domingo, mayo 31, 2009

Eventos y Cursos en Junio

Hay un mes en Junio plagadito de acciones, que os he ido diseminando por aquí, así que creo que os voy a poner una lista que recapitule todo y que me va a servir a mí también de agenda para saber que va a ser de mi vida.

Semana del 1 al 5

- Madrid [Hands On Lab] Dedicados a SQL Server 2008 con 8 acciones que van desde la migración de SQL Server 2005, la migración desde Access, los servicios de análisis de datos, etc…

Semana del 8 al 12

- Málaga [Azlan D-Link Academy] 4 HOLs dedicados a Diseño de Redes, Tecnología Switching, Tecnología WiFi y Tecnología Firewalling.

- Madrid [Hands On Lab] 4 HOLs dedicados a System Center 2007, con SCCOM y SCCM.

Semana del 15 al 19

- Valencia [Azlan D-Link Academy] 4 HOLs dedicados a Diseño de Redes, Tecnología Switching, Tecnología WiFi y Tecnología Firewalling.

- Madrid [Hands On Lab] 7 HOLs dedicados integramente a Exchange Server 2k7 y, por primera vez, un HOL dedicado a lo que será Exchange Server 2010, todos con Joshua Sáenz, MVP de Exchange Server en España.

- Madrid [El mal está en tu ordenador], el día 16, en Getafe, habrá un evento gratuito dedicado a problemas de seguridad en las PyMes que impartiremos la gente de Bitdefender y yo.

- Madrid[Asegúr@IT 6], el día 18, en Getafe, 5 cráses de la seguridad darán un evento hipermegachulo.

- Madrid [FTSAI Módulo 7] Tras cuatro ediciones de FTSAI, se va a hacer un módulo especial de auditoría y seguridad para roles de servidores concretos que comenzará el Viernes 19. OpenLDAP, Active Directory, Oracle, SQL Server, Exchange, Postfix, Firewalls, Windows Server 2008 R2, Windows 7, Apache e IIS. Serán 5 viernes por la tarde en Junio y Julio.

- Madrid [FTSAI Auditoria de Aplicaciones Web] En el FTSAI IV, en Madrid, durante 5 viernes de Junio y Julio, se impartirá el módulo dedicado a las aplicaciones web. Inyecciones a cascoporro y mucha auditoría de aplicaciones web.

Semana del 22 al 26

- Madrid [Hands On Lab] 7 HOLs dedicados íntegramente a SharePoint Portal Server 2k7 con Rubén, MVP de SharePoint Portal Server.

- Vigo [Summer of Security] Evento en Vigo el día 23, en las instalaciones de Caixanova, dedicado a la seguridad, con Spectra, SmartAccess, Quest, D-Link e Informática64.

- Valencia [Summer of Security] Evento en Valencia el día 25, en las instalaciones de Bolsa de Valencia, dedicado a la seguridad, con Spectra, SmartAccess, Quest, D-Link e Informática64.

Semana del 29 de Junio al 3 de Julio

- Madrid [Hands On Lab] 7 HOLs dedicados íntegramente a Windows Server 2008.

- Bilbao [Summer of Security] Evento en Leioa el día 30, en las instalaciones de la Universidad del País Vasco, dedicado a la seguridad, con Spectra, SmartAccess, Quest, D-Link e Informática64.

Saludos Malignos!

sábado, mayo 30, 2009

Hablar con Periodistas [III de III]

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

Acto III: This is the end

Tiempo después, ya con los deberes estudiados, llegamos a un encuentro en Huesca, en el que el abuelo y yo dimos una charla de hacer el capullo (más o menos como siempre). Después había un coctel "futamadre" en un restaurante con estrellas michelín donde nos copeamos a gusto antes de la esperada cena. Llegado el momento de dispendio nocturno se hace el reparto de asientos en las mesa y... oh que bien, nos sientan con los periodistas y la responsable de prensa de Spectra que los vigiliaba, cuidaba, asistía y ayudaba. La gran Mónica.

Depués de tomar unas copas más de vino del Somontano, los platos de la comida y llegados ya a los postres acompañados de los licores dorados de la patria chica del abuelo. Uno de los periodistas decide hacernos la gran pregunta:

- "Bueno, y vosotros...¿qué opináis de los periodistas?"

La tensión se podía cortar, la chica de prensa perdió dos kilos en ese segundo debido al stress (nos conocía demasiado bien) y a mi me entró un descojono interior brutal mientras pasaban por mi memoria todas las conversaciones mantenidas con el abuelo tras los actos I y II de esta historia. Decidido a no interferir en ese momento historio y perturbarlo con una mala acción opté por dejar todo el protagonismo al protagonista y mirando directametne al abuelo le dejé toda la mesa para él.

El abuelo, con ese arte y esa valentía torera que lleva me mira mientras se le escapa una sonrisa maliciosa entre las comisuras de los labios. No iba a arrugarse ante ese morlaco y lo iba a coger por los cuernos. Mira a la derecha, luego a la izquierda, a ese la do con peores ojos, y se concentra.

Yo, que he compartido no pocos momentos con él, sabía que estaba ante uno de esos momentos de brillantez que el abuelo nos deja para la historia. Uno de esos momentos únicos como la palmada en el suelo del bar de Amsterdam mientras se daba el baile con todo el mundo. Ese momento en las Las Vegas que.. [CENSORED], la introducción inexperada en el webcast de Server Core con la ODA a la línea de comandos" [en la versión Youtube no se aguanta la risa] o ese otro en el que apareció en el vídeo simulando ser un cocinero. Allá iba, se estaba arrancando:

- "Pues.....[risita] la verdad...[jeje] es que... mmmm [se rie otra vez].....es que....[ultima risa y pa'latante] Pues la verdad, es que a veces sois unos hijosdeputa".

[1,2,3 segundos de tensión]

Yo casi me caigo al suelo del descojono a mandíbula batiente, los periodistas se quedaron flasheados y el corazón de la responsable de prensa de Spectra botaba entre las copas pequeño y jugueton mientras ella, más blanca que Michael Jackson, intentaba calmar la situación diciendo:

- "Je,je, no lo hagáis caso que está de broma, esta de bromo, ¿verdad? jeje, ¡qué bromista"

A los periodistas les podía haber dado por cualquier cosa, pero les dio por reirse, demostrar su humanidad y autocrítica y darle la razón al abuelo diciendo que a veces la liaban parda, pero que muchas veces no eran ellos y eran los que les editaban las noticias y otras que el entrevistado había dicho realmente eso pero se arrepentía después.

Fue un momento historio en el que el abuelo pudo resarcirse de los problemas sufridos con anterioridad. Y yo me pregunté... ¿Qué cojones le habrán enseñado a éste en el curso de como hablar con periodistas? ¡Qué grande! ¿Por qué dirán luego que soy yo el que la lio? ¿Es o no es un cráck el abuelo?

Saludos Malignos!

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

viernes, mayo 29, 2009

Summer Of Security

El veranito ya está aquí, y con él los calores que conllevan. Esa época del año en el que a muchos de los hombres se nos aclara la vista y redescubrimos de nuevo el sexo contrario con otros ojos, con expresión de sorpresa, viendo cosas que antes no habíamos visto.


La temperatura sube, así que hay que irse a la playa... y nos vamos a las más fresquitas con cuatro eventos de seguridad. Serán Vigo el día 23 de Junio, Valencia el día 25 de Junio, Bilbao el 30 de Junio y terminaremos en Barcelona el día 14 de Julio...(de momento...) Después del verano decidiremos si llevamos la gira a la mitad sur. La agenda es la siguiente:

09:15 - 09:45: Registro

09:45 – 10:20: Red segura con tus switches

Xavi Campos, de D-Link, dará una sesión para que tu red esté segura desde los cimientos. La tecnología D-Link permite fortificar tus conexiones, evitar técnicas de MITM e, integrado en el AD con 802.1x y la tecnología NAP, dejar una rede integrada con tu servidor Windows 2008 totalmente controlada. Una sesión de seguridad en switching de las chulas.

10:30 – 11:15: Se tú en tu AD

España es un país puntero que cuenta con uno de los documentos identificativos más punteros, el e-DNI y esa herramienta puede convertirse en el único token necesario para que tus empleados se autentiquen en tu Active Directory. Rames Sarwat de SmartAccess, mostrará como es posible integrar el e-DNI en el AD y acabar de una vez con cualquier otro sistema de autenticación. No más "se me ha olvidado la password".

11:14 – 11:45: Café

11:45 – 12:30: Gestiona todas tus máquinas con el AD

Cada día los entornos empresariales son más heterogéneos y se necesitan más y mejores herramientas para gestionar de forma segura tus equipos. El Active Directory es la solución ideal para gestionar tu red de ordenadores. Con Vintella Integration Services de Quest Software vas a poder extender las funcionalidades del Active Directory para gestionar incluso tus puestos de trabajo Linux.

12:30 – 13:14: Microsoft Threat Management Gateway

Evoluciona los firewalls de tu empresa. Durante esta sesión Chema Alonso, Microsoft MVP en Enterprise Security de Informática64, mostrará las novedades de seguridad en la solución Firewall L-7 de Microsoft. Controla la seguridad perimetral de la red corporativa a todos los niveles y publica, de la forma más segura, tus servicios a Internet.

13:15 – 13:30: Ruegos y preguntas

Tienes toda la información y los links de registro en la siguiente URL: Summer of Security.

Saludos Malignos!

jueves, mayo 28, 2009

Periodistas...¡Qué gente!

Antes de que se pueda descontrolar el objetivo de la serie de Hablar con Periodistas, quiero hacer una reflexión sobre las historias. Los tres actos que componen esta serie no son más que tres anécdotas graciosas que he contado muchas veces en muchas cenas. Son de esos momentos que te deja la vida de feriante por estas Españas nuestras.

Sé que en la foto quedan desdibujados los periodistas en general, pero no es la opinión que tengo sobre los periodistas. Vaya por delante que me tocan los cojones a dos manos los ineptos que hacen crítica técnica sin tener ni puta idea, pero para eso los bauticé con un bonito término que creo que los representa: Tecnicoless

Sin embargo, he de decir que hay otro grupo de periodistas técnicos que me han demostrado que hay que tener respeto por su profesión y es a ellos a los que quiero rendirles homenaje en este post.

Carles del Collado, un catalán serio y mordaz que parece que la flema británica le viene de alguna rama genética de quién sabe dónde. De él he publicado algún artículo en este blog directamente, pero para que os hagáis una idea, Carles, antes de escribir sobre un tema técnico nos brea. Sí, nos machaca con cuestionarios a todo técnico que él haya catalogado como válido para que le contemos, le enseñemos, le guiemos y después escribe su artículo. Ahora lleva su red social de ITPros.

Daniel Comino, golfo, trotamundos y amigo del destornillador. Desde IDG en PCWorld se pasa el día de conferencia en conferencia, aprendiendo, escuchando, filtrando. Es un periodista al que no le asusta abrir su ordenador, instalarse lo que sea, configurar los cacharritos y cuando quiere un artículo denso técnicamente, se lo encarga a los técnicos. Después se lo lee, lo relee, lo adecúa y nos lo devuelve mejorado. Para quitarse el sombrero, así que le dediqué un post hace mucho tiempo.

Fernando Jofre, periodista freelance en el mundo técnico, centrado en aprender y que te lo vas a encontrar en las conferencias de tecnología, pero no en las de “pájaros y flores” sino en las de técnicos, es un tipo metódico. Te pregunta, te graba la conversación, transcribe los textos, y luego te llama: “Oye, ¿esto es así o realmente lo he entendido mal?”

Fernando García, un periodista técnico, pero a otro nivel, al nivel de organizaciones. Desde hace años se curra y ha llevado el Congreso de Directores de Tecnología de Medios de Comunicación a Huesca, dónde los gol…digo… los responsables de los sistemas informáticos de periódicos, radios y televisiones esquilman a los proveedores para compartir problemas y soluciones. Sus entrevistas y artículos en El País, después de años, son siempre desde el punto de vista en el que él aporta valor y no intentando jugar a consultor de seguridad. Es uno de los buenos periodistas de verdad. Le debo una buena entrevista ... y unas foto con unas gafas de pasta naranja que perdí. Snif!.

Mercè Molist, es una amante y apasionada de la tecnología y el mundo de los hackers. Es cierto que yo le he dado cera alguna vez, pero sé que es su amor por el software libre, el espíritu comunitario, compartir conocimiento y las personas que van más allá lo que a veces le lleva a cometer alguna incorrección técnica. No obstante, he decir que no será la primera, ni la segunda, ni la tercera vez que me ha solicitado consejo técnico para un artículo que está escribiendo. Tiene afán de aprender y eso es admirable. Su blog... Pot666

Javier San Juan es un periodista agradable, que escucha y atiende a las explicaciones técnicas. Programa sus propias aplicaciones y se mantiene hiper actualizado de lo que sucede en el mundo tecnológico. Será uno de los protagonistas del acto tres de la historia que estoy publicando, con un suceso en Huesca. Trabajaba en ISV Magazine y actualmente trabaja su pasión en la web: http://www.quinfo.com

Mercedes Oriol, de red de seguridad, que realiza una labor de periodismo informativo de lo que pasa en este país y por dónde van los tiros en España desde Red Seguridad y, para los que trabajamos en seguridad, siempre nos mantiene al día. No sólo busca la opinión técnica de los técnicos, si no que busca la opinión de los técnicos.

He citado algunos de los periodistas con los que he tenido más trato en estos últimos años, de forma cercana, pero hay otros que he tenido la suerte de que me entrevistaran en un momento puntual en radios, televisiones o periódicos y que he quedado muy contento con su labor profesional, como el periodista argentino del Diario Clarín, Christian de Telecinco que me escuchaba, me preguntaba, me proponía y decidíamos, las entrevistas en el Diario de Noticas y el Diario de Navarra en Pamplona, o el reciente Aldo en BarcelonaLatina.

No quiero que las anécdotas parezcan una crítica desmedida a todos los periodistas. Son tres anécdotas con periodistas…que a mí me hicieron mucha gracia, más.. .cuando yo las viví en primera persona y no fui el sufridor (je!).

Saludos Malignos!

miércoles, mayo 27, 2009

Hablar con Periodistas [II de III]

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

Acto I: La confirmación

Días después, la gira nos llevo el día 19 de Abril de 2005 a Bilbao, a un evento dónde hubo que hacer sitio donde no lo había para que pudiera entrar toda la gente y... otro periodista entrevistaba de nuevo al abuelo. Éste, alertado de lo sucedido en Murcia, trató de ser más prudente. Además, en este caso iba a ser entrevistado por un amigo de un amigo suyo con lo que estaba más confiado y le contó lo que le había pasado en Murcia.

- "Sí, hay que tener cuidado con lo que le dices a los periodistas", dijo el periodista.

Después convenció al abuelo para que se pusiera con cara sonriente y el gorro de grumete, mirando al infinito con la mano cubriendose del sol en los ojos, mientras que de fondo se podía ver la enhara con los barcos de la imagen corporativa de la gira. Era como el grumete del Capitán Pescanova, pero más sonriente.

Y comenzó la ronda de preguntas.

[Periodista] "¿Y en Internet hay muchos virus?"
[Abuelo] "Sí, claro, y hay que protegerse contra ellos"


[P] "Pero...¿basta con los antivirus?"
[A] "Hombre, no sólo con los antivirus, hicimos un webcast con la gente de Hispasec y demostraban que es posible saltarse los antivirus con trucos y los creadores de virus están siempre tratando de evitar ser detectados."


[P] "Entonces...¿no son seguros los antivirus?"
[A] "Eh... no, no, lo que quiero decir es que no hay nada perfecto y que hay que tomar más medidas."


[P] "Ya, es que no hay nada inexpugnable,¿verdad?"
[A] "Sí, no hay nada inexpuganable."


[P] "Gracias, eso es suficiente"
[A] "A ver que pones, ¿eh?"

[P] "Tranquilo..."


Y se fue sonriente el periodista. Al día siguiente nos levantamos con el Correo de Bilbao en la recepción del hotel, y allí estaba, día 20 de Abril de 2005, Ratzinger elgegido Papa en la portada con los brazos abiertos y, dos páginas atrás, el abuelo evangelista, con cara de cebollo mirando al horizonte con su gorrito de grumete y con este titular en H1:

"Contra los virus, no hay nada inexpugnable"

Ese titular fue definitivo para que nada más llegar a la central de Spectra en Madrid le apuntaran a un curso titulado: "Cómo hablar con la prensa".

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

martes, mayo 26, 2009

¡Internet es Guay!

Ayer estuve participando en el III Encuentro de personas desaparecidas para participar en una mesa de debate sobre Internet, miedos, mitos y realidades. Como muchos os presuponéis correctamente, la participación que me preparé inicialmente era de alerta:

“Tened cuidado, Internet no es un juguete, puede ser peligroso, no se sabe quién hay detrás, te pueden pasar cosas chungas, etc…”

Esa es la charla que generalmente doy a los estudiantes cuando estoy con ellos e inicialmente es la que iba a transmitir a los padres, pero… tuve el placer de compartir la mesa con dos pájaros más que como yo traían un mensaje más o menos similar.

La realidad es que cuando el periodista Paco Lobatón me presentó había optado por cambiar de estrategia. La gente que tenía allí tenía una visión muy negativa de Internet y no es eso lo que yo quería que vieran. Quería que lo usaran y dejaran usar Internet a sus hijos pero con cuidado así que comencé la sesión con dos preguntas.

1) Estamos hablando de redes sociales, pero… ¿cuántos de vosotros habéis entrado en alguna en algún momento de vuestra vida?

El porcentaje de la gente que levantó la mano rondaba el 3 %. Y la pregunta más difícil.

2) ¿Cuántos de vosotros no habéis entrado nunca en Internet?

El porcentaje de la gente que levantó la mano rondaba el 20 %. Así que no estaba dispuesto a seguir “asustándoles” con Internet y les enseñe que estaba haciendo yo mientras mis compañeros hablaban. Algunos de vosotros me ayudasteis a enseñarle el Messenger, otros participasteis contestando a mis mensajes de Facebook, otros poniendo comentarios en el blog. Les enseñé lo que yo opino hoy en día: ¡Que Internet es guay!

Antes de que existiera Internet y los teléfonos móviles, si queríamos ir al cine, un equipo “Swat” se iba por la mañana a ver la cartelera. Sincronizábamos los relojes y quedábamos en el mismo banco del parque siempre. Cuando regresaban (al banco dónde quedábamos) repasábamos la cartelera y preparábamos un comando de asalto a la cola de entrada. Sincronizábamos de nuevo relojes, quedábamos en el banco e íbamos 1 hora antes a hacer la cola para coger las entradas.

Si te habías perdido alguna sincronización o llegabas tarde localizar al resto de “la manada” podía ser un desfilar por los “caladeros” habituales de “la manada” que podría tenerte paseando toda la tarde sólo.

Antes de que hubiera Internet nosotros jugábamos al Kick Off 2 del Amiga durante meses y nos gustaba customizar los equipos. Entonces no venían cargados con los nombres de los equipos ni los jugadores. Un año nos dio por jugar la liga Rusa, la liga Alemana, la liga Francesa, etc… Algo que hoy en día es trivial, como consultar los nombres de los equipos que jugaban en cada liga, en aquel entonces era una odisea.

Antes de que existiera Internet, guardábamos fotocopias de fotocopias de cosas que nos habían pasado, de artículos, de carátulas publicadas en revistas especializadas por si ponían la peli en la tele y podías grabarla en vídeo.

Antes de que existiera Internet hacíamos rutas de viaje comprando mapas y pidiéndoselos a los amigos.

Antes de que existiera Internet comprabamos enciclopedias enormes que había que actualizar año a año con apéndices y que terminaban las biografías de la gente 10 años antes del tiempo actual.

Antes de que existiera Internet buscar trabajo había que ir a ligar al bar.

Antes de que existiera Internet se guardaban revistas porno bajo la cama.

Internet tiene riesgos, sí, y un mal uso del mismo te va a putear la vida, pero no hay que olvidar que Internet es guay.

¿Qué hacías tú distinto antes de que existiera Internet?

Saludos Malignos!

PD: Gracias a todos por ayudarme a enseñarles cómo funciona la comunicación en Internet

lunes, mayo 25, 2009

Veraneando en Salamanca

Por segundo año consecutivo nos vamos de "fiesta" a Salamanca, a compartir experiencias en el área de seguridad. Por segundo verano consecutivo un grupo de amigos y profesionales de la seguridad informática nos reunieremos en la bella ciudad salmantina durante tres días para debatir de nuestras cosas durante el II Curso de Seguridad Informática de los Cursos de Verano de la Universidad de Salamanca.


El curso tendrá lugar los días miercoles 8, jueves 9 y viernes 10 de Julio de este año. Con una agenda de 8 horas cada día más un reto hacking por las calles de Salamanca en el que probaréis si tenéis lo que hay que tener para hackear un sistema WiFi que llevará el señor Inalámbrico por los cafés de la plaza.

Para confeccionar la lista de amiguetes he tenido la suerte de poder meter baza yo con lo que he preparado una sesión de post-curso para el miercoles, jueves y viernes con lo "mejor de cada casa".

Entre los que se vienen están los siguientes pájaros:

- Fran, el "vice" de "inno" en la USAL, el amigo del UML, de la innovación y de cuidar de que los alumnos que aprueban en la USAL... salgan sabiendo UML como los ángeles...

- Mikel Gastesi, de S21Sec, el amigo del cracking, el reversing, los retos hacking en el blog de S21Sec, el e-crime y ponente en el Asegúr@IT III y en las últimas jornadas de BlindSec.

- Gonzalo Álvarez Marañón, nuestro investigador personal del CSIC, creador de los boinas negras, cuentacuentos, currante de cryptool y autentico crá a la hora de presentar.

- Fernando Guillot, el primísimo del abuelísimo, miembro de la oscura Spectra, ex-ingeniero de soporte, ex-adicto a mobile y charlista evangelista del programa TechNet que vendrá a quemar la noche salmantina.

- Antonio Guzmán, mi tutor del doctorado, es como House pero más guapo, ácido y mordaz y experto en métricas de seguridad se vendrá desde la tierra prometida de Bronxtolex y la universidad Rey Juan Carlos.

- Enrique Rando, el funcionario de los metadatos, compañero cantante de la Blackhat, de la Open Source World Conference y del Up to Secure, se vendrá desde su Junta de Andalucía para abandonar durante un tiempo al pingüino de su Guadalinex.

- Rames Sarwat, el ex-Spectra miembro de la secular SmartAccess que se dedica a integrar los e-DNI en cualquier árbol LDAP o Directorio Activo que se deje. Él está ccreando el nuevo gran hermano que os vigilará a todos....

- Xavi Campos, desde Barcelona, si deja de tomar copas por las celebraciones futboleras y su higado se lo permite se vendrá desde D-Rink... digo... D-Link a hablar de como tenía que haber montado el Señor inalámbrico su WiFi para que nadie se llevara los dispositivos home multimedia que hay de regalo.

- Alejando Ramos, el dab, dispuesto a bannear a todos los que se dejen, esta nueva estrella mediática de la Web 2.0, artista de la seguridad y de profundidad en sus artículos de SecurityByDefault, vendrá a hablarnos de los Captchas o... "Cómo ser tan humano como Bender"....

- Miguel Gesterio, el vigués trotamundos, dónde hay cuatro hackers frikis con ganas de hacerse un reto ahí está él para animarles la existencia. Viajero infatigable se vendrá a estar tres días cuidando del señor inalámbrico y, lo que es más chulo, dando el solucionario del reto.

- Alberto Carlos Escola, el amigo de los móviles y la innovación tecnológica que se vendrá desde El Boecillo a descubrirnos los trucos de la seguridad en dispositivos móviles.

- Jorge Perea, de Bitdefender, la empresa Rumana que se abrió un hueco internacional en el dificil y competitivo mundo de los antivirus que vendrá a contarnos algo de los últimos especímenes que pululan por el mundo de la Interné.

- Alejandro Martín, operador en Informática64, alekusu, el amigo Zamorano que estudió en la USAL y que como en las pelis de serie B regresará a la misma para vengarse de todos los que le catearon.

- Pedro Sánchez, de Atca, el forense de los CSOs, el "cherif" de la seguridad en ATCA, el masca, que se vendrá de Zaragoza a cuidar del astronauta.

- Y el Maligno, osea yo, para ver como ellos curran meintras me dedico a recuperarme de las cosas de la noche anterior y tirarme fotos con todas las admiradoras sexies que aparezcan por allí.

Serán 3 días (y sus tres noches) que se emplaman con un finde en Salamanca (ciudad universitaria y turística llena de fiesta por doquier y toquier) en veranito, con crás de la seguridad y unas tapas de flipar en los bares...

¿Te lo quieres perder?.

Toda la agenda del curso de verano, el lugar de realización, como apuntarse y la lista de ponentes la tienes en la siguiente URL:

Curso de Verano de Seguridad de la Información 2009 de la Universidad de Salamanca

Saludos Malignos!

domingo, mayo 24, 2009

Aplicación de la LOPD a la memoria RAM [IV de IV]

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

7.- Extracción de datos mediante técnicas forenses de volcados de memoria RAM

Al igual que existen herramientas para la recuperación de ficheros no borrados permanentemente, existen herramientas para la extracción de todos los datos almacenados en un volcado de memoria RAM. Esto además no es un proceso de extremada complejidad ya que la memoria RAM no está cifrada y por lo tanto basta con utilizar sencillas utilidades de búsqueda de cadenas para la extracción de datos almacenados en ella como strings[8], bintext[9] o findstr[10], que son públicas y gratuitas.


Imagen 6: Volcado de memoria abierto con Bintext

8.- Protección de los ficheros de memoria RAM
Si nos atenemos a lo dispuesto en los articulados del capítulo III del título VIII del Reglamento, es necesaria la aplicación de unas medidas técnicas y organizativas para su cumplimiento. Estas medidas dependerán del tipo de datos manejado y por lo tanto dependerán de las circunstancia. En el escenario tratado tendremos por lo tanto solamente en cuenta todos aquellos aspectos técnicos exigidos por el reglamento y que pudieran aplicarse a los tipos de memoria tratados. De entre los artículos existentes, destacan como críticos la aplicación de los siguientes:

- Para medidas de seguridad de nivel básico:

o Artículo 91: control de acceso. Establece la necesidad de garantizar que el acceso a los datos se realice, solo por las personas que necesiten por sus funcionen el acceso a los datos y que por lo tanto queda consignado en el documento de seguridad de la organización.

o Artículo 92: Gestión de soportes y documentos. En el caso de la salida de soportes y documentos fuera los locales donde se encontrara el responsable del fichero, deberán establecerse una serie de medidas con objeto de evitar el robo, pérdida o acceso indebido de los datos.

- Para medida de seguridad de nivel alto:

o Artículo 101: Gestión y distribución de soportes. La distribución de los datos que contuvieran datos considerados como de nivel alto, se realizará cifrando dichos datos o bien implementando cualquier mecanismo que impida el acceso o su manipulación durante su transporte.

Adicionalmente en este mismo artículo, se consigna la necesidad de evitar el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Cuando se realice el tratamiento de la memoria es necesario por lo tanto tener en cuenta los artículos citados anteriormente. Los fabricantes de software están desarrollando herramientas para el tratamiento de estos ficheros de forma centralizada y segura.


Imagen 7: System Center Desktop Error Monitoring de Microsoft[11]

9.- Conclusiones

El presente artículo quiere poner de manifiesto la peligrosidad y el impacto de los ficheros utilizados por la memoria RAM en la protección de los datos y la aplicación de la Ley de Protección de Datos.

Es por tanto necesario establecer un proceso de tratamiento de todos los ficheros utilizados por la memoria RAM en todos los sistemas informáticos de una organización siendo necesaria la implementación de opciones de recogida, catalogación, procesado y borrado de los mismos de forma segura.

Todos los ficheros de volcado de memoria RAM de un proceso deberán estar sujetos a las mismos niveles de seguridad que los datos que son procesados por la aplicación, es decir, el nivel de seguridad es viral de los datos a la aplicación que los procesa.

Como queda demostrado, de nada sirve proteger los ficheros si no se protege correctamente la información que se procesa en memoria RAM.

REFERENCIAS

[1] Ley Orgánica Protección de Datos (LOPD). 14 de Diciembre 1999. B.O.E.,
http://www.boe.es/boe/dias/1999/12/14/pdfs/A43088-43099.pdf

[2] Real Decreto 1720/2007 Reglamento de desarrollo de la LOPD. 19 de enero de 2008. B.O.E.,
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/RD_1720_2007.pdf

[3] ADRC Data Recovery Tools,
http://www.adrc.com/software/data_recovery_tools/

[4] Delete Files Permanently, http://www.deletefilespermanently.com/

[5] Corte del Distrito Central de California, Estados Unidos, juicio de Columbia Pictures Industries contra Justin Bunneli,
http://i.i.com.com/cnwk.1d/pdf/ne/2007/Torrentspy.pdf

[6] Pagefile.sys, http://en.wikipedia.org/wiki/Paging#Windows_NT

[7] Swap partition, http://en.wikipedia.org/wiki/Paging#Linux

[8] Strings, http://technet.microsoft.com/en-us/sysinternals/bb897439.aspx

[9] Bintext, http://www.foundstone.com/us/resources/proddesc/bintext.htm

[10] Findstr,
http://technet2.microsoft.com/windowsserver/es/library/2b01d7f5-ab5a-407f-b5ec-f46248289db93082.mspx

[11] Microsoft System Center Desktop Error Monitoring,
http://download.microsoft.com/download/6/4/f/64f5dc66-832a-4df3-baf4-3b4e7fb9e500/Datasheet%20-%20SCDEM.pdf


**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

sábado, mayo 23, 2009

Hablar con periodistas [I de III]

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

Corría el principio del año 2005 cuando comenzó la Gira de Seguridad Technet de los piratas. Una gira que se había hecho con mucho cariño y mucha pasta para que saliera a las mil maravillas. Se había contratado a un equipo de diseñadores para que hicieran una campaña preciosa con invitaciones en papel que eran un mapa del tesoro en tamaño A3, con gorritos de grumetes para todos los asistentes, con camisetas, polos, diseños en las ppts...¡a lo grande que había pasta!


El formato de las diapositivas

Con la campaña de marketing que se hizo se consiguió que todos los eventos estuvieran a rebosar de peña, e incluso, con medios de comunicación. El final de la gira fue un Security Day en Madrid con 1.000 personas de asistentes que recuerdo entre los más divertidos (y en el que tuve el famoso problemilla con el Calíco electróncio...).

Acto I: Amor a primera vista

La historia comenzó a finales de Enero, en Murcia, con unas entrevistas para la radio y la televisión. Allí estaba él, mi compañero "el abuelo", atendiendo a uno de los medios de comunicación cuando le preguntaba una periodista sobre la seguridad en Internet:

- "¿Y es seguro Internet?"

A lo que el abuelo, relajado y risueño, con mentalidad de técnico, intentó darle una explicación larga y detallada.

- "Bueno, es como todo, hay actitudes y mecanismos que te ayudan a protegerte, pero debe haber una predisposición del usuario que se conecta. No debes ejecutar todo lo que llegue a tu ordenador, tomar medidas de seguridad, poner un antivirus, activar el firewall, actualizar el sistema y..."

- "Ya...bueno, ¿Pero es seguro internet? ¿Es seguro usar los bancos por internet?"

El abuelo volvió a insistir:

- "Bueno sí, aunque todo es mejorable, hace poco, en una newsletter de Hispasec, se alertaba de que el 44 % de los bancos no ofrecen medidas anti-phising seguras y..."

- "Vale, muchas gracias, me tengo que ir a cubrir otra noticias, así que... ¡adios!"

Al día siguiente el abuelo recibió una llamada de la gente que lleva los clientes de banca en Spectra.

- "¿Cómo que 44 % de los bancos son inseguros en España? ¡Pero cómo se te ocurre decir eso a un periodista, nos han llamado los clientes echando pestes y enfadadísimos!"

El títular que el abuelo había conseguido fue tan brutal como directo:

"EL 44 % de los bancos son inseguros en España"

Esto no tenía que volver a pasar, había que aprender de esta lección.

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

viernes, mayo 22, 2009

Aplicación de la LOPD a la memoria RAM [III de IV]

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

5.- ¿Es la memoria un fichero temporal?

Este proceso de borrado permanente de datos garantizaría el cumplimiento de la LOPD por parte de una organización pero, ¿son esos todos los ficheros temporales de procesado de datos con los que trabaja un sistema operativo?

Tal y como se comentaba al inicio, el objetivo de este trabajo, consiste en evaluar los procedimientos llevados a cabo por los sistemas de memorias intermedias y que son utilizados por los propios sistemas operativos para la realización de sus procesos. El problema aparece por lo tanto a la hora de dirimir en qué tipo de procesos tienen lugar y como afectarán a los datos de carácter personal. Por citar algunos ejemplos, en los procesos de aperturas de ficheros, acceso de navegadores de clientes web para el acceso a servicios, la apertura o cierre de aplicaciones, intervienen estos sistemas de memoria intermedia para la realización de diferentes funciones y que en muchas circunstancias estarán íntimamente relacionados con el tratamiento de datos de carácter personal.

Supongamos un usuario accediendo por medio de una aplicación ofimática a datos de carácter personal para hacer un listado. Estos datos estarán almacenados en tres sitios, a saber:

- El fichero dónde se almacenan los datos: Este es un fichero con datos de carácter personal que deberá estar registrado y no se considerará un fichero temporal.

- El fichero temporal de trabajo que genera la herramienta de proceso de archivos. En este caso, el procesador de textos genera un fichero temporal dónde va almacenando los cambios producidos y que será eliminado una vez se cierre la herramienta. Para garantizar el borrado seguro del mismo se deben utilizar las herramientas de borrado permanente como se ha visto en el punto anterior.


Imagen 3: Ficheros temporales de trabajo generados durante la edición del documento

- La memoria RAM: Para que la aplicación pueda mostrar los datos por pantalla, estos deben estar en la memoria de proceso dentro del sistema operativo que maneja la herramienta. ¿Es esta memoria RAM un fichero temporal que deba ser tratado como tal por la LOPD?

6.- La memoria RAM de un proceso

Supongamos una herramienta de acceso a datos personales de nivel alto que cumpla con todas las protecciones de seguridad que la LOPD exige. En el momento en que el usuario está visualizando en pantalla los datos de carácter personal de nivel alto estos se encuentran en la memoria del proceso del sistema operativo que está mostrándolos en la pantalla y estos datos, están sin ningún tipo de protección. Es decir, si en la pantalla se está visualizando un valor este valor se encuentra en memoria de la misma manera.

La memoria RAM (Random Access Memory), dónde se encuentran esos datos es volátil y, por tanto, en cuanto el sistema se apague o se quede sin energía todos los datos serán completamente eliminados. Es por ello que no se tiende a considerar un fichero temporal al que se le deban aplicar medidas de protección extras.

En Marzo de 2007, la Corte del Distrito Central de California, Estados Unidos, determinó en el juicio de Columbia Pictures Industries contra Justin Bunneli[5], que la memoria RAM constituía un conjunto de información electrónica que debía ser tratada con cualquier otro soporte físico ya que no tenía ninguna limitación temporal ni mínima ni máxima de perdurabilidad de los datos ya que estos dependen de la utilización del sistema.

Sin embargo, la memoria RAM tiene un funcionamiento mucho más complejo como para no ser considerada un fichero temporal, ya que el uso de la memoria RAM en los ordenadores implica la generación de varios archivos temporales. Estos archivos temporales utilizados por la memoria RAM deberán ser considerados del mismo nivel que los datos que son mostrados por pantalla. Estos ficheros temporales generados por la memoria RAM son:

1) Ficheros de paginación de memoria: La memoria física de un ordenador es finita, pero para poder trabajar con grandes cantidades de datos se utilizan copias en soportes físicos más grandes para poder ir cargando las diferentes páginas de datos que son necesarias en cada instante de datos. Así, en los sistemas operativos Microsoft Windows se utiliza un fichero llamado pagefile.sys[6] mientras que en los sistemas *NIX se utiliza una partición especial denominada swap[7]. En estos ficheros, almacenados en un soporte físico, se almacenan copias de los datos utilizados en la memoria RAM.


Imagen 4: Pagefile.sys en un sistema Operativo Microsoft Windows

2) Ficheros de volcado de memoria: Si un error se produce en un proceso del sistema y este tiene que detener su ejecución, el sistema operativo realiza una copia de los datos que se encontraban en memoria en un fichero denominado “dump de memoria”. En este fichero se encuentra toda la memoria utilizada por el proceso y/o por todo el sistema operativo si es un error general que para la ejecución del sistema.


Imagen 5: Opciones de Volcado de Memoria en Windows Vista

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

jueves, mayo 21, 2009

Boosting las pequeñas TICs

Dice el manifiesto "Por una internet libre, abierta y participativa" que ha publicado el PSOE una frase...., no, mejor, una coletilla que me recuerda al debate de "Con tetas gordas". La frase dice:

"Especialmente en el ámbito de la educación, sanidad y administración, donde apostamos decididamente por el uso de tecnologías de fuentes abiertas y del software libre," y la coletilla genial es: "que además favorece el desarrollo de una industria TIC propia."

La pregunta es ¿a quién coño han preguntado? ¿cuales son los datos para decir esa coletilla? La verdad... yo creo que a nadie. Han sacado el dedo, se lo han chupado y han dicho otra de las perogrulladas y falacias que dicen aquellos que no tienen una empresa que desarrolla software.

La industria TIC en los paises que tienen una industria TIC fuerte se basa en exportar productos tecnológicos software al extranjero, como Google que recauda sus adsense en todo el mundo y cotiza en California u Oracle, IBM o Spectra que lo hacen en diferentes puntos de los USA.

En España existen empresas que venden software, empresas que comercializan sus productos en el extranjero, pocas, es cierto. Pero tenemos un Panda que comercializa productos por todo el mundo o un S21Sec que implementa su bitacora en muchos países o el SIMAX de Iñaki, producto adquirido por multinacionales niponas. Todas pagando impuestos e intentanto rellenar las tan debilitadas arcas de este país.

En nuestra pequeña empresa intentamos comercializar un producto, uno en el que se está trabajando desde hace tiempo y, desde luego, nuestra ventaja competitiva es el código desarrollado. Si liberamos el código perdemos la ventaja competitiva y otros lo pueden copiar o replicar. Si tenemos que esperar a vender servicios y soporte con el producto estamos muertos porque el producto es de nicho y con poco que hacer extra. Si lo vendemos por todo el coste que nos ha llevado producirlo sería inviable para ningún departamento justificar su compra y, una vez comprado, se perdería nuestro control y nuestra ventaja competitiva.

Además, en el caso de que la empresa que compita con nosotros sea más grande... como por ejemplo Google, Oracle o Microsoft, si tienen nuestro código y lo pueden utilizar, entonces....estaríamos auténticamente jodidos. La licencia comercial nos permite competir y comercializar nuestro pequeño software aquí y fuera de España.

Julián Inza, en su blog habla del mismo sentir y termina corrigiendo lo que debía haber sido la frase bajo su entender:

"propugnamos por que en el ámbito de la educación, sanidad y administración se empleen las mejores soluciones TIC para los ciudadanos, desarrolladas por empresas competitivas y con los costes más ventajosos para el estado"

Saludos Malignos!

miércoles, mayo 20, 2009

La hacker de pronóstico

Hace ya muchos años preparabamos el Chico Maravillas y yo el primer evento juntos. Era nuestro primer encuentro sexual y fue como juntar el hambre con las ganas de comer. A él le iba el cachondeo y la fiesta tanto o más que a mí y tras preparar aquel evento enfrentándonos al malvado pingüino, decidimos seguir nuestras andaduras luchando juntos.

Entre el arsenal de tonterías que preparamos, incluidos los disfraces de héroes, utilizamos un montón de vídeos, audios y demás fuegos de artificio para conseguir el resultado deseado: Una sesión de despolle.

Hoy, revisando porn...digo... cosas en mi ordenador, he encontrado el audio de la "hacker de ponóstico" que tantas charlas llenó con su presencia y que comenzó su andadura en nuestros eventos en aquel Momentus Ridículous III.

Con el objetivo de que sea fácil encontrarlo lo he subido al youtube para que no me lo pidáis un día y no lo encuentre.


La creadora del virus "Ano"

Saludos Malignos!

Aplicación de la LOPD a la memoria RAM [II de IV]

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

3.- Destrucción de Ficheros Temporales

Parece que en esta circunstancia, el propio procedimiento automatizado desarrollado por la herramienta de procesado, en este caso el procesador de textos, garantiza la aplicación de los principios de seguridad existentes en el Reglamento.

Sin embargo, es públicamente conocido por la comunidad técnica informática, que esos documentos eliminados del sistema de ficheros no son completamente eliminados. Los datos que este fichero contiene son conservados en el soporte de almacenamiento hasta que el sistema necesite espacio para almacenar un nuevo documento.

El proceso de eliminación de un archivo en un sistema operativo con entorno gráfico hoy en día se puede resumir en cuatro pasos:

Paso 1: Eliminación del fichero del sistema de ficheros

Este es el proceso normal que realizan los usuarios en el manejo habitual del sistema de ficheros. Durante este proceso, el documento es enviado a una zona especial llamada “Papelera de Reciclaje” en los sistemas Microsoft Windows y con nombres similares en sistemas operativos Linux con GNome, Linux con KDE o MacOS X. Este fichero ha sido borrado de su lugar habitual, pero sigue permaneciendo en el sistema operativo, con lo que cualquier usuario del sistema puede seguir trabajando con él. Si comparamos este proceso con la destrucción de un listado en papel con datos de carácter personal es el equivalente a coger el papel y depositarlo en una autentica papelera que tendremos cerca de nuestro ordenador. Cualquiera que acceda a la papelera pueda recuperarlo.

Paso 2: Vaciado de la Papelera de reciclaje

En este caso el usuario vacía la papelera de reciclaje y dejan de aparecer allí visibles los archivos recientemente borrados. Sin embargo, este proceso no destroza los datos del soporte y un usuario con una sencilla herramienta de recuperación de archivos borrados podría acceder a los mismos. El símil con la destrucción de nuestro listado impreso consistiría en coger la papelera de reciclaje que existe junto al ordenador y vaciarla en un contenedor, pero el documento sigue existiendo.

Paso 3: Eliminación total del documento

La eliminación total del documento se puede producir de dos formas:

a) Dentro del proceso normal de trabajo con el sistema operativo: En este caso el sistema operativo machacará los datos almacenados por ese documento cuando un nuevo fichero del sistema operativo necesite espacio para almacenar los datos. De esta forma los datos desaparecerán y serán ocupados por otros datos. Si lo comparamos con la destrucción de nuestro listado supondría la recogida y vaciado del contenedor para ser remplazado por otro contenedor vacío.

b) Forzado con un proceso de escritura a cero: Este proceso se conoce en el mundo informático como “Borrado fuerte” o “Borrado permanente” y se utiliza su término en inglés Wipe. Este proceso consiste en escribir varias veces en los bits utilizados por el fichero todos los datos a cero o a uno para evitar que nadie pueda acceder a los datos antes almacenados en esas posiciones del soporte físico. El equivalente en la metáfora comparativa de la destrucción del listado correspondería al uso de una papelera de destrucción de papel, tan comunes hoy en día en las oficinas de trabajo.

4.- Recuperación y destrucción segura de Ficheros Temporales

Conocido este funcionamiento, la industria informática ha desarrollado dos tipos de herramientas que inciden directamente en la aplicación de la LOPD.

1.- Recuperadores de ficheros borrados

Estas herramientas permiten leer los datos almacenados en el soporte físico cuyos ficheros han sido eliminados y recuperar íntegramente tanto los datos como los ficheros que los contenían. Este tipo de herramientas demuestra que un borrado de datos puntual de un fichero hoy en día no garantiza la eliminación de los mismos.


Imagen 1: Herramienta para la recuperación de ficheros borrados [3]

2.- Herramientas de borrado permanente de datos (wipeadores)

Estas herramientas, cuando el documento es eliminado, se utilizan para la eliminación definitiva de la información almacenada en un fichero, por lo que todos los datos son sobre escritos con nuevos valores para garantizar la imposibilidad de recuperación de los mismos.


Imagen 2: Herramienta de borrado permanente de datos [4]

Estas herramientas deberían ser implementadas en todos los equipos de todos los trabajadores que accedan a datos que son procesados de forma temporal para garantizar la no recuperación de los datos eliminados.

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

martes, mayo 19, 2009

Juegos de niños

Las técnicas de XSS son una plaga por la facilidad para encontrarlas, pero la mayoría de ellas no persistentes. Los XSS no persistentes son esos en los que para que la víctima se vea afectada tiene que hacer clic en un link y esto ya no es tan común hoy en día.

Recuerdo que tiempo ha publiqué un post de cómo hacerte un crisma con el potosó usando las técnicas de XSS no persistentes en un par de sitios graciosos. Mis amigos de SecurityByDefault también publicaron un XSS de libro en cierta empresa que se encargaba de gestionar ciertos derechos digitales.

La pregunta es..¿son peligrosos realmente o son más un juego para nosotros? Es decir, si tomamos un sito, … no sé, por ejemplo IBERIA y hacemos un XSS no persistente como éste en el que ponemos nuestro código javascript para reírnos un rato con los colegas… ¿es realmente un fallo de seguridad importante?


XSS no persistente 1

O si hacemos un ejemplo, como este otro, para defacear un poco una web con XSS y enseñarlo a los amigotes… ¿puede ponerse en riesgo la seguridad del sistema de Ibirria o es sólo una bromichuela? Al final todo corre en tu navegador y no en otro sitio.


XSS no persistente 2

Es decir, puestos a mirar el riesgo de seguridad… ¿no es más fastidioso dejarse los petes de los programas en la caché de Google?


Éste es un clic malo, te vas a infectar de malware

¿O dejar código antiguo indexado en la caché con valores raros raros en los parámetros por GET? ¿Y si fueran sensibles?


Al final te infectas y luego dirás que ha sido Windows

Yo creo que los XSS no persistentes están para… llenar unas risas con los coleguillas por el Messenger y el feisbuk y ya está, ¿no?

Saludos Malignos!

lunes, mayo 18, 2009

Volar con IBERIA, ¡Qué dolor!

Hace tiempo os conté una de las aventuras más graciosas que me han pasado nunca volando. En esa historia me fue imposible hacer la facturación web a través de la web de Iberia y cuando llegué me tocó overbooking. ¡Qué dolor!

Hasta ahí la cosa va dentro de lo normal con Iberia, la compañía con la que me he chupado overbooking, huelgas encubiertas que me obligaron a cancelar una conferencia, retrasos infinitos y viajes transatlánticos mortales con aviones que están, de todo, menos preparados para viajes cómodos.

Pero la última ha sido genial, hoy mismo he perdido un vuelo, pero… llegando a tiempo. Tenía el embarque de 09:40 a 10:10 y he llegado tranquilamente a las 10:00 en punto a la puerta de embarque pensando en que no habría ningún problema y … ¡sorpresa! No me dejan entrar porque han cerrado ya.

Es genial porque yo estaba en la lista de pasajeros, el avión estaba ahí pegadito en la puerta y podía ver a la gente al fondo, pero… nada, no he podido subir. La explicación: “Tiene que estar usted aquí media hora antes, esto no es el AVE ni el tren”, aliñado de las formas más groseras.

Lo más divertido de todo es que la cultura que se ha transmitido entre la gente de la empresa hace de su personal el menos agradable de todos. He volado durante estos 10 años en casi cualquier compañía aérea que se te ocurra y, siempre que me toca en Iberia, me tocan los malhumorados. No me extraña que la viabilidad de esta compañía esté siempre en entredicho ni que mucha gente los evite en viajes largos. A ver si aprenden de RENFE.

A partir de ahora, tras este viaje, ya me han visto en Iberia. ¡Qué os vaya bien!

Saludos Malignos!

Aplicación de la LOPD a la memoria RAM [I de IV]

**************************************************************************************************
Artículo escrito por Juan Luís G. Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

1.- Aplicación Técnica de la LOPD

Uno de los grandes problemas funcionales con los que se encuentran las empresas a la hora de aplicar las medidas reguladoras, establecidas en la Ley Orgánica de Protección de Datos de Carácter Personal[1], es la de si sus sistemas y aplicaciones cumplen con la normativa vigente. A pesar de haber invertido un esfuerzo tanto humano como económico, queda la incertidumbre de posibles resquicios técnicos y legales de elementos muy presentes, pero a veces, no suficientemente conocidos por los administradores de sistemas.

A través de este trabajo se evaluará una de las grandes dudas: La funcionalidad de los procesos de memorias intermedias, la situación de los datos que quedan residentes como datos temporales y la interpretación legislativa de dichos elementos. Se intentará dilucidar por lo tanto la situación en la que queda dicha implementación técnica.

Cuando se establece la iniciativa para promover una ley que regule el marco de trabajo con datos de carácter personal, uno de los principios fundamentales es el de la seguridad de los mismos. Ciñéndose a este principio, se establecía la necesidad de adoptar medidas tanto técnicas como organizativas que garanticen la seguridad. Entre dichas medidas, quedan previstas en la Ley Orgánica de Datos de Carácter Personal 15/1999 aquellas que eviten la alteración, perdida, tratamiento o acceso no autorizado, independientemente de la tecnología empleada, la naturaleza de los datos o los riesgos a los que puedan ser sometidos.

Puesto que la LOPD no reflejará dichos mecanismos a emplear, los requisitos y condiciones deben ser establecidos reglamentariamente a través de un Real Decreto que desarrolla la LOPD. Es por lo tanto, a través del Nuevo Reglamento de desarrollo 1720/2007[2], en el que nos fundamentaremos para la aplicación de las garantías legales necesarias a una implementación técnica muy utilizada pero a la vez bastante desconocida.

Como aspecto fundamental para el tratamiento de los datos de Carácter Personal, el Reglamento de desarrollo de la LOPD, adopta una serie de principios técnicos y organizativos para garantizar la seguridad de los datos, independientemente del soporte o formato en que se pudieran encontrar. Estas medidas de seguridad para el tratamiento de los datos quedan dispuestas a través del Título VIII, dónde se indica que deben ser adoptadas las mismas en función de los diferentes niveles de seguridad.

2.- Ficheros Temporales en LOPD

Uno de los artículos más transcendentales, pero del que curiosamente no se suele dar mucha importancia, lo refleja el artículo 87, sobre la funcionalidad de los ficheros temporales o copias de trabajo de documentos:

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artículo 81.

2. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación.

Independientemente por lo tanto del escenario, hay que tener muy presente dicho articulado y lo que representa adicionalmente el número 81 citado. En este se establecen los diferentes niveles de seguridad existentes para la adopción de medidas y el tipo de datos vinculado a cada uno de ellos. Se hace por lo tanto necesario aplicar cualquier mecanismo de índole técnico y organizativo en todos aquellos datos derivados de usos temporales, de la misma forma que lo haríamos sobre los datos propiamente en sí.

Uno de los grandes problemas cuando hay que hacer una interpretación técnica de un documento es la que conlleva conocer la definición a la que se hace referencia, y en este caso concreto, conocer qué es un “fichero temporal”. Afortunadamente es el propio reglamento a través de las definiciones de tipo técnicas para lo dispuesto en el título VIII, recogidas en el Artículo 5, quien establece que es un fichero de tipo temporal:

g) Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.

Es importante tener en cuenta a través de esta definición, que un fichero temporal, y en contra de lo que creen muchas personas, será cualquier elemento utilizado para la realización de un tratamiento o procesado, que pueda llegar a almacenar datos tipificados como de carácter personal.

Entre los ficheros temporales quedan claros que son todos aquellos listados intermedios, extracción parcial de datos en algún soporte e incluso informes impresos para cualquier toma de decisiones. No obstante, dicho tratamiento no se refiere sólo aquellos consignados por los usuarios de un sistema informático, sino también a los derivados de procesos automatizados necesarios para la realización de las tareas, pero a la vez vinculados a datos de carácter personal, como los que pudieran derivarse del uso del sistema operativo o las aplicaciones utilizadas por los usuarios.

Por ejemplo, nadie discute que en la apertura de un documento tipo ofimático con una herramienta para el procesado de textos, genera un fichero de tipo temporal como proceso adicional para la realización de las tareas de trabajo con el documento. No obstante no suele preocupar mucho, puesto que en las condiciones de la creación de dicho documento se consignan los mismos principios de seguridad, que se establecen en el fichero del cual proceden. Toda vez que el fichero ha cumplido su cometido, este fichero de tipo temporal es eliminado automáticamente sin que el usuario necesite realizar alguna acción sobre el mismo. Por lo tanto estaríamos cumpliendo los dos principios consignados a través del artículo 87:

- Cumplimiento de los niveles de seguridad según correspondan a los criterios establecidos.

- Borrado o destrucción de todo fichero temporal una vez que haya dejado de ser necesario, puesto que ha cumplido con su cometido.

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

domingo, mayo 17, 2009

Neuronas congeladas

Recuerdo un tiempo en que era capaz de pegarme una fiesta brutal el viernes, una fiesta brutal el sábado y el domingo disfrutaba tomándome unas cañas con el aperitivo. Lo recuerdo, fue hace mucho tiempo.

El San Isidro catalán fue demasiado para un Maligno que sabe más por “viejo” que por “Maligno”. Esto ha hecho que me tocara pasar el día de ayer organizando un plan de reorganización laboral para las pocas neuronas que aun conservan su puesto de trabajo tras el E.R.E. practicado en la celebración del día grande madrileño en Barcelona.

Previendo que podría pasar algo así, decidí dejar publicado el post diario con anticipación y tomarme unas horas de relax, pero hoy, el trabajo ya me muerde el culo y necesito que la maquinaria se ponga a funcionar a pleno rendimiento otra vez. Trabajar en esto no da tregua, ya lo sabéis.

Esta semana voy a estar jugando con ISA Server 2006, el firewall de Spectra, así que estoy ahora escuchándome ahora mismo a mi mismo en unos Webcast que grabé hace un par de añitos… ¡cómo pasa el tiempo!

En el caso de ISA Server dejé grabados tres webcasts:

- ISA Server 2004: Características de la versión antigua.
- ISA Server 2006: Introducción. En la que se muestra el funcionamiento de las reglas de acceso, la publicación de servidores, el bridging Http-s, la configuración de redes, etc…
- ISA Server 2006: VPNs. En el que se ven las características de las VPN en ISA Server, con su L2TP/IPSec, PPTP y configuración de VPNs cliente-servidor y site-to-site.

La idea de los webcast es genial, y se ha convertido desde hace tiempo en un repositorio para formarse en tecnología de los más utilizados. El formato, con las ppts, las demos y el audio grabado es muy cómodo para repasar tecnología. Un video de 10 megas que recoge durante 1 hora lo que sería una charla de una conferencia y que te puedes descargar para ver o escuchar en cualquier sitio. Mola.

En Technet se ha conseguido un repositorio brutal de más de 100 conferencias grabadas que te puedes descargar para que te ayuden a conocer mejor un producto. Hay algunas muy chulas y, en el área de seguridad, hay por ejemplo algunas grabadas sobre Análisis forense, sobre legislación, sobre cómo implementar redes WiFi seguras, etc…

A veces es difícil seguir todas las tecnologías, por lo que es probable que eches en falta alguna charla grabada en Webcasts, pero… si quieres que se grabe alguna charla en concreto sólo tienes que pedirlo e intentaremos dejarla grabada, que seguro que nos vendrá bien a nosotros mismos.

He de reconocer que el estar estudiando y aprendiendo cosas de mi mismo es un poco raro, pero se nota que en el momento que lo grabé tenía muchas más neuronas, pues fue tiempo antes de celebrar el San Isidro Catalán. Es algo así como congelar el semen para cuando ya no me quede.

Saludos Malignos!

sábado, mayo 16, 2009

Google, ¿no soy tu tipo?

Criticar cualquier aspecto de Google Search parece que es un tema sacrílego, pero la realidad es, como Google ha demostrado muchas veces, que todo es mejorable a pesar de que algunos piensen que con ser mejor que Live.com ya es suficiente. Vaya por delante que me gusta más Google que Live y eso lo han visto todos los que han venido a una de mis charlas pues es mi página de inicio, pero eso no quita para que no haya cosas mejorables. Así que.. ahí va un par de cosas que me parecen un cagada y que creo que sería mejorable.

¿Preferencia o Castración?

Mi mala leche comenzó cuando, ignorante e infeliz de mí, pensé que estaba haciendo tunning del pagerank para mis resultados. Y seleccioné la opción de "Dar preferencia a los resultados en inglés"


Dando "preferencia al inglés"

La realidad es que no es un proceso de "dar preferencia", es una castración de todos los contenidos que Google ha catalogado como en otros idiomas. Así, si busco pdfs en un dominio aparecen infinatmente menos. ¿Es sólo una mala elección del termino?


Sólo hay 2 pdfs

¿Es eso todo lo que hay? Pues evidentemente no. Si buscamos ficheros pdfs en el sitio de pdf "eliminando la preferencia de resultados en inglés" aparecen muchos más.


615 pdfs

¿Son estos todos los documentos pdf que hay en el sitio en cuestión? Pues la respuesta es No.

Si nos fijamos en la imagen anterior se puede ver que Google es bastante listo pues reconoce el formato de fichero lo muestra con una etiqueta a la izqueirda y, dependiendo del tipo de archivo muestra un menú especial. Por ejemplo, para los pdfs, puede aparecer un menú para ver como html.

¿Eres tú mi tipo?

Sin embargo, a pesar de que Google reconoce el tipo de archivo, cuando se busca con la acción filetype:pdf no ha buscado por tipo sino por extensión. ¿Cómo?. Sí, eso, busca por extensión.

En este sitio es posible detectar una aplicación para descargar ficheros que tiene una extensión ".do" y que devuleve ficheros pdf. Como se pueve ver en la imagen siguiente Google reconoce el tipo de fichero devuelto y nos muestra la etiqueta.


Ficheros pdf no devuletos con filetype:pdf

Es decir, a los ficheros pdf que se obtienen con filetype:pdf habría que añadir los ficheros pdf devueltos por download.do.

¿Y qué hace Live?

Pues Live.com sí busca por el tipo de fichero, así que mostrará todos los ficheros que él tenga catalogados como PDF independientemente de la URL y la extensión. Otras cosas las hará rematadamente mal si quieres, pero esto lo hace bien.


Live.com busca por filetype

De 2 he pasado a 1.350 documentos PDFs. Si no hubiera seguido enredando me habría quedado sin dar de comer a la FOCA en un pis pas y resulta que había más de mil ficheros PDF. Además Live, en las preferencias me queda más clara la opción.


Dar preferencias frente a Limitar resultados

Sí, Google está muy bien, pero no es perfecto y puede ser mejorado.

Saludos Malignos!

viernes, mayo 15, 2009

Buscando una aguja en un pajar

Hoy en día, con la cantidad de información que hay publicada en Internet, buscar un archivo concreto puede ser exactamente como buscar una aguja en un pajar. Yo llevo un tiempo volviendome loco para buscar los posts que he publicado en este blog, con lo que decidí que tenía que descubrir porque no era capaz de encontrar posts en mi blog que sé exactamente como son. Aquí van las pruebas.

Prueba 1: Sé dónde está y como se llama, ¡dámelo Google!

Pues ni puto caso. Utilizando Google y buscando el post de Espiando a los espías con el modificador de site:elladodelmal.blogspot.com y el título exacto del post consigo 5 posts que en su día tuvieron un link al post buscado, pero no el que quiero: Agua.


site:elladodelmal.blogspot.com "Espiando a los espías"

La respuesta es fácil, la búsqueda está en inglés, si busco en castellano sale a la primera, pero... ¿por qué unas páginas de mi blog aparecen en las búsquedas en inglés y otras en castellano? Puedo entender algunas, pero...¿la entrevista a frikiñeka?


Búsqueda en castellano

Prueba 2: Piensa tú por mí, Google, que yo no sé nada

Si pongo las tres palabritas del título, sin decirle de qué sitio quiero obtener el post y se las doy sin entrecomillar, es decir, sin buscar el título exacto, resulta que ¿mi post sale el primero?. ¡Qué alegría!, ¡es famoso!, pero... ¿realmente es el más adecuado para esa cadena de búsqueda?


Espiando a los espías

Prueba 3: Desde dentro de Blogger

Yo siempre he supuesto que la búsqueda que hay dentro de blogger es igual a la búsqueda realizada en la prueba 1, así, si busco "Espiando a los espías" debería obtener exactamente los mismos resultados... pero no es así. Encuentra el post a la primera. La pregunta es...¿qué coño de búsqueda usa entonces? ¿Usa las preferencias del navegador?¿Pasa de las opciones de idioma?


Blogger Search "Espiando a los espías"

Prueba 4: Live, pórtate como un campeón y dame lo que te pido

Ya para la Foca decidimos usar también Live porque obteníamos mejores resultados en ciertos entornos, así que pruebo a marcar el sitio con live y buscar la cadena entrecomillada. Y Live lo saca a la primera. Apúntate un tanto Live.


site:elladodelmal.blogspot.com "Espiando a los espías"

Prueba 5: Live, piensa tú

Como última prueba decido repetir la prueba 2 con Live y dejarle a él ser el que piense. Le doy la cadena sin entrecomillar y los resultados que aparecen, después de los subvencionados, tienen todos que ver con técnicas reales de anti espionaje y mi post no aparece. ¿Ha fallado Live?. Yo creo que no, que parece más lógica esta respuesta que la de un post de coña. ¿Qué opinas tú?


Live search Espiando a los espías

Conclusiones

Google es genial, pero no lo es todo, ni es tan bueno, ni tan perfecto...y parece ser que Live no es tan malo. Parece que tendré que usar más a menudo ambos.

Saludos Malignos!

jueves, mayo 14, 2009

18 Junio, Getafe: Asegúr@IT 6

El evento Asegúr@IT 6 ya está listo. Este evento, que me organizo yo a mi gusto, a la carta, es mi capricho. Yo elijo las charlas que me gustan, elijo donde lo voy a hacer y la fecha. Todo que me vena bien. Ya, después de 3 años, llega la 6 edición y, aunque la lista de "cantantes" y temáticas que han pasado es larga, va a seguir creciendo. En esta ocasión estos son los "nominados":

Auditoria WiFi con WiFiway

[Corporate] Sergio Gonzalez, es auditor de seguridad y uno de los responsables de Wifiway, una de las suites más utilizadas para auditoría WiFi. En esta sesión mostrará como se puede utilizar esta colección de programas para auditar la seguridad Wifi de redes corporativas. [/Corporate]

[Friends] Anelkaos lleva anos "dando la lata" con esto de la seguridad informática. Que si manipulo URLS en Gmail, que si administro el Foro de ElHacker.net, que si Wifislax, etc... Desde hace tiempo le echó el diente a las redes WiFi y esá dale que te pego a mejorar y mejorar WiFiway, la distro de auditoría WiFi. Esta sesión será sobre como auditar WiFis con ella. [/Firends]


Blind XPath Injection

[Corporate] Pedro Laguna, de Informática64, dedicará esta sesión a hacer un recorrido de las técnicas XPath Injection y Blind XPath injection, utilizadas para vulnerar sistemas web mal desarrollados. Además, mostrará cuales son las técnicas necesarias para securizar y fortificar una aplicación web que utilize XPath.[/Corporate]

[Friends] Pedro Laguna es un geek, enomorado de todo lo que huela a freak con un ordenador. ¿Y si enlazamos el twitter con el System Center Essentials? ¿Y si con una gusao XSS hacemos que se tome la captura de pantalla y se genere automáticamente un blog con los posts creados mediante CSRF del gusano? En esta sesión nos contará como funcionan las técnicas de Blind XPath Injection. [/Friends]


El e-DNI en mi Directorio Activo

[Corporate]Rames Sarwat, de SmartAccess, contará cual es el proceso de autenticación de un usuario en una máquina local o en un dominio Microsoft y cómo puede ser extendido ese proceso para autenticar cuentas de usuario con el e-DNI. No es necesario crear ningún nuevo deployment de smartcards si tus usuarios tienen su e-DNI para autenticarse en la red. [/Corporate]

[Friends] Si ya de por sí pensar en mezclar el e-DNI en el Active Directory no te parece suficientemente entretenido, espera ver como funciona todo el sistema de autenticación por debajo. Rames viene de Spectra, de crear soluciones de certificación, para terminar jugando con el e-DNI. Uno de los supervivientes a la extracción del chip de control mental de Spectra. Generalmente, el impacto post-traumático de abandonar Spectra suele ser muy duro y pocos sobreviven...[/Friends]


Rainbow Tables. Principios de funcionamiento

[Corporate]Gonzalo Álvarez Marañón, investigador de CSIC, dedicará esta sesión a explicar cual es el concepto teoríco y matemático en la construcción de Rainbow Tables, como se generan y como se utilizan para automatizar el proceso de descifrado de hashes.[/Corporate]

[Friends]Gonzalo es otro de los veteranos en esto de la seguridad informática. Después de picarse Boinasnegras, el reto más famoso en estas tierras, de pasarse el día dando charlitas técnicas, también tiene tiempo para hacer de cuenta historias. En esta ocasión le he pedido que nos cuenta algo que muchos saben usas [clic, clic] pero que no todos conocen bien como se crean, las Rainbow Tables.[/Friends]


MSRC: Security Response Process

[Corporate]Fermin J. Serna, miembro del equipo MSRC de Microsoft dara una sesión contando como funciona el equipo de respuesta ante incidentes de seguridad más famoso del mundo y contará algunos de los casos famosos en los que han tenido que actuar.[/Corporate]

[Friends]Los pandas eran sólo pandas hasta que entró él. Desde ese momento fueron sexys. Miembro del MSRC dónde se dedica a [********], divertido y el mejor amigo que nadie puede tener: "Oye Chema, cuando saques el MetaShuield Protector me lo pasas para que te hacer un crack, porque.. ¿quién te va a hacer el cráck con más cariño que un amigo?". En esta sesión los asistentes podrán lanzar objetos.[/Friends]


Dónde, Cómo y Registro

La fecha será el jueves, 18 de Junio de 2009 en Getafe, en el centro de formación de la Comunidad de Madrid en la Avda. Arcas del Agua, 2 (Sector 3) 28905 Getafe Tlf. 91 683 81 60- Fax 91 683 85 62. MAPA.

La plazas están contadas, el sitio es el que hay, así que si vienes nos vemos por allí. El registro se hace vía web en la siguiente URL: REGISTRO. Allí tienes también la agenda detallada con horarios.

Saludos Malignos!

Entradas populares