¡¡¡ Z O M B I E S !!!

¡EN VERDAD OS DIGO QUE ESTÁN ENTRE NOSOTROS!
Por regla general he perdido la antigua habilidad de que mis palabras al ser escuchadas "caigan dentro de la bañera", y con esto quiero decir que suenen ciertas a quien las escucha; referenciando a, como las malas lengua afirmaban, los métodos que eran empleados por algunos profesores de la Facultad para aprobar los exámenes que corregían aplicando inexplicables axiomas físicos.

El tema es que desde hace unas semanas estoy "documentándome" con la lectura del último libro que me han regalado "ZOMBI Guía de Supervivencia", escrito por Max Brooks, hijo del para mi irrepetible cómico Mel Brooks y de la oscarizada actriz Anne Bancroft. Y digo "regalado", porque aunque en verdad me lo hubiese comprado yo igualmente, en honor a la misma en realidad me lo obsequiaron. Y es que, aprovechando esta coyuntura, en la sociedad actual estoy salvaguardado; ya que es más políticamente correcto hacer referencia al hecho con este comentario coletilla de "me lo han regalado", máxime cuando pueden avergonzarnos reminiscencias antropológicas que nos impiden expresar con libertad a nuestros congéneres los más intrínsecos pudores compartidos.

Y entrando en materia, a pesar de mis argumentos a quienes comentaba y mostraba mi libro, tras su primera aversión al mismo (más bien tildándome de lo que no soy), nadie me creía cuando les decía que no estaba leyendo una obra de ficción, cuando les explicaba que el "vademécum de los no muertos" que reseño es un encargo de Naciones Unidas, como dice su solapa de portada, para salvar a la humanidad de una nueva plaga cuyo culpable en el "solanum". Pero ahora me encuentro más tranquilo y arropado, pues para poder demostrarlo aquí os dejo una fotografía de su portada, así como otra que he tomado hoy mismo en unos grandes y conocidos almacenes donde puede verse tanto su correcta catalogación como su correcta ubicación.

Seguridad Informática (IV) - Administración de la Seguridad

Paso 1: Clasificar la información
Pública --> La que se encuentra al alcance del público.
Interna --> La que se distribuye únicamente al personal de la organización o institución.
Confidencial --> La que no puede ser divulgada a individuos no autorizados, pues podría causar un impacto negativo y significativo a la institución o empresa como son las contraseñas de seguridad y certificados, la información de clientes y áreas de negocios, la información financiera, etc…

Paso 2: Conocer las fases de un ataque

Paso 3: Sistema de Gestión de la Seguridad de la Información

OBJETIVO: Sistema de Gestión de la Seguridad de la Información (SGSI)

• Realizar un análisis de amenazas y vulnerabilidades
• Desarrollar un plan integral de seguridad informática bajo ISO 27000
• Definir políticas, estándares y procedimientos de Seguridad
• Hacer una clasificación de activos informáticos
• Integrar un grupo de responsables de la Seguridad informática
• Llevar a cabo auditorias, monitorización y mejoras proactivas

Entender la seguridad como ¡UN PROCESO QUE NUNCA TERMINA!

Seguridad Informática (III) - Los Enemigos

Conoce a Tu Enemigo: HACKERS, ¿Quiénes son?
Expertos apasionados de la informática, que disfrutan intentando acceder a otros ordenadores, burlando la seguridad de los sistemas; cuanto mas difícil y mas complejo sea el acceso, mayor será el reto. El fin de los hackers es aprender y divertirse, por lo que es frecuente que una vez conseguido el acceso lo comuniquen a la persona correspondiente, para que los sistemas de seguridad sean mejorados y así tener una meta más difícil, es el denominado “hacking blanco”.

Niveles de Hacking

3 (ÉLITE) --> Expertos en varias áreas de la informática, son los que usualmente descubren los puntos débiles en los sistemas y pueden crear herramientas para explotarlos.
2 --> Tienen un conocimiento avanzado de la informática y pueden obtener las herramientas creadas por los de nivel 3, pero pueden darle usos más precisos de acuerdo a los intereses propios o de un grupo.
1 (Script Kiddies) --> Obtienen las herramientas creadas por los de nivel 3, pero las ejecutan contra una víctima muchas veces sin saber lo que están haciendo. Son los que con frecuencia realizan ataques serios.

Conoce a Tu Enemigo: CRACKERS, ¿Quiénes son?

Son personas que rompen la seguridad de los sistemas persiguiendo un objetivo ilícito, suelen tener ideales políticos o filosóficos, o bien se mueven por arrogancia, orgullo, egoísmo o ambición. Mediante ingeniería inversa realizan: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo. Engloban a los denominados “hackers negros”, pues una vez que logran ingresar al sistema no se dan por satisfecho, y lo quiebran. Sus hazañas típicas son la copia de información confidencial, robo de accesos, movimientos económicos y compras a nombre de otros.

Nuevos y Peligrosos Invitados: SAMURAIS, ¿Quiénes son?

Son lo más parecido a una amenaza pura. Saben lo que buscan, donde encontrarlo y cómo lograrlo. No tienen conciencia de comunidad y no forman parte de los clanes reconocidos por los hackers. Hacen su trabajo por encargo y generalmente desde países del “tercer mundo” o “no regulados”. Cualquier cosa vale por dinero, ya sea bloquear una red con un ataque DDoS o acceder a una web mal protegida para robar contraseñas de usuarios y luego tratar de estafarlos. Realizan pequeñas (o grandes) intrusiones o ataques a webs del “primer mundo” y el mismo entorno social. El penoso entramado judicial y político de los países donde se ubican ayuda a que queden impunes estos actos y a que parezca que no hay leyes en Internet.

¡ C R E T I N O S !

Síganme por favor, a través de este circunloquio de palabras sin perderse en el intento. Apoyándome en el Diccionario de la Real Academia de la Lengua Española, en su vigésima segunda edición publicada, en la segunda acepción de la definición de cretino, la cual califica como un "estúpido, necio", y tomando de nuevo la segunda acepción de la definición de "necio" llegamos a "imprudente o falto de razón" ...

Y así es como calificaría yo a los responsables de esta inmobiliaria de una céntrica calle de Bilbao, de "imprudentes" o "faltos de razón" y consecuentemente de CRETINOS.

Cretinos, por no decir otra cosa, y si no júzguenlo Ustedes mismos viendo la fotografía que de su escaparate tomé hace tan sólo unos mediodías, después de saborear un famoso "sándwich" de un establecimiento cercano a la infesta inmobiliaria. Parece mentira que en los tiempos que corren, donde el ladrillo se derrumba, la gente engrosa listas gestionadas por el Instituto Nacional de Estadística y se prorrogan dos años más la limitación temporal de las "cuentas vivienda", que unos sicarios del euro puedan reírse a nuestra costa tan descaradamente. ¡Señores por favor! es lícito que hagan su negocio y oferten, vendan o trafiquen con todo aquello que les permita la ley (que traficar no significa otra cosa que comerciar o negociar con el dinero y las mercancías), pero tengan un respeto, no ya de los que se han embolsado en los últimos años, sino de los que cada mañana tienen que ir a trabajar pensando cómo pagar a fin de mes los caprichos de unos pocos que se han hecho ricos a costa de sus ilusiones, y a día de hoy, de las de todos nosotros.

Seguridad Informática (II) - Principios Seguros

Seguridad Física y Seguridad Lógica

El estudio de la seguridad informática podríamos plantearlo desde dos enfoques distintos aunque complementarios:

La seguridad física --> puede asociarse a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas ...

La seguridad lógica --> prevención frente a riesgos y vulnerabilidades así como protección de la información en su propio medio y en las comunicaciones así como mediante el enmascaramiento de la misma usando técnicas de criptografía.

La gestión de la seguridad está en medio de la dos, mediante los planes de contingencia, las políticas de seguridad, normativas …

Primer Principio de la Seguridad Informática

El intruso al sistema utilizará el artilugio que haga más fácil su acceso y posterior ataque.

Existirá una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultará el análisis de riesgo ya que el delincuente aplicará la filosofía del ataque hacia el punto más débil: el equipo o las personas (ingeniería social).

Segundo Principio de la Seguridad Informática

Los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal.

Se refiere a la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. Esto nos llevará a la fortaleza del sistema de cifra.

Tercer Principio de la Seguridad Informática

Las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fáciles de usar y apropiadas al medio.

Efectivo --> que funcionen en el momento oportuno.

Eficiente --> que optimicen los recursos del sistema.

Apropiadas --> que pasen desapercibidas para el usuario.

No olvidar que ningún sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo.

El Concepto de los Datos Seguros

Los datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear o bien modificar, y tales datos deberán estar siempre disponibles.

Seguridad Informática (I) - Iniciación

Comienzan aquí una serie de artículos relacionados con la seguridad informática donde iremos ahondando desde las definiciones y nociones básicas, hasta las recomendaciones de buenas prácticas e implantación de un Sistema de Gestión de la Seguridad de la Información.

¿Qué es la Seguridad Informática?

Minimizar la vulnerabilidad de los sistemas en su conjunto, para proteger y mantener los sistemas funcionando. Políticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. Prevenir y detectar amenazas, respondiendo de una forma adecuada y con prontitud ante un incidente.

El sistema seguro no existe

No podemos aceptar la afirmación simplista que dice que el ordenador más seguro es aquel que está desconectado y, por lo tanto, libre de todos los peligros que hay en la red. A pesar de todas las amenazas del entorno, que serán muchas y de muy distinto, tipo tendremos que aplicar políticas, metodologías y técnicas de protección de la información porque la conectividad es vital.

¿Por qué deben protegerse los sistemas?

Por el coste económico y la amortización de los mismos y así mantener la productividad, ya que una parada inesperada, un error, fallo o ataque a los sistemas puede provocar graves problemas a la empresa. Por la necesidad de defendernos de la cibercriminalidad. Por la necesidad de mantener un servicio de calidad, seguro, rápido y eficiente que garantice su recuperación inmediata frente a desastres.

¿Qué debe protegerse?

El concepto de seguridad lleva asociado otro que le da sentido, la seguridad está íntimamente asociada al VALOR que le damos a los objetos a proteger. Sólo debe protegerse aquello que creemos que tiene un valor importante para la organización. En esencia, lo que más nos importa proteger, es la información, ya que sin duda alguna constituye uno de los mayores activos de cualquier organización.

Debilidades del Sistema Informático

Hardware --> Errores intermitentes, conexiones sueltas, desconexión de tarjetas ...
Software --> Sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema ...
Datos --> Alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos …
Memoria --> Introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema …
Usuarios --> Suplantación de identidad, el acceso no autorizado, visualización de datos confidenciales …

Propiedades de un Sistema Seguro

Confidencialidad --> Los recursos del sistema solo pueden ser accedidos por los elementos autorizados.
Integridad --> Los recursos del sistema solo pueden ser modificados o alterados por los elementos autorizados.
Disponibilidad --> Los recursos del sistema deben permanecer accesibles a los elementos autorizados.
No repudiación --> Asegurarse que ni el emisor o receptor de un mensaje o acción sea capaz de negar lo hecho.

"Piensa en verde, estrategia económica para el siglo XXI"

Éste es el título del discurso que el ex-vicepresidente de Estados Unidos, Premio Príncipe de Asturias de Cooperación Internacional y Premio Nobel de la Paz 2007, Al Gore, ofrecerá mañana en el Museo Guggenheim de Bilbao a los 200 empresarios vascos que podrán asistir con invitación personalizada. Al Gore versará su discurso sobre economía, pero desde un punto de vista ecológico. Gore comienza su cruzada contra el cambio climático en España dando una conferencia cerrada, sin periodistas. Su objetivo es convencer a los empresarios del mundo que está en marcha una revolución energética que concluirá en un "nuevo modelo económico". Previamente Al Gore será recibido por el Lenhendakari Ibarretxe en el Palacio de Artaza donde mantendrán una reunión oficial.

Al Gore lidera el movimiento ciudadano global denominado The Climate Project, cuyo objetivo es concienciar a los ciudadanos y gobiernos del mundo sobre la crisis del calentamiento global que sufre el planeta. Este programa de entrenamiento intensivo es impartido por el propio Gore entre partidarios afines seleccionados en cada país logrando la creación de un "ejército verde". Su próxima meta es conseguir que a través de un concienciamiento global de gobernantes y ciudadanos salgan soluciones y hechos que se lleven a la práctica real de la revisión que se hará del Protocolo de Kioto en la próxima Cumbre del Clima de Copenhague de 2009, pues como el mismo plantea en sus apariciones, es una cuestión de vida o muerte.

¡Sin periodistas! El incansable trotamundos autor del documental "Una verdad incómoda" limita sus charlas, aderezándolas con videos y diapositivas; cobra por su jornada, y toma rápidamente su jet privado presto hacia otra ciudad. Gore no concede entrevistas ni ruedas de prensa, e impone estrictas condiciones a los periodistas que llegan a cubrir sus conferencias. Parece ser que este extremo no va a ser diferente mañana. Fuentes cercanas a la organización me han confirmado cómo todas aquellas preguntas que vayan a ser formuladas por los periodistas deberán ser primero revisadas y aprobadas por su propio gabinete de prensa que le acompaña, e incluso las preguntas que le realicen los asistentes a su discurso deberán ser previamente presentadas por escrito antes del turno de preguntas, y él seleccionará aquellas a las cuales desee responder. En fin, que la costumbre manda; y es que los viejos hábitos adquiridos en sus años políticos han marcado también su actitud frente a su comportamiento mediático, distanciando de la realidad a una figura que a la vez nos parece tan cercana quizás por sus argumentos afables.

Crónica de una muerte anunciada - SIMO'08

"IFEMA ha acordado el aplazamiento de la celebración de la 48º edición de SIMO, Feria Internacional de Informática, Multimedia y Comunicaciones, prevista del 11 al 16 de noviembre de 2008, en la Feria de Madrid, hasta que no se configure el marco comercial y promocional adecuado para las empresas participantes, así como con el suficiente atractivo profesional para todos los colectivos interesados en las nuevas tecnologías." Así comienza la nota de prensa que esta misma tarde podemos leer en la página oficial de IFEMA.

Poco a poco en los últimos días veníamos siendo partícipes de anunciadas ausencias para este año Microsoft, Toshiba, Levovo, Fujitsu Siemens, Orange, Telefónica y hoy mismamente Vodafone. En palabras del Director de la Feria, Santiago Quiroga, estas ausencias de los "gigantes" del sector conllevarían "...un previsible descenso en el número de visitantes y ello perjudicaría a los exhibidores. Por eso hemos decidido cancelar esta edición". La edición del año 2007 acogió alrededor 570 empresas y casi 300000 visitantes, y aunque no se hace mención expresa en el comunicado a la actual crisis económica mundial que estamos atravesando, este año los expositores no superaban prácticamente los 250. Esperemos que este no sea el preludio para que los grandes eventos como el ceBIT, CES o el E3 sigan su estela. No deja de entristecer que una de las ferias más polémicas pero en el fondo la más esperada del panorama tecnológico español haya rodado cuesta abajo en sus últimas ediciones para terminar en el inevitable y nunca deseado final.

En su comunicado oficial "IFEMA viene trabajando a lo largo de los últimos meses, con la colaboración de la consultora Gartner, en la definición de un nuevo modelo ferial para el sector TIC (...) se ha tomado en consideración la preparación, ya en marcha, del “nuevo SIMO” en 2009, que será un proyecto totalmente renovado y sobre el que IFEMA ofrecerá detalles en las próximas semanas." A la espera estaremos de nuevas noticias de este proyecto y espero que este bache tan solo sea un "bypass" de las casi 50 ediciones del Simposio Internacional de Mobiliario de Oficina (SIMO) que nació ya una lejana mañana de 1961.

OWASP - Seguridad en el Desarrollo Web

Preparando un curso de "Seguridad en el Web" a programadores y responsables de proyecto de una importante empresa vinculada con el ámbito público y estudiar las demandas que me plantean, estoy convencido que las directrices que marca la Fundación OWASP es lo más adecuado para sus necesidades, así como un recurso imprescindible para cualquier profesional que se dedique al desarrollo de aplicaciones web.

OWASP (Open Web Application Security Project) es un proyecto de software libre y abierto que se dedica a la creación de artículos de libre distribución, metodologías, documentación, herramientas y tecnologías para la consecución de aplicaciones web seguras, así como determinar y combatir las causas que hacen que el software sea inseguro.

Los proyectos que se llevan a cabo se dividen en dos categorías principales: proyectos de documentación y proyectos de desarrollo. Para quien se encuentre interesado en profundizar más al respecto, entre los diferentes proyectos de documentación en curso, puede echarle un vistazo a la Guía OWASP un extenso y frecuentemente actualizado documento que proporciona información detallada sobre la seguridad de las aplicaciones web, así como al muy recomendado documento de autoevaluación OWASP Top 10 que se centra en las 10 vulnerabilidades más críticas de las aplicaciones web. Repecto a los proyectos de desarrollo la herramienta WebGoat es una magnífica utilidad interactiva de formación y pruebas a través de la cual los usuarios pueden aprender sobre seguridad de aplicaciones web de forma segura y legal, y en WebScarab tienen una poderosa herramienta que les ayudará a chequear vulnerabilidades de aplicaciones web.

¿Quién dijo crisis? - La Informática Sostenible "IT Verde"

Está claro que no corren buenos tiempos para la economía. Da igual la hora a la que uno escuche la radio o vea la televisión, lea el primer periódico de la mañana o charle animadamente en el "café" del trabajo, porque sobre nuestras cabezas siempre acechando estos días podemos encontrar la crisis en todas nuestras acciones. Pero esto desde luego no es nuevo, no podemos ofendernos y echar la culpa de todo al "ladrillo". Desde el siglo XX el crecimiento económico mundial se basa en grandes manufacturaciones industriales a costa de un uso intensivo de los recursos naturales, y dicho crecimiento económico, a pesar de su total conocimiento, nunca ha tenido en cuenta un factor muy importante: "El medio ambiente". Los recursos tienen sus propios ciclos de autogeneración y subsistencia, pero el intensivo consumo de estos limitados bienes, en un mundo finito, nos ha llevado a las puertas de su agotamiento. Así es el caso de los combustibles fósiles, los minerales, el agua potable... que acompañado de la mala gestión e interesada administración de estos recursos se han producido desigualdades abismales en el reparto de la riqueza en el mundo.

El "mea culpa" debemos entonarlo más de uno. No nos engañemos, la sociedad actual es consumista compulsiva, máxime en tecnología. No os cuestionáis a menudo ¿cómo éramos capaces hace poco más de una década de subsistir sin un teléfono móvil?, ¿cómo podíamos ir al colegio tan sólo armados con lapiceros y bolígrafos?, ¿cómo osábamos levantarnos cada mañana sin "arial 10", "ctrl+alt+sup" o un mp3?, desde luego debíamos ser pioneros en un mundo hostil o exploradores de leyenda que venidos de tierras lejanas son protagonistas de antiguos relatos perdidos en los anales del recuerdo.

Es posible que aún estemos a tiempo de enmendar un poco nuestros errores, al menos para que generaciones venideras puedan encontrar la solución a un problema que hemos generado y el cual vamos a ser incapaces de solventar. Para conseguirlo el primer paso es la concienciación, la nuestra y con ella la de nuestro entorno. Es importante que creamos y busquemos la SOSTENIBILIDAD. Pero ¿qué es lo que significa esta palabra tan en boca de todos y tan poco llevada a la práctica más allá del marketing e intereses memorísticos?, una de las definiciones de sostenibilidad que más me gusta es: "Satisfacer las necesidades de las generaciones presentes sin comprometer las posibilidades de las del futuro para atender sus propias necesidades." Club de Roma, Cumbres de la Tierra-Río, Informes globales, Comisiones de la ONU, Protocolo de Kioto... No podemos olvidar que ningún recurso renovable debe de utilizarse a un ritmo superior al de su generación, ningún contaminante deberá producirse a un ritmo superior al que pueda ser reciclado, neutralizado o absorbido por el medio ambiente y que ningún recurso no renovable deberá aprovecharse a mayor velocidad de la necesaria para sustituirlo por un recurso renovable utilizado de manera sostenible. Así que anímate porque no es tan difícil, no creo que tardes mucho en darte cuenta por donde puedes empezar, tan sólo mira a tu alrededor...