Seguridad femenina

29 de julio de 2010 Por

(Como ya hiciera hace exactamente un año, nuestro director financiero se ha prestado a colaborar con una entrada de opinión que supone un cambio refrescante para la temática del blog, ahora que nos acercamos a esas deseadas vacaciones de las que algunos llevan ya días o incluso semanas disfrutando)

Hace unos días tuve ocasión de leer en una de esas revistas técnico-científicas que solo ojeas en las consultas médicas, cuando el tiempo de espera se hace largo, una entrevista a una veterana neuróloga (con 100 años de vida) que me impactó. Primero por la seguridad que desprendía su vida, sus declaraciones, sus palabras y sus objetivos, y segundo por la enorme diferencia con las conductas de cualquiera de estas mujeres que se autoproclaman paladines del feminismo (pertenecientes al Gobierno o no) y que nos toca mantener con nuestros impuestos.

Pensé que para los que, como el que suscribe, somos remisos en participar en el blog, era una buena ocasión para aportar mi particular granito de arena, aunque con tema distinto, a la reconocida colaboración informática —docta y a menudo muy bien documentada— que aprovechamos los neófitos para intentar aclararnos un poco. Antes de nada, una pequeña advertencia. A mi me gusta la femineidad y muchísimas de las cosas que conllevan su entorno. He puesto quince –podían ser cientos- solo como ejemplo:

  • Los poemas de Carilda Oliver
  • El swing de Ella Fitzgerald.
  • La mirada de Candice Bergen.
  • La obra de Teresa de Calcula.
  • El arte dramático de Nuria Espert.
  • La sabiduría de María Moliner.
  • La ardua tarea de ser madre o la mal llamada “sus labores”.
  • La Thurandot de Montserrat Caballé.
  • Los ojos de Lyz Taylor.
  • Como canta Ana Belén.
  • El cuerpo, incluidos sus retoques, de Demi Moore.
  • Los artículos de Carmen Posada.
  • Mis colaboradoras de Administración.
  • La infatigable e inacabada lucha de tantas y tantas mujeres en pro de la igualdad de derechos entre hombres y mujeres. Me tomo la licencia de excluir de este reconocimiento a las que con simpatía y sin acritud denomino “progresistas modelnas” (sic) y que podían ser lideradas, en mi particular opinión, por algunas de las actuales ministras de nuestro Gobierno.
  • Y finalmente —sin especificar nombres— mi más sincera y profunda, aunque modesta, gratitud a la memoria de todas y cada una de esas mujeres que han aportado y siguen aportando, cada vez más, su enorme y erudita participación en el amplio mundo de la investigación científica.

Una de ellas es ella es Nina Levi Moltacini, nacida en Italia el 22 de Abril de 1909, Premio Nobel de Medicina en 1986 e investida “honoris causa” en Octubre de 2008 por la Universidad Complutense de Madrid. De familia sefardí, padeció todas las presiones y persecuciones del fascismo italiano y estuvo afectada por el Manifiesto de Mussolini de 1938 que la obligó a emigrar a USA. Resumo a continuación algunas de las interesantes manifestaciones que aparecían en la entrevista comentada anteriormente, realizada en el año 2005. Por mi cuenta, he resaltado algunas frases con mayúsculas, por considerarlas destacables.

¿Cómo celebrará su 100 cumpleaños?

¡Ah! No se si viviré, y además no me placen las celebraciones. ¡Lo que me interesa y me da placer es lo que hago cada día!

¿Y que hace?

Trabajo para becar a niñas africanas para que estudien y prosperen ellas y sus países. Y sigo investigando. Y sigo pensando.

¿No piensa en la jubilación?

JAMAS, la jubilación acaba destrozando el cerebro. Mucha gente se jubila, y se abandona y eso va enfermando su cerebro hasta matarlo.

Pero…¿Algún límite genético habrá?

NO. Mi cerebro pronto tendrá un siglo, pero no conoce la senilidad. El cuerpo si que se arruga, es inevitable, ¡pero no el cerebro!

¿Y …cómo se produce?

Gozamos de una gran plasticidad neuronal, y aunque mueran neuronas, las restantes se reorganizan para mantener las mismas funciones ¡pero, ojo, necesitan de una constante estimulación!.

¿Cómo?

Manteniendo tu cerebro ilusionado, activo, haciéndolo funcionar y de esta manera nunca se degenerará y vivirá mas años. Y lo que es fundamental ES MAS IMPORTANTE AGREGARLE MÁS VIDA A LOS DÍAS QUE MÁS DÍAS A LA VIDA. La clave está en mantener la curiosidad, los retos, tener pasiones, ir hacia los sitios, puesto que LO ESENCIAL ES EL IR, NO EL LLEGAR.

¿Cómo fue que una chica italiana de los años 20 se hizo neurocientífica?

En mi familia yo estaba considerada como el patito feo. Mis hermanos mayores todos eran muy brillantes y mis padres solo querían para mí, como en aquella época era normal, un buen matrimonio. Desde el principio yo solo quería estudiar. Además me estimuló principalmente la ejemplar obra que el doctor Albert Schweltzer estaba desarrollando con la lepra en África. ¡Y ESE ERA MI GRAN SUEÑO, AYUDAR A LOS QUE SUFREN!.

¿La religión frena el desarrollo del conocimiento?

Si la religión margina a la mujer frente al hombre, si que la aparta del desarrollo cognitivo.

¿Existen diferencias entre el cerebro del hombre y el de la mujer?

Sólo en las funciones cerebrales relacionadas con las emociones, vinculadas al sistema endocrino. En las funciones del conocimiento no hay diferencia alguna.

¿Por qué todavía hay pocas científicas?

No es así. Es verdad que durante siglos la inteligencia femenina no era ni reconocida ni admitida y la dejaban en la sombra. Hoy, afortunadamente, hay tantas o incluso más mujeres que hombres en la investigación científica.

¿Por qué hay tan alto porcentaje de judíos científicos e intelectuales?

La exclusión fomentó entre los judíos los trabajos intelectivos. Podían prohibirlo todo, pero no que se pensase. Durante el fascismo, Mussolini quiso imitar a Hitler en la persecución de judíos … y fuimos muchos los que tuvimos que ocultarnos o emigrar a otros países. Durante unos de esos “encierros” descubrí en el laboratorio que tenía instalado en mi dormitorio, la Apoptosis (muerte programada de las células).

¿La ideología es emoción, es sin razón?

La razón es hija de la imperfección. En los invertebrados todo está programado: es perfecto. ¡Nosotros no! Al ser imperfectos, hemos recurrido a la razón, a los valores éticos. DISCERNIR ENTRE EL BIEN Y EL MAL ES EL MAS ALTO GRADO A LA EVOLUCION DARWINIANA.

¿Lograremos un día curar el alzhéimer, el parkinson, la demencia senil?

Lo que haremos será frenar, retener y minimizar todas esas enfermedades.

¿Cuál es hoy su gran sueño?

Que un día logremos utilizar al menos la capacidad cognitiva de nuestro cerebro.

¿Qué ha sido lo mejor de su vida?

AYUDAR A LOS DEMAS.

¿Qué haría hoy si tuviera 20 años?

Lo que estoy haciendo.

Problemas de privacidad en Facebook… otra vez

27 de julio de 2010 Por

A estas alturas de la película, todos sabemos la cantidad de problemas que nos puede traer Facebook en lo que respecta a nuestra privacidad. Desde empleados que son despedidos por culpa de hablar mal de su empresa, a acosos por parte de ex-parejas. La semana pasada Sean Sullivan de F-Secure comentó en su twitter la existencia de un directorio en Facebook donde se recogían todos los nombres de los usuario que se puedan buscar. Esta pagina es www.facebook.com/directory

Con esta información a Ron Bowes se le iluminó la bombilla que todos tenemos en la cabeza. Teniendo al alcance de la mano millones de nombres y apellidos de personas, ¿no se podría confeccionar una gran lista de usuarios para utilizarla con ataques de fuerza bruta? La respuesta para él fue afirmativa, y mediante un script en Ruby obtuvo 171 millones de nombres de usuario (100 millones únicos). Ahora sólo faltaba ordenarlos, crear las diferentes combinaciones de nombre/apellido y empaquetarlo todo en un torrent para compartirlo con la comunidad.

Dicho torrent se puede descargar desde Skull Security, y su contenido es el siguiente:

  • La URL del perfil de todos los usuarios que se pueden buscar en Facebook.
  • El nombre de todos los usuarios de Facebook, por nombre y por cuenta (perfecto para post-proceso, datamining…)
  • Listas procesadas, incluyendo nombres y cuenta, apellidos y cuenta, usuarios potenciales y cuenta…
  • Los programas que usó para generarlo todo.

Por ejemplo, podemos sacar los top-ten de Facebook, donde John Smith es el claro ganador:

Primera letra del nombre y apellido

129369 jsmith
  79365 ssmith
  77713 skhan
  75561 msmith
  74575 skumar
  72467 csmith
  71791 asmith
  67786 jjohnson
  66693 dsmith
  66431 akhan

Nombre y primera letra del apellido

100225 johns
  97676 johnm
  97310 michaelm
  93386 michaels
  88978 davids
  85481 michaelb
  84824 davidm
  82677 davidb
  81500 johnb
  77800 michaelc

Para evitar aparecer en esta lista, podemos modificar nuestras opciones de privacidad. Hay que ir a “Cuenta->Configuración de la privacidad”, y el primer párrafo será el que aparece en la siguiente imagen:

1

Pnchamos “Ver configuración”, y dentro de las diferentes opciones, cambiar la opción de “Buscarme en Facebook” a “Sólo amigos”.

2

Con esto estaremos a salvo de nuevas búsquedas. Si no lo tenían configurado así (no es habitual), pueden descargarse el torrent y comprobar si su nombre aparece en él. ¡Hasta mañana!

Tarjetas de crédito con chip

23 de julio de 2010 Por

Como todos habréis podido observar, ya sea porque ya tenéis una en vuestras manos o porque habéis visto como ha proliferado su uso en distintos establecimientos de venta, por fin tenemos en España tarjetas de crédito con chip. Las tarjetas con chip nos aportan numeras ventajas respecto a las tarjetas de banda magnética:

  • Más rapidez
    Las tarjetas con chip y PIN agilizan las transacciones y reducen las colas, porque eliminan la necesidad de firmar y verificar el recibo. La información que contiene una tarjeta con chip permite que algunas transacciones puedan ser autorizadas sin conexión con toda garantía, por medio de los parámetros de seguridad del chip.
  • En cualquier lugar
    Las tarjetas Visa con chip están basadas en estándares globales de la industria —los EMV*—, que permiten que los clientes puedan pagar sus compras con confianza dondequiera que se encuentren.
  • Flexibilidad
    La tecnología chip abre un mundo de opciones de pago, que incluyen múltiples aplicaciones de pago y, potencialmente, de otros tipos en una sola tarjeta con chip; y más terminales de autoservicio que aceptan pago con tarjeta y dispositivos de aceptación portátiles.

Y sobre todo:

  • Más seguridad
    Las tarjetas Visa con chip son más seguras que nunca —es extraordinariamente difícil copiar la información que contienen. El PIN proporciona una identificación única del titular de la tarjeta e impide que una tarjeta perdida o robada sea utilizada por un tercero. Las nuevas tarjetas son mucho más difíciles de copiar que las tarjetas de banda magnética.

En mi caso, cada vez que pagaba con mi tarjeta en una tienda o restaurante y se iban con mi tarjeta a otra zona del establecimiento para efectuar el cobro siempre me venía a la cabeza la idea de que me podían copiar mi tarjeta. De hecho hace dos años así fue, mi tarjeta fue copiada (o por lo menos eso me dijeron en mi banco) y tuve que darla de baja inmediatamente; por suerte no llegaron a sustraer dinero de mi cuenta.

A pesar de las ventajas que incorporan las nuevas tarjetas el uso que se está haciendo de ellas también me trasmite una cierta intranquilidad. Me explico. Lo que se trata es de conseguir que el pago con tarjetas de crédito sea más seguro, y evidentemente la tarjeta en sí es una pieza clave del proceso de pago pero no es el único factor importante. También los son las comunicaciones, el almacenamiento de los datos, el método de introducir nuestra clave de acceso a la tarjeta, o la manera de identificar si el poseedor de la tarjeta es realmente su dueño legítimo.

Hasta ahora con nuestras antiguas tarjetas estaba establecida la buena costumbre de cotejar los datos de la tarjeta con un documento identificativo como el DNI, Pasaporte o carnet de conducir. Con el uso de las tarjetas con chip esta práctica está desapareciendo, ya que al ser más seguras muchos vendedores asumen que ya no hace falta. Pero, ¿qué nos asegura que la persona que está realizando el pago es el dueño de la tarjeta? ¿que sepa el PIN de acceso?

Por otro lado, cuando uno va a sacar dinero de un cajero, se preocupa de que no haya nadie en su espalda observando cómo introduce el PIN; los propios cajeros advierten de ello. Sin embargo, cuando introducimos el PIN en un establecimiento no se contemplan las mismas medidas de seguridad, en ocasiones ni siquiera por parte del vendedor, que se queda mirando cómo introduces el PIN. Observad la próxima vez que vayáis a un supermercado, gasolinera, o similar si sois capaces de ver el PIN de la persona que va a pagar delante vuestra en la cola. Yo lo hago siempre (sin maldad) y hasta ahora no ha habido una sola vez que no haya sido capaz de ver el PIN introducido.

Si alguien con malas intenciones hiciera lo mismo que yo y a continuación sustrajera la tarjeta a esa persona, estaría en disposición de hacer las compras que quisiera con la tarjeta. Como ya hemos comentado en más de una ocasión en el proceso de identificación de una persona ya sea en un control de acceso, o como en este caso para realizar un pago es importante contrastar:

  • Algo que soy (cotejar con documento identificativo)
  • Algo que tengo (tarjeta)
  • Algo que se (PIN)

Considero que es importante que a pesar de que ahora dispongamos de una tarjeta más segura, no nos olvidemos de todo lo demás. No permitamos que nadie vea como introducimos el PIN en el momento del pago, y siempre exijamos que nos pidan un documento identificativo para contrastar los datos con los de la tarjeta. Como suele decirse, es por nuestra seguridad.

Nada más, pasen un buen fin de semana, y cuidado en la carretera si tienen pensado salir de vacaciones (aunque éstas se limiten al fin de semana).

Programa COOPERA

22 de julio de 2010 Por

El pasado mes de mayo el Servicio de Protección y Seguridad de la Guardia Civil (SEPROSE) puso en marcha el programa COOPERA. Este programa pretende mejorar el Plan General de Colaboración vigente desde 2006, potenciando la cooperación con el sector de la seguridad privada a través del intercambio de información operativa de interés en los ámbitos de competencia que afecten a ambos colectivos, con el objetivo de integrar los servicios de seguridad públicos y privados y potenciar así las capacidades de ambos, en beneficio directo de la seguridad global. Dentro de este programa, al que como Departamento de Seguridad legalmente constituido nos hemos adscrito, se va a intercambiar de forma bidireccional y directa información de interés para todas las partes, a través de web, correo electrónico, SMS… a dos niveles diferenciados: directivo (SEPROSE) y operativo (Comandancias). Además del intercambio habitual, se han conformado diferentes grupos de coordinación sectoriales (banca, infraestructuras críticas…) e incluso se van a establecer modelos de formación comunes para Guardia Civil y Seguridad Privada.

Esta excelente iniciativa pone de manifiesto, una vez más, algunos aspectos de seguridad que ya hemos comentado en diferentes posts de este blog: en primer lugar, los referentes al intercambio de información, al information sharing del que tanto hablan los anglosajones y que, por fin, parece empezar a calar en España. Como en repetidas ocasiones hemos defendido desde aquí, esta tendencia debe ser en la actualidad la tónica general en seguridad, con las debidas garantías y con las relaciones de confianza necesarias para que la información fluya en las direcciones en las que debe hacerlo, permitiendo así reducir los riesgos de todos los actores y repercutiendo por tanto en un beneficio directo para todos. No ahondaremos más en los beneficios del information sharing -de momento, porque seguro que hablaremos más del tema- para que no nos llameis pesados :)

En segundo lugar, otro aspecto muy destacable del programa COOPERA es la colaboración entre seguridad pública y privada; de la misma forma que hace casi treinta años existía un grave problema de seguridad bancaria relacionado con el número y las consecuencias de los atracos a sucursales, y por tanto se hizo necesaria la creación de la Comisión Nacional de Seguridad (Directores de Seguridad de Cajas de Ahorros Confederadas) para reducir este problema, mediante la colaboración tanto entre entidades como con Seguridad Pública, en la actualidad existe otra tipología de amenazas, diferente de aquella, que hace necesario reforzar una vez más la colaboración entre Seguridad Pública (en este caso, Guardia Civil) y Privada, incrementando la complementariedad y reduciendo la subordinación que, aún en ocasiones, existe. A fin de cuentas, todos trabajamos en lo mismo, y si todos arrimamos el hombre, a todos nos irá mejor; además, no es de recibo que en muchas ocasiones la colaboración entre empresa privada y FFCCSE sea más personal (conozco a fulanito en la Comandancia o en la Jefatura Superior y le llamo para que me eche una mano, para compartir información, o para tomar una cerveza) que institucional y, sin descuidar la primera (seguiré tomándome una cerveza con quien me parezca :), formalizar las vías de cooperación creo que nos interesa a todas las partes.

Un tercer y último gran aspecto que queremos comentar en este blog es la convergencia reflejada en la iniciativa de la Guardia Civil, que aglutina bajo un mismo paraguas a Departamentos de Seguridad de muy diversa índole y que trabajan en sectores a priori disjuntos y sin relación directa: desde explosivos a protección de la información, pasando por CRA o medioambiente. Esta convergencia de la que a todos nos gusta hablar se traduce ahora en acciones concretas, en vías de trabajo y formación que, con los diferentes puntos de vista que cada uno de nosotros puede aportar a los demás, contribuirán sin duda a mejorar nuestras visiones, casi siempre acotadas, de la seguridad. De nuevo, no seguiremos hablando de convergencia para que no nos llameis pesados…

En definitiva, y ya para acabar, nuestra más sincera enhorabuena a la Guardia Civil, y en especial al SEPROSE, por la puesta en marcha de este programa; confiemos en que dé sus frutos, cumpliendo sus objetivos y estableciendo líneas de comunicación y colaboración robustas entre diferentes actores, públicos y privados, que permitan mejorar de forma global -más allá de empresas, departamentos, grupos…- la seguridad. Y por supuesto, que cunda el ejemplo y que salgan a la luz iniciativas similares o se mejoren las actuales; creo que, a fin de cuentas, la seguridad es algo que a todos nos afecta, por lo que debemos ser los primeros interesados en colaborar…

Hacking RFID, rompiendo la seguridad de Mifare (III)

21 de julio de 2010 Por

Con el permiso de Roberto, voy a continuar con la serie sobre seguridad en Mifare Classic que él comenzó hace unos meses (véase I y II).

En las anteriores entradas, se han comentado los ataques contra la comunicación lector-tag, donde era necesario capturar el momento de la autenticación. Además era necesario el uso de hardware relativamente caro, el PROXMARK III (240€).

En este post y el siguiente, vamos a ver como es posible recuperar la información de un tag usando hardware barato y ataques contra el tag. En primer lugar vamos a presentar el hardware:

Se trata del lector de touchatag, un lector basado en el ACR122U de ACS. La gran virtud de este lector es la posibilidad de usar las librerías libres libnfc, que han permitido a la comunidad desarrollar aplicaciones sin necesidad de pagar los costosos SDK’s privados.

La otra gran virtud es el precio, 40€ aproximadamente con portes e impuestos incluidos.

[Read more…]

Nueva vulnerabilidad en Windows puede causar nueva era de ataques a través de USB

20 de julio de 2010 Por

En los últimos días se ha hecho pública la existencia de una vulnerabilidad ”crítica” en Windows que abre las puertas a un nuevo modo de ejecutar código cuando se introduce un dispositivo extraíble (bien sea una llave o disco USB, o cualquier otro dispositivo, incluyendo las tarjetas de memoria de móviles y cámaras de fotos) y que ya estaba siendo utilizada por algunos troyanos para expandirse por la red.

Pues bien, ayer se hicieron públicos todos los detalles de esta vulnerabilidad junto con una prueba de concepto, y la situación actual es bastante comprometida para Microsoft, ya que están afectadas todas las versiones actuales de Windows (desde el XP hasta el 7 con cualquier service pack, tanto en versiones de 32 como 64 bits, incluyendo también las versiones 2003 y 2008 para servidores).
Entrando en un poco más de detalle, esta vulnerabilidad permite la ejecución de código por el tratamiento incorrecto que se hace al icono asociado a los accesos directo de windows (archivos con extensión .lnk). Si el icono asociado no es un icono sino otro tipo de archivo (como por ejemplo una dll, que en general pueden contener también iconos, pero en este caso específicamente diseñada), se puede llegar a ejecutar código, evitando todas las restricciones introducidas tanto por Microsoft como por terceras partes para evitar la ejecución automática de código en unidades extraibles.

En este nuevo escenario ya no resulta suficiente deshabilitar la ejecución automática de unidades extraíbles, puesto que nos podemos infectar únicamente navegando hasta la carpeta que contenga el código malicioso, ya que el explorador de ficheros de windows, al intentar cargar el icono asociado al enlace, ejecutará el código malicioso, infectando nuestro equipo. Parece claro entonces que la solución pasa por deshabilitar la carga de iconos para los accesos directos, lo que produciría que todos los accesos directos del escritorio, menú inicio y barras de tareas pasarían a tener el icono por defecto, con la consiguiente pérdida de funcionalidad y comodidad de uso para el usuario final.

Esta modificación ya ha sido publicada ya por Microsoft como solución temporal mientras se realiza el parche de seguridad correspondiente, y se puede seguir en el siguiente enlace (en el apartado de Workarounds). Este es un duro varapalo a Microsoft, que tendrá que forzar la máquina para distribuir el parche correspondiente si no quiere ver mermada de nuevo su imagen debido a las oleadas de nuevos ataques que se prevé aparecerán en los próximos días aprovechando esta vulnerabilidad.

Para finalizar, no está de más repetir una vieja premisa, que hoy debemos volver a recordar y cumplir más que nunca: hay que desconfiar de las unidades extraíbles cuya procedencia no está específicamente comprobada, así como de cualquier equipo sobre el que no tengamos control antes de introducir alguno de nuestros discos USB en él, si no queremos acabar con un virus o un troyano sin darnos cuenta.

Más información: CSIRTCV, Hispasec, Microsoft.

La importancia de la experiencia

16 de julio de 2010 Por

Hoy en día cada vez se intenta acudir más a estándares del mercado y a estándares de facto para poder abordar la problemática TIC de la empresa. Para una gran parte de las organizaciones es excesivamente costoso realizar sus propios desarrollos para cubrir las necesidades del negocio, tanto en tiempo como en esfuerzo y dinero, así que por norma se recurren a los principales proveedores del mercado, que en cierta manera aportan una seguridad desde el punto de vista tecnológico. Todos conocemos gigantes de bases de datos, colosos de los sistemas operativos de escritorio, o de la electrónica de red, etc. Al final ponemos nuestra confianza y nuestros negocios en quien creemos que tiene más experiencia en resolver nuestro problema. Porque las dos palabras fundamentales son estas: confianza y experiencia.

La seguridad en la empresa no deja de ser otro proceso que nos ayuda a proteger nuestro conocimiento y la continuidad del negocio. Cada día más empresas están empezando a entender la importancia de saber qué pasa en sus organizaciones, y saberlo a tiempo. Monitorización, correlación, eventos… términos que manejan muchas soluciones en el mercado, entre las cuales cuesta distinguir cuál se adapta mejor a mis necesidades. Como en cualquier otro área, hay grandes empresas, con grandes desarrollos para grandes multinacionales, recogiendo problemáticas de gigantes a precios exorbitantes. Y por sus referencias nadie duda de que las soluciones funcionan, tanto aquí como en EEUU, Japón o Guadalajara. Al final todo es igual, ¿o no?

Pero hay un eslabón que solemos dejar por el camino, que es el del implantador. Gran parte de las soluciones al final dependen de un partner que es quien parametriza y adapta las soluciones para poder ajustarlas a la problemática local. Evidentemente, cuanto mayor sea la experiencia con clientes similares, mejor será la implementación y habrá mas oportunidades de éxito. Y es aquí donde muchas soluciones flojean, en la experiencia local y en los profesionales que tienen esta experiencia. Porque la normativa legal no es la misma (retención de datos, LOPD, etc.), porque la problemática no es la misma (¿ataque de una potencia extranjera o disponibilidad de servicio?), porque las necesidades no son las mismas, las soluciones deben estar probadas en la problemática local…

Y los implantadores y su experiencia es el punto clave: ¿cuántas implantaciones con éxito ha realizado el equipo? Porque hay soluciones con mucho nombre y mucho arco, con tres profesionales en España, y ningún partner con más de dos implantaciones de éxito; otras empresas hablan de cabinas de almacenamiento y monitorización en el mismo paquete, y luego dicen que no tienen ni 20 implantaciones en este país; incluso hay quien vende soluciones que ya están obsoletas y han dejado de ser mantenidas por el creador de la solución… y así, miles y miles de ejemplos…

A fin de cuentas, ¿dejarías tu contabilidad en manos de cualquiera? ¿Entonces por qué le pides a alguien sin experiencia que implante, monitorice o gestione lo que no conoce? Bajo mi punto de vista lo mejor, como siempre, es ponerse en manos experimentadas y seguras, tengan el nombre que tengan.

El President de la Generalitat inaugura las instalaciones de S2 Grupo

14 de julio de 2010 Por

logoS2GrupoMañana jueves, 15 de Julio de 2010, el President de la Generalitat, D. Francisco Camps, inaugurará las nuevas instalaciones en Valencia de S2 Grupo. La Generalitat muestra así su apoyo a una empresa innovadora, especialmente tras el reciente arranque del proyecto de investigación FastFix, dentro del 7º Programa Marco de la Comisión Europea.

Rogamos a nuestros lectores que nos permitan sentirnos honrados y orgullosos y que agradezcamos a nuestros clientes su confianza y a los miembros de nuestro equipo el trabajo y el esfuerzo realizado. Ellos tienen todo el mérito.

Software original… o cualquier otra cosa

13 de julio de 2010 Por

Normalmente, cuando alguien adquiere un nuevo software y procede a instalarlo, la primera acción que se suele llevar a cabo es revisar la documentación existente en el CD y una vez revisada, proceder a instalar el software.

Son ‘raras’ las veces en que, oculto en el software a instalar, viene alguna sorpresa no deseada y más raro parece, cuando el CD original, en lugar de contener el software que hemos adquirido, contiene algo totalmente distinto. En nuestro caso, nos hemos llevado una sorpresa al abrir varios CDs de Cisco Systems originales y comprobar que, en lugar de contener el software cliente de VPN que indicaban, contienen un total de 12 tracks de musica mexicana de Diego Rivas ‘El Compa’.

Investigando por Internet, hemos encontrado un post del 2008 donde ya hablaban de esta ‘sorpresa’ y donde indican que los CDs erróneos pueden ser identificados por tener el codigo “MX21511/4”. También hemos podido comprobar que en el propio CD aparece una anotación que indica ‘Recorded in Mexico’ en lugar de ‘Recorded in USA’; lógico, tratándose de música mexicana. Otro ejemplo curioso que comentan en esta página, es un caso anterior donde Linksys imprimió en las cajas de sus productos como número de soporte el numero de una linea erótica en lugar del teléfono de soporte tecnico real.

Esta anécdota debe hacernos reflexionar acerca de la seguridad del software que adquirimos y no solo pensar que, por ser un CD adquirido de forma legal y de una gran empresa como en este caso, estamos a salvo de que contenga un posible troyano, un virus, o vaya usted a saber qué.

Asegur@IT… y OpenBTS

12 de julio de 2010 Por

El pasado día 9 tuvieron lugar en Valencia las conferencias Asegur@IT en su octava edición, evento que contó con la participación de empresas como Microsoft, Wintercore, Informatica64, Taddong e Hispasec, además de representantes del blog Security By Default. Y varios representantes de S2 Grupo estuvimos presentes.

En general, las charlas fueron de un gran interés; desde Chema Alonso presentando La Foquetta hasta Sergio de los Santos hablando de malware, pasando por Rubén Santamarta hablándonos sobre Bindiffing Patches y Alejandro Ramos sobre seguridad en archivos PDF, entre otros. Pero la charla que mas llamó mi atención fue la que impartieron David Pérez y José Picó, de Taddong, sobre “Nuevas amenazas en dispositivos móviles”, en la que nos mostraban a través de pruebas reales que los dispositivos móviles, elementos críticos de acceso a información sensible, cada vez más son acechados por nuevas amenazas, y que si no se protegen adecuadamente dentro de poco serán una de las vías de ataque favoritas por los delincuentes.

El experimento en cuestión trataba sobre la creación una falsa estación base de Telefonía móvil mediante el uso de OpenBTS. Pudimos ver mediante varios vídeos cómo suplantar la identidad de una estación base Movistar dentro de un entorno creado expresamente para dicho experimento, el cual consistía en una jaula de Faraday “autoconstruida”. El efecto jaula de Faraday provoca que el campo electromagnético en el interior de un conductor en equilibrio sea nulo, anulando el efecto de los campos externos (se pone de manifiesto por ejemplo al meternos con nuestro teléfono móvil en los ascensores o en edificios con estructura de rejilla de acero). Con una simple tela especial -de tipo mosquitera de alambre- podemos fabricarnos de forma casera una caja y simular una jaula de Faraday. En el caso, claro está, que no se disponga de una cámara anecoica en condiciones, que eso es un pelín mas complicado de conseguir :)

Dentro de la jaula, evitando señales externas provenientes de la legítima estación base, se introdujo la falsa estación de telefonía, que se configuró para emitir en la frecuencia deseada (imaginamos que en la banda de frecuencias de uso, 900/1800 Mhz) y con los parámetros adecuados, de forma que el teléfono móvil “víctima” acabó reconociendo esta falsa estación base como auténtica y se registró contra ella. De ésta forma el control del teléfono lo tiene la estación falsa, permitiendo control de llamadas entrantes y salientes, modificación de mensajes, etc. Podríamos plantearnos que si en nuestro radio de búsqueda de cobertura, nuestro teléfono encuentra antes una estación falsa (porque emita con más potencia, por ejemplo) se podría registrar contra ella y no contra la auténtica. Me quedé bastante impresionada con esta charla y la relativa facilidad a la hora de suplantar una legitima estación base de telefonía por una falsa, dejando bastantes preguntas abiertas sobre este tema, además de plantearnos una línea más de investigación sobre la seguridad en éste ámbito y, en general, sobre las comunicaciones móviles.

Dejando un poco a un lado el tema de la seguridad me empecé a plantear el hecho de la posibilidad de construcción de mi propia red móvil e indagué un poco sobre OpenBTS y los proyectos que había relacionados, encontrando bastante información (un link y otro, a modo de ejemplo).

OpenBTS propone un sistema de comunicación móvil con un coste menor, ideal para zonas rurales, o apartadas (como por ejemplo las plataformas petrolíferas). OpenBTS es una aplicación Unix de código abierto que usa el Universal Software Radio Peripheral (USRP), que presenta una interfaz de aire GSM para teléfonos GSM estándar y que usa el software Asterisk para conectar llamadas entre los conmutadores o PBX. La combinación de la interfaz de aire GSM con una distribución de voz sobre el protocolo VoIP sería la base de un nuevo tipo de red celular que podría implantarse y operarse con un coste mucho menor que las tecnologías existentes. Hasta ahora la construcción de semejante red móvil es tan sólo una promesa, y está abierta a iniciativas y colaboraciones. Sin embargo ya se probó su funcionamiento en el festival Burning Man en Black Rock Deserte de Nevada (USA) y en la isla de Niue, en el Pacifico Sur. Los usuarios de teléfonos móviles dentro de este tipo de red pueden hacer llamadas entre sí y, si la red está conectada a Internet, también a personas en cualquier parte del mundo; para ello se necesitaría un periférico de radio de software universal (pieza de hardware barata y fácil de comprar por Internet que se puede ajustar para proporcionar varios tipos de señales de radio; se usaría para enviar y recibir transmisiones de radio entre la estación base y el teléfono de un usuario móvil), el software Asterisk (ya que OpenBTS corre sobre él), una conexión IP (los usuarios de teléfonos móviles en un red OpenBTS pueden comunicarse entre ellos incluso si el sistema no está conectado a Internet, aunque para comunicarte con alguien fuera de la red se requiere obviamente conexión a Internet), una fuente de alimentación (se han hecho diversos experimentos y los resultados obtenidos han demostrado que la alimentación que se consume es muy baja, por lo que una estación base podría funcionar con energía eólica o solar), un teléfono GSM y una antena de acuerdo al rango que el operador de red quiera alcanzar. Como vemos, material muy asequible económicamente y fácil de conseguir…

Por si a alguno se le pasa por la cabeza probar todo esto… RECORDAD que el espectro radioeléctrico se trata de un bien de dominio público cuya TITULARIDAD, GESTIÓN, PLANIFICACIÓN, ADMINISTRACIÓN Y CONTROL CORRESPONDE AL ESTADO. O sea, que es ilegal emitir en el espectro radioeléctrico a no ser que se realice en un entorno concreto y controlado. En la ETSIT de la UPV disponíamos de una cámara anecoica que quizá, bajo un proyecto interesante y justificado, nos dejarían usar para pruebas, pero es sólo una idea… :)