para poder clasificarse para la siguiente ronda. Poco más se sabe de la competición, así que sólo queda esperar al próximo 20 de Diciembre para que se abra la inscripción y ver cómo se desarrolla.

A mí ya me han convencido para dedicarle algún tiempo a este tipo de redes, ¿nos vemos en California?

El pasado 30 de noviembre se celebró en Valencia el evento TIC Tank, cuya temática ésta vez versó sobre la importancia estratégica que tienen las telecomunicaciones en nuestra sociedad, y como se aplican en las misiones críticas y de emergencia.

En primer lugar participó Michel Bergeron, jefe del servicio de comunicaciones y servicios TI de la Base de Soporte de la ONU en Valencia, quien nos habló de la infraestructura de esta base de reciente creación. En su charla, expuso las características de los despliegues de servicios de telecomunicaciones de la ONU en zonas críticas, y cómo la creación de la nueva sede de Quart de Poblet aumentaba la seguridad de esta infraestructura crítica al eliminar un punto único de fallo. De este modo, actualmente los despliegues de la ONU se comunican con el centro de mando de la ONU a través de dos enlaces (Brindisi, en Italia, y Quart de Poblet), que trabajan en modo activo-activo. Además de actuar como puente de comunicación entre las zonas de despliegue de fuerzas de la ONU y su centro de mando, la nueva base de Quart de Poblet proporcionará todos los servicios de telecomunicaciones, que el señor Bergeron definió como críticos dada su relevancia como apoyo en el terreno a las misiones de paz, necesarios para el correcto desempeño de dichas misiones: sistemas de voz, videoconferencia, recuperación ante desastres, enrutamiento y almacén de datos o mensajería electrónica.

En el debate generado tras las ponencias entre los asistentes y ponentes, el señor Bergeron destacó la importante y a la vez complicada labor de coordinación en la intervención que existe ante tragedias como la sucedida en Haití.

[Read more…]

Como primera entrada de esta semana un poco “rara”, tenemos una entrada de Rafael Rosell, que ya colaboró hace algunos días en el blog.

Rafael es Ingeniero Superior Industrial, Máster por el IESE y actualmente es Director Comercial del Instituto de Biomecánica de Valencia.

Los momentos que vivimos, desde un perspectiva economicista, afectan gravemente a las economías familiares. Esto nos lleva, como gestores de estas pequeñas economías, a tomar decisiones de reducción de costes importantes. Y ya que, evidentemente, no podemos despedir personal optamos por medidas mucho menos trascendentes ajustando gastos que a priori pueden ser superfluos; menos gastos para ocio, marcas blancas en los productos para la casa o evitar gastos como el ADSL, más si además tenemos accesible una red WIFI de algún vecino cercano.

[Read more…]

Cuando vi la película “El cartero siempre llama dos veces” no llegué a comprender el título, puesto que no había referencia alguna a algo parecido durante toda la película, y en este caso no se trataba de una “traducción” al lenguaje de los distribuidores de la película en España buscando un mayor impacto comercial. El título original de la película es exactamente el mismo.

La curiosidad me llevó a buscar el por qué del título y acabe encontrando la siguiente explicación:

“El cartero siempre llama dos veces” como metáfora como destino ineludible de su personaje principal masculino.

[Read more…]

Esta semana, en concreto el lunes día 29, estaba viendo el telediario de La 1 mientras trataba de dormir a mi hija; como parece que algunos periodistas están algo faltos de noticias (cuando se juega un Barça-Madrid parece que no se puede hablar de nada más interesante), uno de los bombazos informativos fue la actuación de nosequé cantante en Madrid, ídolo de quinceañeras, que había arrastrado a niñas de media España a hacer cola durante horas para que les firmara un disco o algo así. Reconozco mi ignorancia musical, ya que no tenía ni idea de quién era este chaval -prefiero a Krahe-, pero me llamó mucho la atención una cosa: una de las fans, entre gritos de histeria, se había “tatuado” en la cara su -presuntamente- número de teléfono móvil, junto a su nombre y un “Call me”; por supuesto, este fue uno de los primeros planos, con lo que media España pudo saber el teléfono de esta, también presuntamente, menor.

Por supuesto, un diez en seguridad para la niña por publicar información sensible (ríete tú de WikiLeaks); pero con quince años y las hormonas por las nubes dudo que mucha gente piense en las posibles consecuencias de una cosa como esta. Eso sí, un diez también en seguridad al periodista (o cámara, o lo que sea) por ese primer plano de la chavala; ahora cualquiera puede llamarla, tratar de quedar con ella, engañarla o lo que le apetezca. Con un par.

No voy a ponerme a hablar ahora de la seguridad de los menores y el uso que estos hacen de las nuevas tecnologías (casualmente esta semana se publican en este mismo blog varias entradas del tema, ya saben por qué :) Simplemente me llamó la atención la inocencia (o inconsciencia) de esa pobre chica y me planteé que si alguien es capaz de dar su teléfono delante de media España a cambio de nada, qué no sería capaz de hacer con un poco de ingeniería social. ¿Qué pasa si me hago pasar por un representante del cantante de marras y llamo a la chica para quedar con ella? ¿Qué pasa si en una red social me hago amigo de un menor y me dice dónde vive, dónde estudia y dónde va con sus amigos los viernes por la tarde? ¿Y si dejo en la puerta de un instituto un CD en el que haya escrito “Notas” o “Exámenes”, y que contenga un bonito keylogger?

Más allá de sistemas de control parental, restricciones técnicas de acceso a ciertos contenidos, filtrado de tráfico y demás, creo que esto sólo se arregla de dos formas: formando al menor y formando al menor. Y si puedo añadir una tercera opción, seguramente optaría por formar al menor. Sencillo, ¿verdad? Escribir cosas siempre es sencillo, el problema está en implementarlas. Y en este caso, en convencer a chavales -tarea difícil- de que las tecnologías son útiles, obviamente, pero hay que saber utilizarlas. Y de que si las usan mal pueden tener problemas que van más allá de bromas en Tuenti o mensajes en el muro de Facebook.

Por cierto, ¿qué hay de los padres? A menudo los niños son los más “tecnólogos” de la casa, usando cualquier cacharro con cables -o inalámbrico- mucho mejor que sus padres, desde el DVD al ordenador. Pensemos que si ninguno de nosotros dejaría a su hijo de nueve años solo en el centro de una gran ciudad, a expensas de cualquier agresión, con acceso a cualquier contenido simplemente mirando el escaparate de un quiosco, expuesto a un atropello, a perderse durante horas… ¿por qué estamos haciendo exactamente eso en Internet? Es más cómodo dejar a un chaval delante de un ordenador que jugar con él, hablarle o escucharle, pero a la larga todo tiene consecuencias… Si no lo haríamos en el mundo real, ¿por qué sí en el virtual?

Para acabar este post sobre menores, me gustaría hacer una mención a César J.F., un niño de nueve años cuyo cadáver apareció hace unos días dentro de una maleta en Menorca. Tras las investigaciones correspondientes, se ha descubierto que su propia madre lo ahogó en la bañera y que el cuerpo permaneció escondido durante unos dos años sin que nadie se percatara de que el chaval no estaba ni en clase, ni en su casa, ni en casa de sus abuelos, ni en ningún sitio. Nadie se preocupó por él en este tiempo, nadie lo echó de menos. Noticias como esta dejan a uno sin palabras. Creo que todos deberíamos plantearnos qué puede llevar a una (mal llamada) madre a hacer algo así pero, sobre todo, qué puede fallar para que un niño desaparezca dos años sin que nadie se dé cuenta. Reflexionemos un poco, porque en esta aldea global (con tanto 2.0, la nube y mil chorradas más) hay cosas que son difíciles de explicar. Y no tienen nada que ver con la tecnología. D.E.P.

Hoy, el President de la Generalitat Francisco Camps ha presentado en Valencia el proyecto ProtegiTs, una iniciativa que nació con una propuesta de S2 Grupo a la Generalitat Valenciana, dentro de su actividad de responsabilidad social corporativa, y cuyo propósito es hacer conscientes a los niños y niñas de entre 9 y 16 años de los riesgos que existen en el uso de Internet, y enseñarles cómo evitarlos.

Gracias a la Generalitat, que desde el principio supo apreciar el interés de la iniciativa, hemos conseguido ampliar en gran medida el alcance y el impulso del proyecto, dotándolo de mayores medios para que llegue al mayor número de niños y niñas posible. ProtegiTs cuenta con el apoyo decidido de la Fundación Bancaja y Consum Cooperativa, en calidad de promotores, así como de otras empresas de ámbito nacional e internacional, que han apostado por el proyecto en modalidad de colaboradores, convencidas del éxito de este proyecto y sus beneficios para nuestros menores.

[Read more…]

Para hablar de protección adecuada de los menores en la red, debemos en primera instancia definir un modelo de seguridad que represente todo aquello en lo que vamos a trabajar, desde el qué queremos proteger hasta el cómo hacerlo; algo similar a un análisis de riesgos particularizado para el caso que nos ocupa, y como siempre, en todo modelo de seguridad, lo primero que debemos plantearnos para diseñarlo es la identificación del objetivo de protección, lo que llamamos TOP (Target of protection). Una vez dispongamos de un TOP claramente identificado necesitamos poner en negro sobre blanco las amenazas a las que está expuesto, es decir, necesitamos identificar la taxonomía de amenazas, entendida como la lista de situaciones que pueden poner en peligro a nuestro objetivo de protección.

Identificada en primera instancia la taxonomía de amenazas -sin duda se podrá modificar con el tiempo-, necesitaremos evaluar el riesgo asociado a cada posible incidente o cada escenario de siniestro, preguntándonos cuál es la probabilidad de que este incidente ocurra y, en el caso de ocurrir, cuáles serían sus consecuencias, su impacto. A partir del análisis de riesgos que identifica el riesgo intrínseco de nuestro objetivo de protección, deberemos evaluar los controles o salvaguardas que queremos establecer en caso de que el riesgo intrínseco identificado resulte inadmisible para nosotros; como siempre, mediante la aplicación de controles convertiremos el riesgo intrínseco existente en un riesgo residual aceptable.

En términos generales, podemos considerar que existen tres grandes familias de controles o salvaguardas: mecanismos de protección, que intentan evitar la materialización de incidentes de seguridad, mecanismos de detección, cuya función es detectar incidentes cuando las medidas de protección no han funcionado y mecanismos de respuesta, para la intervención en caso de detección de un incidente de seguridad. Personalmente, me gusta desdoblar los mecanismos de protección en disuasión y prevención y los mecanismos de respuesta en respuesta y recuperación, por lo que en general suelo hablar de cinco grandes grupos de controles o salvaguardas.

En los tiempos que corren es evidente que uno de los objetivos de protección de gobiernos y de la sociedad en general son los menores en el uso de las nuevas tecnologías. Como no puede ser de otra forma, los menores, como objetivo de protección, necesitan el diseño de un modelo de seguridad acorde a su realidad y por tanto, una vez identificado el TOP -que en este caso que es el menor, con diferente realidad en función de la edad- es necesario definir el resto de componentes del modelo de seguridad. Una de las cuestiones más importantes a la hora de definir este modelo de seguridad para menores es la identificación de la taxonomía de amenazas que afectan al menor en el uso de las tecnologías de la información y las comunicaciones. Dentro de esta taxonomía de amenazas tendremos que incluir sin duda situaciones como acceso a contenidos inapropiados, ciberbullying, grooming, sexting, robos de identidad, etc., y sobre todo deberemos tener en cuenta que la taxonomía de amenazas que afecta a los menores está cambiando de forma constante.

En función de la taxonomía de amenazas identificada en un momento determinado haremos una evaluación del riesgo intrínseco, el que tiene nuestro TOP por el hecho de ser un menor y hacer uso de las TIC. Es en este momento en el que estaremos ya preparados para empezar a implantar medidas de control -salvaguardas- para mitigar el riesgo al que está expuesto nuestro objetivo de protección. Tal y como hemos visto, las salvaguardas serán de cinco tipos: disuasión, prevención, detección, respuesta y recuperación.

En el caso que nos ocupa, el de los menores y el uso que estos hacen de las nuevas tecnologías, las últimas reformas del código penal son, por sí mismas, medidas de disuasión que esperemos sean eficaces. Además de este tipo de medidas disuasorias se pueden aplicar otras, como la puesta en marcha de iniciativas globales por parte de los gobiernos con el objeto de proteger este segmento de población tan frágil.

Las medidas de prevención son importantísimas, ya que de entrada son capaces de limitar el riesgo en un gran número de casos. Sistemas de control parental, antivirus actualizados, herramientas antimalware, sistemas de protección de la red del hogar basados en cortafuegos o en sistemas de detección de intrusos específicamente diseñados para redes domésticas, etc. Desgraciadamente, no es suficiente con las medidas de protección, y no sólo porque estas funcionen mejor o peor, sino porque tenemos que contar siempre con el factor humano, en este caso el de los menores, que suele ser uno de los puntos débiles de todo modelo de seguridad. Necesitaremos por tanto mecanismos de detección que nos ayuden, como madres, padres o tutores, a identificar posibles situaciones de riesgo y que nos permitan actuar en consecuencia. Deben ser en este caso mecanismos, algunos de ellos, diseñados específicamente para este modelo de seguridad.

Cuando los mecanismos de detección, ya sean automáticos o manuales, actúan necesitamos definir una vía de respuesta. En este caso trabajamos ya con un posible incidente declarado y es imperativo el proveer a la víctima del posible incidente de una vía de soporte o ayuda especializada y de confianza. Es decir, ante un posible problema es necesario que el menor tenga un mecanismo de comunicación seguro con un equipo de personas capaces de prestarle la ayuda que necesita. Finalmente, una vez se ha respondido al incidente de forma adecuada, debemos centrarnos en la recuperación, ya sea ésta técnológica, psicológica o de cualquier otro tipo.

En definitiva, un modelo de seguridad debe contemplar todas y cada una de las piezas con el fin de ser lo más eficaz posible en primera instancia y lo más eficiente posible en segunda. En este post hemos hablado de un modelo orientado a la protección de menores en la red, pero seguiremos hablando de los modelos de seguridad.