Tecnologías libres, seguridad y medios sociales. Emilio Casbas

Código malicioso en sitios webs de descarga de películas

2012-01-22T00:58:00.004+01:00

Eso es lo que se han/hemos encontrado muchos usuarios hoy al entrar en el portal pordescargadirecta.com. La pantalla del susto de Chrome o Firefox indicando que el sitio es una web atacante o que puede dañar tu equipo. Según el detalle de SafeBrowsing la última vez que encontró contenido sospechoso fué el día 20.

El sitio pordescargadirecta.com hace pocas semanas tuvo un incidente de seguridad el cual dejo la web inaccesible durante varios días. Cambiaron de software y migraron a vbulletin, en este momento están con la versión 4.1.9. El mensaje anterior muestra 3 de los dominios que tenían alojado el software malicioso que se instala automáticamente en el navegador de los que visiten pordescargadirecta.com. Habría que realizar un análisis de la BBDD de pordescargadirecta.com para encontrar la inyección del código que apuntaba a estos sitios y eliminarlo, y encontrar también el método por el cual consiguieron introducirlo (generalmente con sql injection). Mäs información para actuar en estos casos.

El servicio wepawet indica en estos momentos que el sitio pordescargdirecta.com no realizada nada sospechoso. Así que lo más probable es que los administradores del sitio web ya hayan eliminado el código malicioso y será cuestión de horas hasta que Google le vuelva a dar el visto bueno.

Lo curioso de esto es que ahora todo el mundo piensa que está relacionado con el cierre de megaupload y #SOPA

Pero más curioso aún son otros sitios web involucrados en esta campaña de código malicioso

Sí eres de los que tiene cuenta en pordescargadirecta, por si acaso me iría cambiando la contraseña o asegurarme de que no la reuso en ningún otro sitio.

Desafíos raramente discutidos en la implantación de políticas de seguridad

2012-01-13T01:11:00.002+01:00

Es simplemente genial el último post de Javier Cao titulado "Reflexiones sobre tendencias del 2011 y pronósticos del 2012" en el cual expone e interpreta los datos recopilados por Paolo Passeri.

La seguridad de la información es un campo relativamente nuevo y por ello, no es de extrañar que cueste aceptar -sobre todo en algunos entornos legacy- el papel de un responsable de seguridad y su valor en una empresa. Mi pronóstico para el 2012 es que seguiremos oyendo como los demás tildán de 'paranóicos' a todo aquel que trabaje en Seguridad, los seguirán viendo como individuos que se dedican a sacar las verguenzas y mirar debajo de las alfombras, y todavía costará relacionar esta disciplina con el core del negocio.

La seguridad es un área que requiere el análisis de una cantidad inmensa de fuentes de datos. Para asegurar algo, todos los aspectos y elementos del entorno deben ser revisados, evaluados y categorizados. La cantidad de información que compone cualquier análisis de seguridad empieza a crecer exponencialmente con las múltiples permutaciones derivadas de cada instancia identificada del riesgo potencial. Las principales piezas de la seguridad son: las personas, procesos, tecnología e instalaciones, y es todo un desafío proporcionar un marco razonable de seguridad en las organizaciones cuando el personal siga viendo a los de seguridad como enemigos y no como compañeros con un mismo objetivo; proteger los sistemas de información.

Ante ello, recomendaría a cualquier profesional de seguridad la lectura del libro: "Securing organizations impaired by employee politics apathy, and intolerant perspectives". Una lectura muy interesante para conocer los verdaderos desafíos en la implantación de un marco de seguridad en una organización; apatía, miopía, primacía e infancia.

Este libro puede ser una revelación para algunos ya que trata conceptos que raramente son discutidos en este área, pero que son sin duda determinantes. Su lectura podrá hacer cambiar de una perspectiva de potencial víctima a un estado de conocimiento de las verdaderas causas que subyacen en la implantación de políticas de seguridad y poder comprender, y quizás influenciar, el entorno para el propósito común.

Otro año menos

2011-12-31T11:10:00.001+01:00

Esta humilde morada cumple ya dos años. En los manuales de supervivencia en la montaña, una de las recomendaciones para no perderse antes de internarse en la parte agreste es; echar una última mirada hacia atrás. La idea de este post, como ya hice el año pasado es esa, mirar atrás y recapitular el año en lo profesional:

Este año deje una gran empresa y un excelente equipo para iniciar una nueva aventura profesional en un proyecto muy ilusionante.
Durante algunos meses estuve viendo la posibilidad de trabajar fuera de España, principalmente en EEUU para conseguir experiencia internacional y 'aprender' inglés, pero el tema no cuajo, bien por mi spanglish, la dificultad de conseguir una VISA en estos tiempos, o porque no daba el perfil adecuado.
Este año obtuve la certificación CISSP.
Un reto al año sigue siendo un clásico, te pone a prueba física y mentalmente.
Me faltan 3 asignaturas y el proyecto para conseguir el BSc(hons), con tranquilidad.
Este año empecé un proyecto en el cual..., no tengo excusa.
Este año leí menos libros de los deseados, culpa de twitter.
A partir de ahora realizaré algunas colaboraciones con artículos en el blog de SbD.

Pararte un momento y echar una pequeña vista atrás te da algo de perspectiva.

¡¡ FELIZ AÑO 2012 !!

La seguridad visible de la banca electrónica en España

2011-12-13T16:51:00.001+01:00

En su día el Banco de España ya defendió al cliente ante el fraude de la banca online. Hace años, en un foro creado al efecto, el Banco de España solicito a las entidades un mínimo de requisitos para sus operaciones por internet, se les exigía requisitos como haber informado previamente al cliente y haber impartido información y asesoramiento necesarios para el uso adecuado del canal y la correcta custodia de las claves.

El Banco de España ya afirmó que no es una práctica bancaria recomendable que el consumidor tuviera que asumir las consecuencias del fraude online él solo. Algunos de los argumentos que dió el BdE fueron:

No todos los sistemas de la banca online son igual de seguros.
Las entidades financieras son las que han creado la banca electrónica y las que fomentan su uso (muchas veces sin advirtir los riesgos) por la importante reducción de costes que supone.
El fraude online es cada vez más avanzado y los sistemas de protección del banco pueden no ser los más adecuados.

No hay estadísticas públicas de que entidades son las más afectadas por el fraude online, ese dato no se conoce incluso ni entre ellas, sólo disponen datos de forma anónima. Cada entidad actúa de mejor o peor forma, o incluso no actúan en reforzar la seguridad para proteger los datos de sus clientes. Como observadores desde el exterior, podemos ver cual es la seguridad SSL de las entidades y puede que eso nos de una idea de la concienciación en seguridad de las entidades y de la diligencia en la gestión interna de la seguridad de sus sistemas.

Entendiendo la seguridad SSL de los sitios web -PKI I-

2011-11-25T00:46:00.005+01:00

Los recientes casos de StartCom, Comodo, la ya desaparecida Diginotar y el reciente de los certificados RSA-512, ponen de manifiesto la seguridad de las Autoridades Certificadoras, aquellas que se suponen deben velar por la seguridad de los sitios de la banca y comercio electrónico, redes sociales, etc.

En este artículo, inspirado en el original, voy a intentar exponer de manera sencilla conceptos base sobre la tecnología SSL para qué como usuarios, sepamos algo más que aquella famosa y falsa afirmación: "si la web lleva un candado (https) la conexión es segura". Y podamos también conocer el alcance de una brecha de seguridad en Entidades Certificadoras como las anteriores.

INTRODUCCIÓN

https o lo que es lo mismo, los certificados SSL/TLS, se basan en la tecnología PKI --infraestructura de clave pública-- en inglés, la cual hace uso del cifrado de clave pública. Esta tecnología se diseño para solucionar el problema fundamental de permitir a dos partes (personas, sitios web, dispositivos...) que no tenían una relación previa el confiar entre ellas para intercambiar información sensible. PKI soluciona este problema definiendo una tercera parte, la cual verifica la identidad de las otras dos. Es lo que en la vida real conocemos como "tener buenas referencias".

Para aquellos que estén interesados en la parte técnica y teórica de esta tecnología pueden echar mano de los RFCs, ver los vídeos 3, 9 y 10 de intypedia o apuntarse al curso de cifrado que en Enero impartirá de manera gratuita y online la Universidad de Stanford.

En Internet, la tecnología PKI se usa principalmente con los certificados SSL/TLS para que los dueños de los sitios web puedan asegurar a sus visitantes que:

El sitio web es de confianza (es seguro hacer negocio/compras con él)
Auténtico (el sitio web es de la compañía que dice poseer dicho sitio)
Pueden proporcionar el material necesario a la capa SSL/TLS para permitir qué el tráfico entre el usuario y el sitio web se intercambie en privado (a través del cifrado) y autenticado (a través de la autenticación de datos)

La tecnología PKI se puede usar para otros propósitos como enviar correos firmados/cifrados pero este artículo se basa únicamente en la funcionalidad de los certificados web SSL/TLS.

Cómo usuarios, cuando visitamos un sitio web por primera vez no tenemos información que podamos usar para validarlo. Por ello, los sitios web lo delegan en los servicios de una Entidad Certificadora (CA). Una CA es una organización que actúa como una tercera parte de confianza para los certificados SSL/TLS emitidos a los operadores de los sitios web. Una CA está sometida a rigurosas auditorías de seguridad, entre otros por las empresas de los navegadores de Internet como; Microsoft, Apple, Mozilla, Opera, etc. Estas empresas añaden el certificado raíz de la CA directamente en su software. Este hecho hace que los navegadores actúen como agentes ante nosotros los usuarios en decidir si confiar o no en una CA particular (aunque por supuesto, también podremos instalar manualmente certificados raíz qué no estén por defecto en los navegadores, pero supondrá un trabajo 'extra'). Cuando un navegador ha decidido confiar en una CA, esta CA es inherentemente confiada por cualquier usuario de dicho navegador. Cómo comprobación final, un navegador puede usar la información del certificado del sitio web y el certificado de la CA para verificar que el certificado del sitio web no ha sido revocado por la CA.

En este punto, cuando un usuario visita un sitio web que tiene un certificado emitido por una CA de confianza en tú navegador, EJEMPLO, el navegador proporcionará una indicación visual de que dicho sitio web es de confianza. A partir de entonces, podriamos --nótese el condicional-- estar seguros de que no es un sitio fraudulento o de phishing.

CONFIANZA EN EL MODELO PKI

Cómo he descrito antes, hay 3 puntos básicos en los que se crean decisiones de confianza en una PKI:

Las empresas de navegadores confían en CAs comerciales para incluirlas en su software.
Las CAs corroboran la identidad de los sitios web emitiendoles certificados
Nosotros los usuarios usamos un navegador en el que confiamos.

Confianza en CAs comerciales

Las empresas de navegadores y las CA comerciales, a través de la organización CABForum, han acordado un conjunto de estándares de auditoría que definen las prácticas de seguridad que las CAs comerciales deben seguir e implementar durante el curso de su emisión de certificados a los operadores de los sitios web. El estandar de facto es WebTrust. Dichas prácticas se enfocan en asegurar que la CA protege apropiadamente todo el equipamiento relacionado con los certificados raíz, implementa las contramedidas necesarias para prevenir la emisión de certificados fraudulentos y actúa con buena diligencia en:

Asegurarse que el propietario de un sitio web está autorizado a emitir un certificado para su sitio web.
Asegurarse que el propietario del sitio es realmente quién dice ser.

Las dos medidas anteriores evitan principalmente la creación de mirrors de sitios 'válidos' pertenecientes a esquemas de phishing.

Confianza en los operadores de los sitios web
La responsabilidad de validar al propietario de un sitio web y verificar la identidad de la organización que está detras de dicho sitio web recae en la CA. Para validar al propietario de un sitio web las CAs normalmente validan que la persona que solicita un certificado SSL para un determinado sitio web está autorizado para ello consultando el registro DNS del sitio. Las CAs usan la información pública de los registros DNS para validar solicitudes, normalmente contactando con la persona que se muestra en el registro del sitio web. Los certificados SSL que se validan así se conocen como certificados de dominio válidos.

Las CAs también pueden realizar verificaciones adicionales ( esto para otro artículo, y mostrar así el problema de tener varios dominios diferentes e intentar esto ) para conseguir certificados que han pasado unos rigurosos controles de verificacion. Dichos certificados son los Certificados de validación extendida. SSL EV.

Confianza en los navegadores web
La última y quizá más importante decisión de confianza en el modelo PKI es la decisión de nosotros; los usuarios, sobre el navegador que usamos para visitar sitios web seguros. Como los navegadores contienen ya una lista precargada de CAs públicas en las que confía, el usuario final, seleccionando un navegador en concreto implícitamente confía en todas las CAs que su navegador confía. Gracias a los esfuerzos del CABForum para involucrar a la mayoría de navegadores y sistemas operativos en los esfuerzos de estandarización con las CAs comerciales, el conjunto de CAs confiables es casí común en la mayoría de navegadores. Pero desafortunadamente el mecanismo de mostrar que una CA en particular confía en un sitio con SSL/TLS varía notablemente entre los navegadores confundiendo asi más si cabe al usuario.

Por ahora llegamos hasta aquí, en la siguiente parte veremos problemas que puede haber y sus consecuencias.

Un pequeño ejercicio de investigación. A ver quién conoce el nombre de la primera compañía española que tuvo su CA propia incluida en Windows 2000. (se puede consultar en los navegadores actuales)

We monitor all networks in real time, all the time,". "This isn't something you can teach in a few minutes, it's an attitude, a way of life. Eddy Nigg.

Las empresas se empiezan a tomar en serio la seguridad

2011-10-17T00:48:00.000+02:00

Las empresas no se toman la seguridad en serio, es el título del artículo escrito por la prestigiosa periodista española Merce Molist, ~~única periodista que conoce el auténtico significado del término hacker~~ especializada en el entorno underground. El contexto de dicho artículo fué la mesa redonda de la conferencia de seguridad NoConName 2011. En dicho artículo se ponía de manifiesto las principales causas de la desidia de las empresas en cuanto a la seguridad, pero poco a poco esa mentalidad está cambiando, y no solo por todos los incidentes de seguridad que han ocurrido últimamente, sino porque cada vez más el perfil del profesional de seguridad está siendo más necesario y solicitado. Su objetivo es claro; proteger la información de las organizaciones (personas, negocios o gobiernos ).

"Ningún campo en el empeño humano ha nacido con una madurez total. Desde la construcción de barcos hasta poder desplazarnos por el aire, la innovación ha ido a través de un largo y factuoso proceso de evolución. Una idea se situa encima de otra sobre un periodo de muchos años con el objetivo de alcanzar ese punto de perfección o finalización. Por ejemplo, las prácticas médicas que existían durante la época victoriana se consideraban un arte en aquel tiempo, y no son las que se aplican actualmente, aunque deriven de ellas. La experiencia práctica es un constante flujo y reflujo de nuestra comprensión de como las cosas funcionan.

Este concepto es particularmente aplicable al campo de la Seguridad de la Información. Esta profesión tal y como la conocemos hoy no ha existido como otros campos más establecidos. Mientras la sociedad se ha acostumbrado al rol de los arquitectos y abogados, los analistas de seguridad de la información son prácticamente unos recién llegados."

Último informe de PCI DSS de Verizon (http://www.verizonbusiness.com/resources/reports/rp_2011-payment-card-industry-compliance-report_en_xg.pdf)

Como robar datos de usuarios para realizar campañas virales

2011-09-28T00:29:00.002+02:00

El otro día me encontré un e-mail de este tipo en mi buzón (enviado por uno de mis contactos):

Al día siguiente, el incauto fué consciente de lo que había ocurrido y envío el siguiente correo a todos sus contactos (entre los que me encontraba yo) y ¡¡con CC visibles mostrando más de 100 cuentas de correo!!, bueno, al menos tuvo el detalle de avisarnos :-)

¿Un virus?, vamos a ver de que se trata. El enlace tan llamativo para ver las fotos apunta a la siguiente dirección:

y envía por parámetro GET la dirección de correo de quién accede desde el enlace malicioso. Pero dicha dirección está configurada para redirigirnos temporalmente a otro sitio (estas campañas suelen durar poco) en concreto nos lleva a:

que nos presenta en el navegador el siguiente formulario

en el cual introducimos nuestra cuenta de correo y contraseña que usamos para la mayoría de servicios que tenemos (hay hasta quién se enorgullece de ello), y esta irá a parar tranquilamente a una suculenta BBDD con direcciones de correo y contraseñas.

mientras tanto, siguiendo con nuestro periplo vamos a parar a una web de este estilo:

sí lo probábamos varias veces, al final nos redirigía a Google, ya que nos habían fichado ya, qué es de lo que se trataba.

pero podíamos volver a ver el mensaje anterior tan solo modificando el parámetro aff_id

En conclusión, se trataba de una de estas ~~estafas~~ promociones de tarificaciones especiales por cada mensaje en el móvil, y por el mismo precio además conseguían credenciales de cuentas de correo con su password correspondiente para seguir distribuyendo la supuesta promoción e inflar el negocio, que la crisis nos ha afectado a todos.

NOTA: Un antivirus no hubiera servido de nada en este caso, ya que se trata de Ingeniería Social, el mejor antivirus conocido ante esta técnica es la formación y concienciación.

Seguridad informática != Seguridad de la información

2011-09-05T18:02:00.001+02:00

"Information security is no longer a technology-focused problem. It has become the basis for business survival as much as any other issue."

Security is not just a technical issue

La seguridad informática es sólo una parte del gran cuadro de Seguridad de la Información. Y de esto último es de lo que se ocupan los SGSI, pero no hablemos de estándares, sino del concepto en sí de Seguridad de la Información y en como se diferencia de seguridad informática.

Sobre decir que la seguridad informática es muuuy importante, en particular para los departamentos de sistemas y tecnología, pero la Seguridad de la información va más allá del concepto técnico para enfocarse en los procesos del negocio y en el flujo de datos tanto electrónicos como papel. Este marco nos ayudará a entender donde invertir el presupuesto (siempre limitado) para proteger los sistemas y dispositivos con información más sensible y más esenciales para la organización. INCISO: Consultar el libro "Security Metrics: Replacing fear, uncertainty and doubt" para la creación de cuadros de mando de Seguridad.

El software inseguro es uno de los principales motivos de la inseguridad de la información, el manejo de los procesos y los sistemas de información por parte de personal no concienciado lo suficientemente es otro de ellos. ¿Por qué una empresa se va a gastar cientos de miles de euros en proteger un servidor cuando se pueden volcar datos sensibles en un Smartphone, con pocas o ninguna medida de seguridad, que ni siquiera pertenece a la empresa?

Es absolutamente necesario que las empresas dispongan de medidas de seguridad informática en sus servidores y dispositivos (de forma propia o externalizada). Pero un buen número de herramientas de seguridad configuradas y controles técnicos establecidos no son suficiente para manejar los riesgos de las empresas de la captura, procesamiento y uso de datos sensibles.

Si todos los miembros de la empresa supieran que datos se procesan y porque, como se usan, y que se debería prescindir de ellos tan pronto como el costo de almacenarlos y protegerlos exceda el valor del negocio de retenerlos, eso, sería vital para reducir el daño que un incidente pudiera ocasionar. Ha habido ejemplos recientes de incidentes que conservaban datos sensibles más allá del punto en que eran ya de poco valor. Estos datos representan una gran responsabilidad (evitable) cuando un incidente ocurre. Los de IT pueden controlar el acceso a una base de datos, pero quizá no pueda imponer estrictos controles de retención o forzar el hashing u otros controles similares sin un mandato regulatorio o legal. La seguridad informática compone una pequeña parte de la Seguridad de la Información, la primera es la parte técnica y la segunda un proyecto global o proceso continuo, o mejor aún; una actitud.

Basado en el original

Como preparar el examen para la certificación de Seguridad CISSP (en poco tiempo)

2011-07-20T09:07:00.003+02:00

Disclaimer: Este artículo sólo es válido si tienes la experiencia necesaria en sistemas y seguridad y crees firmemente que el examen CISSP será un trámite y una forma de ordenar y aclarar algunos conceptos. Así mismo tampoco pretende sustituir a los múltiples cursos preparatorios que se ofertan. Toma este artículo con cautela y bajo tu propia responsabilidad.

Sí te estas pensando sacar la certificación CISSP, tienes años de experiencia en sistemas y Seguridad y no mucho tiempo para prepararla, sigue leyendo. Este artículo es por si a alguien le sirve de algo mi experiencia al preparar el examen para CISSP. CISSP sigue siendo una de las certificaciones más demandadas en el área de Seguridad y requiere de una muy buena preparación para afrontar con éxito el examen. Actualmente en España hay 396 certificados en CISSP. Antes de nada hay que saber que para conseguir el certificado CISSP es necesario:

Aprobar el examen que consta de 10 dominios principales de Seguridad. Tienes que obtener 700 puntos o más (si apruebas no sabrás cuantos obtuviste, si suspendes sí). El examen es tipo test con cuatro opciones en cada pregunta. Tiene una duración máxima de 6 horas.
A través de un documento oficial proporcionado por ISC2, otro miembro que ya sea CISSP deberá recomendarte alegando que certifica que cumples con los 5 años de experiencia en 2 o más de los dominios exigidos en Seguridad.
En el 25% de los casos realizan una auditoría, por lo que en el caso que te toque deberás pasarla para obtener la certificación.
Una vez que consigas la certificación CISSP necesitarás recertificarte cada 3 años a través CPEs (Continuing Professional Education) que los puedes obtener a través de asistencias a congresos, formación o seminarios.

En mi caso, contaba con 5 años de experiencia en el área de sistemas e implantando proyectos de Seguridad como PKIs, cumplimientos de SGSI, participación en la creación de BCPs y DRPs, gestión de identidades, filtros de contenidos, fortificación de servidores y sistemas biométricos. Además he participado en diversos proyectos Open Source de documentación de Seguridad y nuevas amenazas online. A todo esto le sumaban 2 años de experiencia en el departamento de e-crime de quién me paga la nómina actualmente, y que gracias al plan de carrera interno patrocino mi certificación. En estos dos años gané experiencia en forenses, auditorías, algo de análisis de malware y servicios de protección contra el fraude online. Todo ello me permitía cumplir el primer requisito. Aunque otra opción si no lo cumples es, pasar el examen y cumplirlos posteriormente.

Cuando tuve claro que quería presentarme al examen (el 17 de marzo), busqué en el portal de ISC2 las convocatorias en España. La aplicación mostró sólo una convocatoria, el 30 de abril en Barcelona. Tenía poco más de 1 mes para prepararlo, pero si no lo hacía, tendría que esperar otro año, cosa que no me apetecía (luego me enteré que en Octubre hay otra convocatoria en Madrid, pero todavía no salía en el portal del ISC2). Decidido entonces, empecé a buscar información sobre buena documentación para preparar el examen.

DOCUMENTACIÓN Y METODOLOGÍA

Toda la documentación y tests que he usado para prepararlo fueron en inglés. Existe multitud de documentación para preparar el CISSP, pero de todo ello, el libro de Shon Harris es una de las guías más completas que existen para preparlo. Por un lado me lo compré, siempre está bien tenerlo en la biblioteca para consultar, y por otro lado me lo imprimí para estudiarlo con más comodidad pudiendo subrayar y practicar con los tests que vienen al final de cada capítulo. Puede haber varias versiones del libro, en la última que yo tenía, constaba de 12 capítulos (1149 pags) más una guía de estudiante (847 pags). Como tenía poco tiempo, me centre unicamente en los capítulos de cada dominio:

Security management
Access control
Security architecture
Physical arquitecture
Network security
Cryptography
BCP
Legal and investigations
Application security
Operations security

En un cálculo rápido, tenía 6 semanas para preparlo, así que me propuse estudiar 2 áreas por semana y la última para repasar y prácticar con diferentes tipos de exámenes.

Cada día invertía entre una y dos horas en una lectura-comprensiva y subrayando las partes que creía eran claves. Al final de cada módulo realizaba el test correspondiente para comprobar el nivel de comprensión de dicho módulo. En cada test que hice, saqué entre 60 y 90% de aciertos, lo que me daba una idea de la preparación. Además en los tests, venía una explicación de cada respuesta, lo que te daba más comprensión en caso de fallo.

La última semana la dedique por completo a realizar exámenes y revisar las respuestas fallidas. Existe multitud de sitios en Internet con preguntas del tipo examen CISSP. En definitiva, si tienes experiencia real en Seguridad de algunos de los dominios exigidos por el CISSP, la lectura del libro de Shon Harris te dará una mayor perspectiva, y si has entendido los conceptos que para tí pueden ser nuevos, has hecho multitud de tests y los resultados de aciertos no bajan del 60%, se podría decir que ya estarías preparado para realizar el examen con altas posibilidades de aprobarlo.

DÍA DEL EXAMEN

El día anterior procura relajarte y no hacer repasos de última hora, descansa un mínimo de 8 horas antes del examen, y acude con tiempo, ya que son estrictos hasta tal punto, que si llegas unos minutos tarde ya no podrás acceder al examen.

Puedes llevar bebida y algo de picar, alguna chocolatina o barrita energética, yo pasé las 5,30h del examen con un botelín de agua y 2 barritas energéticas. Antes me había tomado una pastilla de vitamina de esas que llevan jalea real (tipo apiserum), es una manía que tengo desde la época de exámenes :-)

Para el examen, te dan un librillo con las 250 preguntas y una hoja de respuestas para anotarlas, que es la que entregaras. En el libro, puedes hacer apuntes y borrones, en la hoja de respuestas no. @hacktimes me dio el buen consejo de contestar las preguntas en el libro, y cada 50 pasarlas a la hoja, de esta forma tu mente va descansando.

Luego a esperar unas 4 semanas hasta que te llegue el resultado.

Finalmente comentar que, aprobar el examen CISSP demuestra tu destreza para saber como pasarlo y un conocimiento muy global de la mayoría de aspectos que rodean a la Seguridad de los sistemas. Personalmente opino que existen multitud de vías para medir la experiencia y conocimientos, pero el CISSP es el estándar Internacional para certificar que un individuo ha demostrado una competencia y dominio de las más diversas disciplinas en el campo de la Seguridad.

Extreme Bardenas XIV (2011)

2011-07-10T23:58:00.001+02:00

Reto conseguido un año más, el año pasado ya describí algunas de las sensaciones de participar en esta aventura en el desierto de las Bardenas Reales de Navarra. Esas sensaciones, el compañerismo, el perfecto engranaje y óptima organización y así como ver a todo el pueblo de Arguedas volcado en ella es lo que te hace repetir año tras año.

Se trata de una prueba en la que el límite lo pones tú. Siempre te encuentras con esos atrevidos que en el KM 40-50 empiezan a atacar ya que el cuerpo se encuentra en pleno rendimiento pero queda mucho camino por 'disfrutar'. A partir del KM 80-90 empiezas a encontrar a bikers andando o tirados en la cuneta con calambres frutos de error de cálculo y de escasa reserva de fuerzas. A mí personalmente qué no puedo entrenar todo lo que quisiera, me atrae la sensación que tienes en los últimos 20-30Km cuando quién manda es ya la mente y la capacidad de sacrificio personal de cada uno. Así que ¡¡ENHORABUENA!! a todos los que participais en esta prueba y la disfrutais como yo. El reto de terminar es el mejor premio.

Marga que entro la penultima llorando de emoción por conseguirlo te hace ver que la lucha, pundonor y sacrificio lo llevamos marcado en nuestras mentes y cuerpo todos los que participamos, porque esa es la alma y seña de identidad de la Extreme...[]

(Fragmento extraido del foro de la extreme)

Alguna vez había leído en algún sitio que para poder preparar esta marcha apropiadamente, tenías que tener hechos unos 1000 km un par de meses antes o algo así. Es decir, tenías que estar rodado. Yo este año no tuve mucho tiempo para prepararla, y este fue mi entrenamiento, con el que pude terminarla en el puesto 1080 de manera tranquila.

¡¡GRACIAS ARGUEDAS!!

Metodologías de respuestas ante incidentes

2011-06-20T06:55:00.003+02:00

Intrusiones en nuestros sistemas, gusanos que se replican por la red red infectando nuevas víctimas, defacements de sitios web y denegaciones de servicios (DDoS) son solo algunos ejemplos de incidentes que pueden ocurrir en cualquier empresa y corporación hoy día.

Recientemente estuve en una multinacional por un problema en el cual tenían varias máquinas infectadas con un rootkit, dicho rootkit lo detectaba el AV pero al limpiarlo seguían infectándose. Al tratarse de una multinacional, la infección venía de otro País, pero se estaba extendiendo por todo el sistema. En un solo día, con el trabajo en equipo de varios profesionales involucrados, pudimos conocer el tipo de malware que era, que vulnerabilidades aprovechaba y cuales eran sus vectores de propagación para, a partir de esos datos, poder proponer un plan de contención y detección proactiva de más equipos infectados, parcheo y desinfección.

Para casos similares a este y para cualquier incidente similar a los mencionados al principio, el CERT Societe General dispone de una serie de IRM (Incident Response Methodologies) para actuar ante diferentes amenazas clasificadas como:

Guía de respuesta a un cyberincidente

Gazapos en la detención de anonymous

2011-06-13T14:30:00.015+02:00

Las siguiente afirmaciones extraídas de la rueda de prensa son dignas de destacar, en negrita van dichas afirmaciones, a continuación un breve comentario. Faltarán muchas incongruencias más pero, estas son algunas de las que se escucharon en la rueda de Prensa facilitada por: Jose Luis Olivera (Comisario de la UDEF), y Manuel Vazquez (comisario de la BIT)

10/6/2011: COMISARÍA GENERAL DE POLICÍA CIENTÍFICA

Complejo policial de Canillas (Madrid)

Rueda de prensa de la Policía Nacional para dar más detalles sobre la operación que ha detenido a 3 miembros del grupo Anonymous en España.

A destacar:

Máximos responsables a nivel directivo: Anonymous es una comunidad descentralizada.

Organización de hackers: El uso del término "hacker" es una batalla perdida, aun así recordemos. Según Himanen, un hacker no es un delincuente, vándalo o pirata informático con altos conocimientos técnicos (a los que prefiere llamar crackers), sino que hacker es todo aquel que trabaja con gran pasión y entusiasmo por lo que hace. De ahí que el término 'hacker' pueda y deba extrapolarse a otros ámbitos como ser, por ejemplo, el científico

Sistema conocido como DDOS o Denegaciones de auxilio: Sin comentarios.

Inteligencia del análisis de más de 2 millones de líneas de chat: El IRC fue la principal fuente para las detenciones. es el medio de comunicación por excelencia de Anonymous, pero hay que tomar precauciones. En otros países existe Software para el análisis de este tipo de datos, aquí tenemos recursos para leer hasta 2 millones de líneas del IRC a pelo.

Eran expertos informáticos porque usaban encriptación y redes wifi, algunas hasta de vecinos: Sin comentarios.

Son anónimos de verdad, ha sido muy difícil llegar a ellos: de eso se trata.

Denominan cúpula a los 3 detenidos porque son los administradores del chat: Sin comentarios.

Todas las grandes empresas tienen un departamento de Seguridad: Sin comentarios.

Muchas empresas y organizaciones para protegerse contratan otras empresas para contratar más ancho de banda y evitar que le hagan un DDOS: Sin comentarios.

Se está investigando la extracción de datos personales: Aquí cabe preguntarse, si cualquiera de los 3 detenidos hubiera accedido a cualquiera de las decenas de sitios con datos personales comprometidos de grandes empresas que hay en la actualidad, y tendría guardada una copia de pastebin o un torrent descargado con esos datos, ¿sería delito?.

EXTRA:
-Pantallazo publicado por la policía enseñando algunas herramientas que usan en sus investigaciones.
-IMAGEN del material incautado: Revista @rroba, routers, máscara de Guy...
-Comunicado de Anonymous en respuesta a estas detenciones.
-Uno de las mejores artículos que he leido de lo ocurrido, y casualmente no es de ningún medio español pero sí de una periodista española.
- Así actuo la Policía para identificar a los supuestos líderes.

Horas después de esta rueda de prensa, la página web de la policía era víctima de un ataque DDoS, algo muy previsible según el CCN-CERT. Anonymous también publicaba un video aclarando conceptos.

Clickjacking y sígueme en twitter

2011-06-01T21:18:00.008+02:00

Ayer twitter publicaba la disponibilidad del nuevo botón "Sígueme".

Dicho botón permite de una forma sencilla que cualquier sitio web lo incluya y permitir así poder hacerse seguidor sin necesidad de ir al sitio de twitter. Se trata de una poderosa herramienta para establecer una conexión más profunda con su público, o con cualquiera.

Por otra parte Clickjacking es un tipo de ataque que se basa en el uso de capas transparentes para hacer que un usuario haga click en un botón o enlace de una web de nuestra propiedad mientras el usuario piensa que hace click en otra parte. Pues bien, a las horas de publicarse el famoso botón de twitter, un investigador de seguridad francés, ha liberado una prueba de concepto (POC) de la vulnerabilidad en el botón de twitter.

Se basa en lo siguiente:

Configura el iframe totalmente invisible a través de CSS
Captura el evento mouse
Cuando el usuario mueva el ratón, mueve el iframe del botón de twitter para que siempre permanezca bajo el cursor.
Si el usuario hace click en cualquier parte de la página, automáticamente seguirá la cuenta.

Como en el momento de probarlo no estaba disponible la página de test, he creado esta para comprobar el funcionamiento.

Esta es la petición HTTP que generá y le devuelve el OK.

Pero aún así, no todo va de seguidores, el peligro que tiene dicha vulnerabilidad es que de esa forma, sin necesitar la precondición de estar logueados, nos pueden llevar a cualquier sitio sin nuestro conocimiento. Compruébalo.

Breve repaso a las webs de los principales partidos políticos de Navarra

2011-05-17T13:50:00.011+02:00

Estamos en plena recta final de la campaña electoral, echemos entonces un rápido vistazo a las webs de los partidos con más opciones de lograr representación Parlamentaria en Navarra y veamos que nos dicen de ellos:

UPN: Su página web para la presente campaña es http://www.upn2011.es. Todo apunta a que usan la última versión de wordpress, 3.1.2. Por lo que parece que estan muy concienciados con la seguridad. Además está sobre un servidor Apache/2.2.16 con S.O Debian y para su alojamiento cuentan con empresas de la propia comunidad Navarra.

NA-BAI: Su página web http://www.nafarroabai.org está realizada sobre PHP, a simple vista no se ve un framework claro sobre el que esté basada, pero ¡tiene frames!, una etiqueta ya obsoleta. Esta sobre un servidor web apache 1.3.34 y S.O Debian. También usa empresas Navarras para su alojamiento.

PSN-PSOE: Su página web http://www.psn-psoe.org. Está realizada con tecnologías .NET y por lo tanto alojada en un servidor web Microsoft IIS 6.0. Por supuesto también cuentan con empresas Navarras para su diseño y alojamiento.

PP: Su página web http://www.ppnavarra.es realizada sobre un wordpress 3.0.1 y alojada en un apache 2. No están muy concienciados con la seguridad al usar una versión tan antigua y con fallos de seguridad. Los datos públicos apuntan a que usan empresas de fuera de Navarra para sus servicios web.

Bildu: Su página web http://bildu.info está realizada sobre Wordpress 3.1.1 y se encuentra sobre un servidor Apache. Los datos públicos de alojamiento muestra que usan servicios de fuera de España para alojar su página web.

Izquierda-Ezquerra: Su página web http://www.izquierda-ezkerra.org es la única que muestra el logotipo de licencia CC y con un mensaje en su pie de página informando que usan tecnologías de Software libre para el desarrollo de su web. Concretamente PHP 5.2.6 sobre un Servidor web Apache 2.2.9 y S.O Debian. Usan empresas Navarras para el diseño y alojamiento de su web.

CDN: Su página web http://www.cdn.es también realizada con tecnologías .NET y sobre servidor web Microsoft IIS/6.0 al igual que PSN, también usa empresas de Navarra para la creación y alojamiento de su web.

Fuente de la imagen

Como nota informativa indicar que es muy importante mantener actualizado el software que se usa para el diseño y publicación de páginas web. En los ejemplos anteriores hay casos vulnerables. Otro punto a destacar es las noticias que podemos ver en la prensa sobre hackeos hechos en páginas web de partidos políticos, algunos muy llamativos pero con errores muy graves de comprensión por parte de los periodistas. Para empezar hackeos no es la palabra correcta, sino defacement. Para lograr un defacement hace falta tener acceso al servidor para modificar contenido directamente en él. En varias ocasiones la prensa ha llamado de forma errónea hackeos a fallos de programación o falta de validaciones que dejan vulnerabilidades conocidas como XSS, que son fallos de la aplicación que permiten realizar montajes sólo visibles en tu navegador, pero sin modificar nada en la página web afectada. Para finalizar, indicar que los defacements es una vieja práctica pero que hoy en día apenas se estila, solo algunos grupos reivindicativos y script-kiddies hacen uso de esta técnica. Una práctica más extendida hoy en día y menos llamativa es comprometer los sitios web el mayor tiempo posible sin ser descubierto. No es el caso de ninguno de los anteriores, todavía.

Se podría realizar otro análisis del uso que hacen de las redes sociales cada partido político o la optimización SEO de sus sitios, pero eso queda para los expertos que quieran analizarlo. Para realizar este breve análisis se ha usado la inócua herramienta whatweb en modo pasivo y consultas públicas a registradores.

¡¡Felíz día de Internet!!

UPDATE [18-5-11]: Influencia de los partidos y candidatos en twitter.

DEFACEMENTS
[19-05-11: 13:19]: Pagina web del PP de Aragón (captura)

Seguridad en grandes y pequeñas empresas

2011-04-27T00:32:00.002+02:00

Ya comentaba en un artículo anterior lo de hbgary, pero es que el ambiente en Seguridad los últimos meses está muy, muy caliente:

El ataque a los servidores de RSA y el consiguiente robo de información.
El ataque a los servidores de la Agencia Espacial Europea y la publicación de sus usuarios y contraseñas. Casualmente días despues había una vacante de "Head of the Information Systems Division".
IEEE, la mayor sociedad profesional tcnológica del mundo, fué víctima de un sofisticado ataque que dejó al descubierto información personal y de tarjetas de crédito de unos 800 miembros.
El owned que unos adolescentes hicieron a uno de los proveedores de cloud-computing
El acceso indebido a servidores de Epsilon y consiguiente publicación de miles de datos personales.
Barracuda, una empresa de Seguridad que entre otros productos ofrece WAFs, fue atacada en el momento justo que hacían mantenimiento en su propio firewall de aplicación. Consecuencias: listado cuentas de correo y passwords de empleados.
Y el último y más sonado escándalo de Seguridad tanto por el número de usuarios víctimas del robo de información (70 millones) como por el prestigio de la empresa afectada: Sony. En el cual los rumores, aunque son solo eso, rumores, apuntan a algo tan básico como la no segmentación de diferentes tipos de redes. (Actualización 3-5-11: Más datos sobre el incidente)

Y así podríamos continuar, tan sólo hay que seguir las noticias de Dataloss DB, un proyecto que documenta y publica todas las brechas de seguridad ocurridas y que exponen pérdida de datos en todo el mundo. Este proyecto existe porque en EEUU 35 estados tienen una legislación sobre la notificación de pérdida de datos en empresa privada y del Gobierno, es decir, si ocurre un incidente que pone en peligro los datos de los usuarios hay que notificarlo a un organismo central para su publicación e información de los usuarios que puedan ser víctimas potenciales.

Sí todos los incidentes anteriores ocurren en empresas de ese tamaño y sector en las cuales el cumplimiento de las medidas de seguridad adecuadas y concienciación debieran ir en el ADN de la organización, ¿que ocurrirá en las PYMES?, aquí, tan sólo teneis que fijaros "un poco" cuando tengais oportunidad. Desconozco si la LSSICE o LOPD obliga a ello, pero me alegraría ver un proyecto similar a Dataloss DB orientado a España.

Algo de perspectiva, no eres tan importante como te crees

2011-04-22T20:47:00.004+02:00

Es duro de aceptar, pero a una escala galáctica no existes. Formas parte de una mota de polvo suspendida en un rayo de sol. La tierra no es más que un pequeñísimo grano que forma parte de una vasta arena cósmica. Impresionante eh? :-)

Esta es la perspectiva que te da este resumen del clásico COSMOS de Carl Sagan:

No recuerdo como me enteré pero, desde que ví el primer DVD que regalaba Diario de Noticias todos los domingos dentro de la colección sobre el universo de discovery channel, me enganché.

El primero que ví fué una versión remasterizada de COSMOS, del cual por cierto recomiendo el anterior video si es que no lo has visto. Los siguientes episodios eran de Stephen Hawking, el científico vivo más famoso del mundo, en los cuales habla de temas como; alienígenas y como serían morfologicamente y probabilidades de contacto, viajar en el tiempo, Stephen explica por qué sería imposible viajar en el tiempo hacia atras debido a las paradojas que se producirían, pero detalla diversas formas en como se podría viajar en el tiempo hacia adelante, en otro título habla sobre toda la historia del Universo desde el comienzo hasta como podría acabar. Los demás capítulos todavía no los he visto pero son igual de interesantes, sobre agujeros negros, la formación y muerte de las estrellas y unos cuantos más. En fin, una colección muy interesante y didáctica que te dejará con más preguntas que respuestas y que te permitirá además practicar inglés al estar en DVD.

Ver ese tipo de documentales te hará pensar en lo pequeños que somos a escala individual pero también en como estamos todos conectados, aliens incluidos. Todos estamos en el mismo universo intentando sobrevivir, así que, se bueno con los demás, se bueno y cuida la tierra, tu único hogar conocido hasta ahora.

Fotos del universo y artículo original del cual surgió la idea para este.

Extra: Fascinantes fotos de la Tierra, cortesía de la NASA y ESA

Consejos para compañías que usan servicios en la nube

2011-03-22T10:22:00.009+01:00

Para quien no lo sepa, este artículo de arstechnica resume a la perfección de como la realidad supera a la ficción. Es lo que le ocurrió a una compañía de Seguridad digital, por anunciar que harían una presentación en una importante conferencia de seguridad, de los entresijos y miembros del grupo Anonymous. Esa compañía de seguridad, contratista del gobierno de los EEUU, ya no existe tal y como era. Las lecciones aprendidas sirven para cualquier compañía actual, y en especial a las de seguridad (por eso de: "en casa de herrero cuchillo de palo"). Aunque mi experencia me dice que la tecnología, recursos y políticas existen, pero es cuestión del usuario/admin concienciarse y hacer uso de ellas.

(stand vacío en la conferencia RSA 2011)

Lo que el grupo anonymous nos enseño con lo que le hicieron a esta compañía fue:

No tengas el correo corporativo en la nube. Por mucho SLA que exista, el servicio de atención al cliente en la India no será efectivo cuando estes en un aprieto.
Habilita la autenticación por 2 factores. No es algo infalible, pero se trata de una capa más. Si esta compañía lo hubiera tenido activado, el grupo anonymous solo disponía de uno de los factores.
Habilita la restricción por IP para las partes de administración de tus servicios web. Si tus credenciales han sido comprometidas, todavía no podrán acceder al panel de administración de tus servicios.

Estas lecciones están extraidas del artículo Hbgary's Hoglund identifies lessons in Anonymous hack, pero yo añadiría un par mas:

Habilita la firma digital por defecto en tu correo corporativo. De esta forma, siempre que te comuniques por correo, la otra parte sabrá que efectivamente eres tú el que lo hace, y no un suplantador. Además cuando necesites cifrar información sensible, se lo estarás facilitando a la otra parte, y de paso, dificultando a quien pueda tener acceso indebido a dicho correo.
No reuses contraseñas entre los diferentes servicios. Usa un gestor de contraseñas y olvídate de ellas.
Usa contraseñas muy complicadas para servicios de administración sensibles. El consejo del anterior punto, te permitirá hacer esto de forma sencilla.
Y por último, no intentes desafiar al grupo anonymous.

La ironía de todo esto, como dice el maligno, es que todos esos consejos es lo que vendían, entre otros servicios, y que cuatro criajos con demasiado tiempo libre les ha enseñado una cruel lección en su terreno.

¿Por qué no uso el buscador BING

2011-03-03T11:40:00.002+01:00

y sí Google?

Prototipo para revisar sitios web en busca de código malicioso

2011-02-14T19:49:00.003+01:00

Ya tengo una mínima parte del prototipo de mini-servicio que tenía pensado. Tras ver continuamente en los foros de malware a webmasters y desarrolladores preguntando porque sus sitios web habían sido bloqueados por Google, compruebo que la dinámica es muchas veces similar. He juntado diversos casos de uso de código malicioso inyectado en sitios web (análisis estático), y junto con mi lento aprendizaje del framework django, estoy creando este pequeño servicio que pondré online en cuanto esté listo.

Se trata de un servicio orientado al usuario normal, desarrolladores o webmasters, por lo que se trata de presentarle una interfaz limpia y sencilla para revisar su sitio web:

En caso de que el sitio web no contenga nada sospechoso, mostrará este aviso:

En caso de que el sitio de algún error por cualquier motivo, mostrará este aviso:

En caso de que el sitio contenga código sospechoso, mostrará este aviso:

En caso de que el sitio haya sido víctima de los spammers, mostrará este aviso:

Se trata de que cuando alguien se encuentre con ese mensaje de Google de sitio bloqueado, pueda saber de un vistazo que es lo que le ocurre a su sitio web para que haya sido bloqueado. O también para que en cualquier momento, se pueda revisar si un sitio web contiene algo sospechoso.

Las fechas están falseadas. Esto es solo el principio, falta mucho más, como páginas de enlace que den más información sobre los resultados. Enlaces con las urls maliciosas encontradas para investigar los tipos de ataques, opcion para escanear todo el sitio y no sólo la url que se le pasa... , testing, mucho testing, y aprender mucho django y python. Cualquier idea más o colaboración será bienvenida.

Más control en la privacidad de tus datos con Firefox

2011-01-27T14:00:00.001+01:00

Hoy es el día de la privacidad de datos en Internet. El modelo de negocio imperante en la red es la publicidad, una publicidad cada vez más segmentada en relación a la navegación del usuario, recopilando todo tipo de información sobre nuestra experiencia online para ofrecernos una publicidad totalmente adaptada a nuestro pérfil. Firefox lleva años tratando la privacidad de sus usuarios de manera muy seria, es por ello que dispone del poderoso plugin ADblock Plus, y Ghostery entre cientos más, y liderando la privacidad en geolocalización.

Ahora Firefox va un paso más allá con una nueva propuesta denominada "“Do Not Track". Aunque ya existen plugins con funcionalidad similar, lo que se trata es tener de serie en el navegador Firefox, una opción (a través de una nueva cabecera HTTP) que indique a todos los sitios web por los que estamos navegando, nuestro rechazo a que nos muestren publicidad basada en la información que han podido recopilar previamente, tal y como se muestra en la imagen inferior.

Aunque no se trata de una solución completa, es gratificante ver como Firefox, el navegador Open Source más famoso, lidera esfuerzos para proporcionar nuevas herramientas que permitan a los usuarios disponer de un mayor control de su privacidad en Internet.

Cómo defenderse de ataques de denegación de servicio o DDoS

2011-01-10T07:11:00.002+01:00

Los ataques DDoS vienen produciéndose en la red desde 2001 que se tenga constancia. Pero es con Wikileaks cuando alcanzan su mayor de éxito fuera de la red.

Cualquier organización, empresa, fundación o particular que disponga de un sitio en Internet puede ser objeto de un ataque DDoS, unos con más posibilidades que otros, pero ¿cómo es posible defenderse ante un ataque de denegación de servicio o DDoS?. Básicamente hay dos opciones principales, si optas por la difícil, es decir, disponer de tus propios servidores web para tener un control total de tus sitios, tendrás que disponer de personal competente para manejar estas situaciones junto con buenos sistemas de monitorización para detectarlos, y deberías considerar al menos:

Implementar mod_security en el servidor web o como un proxy inverso para bloquear las peticiones directas al servidor web. Mod_security es capaz de eludir algunos ataques comunes de aplicación, y habilita un mejor análisis de ataques después de que hayan ocurrido.
Cachear contenido usando un proxy inverso como Squid, nginx, o varnish. Una cache agresiva es una buena defensa contra pequeños ataques de HTTP GET y también ofrece protección contra ataques específicos de apache, como slowloris.
Optimizar al máximo las configuraciones de conexiones máximas en los servidores usando herramientas de test de carga si el sitio puede ser proclive a ataques DDoS.
Usar plugins de cache específicos de sistemas CMS para reducir la carga del servidor en periodos de un gran tráfico legítimo y durante ataques. (ejem wp-cache)
Crear una versión HTML estática del sitio para mostrar mientras se migra el sitio a otros mirrors.
Dejar las búsquedas a proveedores como Google u otros, dadas las vulnerabilidades en búsquedas de ataques de aplicación.
Restringir de manera severa el acceso el acceso a los servidores por parte del equipo que los administra. Y asegurarse que el acceso a ellos se hace a través de máquinas limpias. (las credenciales de acceso a tu sitio las pueden robar)
Establecer algún tipo de relación con administradores de red de grandes ISPs, o intentar llegar a algún tipo de acuerdo de colaboración.
Implementar una estrategia de recolección de logs para permitir un análisis post-ataque.

Si optas por la sencilla, es esta, una plataforma hospedada en blogger. :-) o en cualquiera de los servicios en la nube de grandes corporaciones, ahora veremos por qué.

Existen varias clases de ISP, los ISPs de nivel 1, son organizaciones que se conectan directamente a otras mayores redes. No son clientes entre sí, sino que intercambian tráfico sin pagar por ello. Las ventajas de ser un ISP de este tipo son muchas, pero sólo está al alcance de aquellas que alcanzan a un gran número de clientes. Existen también ISPs de nivel 2 con algunas redes y que pagan por acceder a otras redes, mientras que los ISPs de nivel 3 pagan por todo el tráfico que tienen. La mayoría de ISPs son de nivel 2 o 3; algunas estimaciones muestran que sólo hay una docena o menos de ISPs de nivel 1.

Tradicionalmente, las compañías que mantienen sitios web son clientes de ISPs de nivel 1, 2 o 3 o de revendedores de servicios de ellos. Las compañías que mantienen sus propias granjas de servidores pueden contratar a uno o más ISPs de nivel 1 para asegurarse caminos redundantes hacia sus servidores. Sin embargo el panorama está cambiando dado el incremento de los sitios populares como Google/Youtube, que son responsables del 6-12% del total del tráfico de Internet. Google posee grandes cantidades de cable de fibra óptica conectada directamente con ISPs de nivel 1. Este tipo de acuerdos tiene sentido para ISPs de nivel 1 porque sus clientes demandan acceso rápido a los servicios de Google, y es ventajoso para Google porque no pagan costes de tráfico. Además, estan las grandes redes de cache distribuido, de tal manera que un usuario que solicite la página cnn.com desde España obtenga el contenido desde un servidor en España en lugar de EEUU. Las grandes redes de cache distribuido como Akamai son responsables del 20% del tráfico total de Internet.

Cuando alguién se refiere al "core de Internet" está hablando de ISPs de nivel 1 y algunos ISPs grandes de nivel 2 junto con algunas de las redes más grandes de distribución de contenidos. Los grandes servicios como Google y Amazon están conectados directamente con ISPs de nivel 1, esto significa, que a parte de los recursos disponibles, también disponen de equipos de profesionales dedicados única y exclusivamente a la seguridad de sus redes.

Así que ya lo sabes, si quieres protegerte de ataques DDoS, lo más sencillo es alojar tu contenido en blogger o considerar los puntos anteriores en caso de ir por libre.

Información extraida del Informe 2010 Report on Distributed Denial of Service (DDoS) Attacks.

Extra: Presentación de la BlackHat sobre ataques DoS.

Extra: Ver también el concepto de TIER.

Un año menos

2010-12-31T17:54:00.015+01:00

Este blog cumple un año este mes desde su primer post, y como siempre, estas fechas son de mirar hacia atrás, meditar, y pensar en el futuro. Se termina el 2010 y es un año menos que tenemos para poner en marchar esos proyectos, ideas, o pequeñas metas que nos vamos proponiendo, así que... ¡aprovecha el tiempo!. Echaré la mirada atras para ver un 2010 resumido, y meditar sobre que será el 2011:

Trabajo en algo, que como dicen por ahí; nuestros padres nunca hubieran soñado. Con un equipo de un gran nivel técnico, y este año, pese a la situación actual, se han conseguido grandes resultados. Lo que convierten al 2011 en un año apasionante. Para mí, es todo un desafío formar parte de un equipo así.
Realizar presentaciones siempre ha sido algo que me pone un nudo en el estómago nada más oir esas palabras. Pero este año he aprovechado unas pocas oportunidades para ello, y el año que viene espero que unas cuantas más.
Este año obtuve la certificación CISA.
Descubrí (si lo hubiera sabido antes, lo hubiera hecho antes) que podía realizar el BSc(hons) vía online. Así que estoy cursando para sacarme el BSc(hons), inicialmente me faltaba sólo un año para conseguirlo, pero con la carga de trabajo actual, me lo voy a tomar con más calma.
El inglés sigue siendo la asignatura pendiente, pero no desperdicio ninguna oportunidad de asistir a cursos ni practicar.
Finalice un reto deportivo, al menos uno al año hay que afrontar.
El verano es la época que más aprovecho para leer, necesito aprovechar mejor el tiempo antes y después de ese periodo para leer más.
He conocido a alguien en Internet con el que poder hacer pequeños proyectos y colaboraciones juntos. Es el precio que hay que pagar por tener una TV tan mala en este País, te obligan a buscarte otros hobbys. :D

Aquí os dejo un video apto para visualizar en estas fechas, y con un mensaje claro: "Wear Sunscreen".

¡¡ FELIZ AÑO 2011 !!

Comprueba si esa tienda online es de fiar

2010-12-21T19:48:00.010+01:00

Estaba buscando un regalo para estos días en esta web, y me resulto un tanto sospechoso que los precios fueran notablemente más baratos que en el sitio oficial. Aunque no vendría mal para mi bolsillo, no me gustaría arriesgarme y exponer mis datos o incluso que no llegue el pedido, así que busqué algo de información sobre ese dominio.

$ whois ghd-espana.net

Domain Name: GHD-ESPANA.NET
Registrar: HANG ZHOU E-BUSINESS SERVICES CO.LTD.
Whois Server: whois.eb.com.cn
Referral URL: http://www.eb.com.cn
Registrant Contact:
lucy zhang

mmm, un dominio y contacto de china. Por otra parte los datos del dominio oficial muestran lo siguiente:

$ whois ghdhair.com
Domain Name: GHDHAIR.COM
Registrar: GROUP NBT PLC AKA NETNAMES
Registrant:
Jemella Ltd
Unit 12, Ryefield Way
Silsden West Yorkshire
BD20 0EF
UK

No tienen nada que ver entre sí, y teniendo en cuenta que el producto es inglés no me muestra mucha confianza el sitio chino. Además, en el sitio oficial tienen un verificador de páginas web falsas

Así que ya sabes, si la web donde vas a realizar una compra no es muy conocida, realiza una verificación básica para ver por quién está registrada, y confía en tu intuición. Si los datos son anónimos tampoco debiera darnos mucha confianza. En fin, tendré que estirarme esta vez.

Webmaster, tu sitio ha sido comprometido y todavía no lo sabes

2010-12-09T14:14:00.006+01:00

O vendes cialis sin saberlo. Esta es una lista de más de 200 dominios que han sido comprometidos y sus dueños o webmasters que los administran todavía no lo sabían cuando se publico, ¿esta el tuyo en esa lista?. En la actualidad, la mayoría ya están corregidos.

Con el PoC urldigger también puedes comprobar si ocurre algo extraño en tu dominio pero todavía no lo sabes, por ejemplo algo como en este:

#urldigger.py -S http://www.misitioweb.com

Looking for SPAM in......http://www.misitioweb.com

Looking for SPAM in......http://www.misitioweb.com/?429/buy-windows-home-server

Looking for SPAM in......http://www.misitioweb.com/?4447/buy-windows-vista-home-premium

Suspicious SPAM!!! -------> http://www.misitioweb.com:8888/index.4810.php [generic viagra]

Lo normal sería ver en el código html directamente el spam, pero haciendo uso de técnicas cloaking, aparecían únicamente en las búsquedas, esta vez se trataba de un nuevo tipo de ataque que usaba los dominios comprometidos pero en diferentes puertos para campañas de SPAM. Esto hacía que el ataque pasará inadvertido para los webmasters el mayor tiempo posible. Fuente y detalles en unmaskparasites.

Como ya viene siendo habitual hace años, el año que viene no va a ser menos, y los ataques web seguiran siendo una de las tendencias del 2011.

Pero ¿cómo consiguen acceder a nuestros dominios para modificarlos?, de varias maneras:

1. Con vuestras credenciales de webmaster.

Lo anterior es una traza wireshark de este troyano, os puede llegar por múltiples vías, correo electrónico como una imagen a visualizar, programa descargado de p2p, url acortada en red social... Con tan sólo un click estaremos enviando todas las contraseñas guardadas en nuestro MSN, firefox, IE y gestor de sitios s/ftp filezilla a los malos. Y todo ello cortesía nuestra. Existen multitud de variedades de estos keyloggers, form-grabbing, ftp-manager-grabbing.

2. Vía vulnerabilidad en la plataforma de nuestro sitio web (wordpress, joomla, drupal...). Consultar el excelente material de el maligno sobre ello.

3. Vía vulnerabilidad en tu navegador o alguno de sus plugins para saltarse la ingeniería social e ir directamente al grano. Cuando hacen esto, se centrarán más en robar tus credenciales bancarias (troyanos bancarios, donde Zeus es el rey) que en otras, pero las otras (si cogen de sitios web o redes sociales), seguiran siendo útiles para seguir propagándose.

4. Si pierdes o te roban el portátil y usas filezilla, tendrán acceso a todas las contraseñas ftp de tus sitios. Evítalo protegiendo el sitemanager.xml

¿Conoceis más formas de que accedan a nuestros sitios web para modificarlos.? Dejarlas en los comentarios.

¿Y qué hacen una vez qué tienen acceso a nuestro sitio web?:

1. Te alojan SPAM de cualquier manera, ya sea como en el caso anterior intentado permancer ocultos a la vista del webmaster o de manera más llamativa.

2. Defacements: modifican tu sitio para vanagloriarse de su grupo o cualquier otro motivo más oscuro. Esto es más típico de los años 90, pero todavía sigue habiendo casos.

3. Tu web se convierte en una amenza para tus visitantes ya que contendrá exploits para instalar más troyanos en los equipos de tus visitantes, y continuar así el ciclo de infección. Ejemplo de código que podría tener tu sitio web. Y lo que finalmente ocurríra con tu sitio si contiene ese tipo de código malicioso será caer en listas negras.

Lo recomendable sería, a parte de mantener una buena política de Seguridad tanto en tu equipo local, como en las actualizaciones del software de tu web, realizar monitorizaciones de cambios inadvertidos en alguno de tus dominios, existen servicios profesionales avanzados y personalizados pero orientados a grandes sitios. Pero esto no quiere decir que nosotros, por muy pequeño que sea nuestro sitio web, no podamos aplicar alguna medida proactiva/reactiva, por ejemplo con un simple script para verificar el MD5 de nuestra página principal. Otra vía más avanzada es hacer uso del servicio de aviso de código malicioso en web de Google. De cualquiera de esta formas, si nuestro sitio ha sido modificado recibiremos un mail de aviso indicándonoslo, no tendremos que esperar a que sean nuestros usuarios quienes nos avisen, o a que Google nos bloquee el dominio. No hay excusa para que esto nos coja por sorpresa.

Día de la Seguridad Informática

2010-11-30T11:25:00.002+01:00

No sabía que existía este día, el "Día de la Seguridad Informática", nos vamos a quedar sin días en el año para todas las conmemoraciones que se hacen.

Hoy lo he visto por twitter, y únicamente quería compartir con vosotros el recurso de la "Oficina de Seguridad del Internauta". Se trata de un servicio del Gobierno Central y puesto en marcha por INTECO. En él, cualquier usuario de Internet tendrá a su disposición un teléfono (901 111 121) para cualquier consulta o problema relacionado con la Seguridad Informática. Un foro de Seguridad, y un asistente de Seguridad, y así como consejos y ayudas para desinfectar tu PC en caso de que sospeches de algo. En definitiva, ya no tienes excusas para mantener tu equipo a salvo de virus y otros intrusos no deseados y que tu comportamiento en Internet sea el adecuado para no ser víctima de ningún fraude online.

A mí me gusta Internet, pero una Internet Segura, ¿y a tí?. Aunque la otra, a veces también sea divertida para los que nos dedicamos a ello, no lo es tanto para las víctimas de esa Inseguridad. Por una Internet Segura.

Este sitio es una web atacante o visitar este sitio puede dañar tu equipo

2010-11-23T18:35:00.016+01:00

Seguro que los has visto. Tanto si eres un usuario habitual de Internet o propietario de algún sitio web o blog, apuesto lo que sea a que te has encontrado con algún mensaje de estos en alguna ocasión, estan por todas partes:

Aviso visual en navegador firefox

Aviso visual en el navegador chrome

De no ser así, te puedes considerar afortunado o quizá es que navegues con IE, en cuyo caso, el mensaje sería similar a este, pero esto es otra historia que ya comenté en su día:

Aviso visual en el navegador IE8

A lo que ibamos, para mí, lo interesante son las 2 primeras imágenes, ya que son la muestra visible que el usuario normal percibirá de la tecnología SafeBrowsing de Google, disponible para que cualquiera pueda hacer uso de ella, tal y como hace el navegador firefox y chrome. El caso es que cada vez, es más común tropezarse con pantallas de ese tipo, y de acuerdo a los últimos datos publicados por dasient, las estadísticas no son nada halagueñas. Estas información se puede resumir en que el ataque drive-by es el método más usado para distribuir malware. Y el origen de estos ataques no viene de sitios de dudoso contenido, sino de sitios web muy populares y conocidos, así como también de sitios de Gobiernos, universidades, etc.

El caso es que casi en paralelo a estos datos, se publicaron las charlas de la conferencia de Seguridad SecTor, entre las cuales podemos encontrar la interesante presentación sobre la infraestructura que hay detrás de SafeBrowsing, titulada: Google's approach to malware on the web. Vídeo de la misma charla

Los datos mostrados encajan con los publicados por Dasient tal y como se muestra en la siguiente gráfica:

pero con algunas matizaciones como que la Ingeniería social está relacionada con los drive-by downloads en tanto estos necesiten de un click para su descarga incluso aunque no se sepa donde se está haciendo click. Esto todavía encaja con la definición de drive-by download ya que no has dado tu consentimiento para descargar nada.(click para cerrar pero era un baner gigante con la única opción de aceptar, etc)

Una interesante presentación que merece la pena ver para comprender un poquito el chirinquito que hay montado tras la tecnología SafeBrowsing.

En un momento de la presentación, Fabrice, comento que las máquinas virtuales que componían la arquitectura que navegaba las urls en busca de ataques drive-by, estaba compuesta por máquinas vulnerables con Windows + IE, el público entonces estalló a carcajadas. Y luego hablan del humor inglés.

Actualización [3-1-11]: Recursos para actuar cuando te sale este aviso.

Seguridad con Firefox

2010-11-11T23:05:00.009+01:00

Esta es la presentación que hice en Fundación Dédalo, dentro de la semana de Software Libre, sobre Seguridad con Firefox. Se trató de una charla no muy técnica orientada al usuario medio con el fin de conocer algunas amenazas de la red y de cómo Firefox nos protege. Es una pena que no sea autoexplicativa, pero el resumen podría ser:

"Ningún navegador te va a proporcionar una seguridad Total en Internet. Tienes la libertad de decidir cual de todos se ajusta más a tus necesidades y usar siempre las versiones más recientes y con todos los plugins actualizados. Los malos están ahí fuera esperándote. Navega con protección. Todo ello aderezado con algunos ejemplos." ;-)

Una pequeña anécdota: en la misma sala donde estuve, hace unos meses Chema Alonso ofreció una presentación sobre Seguridad en navegadores Web, dejando a Firefox en no muy buena posición (¡¡será sectario!!) -desde el cariño y la admiración :-) -. Tenía por delante el marrón de hablar sobre Seguridad en Firefox con tal antecedente.

Firefox

View more presentations from Emilio Casbas.

Enlaces de spam y código desconocido en tu sitio web o blog

2010-11-03T18:41:00.001+01:00

Sí tu sitio web o blog ha sido comprometido, es posible que ni siquiera te enteres (los defacements ahora son solo para script-kiddies). Pero cuando tu ranking en los buscadores y las visitas a tu sitio bajen y disminuyan, o incluso alguien te avise de que tu sitio web no está disponible por qué forma parte de alguna lista negra. Entonces quizá sea demasiado tarde para actuar. Por ello, lo mejor es no perder el tiempo y empezar a limpiar tu sitio de iFrames o enlaces de spam que no forman parte de él.

Todas las buenas prácticas en Seguridad recomiendan mantener las últimas versiones del software en producción, Pero a veces esto no es suficiente. Ya que los atacantes pueden haber dejado puertas traseras para volver a acceder aún cuando hayamos actualizado el software. Estas puertas traseras pueden ser un directorio oculto que no será sobreescrito con una actualización, código insertado en un tema o CSS o simplemente creando una cuenta con permisos de administrador.

Recientemente me encontré con un caso de un sitio muy bien posicionado. La táctica de este tipo de ataques es que no es visible para los visitantes ni los dueños de los sitios web, a no ser que sean muy cautelosos. Pero si se puede percibir a través de la cache de google o de una búsqueda como "site:tusitio.com viagra". Este tipo de táctica se denomina cloaking. También muy conocido como pharma hack, ya que tu sitio se habrá convertido en una tienda de todo tipo de productos farmaceúticos para quién llegue a través de un buscador o para los bots. Y esto es muy común en sitios web no muy protegidos o con versiones antiguas vulnerables.

Veamos el ejemplo del sitio que comento. Al hacer una búsqueda en Google y pulsar sobre "Cache"

Imagen 1. Para preserver la intimidad del sitio

Podíamos ver esto:

Figura2

Si esta situación se mantiene durante mucho tiempo, tu sitio irá descendiendo posiciones en los SERPs y lo que es peor, podrá ser bloqueado.

Otra de las curiosidades de este tipo de ataques, es ver que otros dominios y recursos aprovechan. Concretamente en este, se está haciendo uso de recursos de las siguientes Universidades:

Como se puede comprobar, las Universidades son una gran fuente de recursos disponibles para dar cobijo a este tipo de tácticas. Una correcta administración y monitorización del sitio solucionaría en gran parte este problema.

En próximos posts, la solución para eliminar este hack de nuestro servidor.

Ten -todavía- más cuidado con las wifis abiertas

2010-10-28T08:00:00.001+02:00

Firesheep es un plugin de firefox creado por Eric Butler (361,264 descargas en 3 días). Fue liberado hace escasos días en la conferencia de seguridad TorCon. Su objetivo no era otro qué hacer un llamamiento de responsabilidad a todos esos sitios web que durante años han estado ignorando la seguridad de sus aplicaciones. Entre estos sitios se encuentran: Twitter, Google, Facebook, Amazon, Windows Live, Cisco y un largo etc que siguen.

El ataque qué demuestra Firesheep es sencillo de realizar usando las herramientas adecuadas y ha estado ahí disponible durante años; owasp top ten (el nivel de dificultad ahora debería cambiar), the WASC threat classification online , tanto la comunidad de Seguridad como los cibercriminales lo sabían. El peligro que tiene ahora, es que cualquiera, sin ningún conocimiento técnico puede robar sesiones de usuario en redes wifis abiertas.

Todos los navegadores de Internet son susceptibles a esta vulnerabilidad. La mejor manera de protegernos frente a esto es no conectar a ninguna WIFI abierta y hacer login en cualquier sitio con HTTP. Sin embargo sabemos que esto a veces no es viable, por lo que si estás conectado a una WIFI abierta y necesitas hacer uso de alguna red social o servicio con HTTP, hazlo con HTTPS; por ejemplo escribe https://www.twitter.com en lugar de http://www.twitter.com.

Firefox además te lo pone fácil, para que no tengas que recordar eso cada vez, puedes hacer uso de esta extensión HTTPS everywhere. En firefox 4 esta funcionalidad ya vendrá de serie.

Como comportarse ante el robo de identidad

2010-10-11T18:21:00.006+02:00

Hace unos meses comentaba la mala práctica de twitter de resetear contraseñas en casos legítimos de robo de cuentas. Lo cierto es que en casos de robo masivo de cuentas, no existe solución idónea, pero lo que hacía twitter era de risa.

Recientemente me he enterado de como facebook maneja este tipo de casos. Pongamos por ejemplo, Facebook ha descubierto el robo de 3000 cuentas de sus usuarios. El problema principal es de facebook, pero los demás servicios, en este caso proveedores de correo de las cuentas asociadas también están implicados indirectamente, por lo que todos deben actuar para corregir esa situación.

Los procedimientos de Facebook han mejorado hasta llegar a lo siguiente:

Una vez que descubren que una cuenta ha sido comprometida. Envían un mail de notificación, pero sólo de notificación, sin enlace.
La próxima vez que el usuario con la credencial robada intente hacer login en facebook, este le mostrará un mensaje indicando que su cuenta ha sido temporalmente deshabilitada.

A continuación entraran en un proceso de verificación para demostrar que ellos son los verdaderos dueños de la cuenta.
Una vez que lo demuestren, facebook les indicará como crear una contraseña robusta y les mostrará consejos de seguridad.

Esta cuestión, la de cómo resetear cuentas de usuarios que han sido comprometidas, algo que parece tan trivial, no lo és. Microsoft o Google no tenían procedimientos claros para casos así, y twitter nos demostró que sus procedimientos no son los correctos en la Industria de la Seguridad, donde siempre se le ha enseñado al usuario a desconfiar de enlaces de correos no solicitados. Esta vez Facebook ha ido un paso adelante enseñando a los grandes como actuar en casos de robo masivos de identidad, algo que por desgracia ocurreo más de lo deseado.

Otra característica de seguridad de Facebook notable, es como alguien comentaba que estando en un hotel fuera de su País, al hacer login en Facebook este le indicaba que usualmente no accedía desde esa IP y le pidio que como medida adicional identificase a alguno de sus amigos vía fotos. Nice!!

Procedimiento de Facebook para resetear cuentas de usuario

Dá lo mismo como lo hagas, te seguiremos robando

2010-10-03T21:57:00.003+02:00

El sábado pasado (25 de Sep), David Barroso aka lostinsecurity publicaba en el blog en inglés de S21sec una nueva variante de robo de credenciales de la banca online. El caso era novedoso hasta tal punto que ésta era la primera vez que se tenía constancia de un troyano capaz de saltarse sistemas de autentificación de dos factores.

Para explicarlo de manera sencilla, un sistema de autentificación de dos factores se basa en algo que tienes + algo que sabes. Lo solemos usar a menudo en nuestra vida cotidiana, por ejemplo cuando sacamos dinero con nuestra tarjeta del banco. Necesitamos la tarjeta + PIN secreto. En la banca online el sistema de autentificación de 2 factores funciona con la combinación usual de usuario/password + código vía SMS para realizar transferencias. El uso de un canal alternativo como el móvil evitaba que en caso de que nuestras credenciales hubieran sido robadas por un virus/troyano, los malos no pudieran completar la transacción al no disponer del código vía SMS; podrían conocer nuestros datos pero no tendrían el código enviado por SMS.

La doble autentificación es un sistema de seguridad que en España lo empezó a implantar la banca online en el 2009, actualmente muchas cajas y bancos se encuentran en procesos de implantación de este sistema para asegurar las transacciones de sus clientes, pero el descubrimiento del primer troyano capáz de recoger credenciales del PC y del móvil de su víctima para poder realizar la operativa online fraudulenta dejará en entredicho la justificación de la inversión en estos sistemas de Seguridad.

Curiosamente, el descubrimiento de la nueva variante de este troyano (Zeus/zbot) ha sido reflejado en las portadas de los principales medios online, por citar algunos ejemplos:

Gartner: SMS/OTP under attack - Man in the mobile

Financial Times: UK police arrest 19 over online bank theft

The Register: Zeus attacks mobiles in bank SMS bypass scam.

NetworkWorld: Zeus botnet has a new use: Stealing bank access codes via SMS

Cnet News: Zeus banking Trojan targets mobile phones too

SC Magazine: Mobiles uses by Zeus as SMS messages are used to deliver one time passwords.

pero apenas se vio ninguna referencia a esta noticia en ningún medio en castellano, a pesar de que este troyano se descubrió aquí y su objetivo eran únicamente entidades españolas. Posteriormente algunos sitios se fueron haciendo eco, pero muy tímidamente.

Ahora será cuando muchos CISOs y CIOs inmersos o no en la implantación de estos sistemas, se cuestionen su utilidad frente al desembolso necesario para su uso. Bien es cierto que sistemas similares como locuciones automáticas o reconocimiento de voz podrían utilizarse, pero da lo mismo la tecnología que se use. Mientras se sigan cometiendo estafas a través de una de las vías más seguras: ir al banco en persona a sacar el dinero. No importaran las medidas tecnológicas de seguridad que se implanten. Está comprobado.

Consultoría gratis para micropymes

2010-09-19T22:19:00.003+02:00

Como forma de celebrar la aprobación del examen CISA, voy a invertir una pequeña parte de mi tiempo libre en intentar aprovechar mi experiencia en sistemas, seguridad y Software Libre.

Cualquier empresa de Navarra, especialmente las micropymes, que son las más abundantes y que menos recursos cuentan, podrán plantear sus dudas, consultas o preguntas* acerca de los siguientes temas:

Soluciones de Software Libre en su negocio.
Problemas en sus sistemas (comunicaciones, costos, errores...)
Nuevas soluciones de comunicaciones
Concienciación en Seguridad (¿llevas tu portátil con documentos confidenciales sin cifrar?, ¿wifis abiertas?, uso de Internet... )
Soluciones económicas para disponer de presencia en Internet.
Cómo aprovechar plataformas y servicios gratuitos de Internet (antivirus, almacenamiento, publicidad...)
Consulta mi perfil en Linkedin o envía un correo para consultar cualquier otro tema en que crees podría servirte de ayuda.

¿Por qué?: Mejor competir por conocimiento que por costes. Hay que buscar soluciones a la crisis. Sí algo de mi experiencia sirve para mejorar, solucionar o encauzar algún asunto en la empresa, ella se beneficiará. Yo ganaré perspectiva.

¿Cómo?: Las consultas se puede realizar por 2 vías; correo electrónico o concertando una mini-reunión previa. Lo de mini es por que a nadie le sobra el tiempo, esta opción sólo será válida cuando sea imprescindible ver las instalaciones de quien consulta, posteriormente enviaré mi respuesta. Sí se hace por correo, en un plazo indicado dependiendo del tipo de consulta, enviaré mi respuesta.

¿Cuando?: Esta propuesta estará activa hasta el 31 de Octubre de 2010.

*Dudas, consultas o preguntas: Deberán ser lo más concretas posibles en relación al propio negocio que las haga. Es decir, no tiene sentido que una empresa pregunte: "¿Qué opciones de Software Libre existen para implantar en mi negocio?. Por contra, una consulta válida sería; tenemos 5 equipos en un dominio con un servidor Windows 2003 como servidor de archivos y reglas de acceso configuradas con diferentes perfiles. ¿Qué opciones hay de tener este entorno con SL?. Creo que se coge la idea. Preguntas concretas para soluciones concretas.
El límite de consultas por negocio seran 2.

"En los momentos de crisis, sólo la imaginación es más importante que el conocimiento". (Albert Einstein)

Mis libros del verano

2010-09-13T16:55:00.001+02:00

El recomendar lecturas más bien parece una tarea de inicio de verano más que de final, pero ahora también es un buen momento para ello, cuando vuelve a la tele la programación de nivel a que nos tienen acostumbrados. Estos han sido los libros que he leido este verano entre piscina playa y vacaciones:

Storytelling, la máquina de fabricar historias y formatear las mentes (Christian Salmon, 2008)

"De cómo se construye la imagen de la actualidad. Revelador en algunos puntos, denso y aburrido en otros"

La Buena Suerte (Alex Rovira Celma, Fernando Trías de Bes, 2004)

"Deseo e iniciativa como claves es algo que se puede extraer de esta sencilla y aleccionadora fábula."

Lo que no le enseñaran en la Harvard Business School (Mark McCommarck, 1984)

"Los dos sentidos; común y el del humor son claves en la empresa. Este libro está escrito en un estilo de confidencias totalmente prácticas de inicio a fin. Tratándose de un libro escrito hace más de 20 años, su contenido es de rabiosa actualidad, además se expone la forma en que se manejaban en la empresa antes de la era de la Información."
En defensa de antiguos libros

La conjura de los necios (John Kennedy Toole, 1980)

"Divertidísima y ácida novela con un protagonista comparado por algunos con Don Quijote. En muchos momentos no pude evitar reirme con las pomposas frases del protagonista."

Una breve historia de casi todo (Bill Bryson, 2005)

"Todo aquello que te preguntaste de pequeño y no tan pequeño sobre la Ciencia, tiene respuesta y diálogo en este libro."

Socialnomics (Eriq Qualman, 2009)

"Algún capítulo es muy básico, pero en general, contiene bastante información para que los responsables de marketing de las compañías vean el social media como la plataforma de comunicación del futuro donde las viejas reglas ya no aplican."

The Google Story (David A. Vise, 2005)

"Para tener una visión completa de como empezó todo, con datos e historias internas desconocidas por la mayoría."

He puesto a propósito un enlace a una review de cada libro en lugar de la página oficial o de un sitio de compra.

¿Cuales han sido tus lecturas del verano?

Sistemas -> Seguridad -> CISA ->

2010-08-23T07:00:00.003+02:00

Tras más de 5 años trabajando en el área de Sistemas, aproveché un Curso online para prepararme con el objetivo de conseguir la certificación CISA. Lo cierto es que simplemente el estudio merece la pena, aunque todo es teórico, si has tenido experiencia en el área, te da un enfoque y perspectiva diferente y complementa tus conocimientos técnicos con otros como gobierno TI, gestión y auditorías.

Hace unos días me confirmaron que aprobé el examen, por lo que ahora estoy en el segundo paso que es, enviada toda la documentación acreditando experiencia de más de 5 años en auditoría de sistemas, control o seguridad de la información, esperar la confirmación para continuar con el proceso hasta conseguir la certificación oficial CISA.

Actualmente trabajo en el área de Seguridad, una transición lógica, según dicen. Cada vez es más crucial darse cuenta de que el mejor defensor de cada uno es uno mismo, nadie va a exaltar tus virtudes ni te va a traer el trabajo de tus sueños en una bandeja de plata. Con esto en mente tendremos que hacer lo mejor que podamos en reconocer nuestras deficiencias y lo más importante, nuestros puntos fuertes. Nadie tiene un inventario de las habilidades que posees, y en Seguridad, un área tan extensa y fascinante, con tantas facetas que explorar, tendrás que asegurarte de encontrar un área que te divierta técnicamente, y seguir formándote de forma complementaria. Habrá que estar preparado para lo que pueda llegar.

Hasta mediados de septiembre estaré de vacaciones, pero a la vuelta, celebraré de forma algo inusual y útil, el haber aprobado el examen CISA.

TEST en Firefox REAL en IE8. WTF?!!

2010-08-19T08:00:00.003+02:00

Entre las múltiples características de seguridad del navegador firefox, se encuentran la protección contra el phishing y el malware. En su FAQ podrás aprender más en cuanto a su funcionamiento. Y si tienes algún problema con algun dominio web de tu propiedad, en este post podrás ver recursos para salvarlos.

El caso es que, Firefox tiene la siguiente url <http://www.mozilla.com/firefox/its-a-trap.html> harcodeada con propósitos de testear y probar la interfaz de warning tal y como se mostrará en los sitios con auténticos phishing y malware. Si continuamos, veremos que efectivamente se trata de una página de test.

URL harcodeada

Lo curioso de todo esto es que IE8, es decir Microsoft ha recibido informes de que este sitio contiene amenazas. WTF!!!, ¿De quién ha recibido esos informes?

El éxito de GNU/Linux y el Open Source

2010-08-09T00:15:00.006+02:00

¿Todavía piensas que el éxito de GNU/Linux llegará cuando esté instalado en más equipos de Usuario que MS Windows?

Ese pensamiento podría corresponder a épocas anteriores donde lo más importante era el PC y sus programas, pero ya hace tiempo que el mundo de la informática ha cambiado. Existen más vías para juzgar el éxito de GNU/Linux y el Open Source.

Estos son algunos titulares de esta semana pasada:

Actualización con noticias positivas sobre el Open Source

Cualquier empresa podrá tener su propia nube

2010-07-29T23:46:00.002+02:00

Existen, por supuesto, alternativas Open Source para cualquier software propietario actualmente. Pero, existe un desafío a día de hoy para crear el próximo sistema operativo GNU/Linux, navegador web Firefox y plataforma de móviles Android. ¿Y cuál es este gran desafío?; construir una plataforma Open Source para la nube.

Esto reza en la wiki de OpenStack respecto a su principal objetivo:

"Our goal is to produce the ubiquitous Open Source cloud computing platform that will meet the needs of public and private cloud providers regardless of size, by being simple to implement and massively scalable."

El software resultante de OpenStack se podrá ejecutar en hardware económico de cualquier tipo para que empresas de todos los tamaños, puedan tener así su propia nube y no depender de terceros. Se abren así interesantes vías de negocio para empresas que ganen expertise en esta tecnología: consultorías, implantaciones, integraciones. Estamos en el principio de una nueva tecnología de gran impacto.

E-books y recursos gratuitos para leer online

2010-07-19T15:26:00.007+02:00

Auto-apunte de referencia.

[1] Prensa y revistas online
[2] E-books de tecnología para consultar y/o descargar
[3] Los OpenBooks de O'reilly
[4] Eloquent Javascript
[5] Revisar sitios válidos de este post de spamloco
[6] Libros gratuitos sobre gestión y empresa

Se agradecen comentarios con más recursos similares, iré actualizando la lista conforme vaya encontrando.

Actualización [10-12-2010]: Lista de libros de programación disponibles de manera libre

Extreme Bardenas XIII (2010)

2010-07-05T08:00:00.010+02:00

Otro reto realizado, he disfrutado de un fantástico día en las Bardenas Reales -el desierto más grande de Europa- junto a 1500 bikers, el pueblo de Arguedas (donde tengo raíces) volcado en todos nosotros y una organización de 10. Pero todo el sufrimiento del cuerpo se ve recompensado con la satisfacción de participar en una de las pruebas más exigentes de Mountain Bike.

Subida al yugo Km 96 (el de la derecha)

Poco más se puede decir, mallo ha realizado una gran descripción detallada. Una de las cosas que más me gusta es el contraste de humor en el ambiente, los primeros KMs son siempre de buen ambiente, risas y bromas, luego llega un punto en que el silencio domina y cada uno, lleva el sufrimiento por dentro como bien puede, los últimos KMs son un auténtico cuadro de caras y cuerpos al límite. Mientras, durante todo el recorrido da tiempo a tener todo tipo de sensaciones; alegría, emoción, subidones, carne de gallina, temblores, bajones, ganas de retirarse, y llega ese punto en el que ya se convierte en una lucha mente VS cuerpo, pero finalmente, cuando consigues llegar a meta, siempre piensas lo mismo: el año que viene repito.

Los títulares de los periódicos los días previos y posteriores lo decían todo:

Y la clasificación final de esta edición, competitiva, no competitiva, que más da, cada uno es libre de ponerse al límite o no hacerlo.

Recopilación de fotos:

Tenemos un plan: Moderna Navarra

2010-07-01T23:46:00.003+02:00

El plan Moderna Navarra pone de relieve que la Comunidad Foral ya no puede competir por costes, sino por conocimiento. Se trata de una iniciativa conjunta del Gobierno de Navarra y con el impulso de las 2 Universidades; pública y privada, entre otros agentes políticos, económicos y sociales.

En los años 60, hubo en Navarra una transformación radical del tejido productivo navarro, cambiando de la tradicional economía agraria a la industrial. Actualmente, y este es uno de los objetivos de el Plan Moderna, el salto debe ser hacia la sociedad del conocimiento.

Algunas palabras clave en el libro del Plan Moderna son:

Implicación y participación de ciudadanos
Instituciones públicas/privadas abiertas, flexibles y transparentes (O-governement)
Diálogo social innovador
Sociedad del conocimiento
Mejora y ampliación constante de la educación
Vigilancia e inteligencia estratégicas
Codiseñar e integrar las innovaciones y desarrollos de otros
Espíritú emprendedor, innovadores, creativos
Inglés, internacionalización
Energías renovables, incremento de la innovación
Explotar las TIC para estar conectados sobresalientemente
Focalizarse en el cliente

Para la elaboración y desarrollo del plan moderna, se ha realizado fielmente siguiendo varios de sus principios; el más abierto, dando la posibilidad a cualquiera de dar su opinión en la construcción del futuro de Navarra, simplemente aportando alguna idea. Yo aproveché y aporte la mía.

La oficina desaparecerá como tal

2010-06-16T23:54:00.006+02:00

El otro día a raíz de una presentación Pecha Kucha que estaba preparando para el trabajo, publiqué este tweet:

Y hoy he leído el artículo "Goodbye to the office" de Seth Godin. En él expone ciertas características de pérfiles que podrían permitirse trabajar sin necesidad de ir a la oficina. Se ganaría en velocidad, productividad y felicidad, pero falla algo. Otro sitio de trabajo que no sea la oficina, cuando esto se solucione, la oficina morirá, explica.

Personalmente pertenezco a ese pérfil que podría trabajar desde casa, de hecho algún compañero lo hace algún día a la semana. El correo y una VPN con acceso OTP es todo lo que necesitamos para acceder a los servicios internos necesarios para desarrollar nuestro trabajo. Las ventajas del teletrabajo son numerosas para ambas partes, pero tambien existen desventajas. ¿SOLUCIÓN?

En mi opinión es sencilla. Ni blanco ni negro; gris, es decir; flexibilidad. Puedes tener lo mejor de ambas opciones. ¿Por qué no trabajar desde casa 1 o 2 días a la semana?, o simplemente, cuando tengamos necesidad de estar en casa por cualquier motivo, véase; reparaciones domésticas, hijos enfermos, gestiones... Al final, lo esencial es que los proyectos salgan y con calidad, no importa si desde casa, la oficina o cualquier otro lugar. ¿Qué opináis?

Actualización [6-12-2010]: ¿Por qué no se trabaja en el trabajo?

Detectar tendencias, spam y otras hierbas

2010-06-09T01:08:00.003+02:00

Es lo que estoy haciendo con una pequeño script que al mismo tiempo me sirve para aprender a programar en python, lo tengo como un pequeño proyecto personal. Con urldigger puedes ver las tendencias actuales de varias fuentes, extraer las URLs de las búsquedas de google y usarlas para lo que quieras, e incluso escanearlas en busca de spam y algún otro uso malicioso.

¿Por qué he creado esta herramienta?: Porque me gusta aprender practicando y es una buena forma de aglutinar todo en un sitio, y si al mismo tiempo a alguien también le sirve para algo aunque sea mínimo, mejor.

En las pocas pruebas que he realizado con ella, ha detectado por casualidad algunos patrones no deseados en varios sitios web.

Tú también la puedes probar como en este ejemplo. (los amigos de la UCLM han sido avisados varias veces pero parece que nadie se hace cargo de esos servidores más que algunos spammers de vez en cuando).

Entre muchas de mis áreas de interés, en relación a este tema puedes echar un vistazo a todo lo que me interesa. Me gustaría tener más tiempo para dedicarle, espero que cuando termine con el CISA y otros asuntos más, le pueda dedicar todo lo que me gustaría.

Los intereses de los trabajadores contra la política de Seguridad de la empresa

2010-05-14T00:17:00.003+02:00

Un informe de Trend Micro el cual incluía 1600 usuarios finales en U.S., U.K, Alemania y Japón, muestra que las prácticas y actitudes de riesgo en el trabajo son costumbres habituales independientemente del País.

Los usuarios están más preocupados por sus propios intereses que por la política de Seguridad establecida en su compañía. Estas actitudes generalizadas conllevan a:

Divulgar datos sensibles y privados de la empresa; a través de conexiones inseguras de correo, USBs, portátiles perdidos...
Desconocer el tipo de información que manejan y tienen acceso
Realizar tareas que nada tienen que ver con su trabajo en horas y con recursos de la empresa
Daño a la reputación corporativa

entre otros cientos más de amenazas. Todo esto no es nada nuevo. A nadie tendría que sorprenderle. Es la naturaleza humana, la mayoría de la gente va a estar más preocupada por sus intereses que por los de la empresa en la que trabaja. Sin embargo, las organizaciones parece que olvidan esto y no se preocupan por la concienciación en seguridad de sus empleados. Y las que lo hacen, en la mayoría de programas de concienciación lo realizan con un enfoque erróneo, basándose en lo que la gente no puede hacer, en lugar de en cómo se beneficiarían si lo hicieran correctamente.

En los tiempos actuales, estos programas de concienciación tendrían que ser una parte importante de las acciones internas en las organizaciones. No sólo en pro del buen gobierno corporativo, sino que, dada la tendencia alcista del fraude online, se hace necesario dar a conocer todo el entramado del crimen electrónico y no caer así, en suculentas ofertas de trabajo que le dan cobertura. En EEUU estas ofertas se ofrecen en los principales portales de empleo, es por ello que ahora el FBI está promoviendo campañas de concienciación sobre el peligro de aceptar esos trabajos.

¿Habeis participado en alguna acción de concienciación en Seguridad en vuestra empresa?, ¿conoceis la política de seguridad y buenas prácticas del sitio en donde trabajais?

Software libre en la empresa e Ideas

2010-05-09T23:52:00.002+02:00

El último informe presentado por CENATIC: sobre el estado del arte del Software de Fuentes Abiertas (SFA) en la empresa española. 2009 muestra interesantes datos a tener en cuenta en estos tiempos inciertos:

Falta de profesionales cualificados en tecnologías relacionadas con software de middleware y aplicaciones de negocio.
Para el 86% de las pymes encuestadas la falta de formación de los usuarios finales es la principal barrera a la adopción de tecnologías basadas en fuentes abiertas.
La Seguridad, la disponibilidad de soporte y el coste total de la propiedad, son los tres aspectos que más preocupan a los responsables de TI.
Las categorías que, según Gartner, ofrecerían un mayor beneficio al negocio son: software de virtualización, servidor de portales, software de testing, herramientas de desarrollo en dispositivos móviles, y herramientas verticales para sector público.
El SFA ofrece oportunidades en Europa para el desarrollo de nuevos negocios, así como la oportunidad de jugar un rol más significativo en la sociedad de la información.
Las primeras áreas en las que el SFA adquirirá un uso másivo por el gran público serán aplicaciones móviles y software social.

La encuesta realizada a las empresas españolas usuarias de SFA muestra que los productos más utilizados a día de hoy son; software ofimático, sistemas operativos, sistemas de gestión de bases de datos y servidores web. Las aplicaciones más vinculadas al core del negocio gozan de menor aceptación en el mercado.

Si en tu empresa existen dudas a la hora de implantar soluciones con Software de Fuentes Abiertas o tienes alguna idea de negocio alrededor de él, este informe te será de gran interés.

La concienciación en Seguridad no es sólo cosa de políticos

2010-04-27T07:10:00.004+02:00

El inicio del uso de las redes sociales por parte de políticos lo podríamos situar en 2008, cuando Barack Obama se convirtió en Presidente de Estados Unidos en parte gracias a su magistral uso de Internet. En el artículo "La era de las redes sociales", el asesor Antoni Gutierrez-Rubí indica que ninguna formación de nuestro país se ha dejado transformar de verdad por la cultura de la red.

En Navarra, esto empieza a no ser cierto. Fernando Ferrer (UPN), es un ávido usuario de los medios sociales hace ya tiempo, y en su BIO de twitter se puede leer que cada día aprende más de la web 2.0. Por otra parte, Roberto Jimenez (PSOE) hace poco ha empezado a usar twitter como "medio para escuchar a los ciudadanos". Este tweet suyo

me hizo pensar en que la Seguridad no es sólo cosa de políticos. Hace pocos años, la gente todavía se resistía a usar su nombre real en Internet, hoy en día compruebo como la gente se siente a gusto compartiendo su localización exacta en el Mundo. Los chicos del sitio PleaseRobme (Robame por favor) se hicieron eco de esto, y su éxito fue enorme.

El sitio de PleaseRobme mostraba tweets de gente indicando cuando se encontraban fueran de casa, o que estaban en casa (con la geolocalización ON) pudiendo relacionar así, direcciones y fechas de casas vacías entre otros jugosos datos. Recuerdo cuando mi abuela me enseñaba a no bajar las persianas cuando nos ibamos de vacaciones, para que los ladrones pensaran que estabamos en casa. Dulce ironía la de los tiempos actuales.

Al hilo de todo esto, el artículo ¿será FourSquare el próximo twitter?, te puede interesar.

Me parece muy buena la iniciativa de estos dos ejemplos en Navarra, veremos como siguen y si otras formaciones toman ejemplo. Y la concienciación en Seguridad que vaya más allá de los políticos.

Actualización (05-05-2010): Parece que la política en Navarra se anima en twitter.

Un correo legítimo de twitter maquillado como phishing

2010-04-17T13:50:00.010+02:00

Actualización(13-5-2010): Luis Corrons (Director técnico de PandaLabs) escribe sobre esto en el blog de pandalabs y en el de inglés, y la prensa inglesa se hace eco.

En mi correo llegan regularmente phishings de los cuales el 99.999999% de ellos o más se ve que son falsos sin ni siquiera abrirlos. Fallan en un concepto importante; no son de un banco o servicio del cual sea cliente.

Aunque lo anterior tampoco es fiable 100% a día de hoy. Ya que cada vez más, la banca online ofrece servicios de notificaciones incluso aunque no seas cliente. Recientemente recibí un mail de un banco del cual no era cliente, pero se trataba de una notificación real de ingreso en otro banco del que si soy cliente. Pero a lo que iba.

Hace 2 días me encuentro un correo de twitter informándome que han resetado mi contraseña, y me proporcionan un enlace para que la cambie. Me informan que mi cuenta puede haber sido víctima de phishing, uno de los 10 usos fraudulentos de twitter.

Parecía real, -por todo lo que veo en mi trabajo, hace que desconfíe más de lo normal-, pero el enlace era correcto: dominio twitter.com, cabeceras del correo correctas, y al pasar el puntero sobre el enlace adjunto, la dirección reflejada en la parte inferior del navegador no variaba. Aún así decido comprobar que, efectivamente, me han reseteado la cuenta. Por lo que intento hacer login en la página de twitter.com. Así es, mi contraseña actual no funciona. Así que utilizo ese enlace y me la cambio, pero. ¿por qué utiliza twitter este procedimiento?

La banca online y todos los servicios en Internet, nos han enseñado como usuarios, que nunca nos van a solicitar la contraseña o un cambio de la misma sin haberlo solicitado previamente.

Consejo de uno de los principales bancos de España:

"- Nunca atienda solicitudes de claves que le lleguen a través de correo electrónico."

De ser así, estarían dando soporte oficial al phishing, proporcionando más apoyo para las campañas de phishing actuales.

Pero ahora twitter, actúa de esta manera. Enviando un correo a miles de usuarios solicitándoles un cambio de contraseña. ¿Cómo va a poder un usuario normal diferenciar entre un correo legítimo de twitter contra un phishing medianamente montado?. Independientemente de que los usuarios ignoran todas las recomendaciones de seguridad, Twitter no está actuando en los términos correctos. Los esfuerzos de la industria de Seguridad en concienciar a los usuarios son en vano, mientras twitter siga utilizando esta práctica contraveniendo todas las normas de seguridad aprendidas, los usuarios cada vez estarán más confundidos.

Es la primera vez que me encuentro con un servicio en Internet que actúa de esta manera. Sabía que lo hacían así, ya que de esto hablé en la presentación "Seguridad en Twitter". Pero ahora lo he comprobado en primera persona.

¿Por qué creeis que Twitter actúa de esta manera?
¿Qué otras alternativas tendrían en vuestra opinión?

Disclaimer: Desconozco porque me llego ese correo, la única AAPP que uso es "hootsuite" un cliente de confianza.

Estudiante del mes en la BBC. Objetivo cumplido

2010-04-13T00:23:00.002+02:00

Ya comenté que el mes pasado iba a estar por el blog de la BBC como estudiante invitado. Cumplí mi objetivo.

Fue una agradable y motivante experiencia de practicar inglés. Mi profesora fué Nuala, la creadora de los famosos flatmates. En esta experiencia he descubierto que tras la web de la BBC hay un gran equipo de profesionales, y una gran comunidad de usuarios.

Como el inglés es mi asignatura pendiente y entre mis recursos online de inglés, solía usar la web de la BBC de manera ocasional, ahora lo haré más asiduamente; sobre todo la parte de los blogs donde realizan las correciones de estudiantes.

¿Por qué tu negocio debe estar en la primera posición de Google?

2010-04-07T00:52:00.003+02:00

¿Estas gastando más dinero en anunciarte en las páginas amarillas qué en marketing en Internet?, ¿por qué?, ¿tús clientes usan más las páginas amarillas que Internet?

Sí tu sector es tecnológico, esto no seran nuevas noticias para tí, pero si vendes productos al consumidor en un mercado local, y todavía piensas que el anuncio de dos colores que ocupa media hoja en las páginas amarillas es tu mejor estrategia de marketing, tendrías que pensar en reconsiderarlo.

Situación real: En tu piso nuevo, en alguna habitación decides poner un armario empotrado a medida. Realizas la búsqueda (armario empotrado ciudad), si realizas la búsqueda para Pamplona, sabrás donde lo compré. (tras comprobar varios más por recomendacion de ~~redes sociales~~ amigos por supuesto) :-)

Simplemente así, encontré lo que quería sin ni siquiera pensar donde tenía las páginas amarillas.

¿Tan irreal es realizar búsquedas en Internet del tipo?; "reparación de calefacción ciudad", "fontanero ciudad", "electricista ciudad", "cocinas a medida ciudad", "baños ciudad" cambia ciudad por tu zona de residencia y así podríamos seguir indefinidamente. ¿Dónde tienes las páginas amarillas en tu casa/trabajo, y el ordenador? ¿Qué opinais?

Este artículo es un pequeño extracto personalizado del original Why your business must be on the first page on Google?

La presencia en Internet y redes sociales junto con unas buenas técnicas SEO y una estrategia definida son claves para conseguirlo.

¿Por qué los usuarios ignoran todas las recomendaciones de seguridad?

2010-03-31T17:17:00.002+02:00

El magnífico paper "So long, And no thanks for the externalities: The Rational Rejection of Security Advice by Users" de Cormac Herley de Microsoft, lo expone claramente.

En el se examinan 3 áreas en las que la comunidad de Seguridad ha puesto grandes esfuerzos en materia de educación a los usuarios, pero sin grandes resultados:

Las reglas de una buena contraseña
La identificación de sitios phishing
Los avisos de certificados SSL

Las recomendaciones en cada uno de esos tres puntos son complejas y cada vez mayores. Los beneficios de seguirlas dudosos. Esto genera la siguiente ironía:

Muchas recomendaciones de Seguridad no sólo hacen más daño que el beneficio que generan (por lo cual se suelen ignorar) sino que hacen más daño que los ataques que puedan prevenir.

No son los usuarios quienes necesitan una mejor educación en los riesgos de Seguridad, sino, la comunidad de Seguridad.

Coste de un fraude financiero online

Mientras la "concienciación de los usuarios" es una de las mejores medidas para luchar contra el fraude online, el coste-beneficio de que lleven a cabo las recomendaciones dadas, no es favorable. Los costes y beneficios deben ser aquellos que importan al usuario, no aquellos que nosotros pensamos deben importarle.

Estudios con métricas anteriores y posteriores a campañas de concienciación podrían mostrar datos objetivos del beneficio real de seguir recomendaciones de seguridad.

En definitiva, dicho paper, da respuestas a todo aquel que se pregunta que falla en la concienciación de seguridad a los usuarios, y que líneas seguir para no caer en errores conocidos.

HoneyTech -empresa de concienciación- rebatiendo el paper

¿Cuáles son tus mejores hacks para la vida?

2010-03-30T00:59:00.005+02:00

En What are you best lifehacks y sssh comparte los pequeños secretos de tu vida, puedes pasarte unas cuantas horas leyendo desde trucos serios hasta sarcasmos usuales de sitios como reddit. Esta es una pequeña lista que he recopilado, me han parecido interesantes y divertidos.

¿Y para tí, cuales son los pequeños secretos de tu día a día?

Para estudiantes: Para aquellos que tengan que escribir un gran "paper" de investigación. Encuentra uno de referencia que pertenezca a tu tesis y usa las fuentes bibliográficas para encontrar nuevas fuentes.

Para los olvidadizos: Cuando necesites llevar algo al día siguiente, déjalo junto a las llaves del coche o la casa.

Prácticos: Memoriza lo que mide tu palmada. De esa manera no necesitarás una regla para medir pequeñas cosas.

Habilidades sociales: Ponte en tantas situaciones torpes como puedas, de esa manera te insensibilizaras y te hara más abierto.

Ejercicio sencillo para ganar pulsaciones: Cuando leas un artículo en tu navegador, activa la función de búsqueda (ctrl+f) y empieza a escribir el texto que estas leyendo. Con firefox o chrome, el texto que estas escribiendo simultaneamente se resaltará. Simplemente lee el texto resaltado, y siguelo escribiendo tan rápido como puedas.

Práctico: Nunca te tires un pedo cuando lleves auriculares.

Cargador de móvil: La próxima vez que lo pierdas, no compres otro. Ve a un hotel, y dí que te lo dejaste ahí. Es el elemento en #1 posición que se olvida en los hoteles. Los hay de todas las gamas inimaginables.

La compra de la semana: Cuando vayas al supermercado nunca lo hagas con hambre, come algo antes de ir.

Toallitas húmedas de bebe: No fueron inventadas por un bebe, fueron inventadas por un hombre, un hombre muy listo. Usalas.

Más energía: La cafeína tarda en empezar a hacer efecto entre 15-20 minutos. Cuando te sientas cansado, toma un cafe, echa una siesta de 15-20 minutos, y te levantaras despejadísimo y con energías.

Parking: Si aparcas en un gran parking, haz una foto con el móvil al número de localidad. Ahorraras tiempo buscando el coche.

Compra de coche: No te compres un coche en su primera generación. Casi siempre se usan para testearlos en el mundo real. La segunda-tercera generación son mucho más estables.

Servicios de atención al cliente: Quéjate de manera privada. Felicita de manera pública. ¿Cuantas veces has pedido hablar con un manager de soporte técnico cuando algo ha ido mal? ¿Y cuando algo ha ido bien?

Gente negativa: Mantente alejado de esas personas que irradian negatividad.

Positivo: Mantén un angulo positivo en todo. Ejem. Si una comida no te gusta, intenta sentir lo que hace que le guste a otras personas, céntrate en esa parte, y puede que empiece a gustarte. Esto se aplica a gran parte de las cosas (viendo la parte positiva de ellas y centrándonos en ello).

Lo importante: No te abrumes por las cosas que tienen poca importancia. A menos que te esten apuntando con una pistola, todo lo demas son cosas de poca importancia. ("Don't sweat the small stuff. Unless you are getting shot at, everything is small stuff.")

Emergencias: Cuando seas testigo de algún accidente y tengas que hablar con el 112. Las 4 Ps son la mejor forma de ser eficiente en una emergencia:

Posición
Personas
Problema
Progreso

Y en ese orden.
Ejemplo: Estoy en la Avda Navarra, núm 130. Pamplona. Hay un bebe, una mujer de unos 30 años y un hombre de alrededor de 50 años víctimas de un accidente de coche. El bebe parece que está bien, la mujer está consciente pero con una herida en el estomago. El hombre está inconsciente pero respira. No tiene heridas visibles. Hay un señor ayudando a la mujer aplicando presión en la herida.

Puntualidad: Siempre voy 10 minutos antes a cualquier sitio, no importa a donde; una vez que lo conviertes en hábito, no te estresarás por llegar tarde. Si algo inesperado te ocurriría, irías con tiempo!

Pon atención: Nunca deja de sorprenderme las pequeñas observaciones que suelo hacer de cualquier cosa, me fijo en los detalles. Las conexiones entre estas pequeñas cosas se empezarán a formar y de repente te verás sentado en una reunión y parecerás un gran líder porque fuiste capaz de encontrar la solución a cualquier crisis que os enfrenteis porque pusiste atención a los pequeños detalles que otros no detectaron.

Fill your bowl to the brim and it will spill.
Keep sharpening your knife and it will blunt.
Chase after money and security and your heart will never unclench.
Care about people's approval and you will be their prisoner.
Do your work, then step back.
The only path to serenity.

(Lao Tzu)

Un ESCRITOR valiente

2010-03-19T23:57:00.000+01:00

Hace meses que sigo el blog terceraopinión, me gusta ese vocabulario llano y rico que tiene para mostrar su opinión sobre temas actuales cada domingo.

Hace semanas, me enteré que había escrito una novela, "el bolígrafo de gel verde", y decidió tomar el camino difícil; publicarla y distribuirla el mismo. Su forma de escribir, y la valentía de escribir un libro sin ayuda editorial ni comercial, fueron los motivos por los cuales le compré el libro. Lo hice a través de su web, y el mismo me lo envío, esperando confirmación por mi parte de que me había llegado. En la contraportada figura lo siguiente:

Esta novela no ha sido galardonada con ningún conocido premio -ni siquiera con uno desconocido-, no ha sido nombrada en la lista de los mejores libros del año ni tampoco ha sido elogiada ni censurada por ningún crítico literario.

Nada más abrirlo, me encuentro con una dedicatoria:

Este post lo escribo para dejar constancia de un escritor a tener en cuenta, "Eloy Moreno". He tenido el privilegio de que me dedicará su primera novela. Os invito a disfrutarla como yo lo hice.

-¡¿Cómo que hicimos? ¿Cómo que estamos? ¿Cómo que hemos ganado?! - me cabreé un día, un día de esos en que te sale todo al revés, un día equivocado. Lo dije sin pensar, así de impertinente, así de maleducado lo expulsé, pero no paré, ya puestos...

-¿Ácaso tú recibes un sueldo de "tú" equipo?, ¿ćomo que hemos ganado? Tú no has ganado una mierda. Tú, ¿qué cojones has hecho para ganar? ¿Has jugado? ¿Has estado entrenando cada día? ¿Has cobrado un millón por partido? No, tú tan solo te has gastado el poco dinero que ganas comprando un diario deportivo que estira las noticias durante una semana y cuando no existen se las inventa, un diario "deportivo" que sólo habla de futbol. Tú sólo te has gastado el dinero comprando una entrada para ver el artido, una bufanda para lucirla y una camiseta que la venden por ochenta euros pero cuesta cinco. Los que de verdad han ganado han sido ellos, maldito ignorante -y ahí sí que acabé.

IV Semana de la Seguridad Informática (NAVARRA)

2010-03-12T14:15:00.001+01:00

La Fundación Dédalo para la Sociedad de la Información es una entidad sin ánimo de lucro que tiene como objetivo principal la promoción, el impulso y desarrollo de la sociedad de la información en el área geográfica de la Ribera (NAVARRA) , realizando para ello actividades en el ámbito de la ciudadanía, empresas, emprendedores y organizaciones.

Dentro de las actividades que realizan, se encuentra la IV Semana de la SEGURIDAD INFORMÁTICA, con el objetivo de concienciar e informar sobre el uso correcto de las nuevas tecnologías.

En esta edición impartiré la charla "Seguridad en twitter", el lunes 22 de marzo de 18 a 19. Salúdame si vas a estar por ahí. :-)

Agenda de la jornada.

Un error fatal

2010-03-03T18:25:00.022+01:00

Nervioso tras perder por un tiempo el control de la botnet, le hizo cometer el fallo que llevaría a su detención; conectar directamente al C&C desde su casa en lugar de a través de servicios de VPN anónimos como era habitual. Esa fue la clave para detener a Netkairo tras meses de investigación. Era el responsable de la botnet Mariposa, que controlaba 13 millones de ordenadores en 190 países.

Una operación bien organizada y con estrecha colaboración entre Guardia Civíl, empresas de seguridad informática y proveedores de Internet ha permitido la detención de los dueños de la red. Nada se sabe todavía de los creadores.

Algunos datos curiosos:

El informe técnico de la Botnet Mariposa muestra el entorno que permitió el análisis del comportamiento de los bots: Windows XP Pro SP2
No importaba el navegador usado: IE (6,7 y 8), firefox, chrome, opera. Disponía de módulos extras para cada uno.
Gran parte de los paneles de control estaban hospedados en el dominio sinip.es
trinka, alinfiernoya, pillaestenuevoya, eran algunos de los comandos de control de la botnet.
Los principales implicados en la investigación: Defence Intelligence y Panda labs provienen de diferentes ambientes. Mientras el origen de los primeros es la seguridad de la información, panda proviene de la industria de antivirus.
No lo he visto en ninguna noticia, pero intuyo que los ISPs involucrados han colaborado de manera estrecha facilitando todos los datos necesarios. Algo que suele ser muy complicado.
Ninguno de los tres arrestados hasta ahora, tenía antecedentes.
El primer arresto se produjo el 3 de febrero, los otros dos el 24. ¿No pudo avisar a sus compañeros o no quiso hacerlo?. ¿Empezó quizás una pelea interna por el control de la botnet.?
No tenían grandes conocimientos técnicos. Unicamente compraron y administraron la botnet. Esto pone de manifiesto el gran mercado negro de malware al alcance de cualquiera.
Las empresas afectadas llegan al 50% de Fortune 1000.
Discovered: September 29, 2009
Updated: September 30, 2009 8:32:32 AM
Also Known As: W32/Autorun.worm!a758e0e7 [McAfee], W32/Rimecud [McAfee], W32/Autorun-AUP [Sophos], ButterflyBot.A [Panda Software]
Type: Worm
Infection Length: 109,056 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
W32.Pilleuz is a worm that spreads through file-sharing programs, Microsoft instant messaging clients and removable drives. It also opens a back door on the compromised computer.
Currently, W32.Pilleuz has been most commonly referred to as the Mariposa or Butterfly botnet. [Fuente symantec].

Mariposa FAQ.
Comunicado oficial de la Guardía Civíl.
Información de PandaLabs
Mapa de Mariposa Botnet

Sin duda, un gran trabajo de la Guardía Civíl, Panda, y Defence Intelligence. ¡Enhorabuena!

En marzo estaré por el blog de la BBC

2010-03-01T00:14:00.007+01:00

En el post recursos online para aprender inglés, en primer lugar indicaba el sitio de la BBC como uno de los mejores que conozco para ello. Pues bien, entre los cientos de recursos que dispone, existe uno denominado Learning english blog. Se trata de dos blogs; uno de un estudiante, el otro de un profesor. Cada mes, eligen a un estudiante entre las cientos de peticiones que reciben, para escribir en el blog de la BBC, al mismo tiempo, un profesor asignado le corregirá y dará consejos para mejorar. En definitiva, se trata de algo así como un mes de clases gratuitas de inglés ¡con profesores de la BBC!.

Hace 2 meses que envíe mi solicitud y recientemente me la aceptaron, aprovecharon mi perfil tecnológico para testear la nueva plataforma de blogging que van a estrenar el mes de marzo.

Así que el mes de marzo estaré escribiendo también por el blog de la BBC. Espero divertirme mientras sigo aprendiendo inglés con uno de mis recursos favoritos en la red, y esta vez, participando activamente.

Resultados del primer desafío forense 2010 de honeynet

2010-02-22T19:44:00.002+01:00

Participé en el desafío forense con la intención de aprender de las soluciones ganadoras, así como de técnicas, herramientas y recursos utilizados. Los ganadores fueron; Ivan Rodriguez Almuina, Franck Guenichot y Tareq Saade sus soluciones se pueden conseguir desde el sitio del desafío forense. Mi enhorabuena por su trabajo, muy buen material para quien le guste ese campo.

Hubo 91 participantes, conseguí 18 de un total de 40 puntos lo que me dejó en el puesto 66.

Pongo a continuación las preguntas del desafío forense y hago una pequeña comparación de mis respuestas con las soluciones (a modo de auto-apunte de referencia)

1er desafío forense 2010

1. ¿Qué sistemas estuvieron envueltos en el incidente?

Herramienta usada: Wireshark

El atacante: 98.114.205.102

El honeypot: 192.150.11.111

Conseguí 2 puntos de 2.

2. Qué puedes saber sobre el equipo atacante (¿dónde está ubicado?)

Herramienta usada: http://www.maxmind.es

Conseguí 2 puntos de 2.

3. ¿Cuantas sesiones TCP tiene el archivo de red?

Herramientas usadas: tshark y wireshark

Aquí me complique un poco, ya que inicialmente pensé en paquetes y con

#tshark -z io,phs -r attack-trace.pcap_

saque estadísticas de protocolo y había 348 paquetes. Luego pense en una sesión como una sesión completa del 3-way-handshake y use un filtro en wireshark para mostrarlas: (tcp.flags.syn==1) and not (tcp.ack) = 5 sesiones

Conseguí 2 puntos de 2.

4. ¿Cuánto duro el ataque?

Herramientas usadas: wireshark

De nuevo use wireshark, a través del menú:

View -> Time display format -> date and time of day to show in human time

Viendo la hora de inicio del primer paquete y la hora final del último nos daba 16 segundos.

Conseguí 2 puntos de 2.

5. ¿Qué Sistema Operativo fue atacado?, ¿qué servicio?, ¿qué vulnerabilidad?

Herramientas usadas: tshark

Con tshark -r attack-trace.pcap_ frame.number == 14 -x

mostraba ese paquete en hexadecimal revelando un Windows 2000

El servicio vulnerable escuchaba en el puerto 445 el servicio de CIFS de Microsoft. Pero la respuesta correcta era: Servicio de Windows Local Security Authority (LSA) Remote procedure Call (RPC).

La vulnerabilidad únicamente dije que era de LSASS (Local Security Authority Subsystem Service). La solución en más detalle muestra que se trata de NETBIOS SMB-DS DCERPC LSASS.

Las herramientas que usaron en la solución fueron snort, y p0f. El uso de estas herramientas para extraer esos datos ya no se me olvida. :-)

Conseguí 3 puntos de 6.

6. ¿Puedes realizar un pequeño resumen general de las acciones realizadas por el atacante?

Herramientas usadas: Wireshark + ngrep + thsark

Aquí lo que hice fue ir cogiendo paquetes y describir lo que ocurría. Por lo que ví en las soluciones con algo más general, sin entrar al detalle valía. Y por supuesto realizando una correcta descripción de los hechos. Herramientas descubiertas: scapy, dionaea.

3 de 6 puntos

7. ¿Qué vulnerabilidad específica fue atacada?

Aquí, lo que hice únicamente fue especificar la vulnerabilidad lsass. Concretamente en la dll LSARSV.DLL. En la solución usaron scapy para hacer un replay del ataque a dionaea. Mejor ver la solución.

Conseguí 1 de 2 puntos

8. ¿Qué acciones realizaba el shellcode?

Herramientas usadas: tshark + ghex2

En este punto, lo más que me acerque fue al comentar la función vulnerable DsRolerUpgradeDownlevelServer y donde tenía el fallo. En la solución usaron el payload detectado en el punto anterior para volcarlo a un fichero y libemu proporcionó la información.

Conseguí 1 de 8 puntos

9. ¿Crees que se uso un HoneyPot como víctima vulnerable?

Muy, pero que muy interesantes las respuestas de la solución. Algunas como; el software atacado parece un honeypot dada la elocuencia de NTLMSSPP ( a través de un volcado de thsark ), tiene la pinta de ser un honeytrap ejecutándose en linux en modo mirror en el puerto 445.

Conseguí 0 de 6 puntos.

10. ¿Hubo algún malware involucrado?, sí es así ¿cuál es su nombre?

Herramientas usadas: foremost

Extraje el binario y use servicios de terceros para ver de que se trataba. La solución era más sencilla, únicamente comentando el archivo conseguido a través del FTP (ssms.exe)

Conseguí 0 de 2 puntos

11. ¿Crees que se trató de un ataque manual o automático?

Mi principal argumento para pensar que se trataba de algo automático es que el ataque fue muy rápido, y algunos patrones ( sin detallar ) así lo demostraban.

2 de 2 puntos

Cosas aprendidas: La parte más floja la relacionada con el shellcode y su análisis así como argumentar porque se trataba de un honeypot. Las pistas de cómo se comporta un honeypot ya las se para otra vez, ahora queda trastear con scapy y dionaea. Además descubrí unas cuantas herramientas que no conocía: rumint, PEiD, TrID.

A ver si me da tiempo a participar en el segundo desafío forense. Lo dicho, una muy buena oportunidad para aprender y descubrir herramientas.

Lo siguiente; la búsqueda social

2010-02-13T16:51:00.003+01:00

Hace 12 años, en la conferencia WWW se presentó el paper "Anatomy of a largue-scale hypertextual web search engine" en el cual Sergey Brin y Larry Page presentaron los algoritmos y arquitectura de Google. En abril de este año, Aardvark va a presentar en la misma conferencia el paper "Anatomy of a Largue-Scale Social Search Engine."

El paper bien merece una lectura detenida para comprender el contexto actual de las redes sociales y el potencial de información qué hay en ellas y no en modo texto cómo hasta ahora, sino en la capacidad de extraer e interpretar información de cada post de un blog, tweet, facebook, IM, pérfiles, etc. Todo ese contenido Aardvark no lo usa cómo fuente de respuestas que ya existen sobre algún tema, sino como indicador de los temas y expertise que un sujeto sea capaz de dar a preguntas bajo demanda.

El desafío en el motor de búsqueda social de Aardvark es encontrar a la persona adecuada que pueda conocer las respuestas que necesitamos, hasta ahora el desafío era encontrar la página o documento que satisfacía nuestras preguntas. Aardvark se basa en el modelo de conocimiento de pueblo, o algo así, donde la información pasa de persona en persona hasta encontrar a la persona adecuada que pueda responderte. Además, como en los pueblos, se usa un lenguaje natural para realizar las preguntas.

No se trata de algo que pueda desplazar a Google, -de hecho, mientras escribía esto me enteré que Google lo había comprado- ambos sistemas de búsqueda son muy complementarios. Lo interesante en mi opinión es la utilidad que se puede sacar a todo el contenido que se está generando actualmente en las redes sociales y la capacidad de extraer respuestas y conocimiento de él.

Lo llevo probando unos días. Por ahora sólo está en inglés y las preguntas tienes que formularlas, no basta con introducir algunos términos aleatorios. Hay que preguntar de manera natural. Sí, cómo algunos hacen en Google. :-)

Desafío forense: analizando una traza de red

2010-02-02T00:04:00.000+01:00

El proyecto "The honeynet project" tiene como finalidad estudiar las herramientas, tácticas, y motivos de los ataques de red y ordenadores, y compartir las lecciones aprendidas. Para ello, suelen fomentar concursos de análisis de ataques para descubrir técnicas usadas por los diferentes participantes y así enriquecernos todos. Hacía años que no organizaban concursos de este tipo, pero a raíz de un twiter de @lostinsecurity, me entero de que este mes empieza uno de ellos.

First Challenge of the forensic challenge 2010.

Se trata de analizar una traza de red que proporcionan, y responder a una serie de preguntas. Hay tiempo hasta el 1 de febrero. Se trata de una gran oportunidad de aprender, ya que después de invertir tiempo intentando descubrir que ocurrió y teorizando, tienes acceso a las soluciones ganadoras para comprobar cuan equivocado estabas en tus especulaciones.

Empezando

Lo primero que hago es descargarme la traza de red y comprobar el checksum.

ecasbas@laptop:~/proyectos/honey-forensics$ sha1sum attack-trace.pcap_.gz 
0f5ddab19034b2656ec316875b527d9bff1f035f  attack-trace.pcap_.gz

OK, es correcta. La descomprimo y la abro con wireshark para echar un vistazo general.

Algunos detalles llaman inmediatamente mi atención.

1. Sólo hay dos ips involucradas.

2. Observo algunas cadenas con intercambios de paquetes NTLMSPP. NTLMSPP es un protocolo de autenticación de Microsoft por lo que ya podemos intuir que el servidor objetivo es un Windows.

3. Hay algún paquete duplicado y otros con RST. Esto es extraño en TCP porque si falla, intentará retransmitir de nuevo. Algo no le ha gustado al servidor y ha finalizado la conexión, ¿o se trata de algún tipo de fingerprinting?

4. Lo siguiente que veo son múltiples conexiones con destino y origen protocolo SOCKS en el servidor.

5. En las últimas líneas, algo ocurre porque también vemos paquetes RST y un simpático mensaje de despedida.

Estos datos simplemente con un primer vistazo, en próximas entradas los veremos en detalle.

Cualquier otra interpretación de los paquetes es más que bienvenida.

Crawling sencillo con anemone (ruby)

2010-01-25T14:30:00.007+01:00

Anemone es una librería en ruby para extraer enlaces de sitios web (aka crawler), y poder realizar diversas acciones en ellos tan sólo indicando la URL principal. La descubrí a través del scanner whatweb.

Características.

Información y ejemplos.

Simplicidad y potencia, ejemplos.

Frontend de línea de comandos:

ecasbas@laptop:/var/lib/gems/1.8/bin$ ./anemone
Anemone is a web spider framework that can collect
useful information about pages it visits.

Usage:
anemone [arguments]

Commands:
count, cron, pagedepth, serialize, url-list

Ejemplo:

ecasbas@laptop:/#./anemone url-list http://www.wordpress.org
http://www.wordpress.org/
http://wordpress.org/
http://www.wordpress.org/extend/
http://wordpress.org/extend/
http://www.wordpress.org/about/
http://wordpress.org/about/
http://www.wordpress.org/showcase/
http://wordpress.org/showcase/
---------------cortado----------------

Ejemplo:

ecasbas@laptop:/#./anemone pagedepth http://www.wordpress.org
Depth: 0 Count: 1
Depth: 1 Count: 17
Depth: 2 Count: 6
Depth: 3 Count: 4

Más ejemplos en:

ecasbas@laptop:/var/lib/gems/1.8/bin$ ls /var/lib/gems/1.8/gems/anemone-0.3.0/lib/anemone/cli
count.rb cron.rb pagedepth.rb serialize.rb url_list.rb

Una característica que me interesaba, era poder indicar el nivel de crawling, por defecto no limita la profundidad del crawling. Para ello, anemone tiene la opción :depth_limit.

En el archivo:

/var/lib/gems/1.8/gems/anemone-0.3.0/lib/anemone/core.rb

Cambiamos:

  # by default, don't limit the depth of the crawl
      :depth_limit => false,

por

# by default, don't limit the depth of the crawl

:depth_limit => 1,

para que realice un crawling de nivel 1.

Uno de los pocos inconvenientes es que sólo consigue URLs del dominio solicitado, si este apunta a otro dominio diferente no lo sigue.

UPDATE (27-1-2010): Es posible que para URLs con HTTPS al ejecutarlas de un error similar a: /usr/lib/ruby/1.8/rubygems/custom_require.rb:31:in `gem_original_require': no such file to load -- net/https (LoadError).

Eso es debido a que no tenemos las librerias ssl de ruby, para solucionarlo bastará con:
sudo apt-get install libopenssl-ruby
o algo similar si tu sistema usa otro gestor de paquetes.

Cómo hacer un plugin para el scanner web WhatWeb

2010-01-15T00:31:00.009+01:00

WhatWeb es un scanner para identificar el software bajo el que funcionan los sitios web. Lo descubrí recientemente. Esta bajo licencia GPLv3.

Actualmente cuenta con unos 60 plugins para identificar diferentes sistemas. Echando un vistazo para ver los sitios que detectaba, ví que no tenía para sistemas opencms, tan famoso recientemente. Leyendo la documentación y a través de varios intercambios de correos con Andrew Horton, el desarrollador, he creado un plugin para detectar webs que se ejecuten sobre opencms. El objetivo era experimentar con esta herramienta, aprender, y de paso colaborar con el proyecto. En la próxima versión estará disponible este plugin. He documentado los pasos para tenerlos como referencia, o por si sirven para que alguien desarrolle nuevos.

Pasos para crear un plugin para WhatWeb, esta hecho para detectar sistemas "opencms", pero será similar para cualquier otro sistema:

1. Descargamos el software, lo desempaquetamos y vamos al directorio plugin-development. Creamos una carpeta "opencms" para guardar todo lo relacionado al plugin que vamos a crear. Buscamos ejemplos de webs que usan el mismo software para comprobar diferencias entre versiones. En la mayoría de proyectos CMS o similares, tienen un apartado para mostrar ejemplos de sitios web que lo usan, y creamos un archivo plano con todas las urls.

2. Estando situados en la carpeta "opencms" y con el archivo de urls que usan opencms, copiamos el script wget-list y lo ejecutamos con el archivo de urls como argumento.

#wget-list opencms-sites

con esto, nos descargaremos todo el html (extensión html) y cabeceras de las urls (extensión meta) qué se guardaran en archivos con el mismo nombre que su dominio.

3. Ejecutamos el script find-common-stuff en todos los archivos html.

#find-common-stuff *html 

en la salida podremos comprobar si hay tags comunes o cadenas entre "quotes" comunes. Si no las hay, no pasa nada, aunque llevará más tiempo, podremos buscar firmas leyendo el código HTML.

Revisamos manualmente evang.ro-hermannstadt.html y comprobamos que no es opencms sino TYPO3, lo borramos.

Leemos el archivo www.abfabini.ro-opencms-export-demosite-.meta y .html

y vemos que tiene un HTTP 404, o sea, no encontrado, lo borramos. Podemos probar a descargar el html manualmente.

#wget -O www.abfabini.ro.html www.abfabini.ro

y las cabeceras

#curl -I www.abfabini.ro > www.afbabini.ro.meta

Leemos el código html de www.abfabini.ro.html y vemos que sí es opencms porque tiene la siguiente línea:

4. Buscamos en www.abfabini.ro.meta para ver qué información ofrece.

#cat www.abfabini.ro.meta

HTTP/1.1 200 OK
Date: Sat, 09 Jan 2010 18:30:58 GMT
Server: Apache-Coyote/1.1
ETag: W/"12746-1170499050000"
Last-Modified: Sat, 03 Feb 2007 10:37:30 GMT
Content-Type: text/html
Content-Length: 12746
X-Cache: MISS from www.abfabini.ro

No se observa ningún patrón obvio.

5. Realizamos una búsqueda de la etiqueta "link href" anterior en todos los html para comprobar si la tienen los demas sitios opencms.

#fgrep '<link href ="/opencms/export/' *html

Sólo aparecen 2 sitios, no es mucho.

Vamos a ver cuantos sitios son realmente opencms:

#grep -l opencms *html

www.abfabini.ro.html
www.area.trieste.it.html
www.bionet-intl.org.html
www.bng-galiza.org.html
www.boersewien.at-.html
www.ccbh.net-.html
www.edgebox.net-.html
www.eu2010.es-.html
www.opencms.org-.html
www.paradine.at-.html

OK, vemos que una firma válida como la anterior coincide en todos esos sitios. Todas las demás páginas que no han salido en la anterior búsqueda, posiblemente no sean opencms, pero es muy difícil asegurarlo, luego veremos como.

6. La etiqueta anterior "stylesheet" dio buen resultado, vamos a chequear todas las etiquetas de este tipo:

#grep -i stylesheet *html

Observamos que hay cadenas comunes cómo:
/export/system/modules
/system/modules/

Las buscamos

grep -l export/system/modules *html

www.area.trieste.it.html
www.bng-galiza.org.html
www.boersewien.at-.html
www.eu2010.es-.html
www.opencms.org-.html

vamos a chequear las rutas de las hojas de estilo.

/ccbh/export/templateone/resources/navigation.css

/opencms/export/sites/default/dropdown.css

/export/system/modules/es.ieci.opencms.content/resource/styles.css

----salida omitida-----

las etiquetas de las hojas de estilo son muy variadas, algunas empiezan con:

<link type="text/css" rel="stylesheet" href="

y otras con:

<link rel="stylesheet" type="text/css" media="all" href="
<link href="/css/screen_ie6.css" rel="stylesheet"

etc.

7. Con esos datos podemos crear una regla para las hojas de estilo, por ejemplo:

Tiene una etiqueta "link"
La ruta contiene /opencms/ o /export/system/modules
La etiqueta termina con .css

Una expresión regular para este patrón quedaría:

/<link [^>]+ href="[^"]+(\/opencms\/|\/export\/system\/modules)[^"]+\.css"/

OK, ya tenemos un patrón, no es gran cosa, pero debería coincidir en la mayoría de los sistemas opencms.

Obviamente, cada web con opencms es muy diferente excepto en las rutas de los directorios, un vistazo rápido, nos revela que esas rutas también se usan para imágenes, la expresión regular quedaría:
/<(link|img) [^>]+(href|src)="[^"]+(\/opencms\/|\/export\/system\/modules)/}

8. Con los datos que tenemos hasta ahora, podemos tomar de ejemplo un plugin de los que ya existen. Hay 3 tipos de comprobaciones posibles:

:ghdb (google hack database)
:text (texto normal)
:regexp (expresiones regulares en ruby)

El campo probabilidad puede ser; maybe 25%, probably 75%, certain 100%.

Lo modificamos con los datos que tenemos y nos queda:

matches [

{:name=>"/opencms/",
:probability=>25,
:regexp=>/(\/system\/modules\/|\/export\/system\/modules)/},

{:name=>"/opencms/",
:probability=>75,
:text=>"/opencms/"},

{:name=>"tag with opencms or export/systems/modules",
:probability=>100,
/<(link|img) [^>]+(href|src)="[^"]+(\/opencms\/|\/export\/system\/modules)/}
]
código creado con html-entities

En las expresiones regulares, hay que tener cuidado en escapar caracteres como: . / ? [ ] ( ) etc.

9. Una vez visto que de los archivos "html" no podemos sacar ninguna información más (sin un gran esfuerzo y dedicación) que nos diga que el software es "opencms". Entonces nos toca revisar los archivos meta.

ecasbas@cipher:~/opencms$ more www.bonduelle.de.meta
HTTP/1.1 200 OK
Date: Thu, 14 Jan 2010 22:00:53 GMT
Server: OpenCms/7.0.2
Last-Modified: Thu, 14 Jan 2010 22:00:54 GMT
Content-Type: text/html;charset=UTF-8
Content-Length: 9775
Set-Cookie: JSESSIONID=361BEED9A72E5A384627647ED52A4FE5; Path=/

Para implementar en el plugin la lectura de esta cabecera, es necesario código en ruby, esta parte es opcional.

def passive
    m=[]
    # note that http strings are downcased, so Server becomes server
    if @meta["server"] =~ /^OpenCms\/[0-9a-z\.]+/
        version=@meta["server"].scan(/^OpenCms\/([0-9a-z\.]+)/)[0][0]
        m << {:name=>"HTTP Server String", :probability=>100, :version=>version }
    end

    m
end

Con todo lo anterior ya tenemos todo lo necesario en nuestro plugin para que WhatWeb detecte gran parte de los sitios web que funcionan bajo opencms.

ecasbas@cipher:~/WhatWeb$ ./whatweb www.eu2010.es
http://www.eu2010.es [302] md5[d41d8cd98f00b204e9800998ecf8427e], redirect-location[http://www.eu2010.es/en/index.html], server-header[Apache]
http://www.eu2010.es/en/index.html [200] probably OpenCms, md5[3ab4ce7f1efe84089a46646b410e7e16], server-header[Apache], title[www.eu2010.es]

Recursos online para aprender inglés

2010-01-11T20:26:00.018+01:00

Auto-apunte de referencia.

1. BBC World Service -Learning English-

Este es el sitio más completo y con mejores recursos para aprender inglés que conozco en la red; Dispone de podcasts, mp3 y scripts para la lectura de cada historia junto con vocabulario, phrasal verbs, expresiones comunes. Todo ello de diferentes temáticas muy bien organizado y actualizado diariamente. Lo mejor es explorarlo y descubrir todas las actividades que ofrece. A raíz de él también descubrí http://www.listen-to-english.com

2. Las conferencias TED

Technology, Entertainment, Design son las siglas de TED; las conferencias de las mentes más brillantes. La mayoría de los videos pueden verse con subtítulos en inglés o castellano entre otros gracias al proyecto de traducción abierto, donde tú también puedes colaborar si lo deseas.

Podeis comprobar algunas curiosidades de la lengua de Shakespeare y ver las 10 palabras más comunes, las más largas...

Charla de ejemplo: El crecimiento de twitter gracias a los inseperados usos inventados por sus usuarios.

3. Películas y series en VSO, cómo esto es sólo un blog, no hay peligro. Estos servicios los he conocido recientemente a través de twitter:

http://www.pelis24.com

http://www.mejorenvo.com

4. Vídeos de la Casa Blanca, por el mismo precio, te pones al día de temas políticos de interés y aprendes inglés con los videos subtitulados como este tan divertido. (la mejor parte en el último minuto :-) )

4. Skype

Tiene varios recursos para aprender inglés de manera gratuita. Hace tiempo, no recuerdo bien como, contacté con alguien de Canada. Era un antiguo profesor de Inglés ya jubilado, qué dedicaba parte de su tiempo libre a enseñar a través de Skype. Estuvimos en contacto durante 2 meses, 3 veces a la semana. Hablando, haciendo ejercicios que me enviaba. Fue una gran experiencia.

5. Colaborar en proyectos de traducción: Puedes buscar un proyecto de interes y colaborar en su traducción, una manera práctica de aprender inglés. En este punto, hay que tener un cierto nivel para no mermar la calidad del proyecto.

6. Itunes y blogs: En itunes, en la sección de podcasts hay miles de recursos al igual que blogs. Pero únicamente los 4 puntos anteriores son mi recurso recurrente para el ingles online.

En modo offline, tambien tambien suelo hacer:

7. Intercambio de idiomas: En el mes que estuve en Londres estudiando inglés, a través de un anuncio en un corcho de la academia que asistía, realicé intercambio de idioma con una nativa; 30 minutos hablando inglés y 30 minutos hablando castellano. Fue una buena experiencia.

En España, a través de universidades y centros de idiomas, seguro que se puede encontrar este tipo de actividades.

8. Intercambio de habilidades: Lo practique hace tiempo con una antigua profesora de inglés. 30 minutos de clases de ingles a cambio de 30 minutos de consultoría informática. :-)

En diferentes ciudades de España hay iniciativas similares con todo tipo de habilidades.

9. Televisión: Con la TDT tenemos la opción de ver en V.O algunos programas, series y dibujos animados.

¿Conoces algún otro recurso igual de interesante?, si es así, déjalo en los comentarios.

Actualización 11-1-09 a las 23:47: A través de @yoriento, cómo aprender un idioma sin estudiar.

Actualización 19-01-10: Diccionario lexicológico.

Actualización 23-02-10: Ejercicios de gramática

Actualización 3-5-2010: Englishcentral, un proyecto de Google Ventures

Actualización 23-06-2010: 8 técnicas realmente efectivas para mejorar tu inglés (con mención incluida a este artículo)

Actualización 24-08-2010: Revisión de gramática

Actualización 20-9-2010: Escuela idiomas Pamplona

Actualización 15-11-2010: Aprende con música

Actualización 15-11-2010: Cómo se pronuncia

Actualización 25-11-2010: Todos los sonidos (fonemas) del inglés

Actualización 14-5-2011: NetSpeak (When in doubt about how something is written)

Si algún problema tiene el Software Libre, no es de comunicación

2010-01-08T14:58:00.002+01:00

Uno de los argumentos (léase FUD) más escuchados en contra del uso de Open Source o Software Libre (FLOSS) en la empresa es: "No existe una garantía de respaldo, o mantenimiento". Independientemente del modelo de negocio del Open Source, sí por algo se caracterizan las comunidades de desarrollo de este modelo, es por su espíritu abierto y colaborativo.

Si utilizas un software y por cualquier motivo necesitas ayuda o información más allá de lo que está disponible en la documentación oficial, ¿quién mejor para responderte que alguien del equipo de desarrollo?. En el campo del software propietario esto sería inconcebible, pero en el software libre es una realidad.

La última experiencia la tuve hace algunas horas antes de escribir este post. Había descubierto Whatweb, una herramienta de seguridad que permite identificar sistemas de administración de contenido como el de la presidencia española, plataformas de blogs, software de análisis/estadísticas y librerías javascript entre otras cosas. En su archivo de instrucciones (README) informa de proyectos relacionados en el cual aparece w3af. Ambos proyectos tienen el fin de convertirse en el nmap de la web.

Me dispongo a probar la herramienta whatweb, escrita en ruby. No tengo nada de experiencia con ruby, pero en el archivo (INSTALL) vienen las instrucciones para instalarlo en Ubuntu.

Install Ruby
---------------------------------------
sudo apt-get install ruby OK

Install RubyGems
---------------------------------------
sudo apt-get install rubygems OK

Install Anemone, Spidering library
---------------------------------------
sudo apt-get install libxslt-ruby OK
sudo apt-get install libxslt1-dev OK

sudo gem install anemone
ERROR: While executing gem ... (Gem::GemNotFoundException)
Could not find anemone (> 0) in any repository

~~Investigando~~, a través de varios buscadores veo que el comando gem, es la interfaz del sistema de paquetes rubygems, y anemone es una librería ruby para programas que crawlean sitios web. Alguién con un problema similar, comenta que se soluciona borrando el archivo source_cache, algo que tampoco funciona. Instalando ruby-dev avanza, pero todavía me da algún problema.

En ese archivo INSTALL, al final pone "Please contact me if these installation instructions don't work for you.", y eso hago, envio un correo al desarrollador informando de mi problema para instalarlo.

A las pocas horas, quizá por el cambio horario ya que el desarrollador es de Nueva Zelanda me escribe con varias instrucciones sobre como proceder, entre ellas:

$ sudo gem sources -a http://gems.rubyforge.org

$ sudo gem update
$ sudo gem install anemone

qué solucionan mi problema. En ese correo también me informa de otras herramientas similares y cualquier feedback y colaboración es bienvenida. Se puede investigar como hacer nuevos plugins para que la herramienta sea capaz de detectar nuevos sitios; esta característica me viene como anillo al dedo en forma de información para desarrollar mi trabajo actual.

Creo que esto resume bien el espíritu del Software Libre, de comunidad, de ayuda, y compartición de conocimiento. Kevin Kelly, en What Matters Now apunta otras ventajas del modelo Open Source.

"Open-Source DNA: There will surely be people who will not share any part of their genome with anyone under any circumstances. that’s okay. But great benefits will accrue to those who are willing to share
their genome. By making their biological source code open, a
person allows others to “work” on their kernel, to mutually
find and remedy bugs, to share investigations into rare bits, to
pool behavior results, to identify cohorts and ancestor codes."

No abogo por una vía única, creo que la mejor opción y la experiencia lo demuestra, es usar la mejor solución (propietaria o libre) para las necesidades del momento; pero acciones como esta, demuestran que el software libre es conocimiento compartido y beneficio para la comunidad.

ACTUALIZACIÓN: Tras alguna reinstalación, al volver a probar WhatWeb me encontre con otro problema:

/usr/bin/gem:10:Warning: Gem::manage_gems is deprecated and will be removed on or after March 2009.
/usr/bin/gem:23: uninitialized constant Gem::GemRunner (NameError)

qué se solucionaba añadiendo en /usr/bin/gem la línea
require 'rubygems/gem_runner'
después de
require 'rubygems'

Después de esa pequeña modificación, #sudo gem install anemone funcionará correctamente.

Clasificación de amenazas de sitios web (v 2.0)

2010-01-03T15:44:00.003+01:00

La clasificación de amenazas de WASC versión 2.0 por fin ve la luz tras varios años de trabajo entre bastidores. Robert Auger ha liderado este proyecto que ha calificado cómo "el proyecto más desafiante y estimulante intelectualmente."

El proyecto de clasificación de amenazas web de WASC, tiene el objetivo de clasificar y organizar las debilidades y ataques que pueden llevar a comprometer a un sitio web, sus datos y usuarios. El proyecto intenta crear una terminología estándar para describir las amenazas de seguridad web. Con el fin de tener un lenguage consistente en el que; desarrolladores de aplicaciones, profesionales de la seguridad, vendedores de software, y auditores de seguridad puedan referirse a términos relacionados con la seguridad web.

Esta versión 2.0, viene a suplir las carencias de su antecesora 1.0, que por la naturaleza de su contenido quedo desfasada hace ya tiempo. En esta versión se han añadido secciones, se han actualizado otras y se ha reorganizado la terminología entre otras acciones. Se trata de un proyecto vivo que irá evolucionando conforme lo hace la tecnología y sus amenazas.

Tuve la oportunidad de colaborar en algunas de las definiciones de las amenazas web, y puedo asegurar que; discutir con Ryan Barnett (autor de Preventing Web attacks with apache entre otros), leer Papers de Amit Klein y ver cómo Robert Auger coordina todo el proyecto de Threat Classification WASC v2.0, son acciones totalmente estimulantes.

WASC son las siglas de Web Application Security Consortium, su misión es; desarrollar, adoptar y recomendar estándares para la seguridad de aplicaciones web.

Está formado por un grupo de expertos y representantes de organizaciones que producen Open Source y estándares de mejores prácticas para la seguridad en el WWW. Se trata de una comunidad activa que facilita el intercambio de ideas y colabora en proyectos abiertos de la industria de la seguridad.

Si te interesa el campo de la seguridad Web y te gustaría participar en alguno de los proyectos de la WASC, tú también puedes contribuir.

¿Qué haces con tus fotos digitales?

2009-12-31T07:00:00.001+01:00

La idea para este post vino de mi hermana. Me comentó que tenía más de 4000 fotos en su PC, y no sabía que hacer con ellas. Cuando le estaba respondiendo por correo con diferentes opciones que tenía, pensé que sería de interes compartirlo y conocer de ese modo que haceis con vuestras fotos digitales.

Métodos de almacenamiento de fotos digitales:

Tarjeta de memoria: El método usado por tú cámara digital. Las tarjetas de memoria se insertan en la cámara digital y las capacidades actuales van de 2G hasta 32Gb. Este tipo de almacenamiento es temporal. Cuando puedas pasar tus fotos de la cámara a tu PC, se almacenaran en tu disco duro.

Disco duro: El disco duro es donde la mayoría guardamos nuestras fotos. Es una buena opción hasta que tienes un problema hardware o de virus en tu equipo. A mí me paso, las tenía en un disco duro externo qué tras un golpe ya no arrancaba, sin poder acceder a nada de lo que contenía. (en otro post contaré como lo pude recuperar).

DVD: Su capacidad varía desde 4.7GB hasta los 17.1GB. Su vida útil según fabricantes puede llegar a los 100 años.

Album digital: Es otra vía de almacenarlas, similar a cómo lo hacíamos antes, pero con todas las ventajas de "lo digital". Es una buena idea también para regalar. Hay cientos de opciones para crearte tú albúm digital, pero la primera que conocí a través de un amigo, sencilla y económica fue: hoffman.

Kioskos digitales: Hace años que se pueden encontrar en cualquier tienda de fotografía. Funciona como un cajero automático: introduces tu tarjeta de memoria, seleccionas las fotos y las imprime en una calidad aceptable. También existe el servicio de revelado online. Existe infinidad de tarifas dependiendo de tamaño, número de fotos, etc. Ejemplo: 100 fotos de 10x15= 17€

Almacenamiento online: Hoy todo está en la nube o "in the cloud". Tendremos que buscar un servicio que se adapte a nuestras necesidades; almacenamiento, facilidad para subir fotos, privacidad, gestión. Una ventaja de este método es que a través de un simple enlace, nuestra familia o amigos tendrán acceso a ellas. Redes sociales como Facebook te permiten crear albums de fotos para compartir con tus amigos y configurar la privacidad de los mismos. Pero ten cuidado con su configuración. Uno de los servicios más conocidos para compartir fotos es flickr.

Consejo: En la fotografía digital, las imagenes se almacenan como datos, y la integridad de estos datos es tan buena como su método de almacenamiento. Mantén diferentes copias de todas tus fotos digitales. Y se ordenado en su organización.
Lista de 10 programas open source y gratuitos para tus fotos digitales.

Estos son algunos de los métodos clásicos para guardar tus fotos digitales. ¿Qué otras maneras o servicios interesantes conoceis para guardar vuestras fotos digitales?

¿Qué es pasión?

2009-12-23T23:12:00.007+01:00

PASIÓN: La séptima acepción en la RAE indica; Apetito o afición vehemente a algo.

Es uno de los términos de la entrada anterior sobre Seth Godin, donde Derek Sivers afirma: -"You grow (and thrive!) by doing what excites you and what scares you everyday, not by trying to find your passsion."

De manera gráfica; pasión sería:

Esto

Tim O'reilly

Esto también

Andrew Morton

Y esto

Damian Conway

Aquí también

Chris Dibona

Y por aquí

Jeff Waugh

¿WTF?

Jeremy Allison (Samba Team)

PERO AQUÍ NO HAY PASION

Extraído de la presentación "cómo no usar powerpoint"

Actualización 29-1-2010: Si sientes pasión por el tema de tu charla, contagiaras el entusiasmo en tus presentaciones.

¿Qué importa ahora?

2009-12-19T19:06:00.000+01:00

¿QUE IMPORTA AHORA? es un libro organizado por Seth Godin donde más de 70 pensadores comparten su idea de lo que será el nuevo año, exponiendo conceptos y claves para seguir evolucionando.

Es una lectura ágil y motivante que recomiendo para estas navidades. Así lo resume su creador;

"Más que nunca, necesitamos una forma distinta de pensar, una forma útil de focalizar y la energía necesaria para cambiar el juego. Espero que el nuevo e-book que he organizado, os inicie en este camino."

What Matters Now, by Seth Godin

View more documents from Toscana Enterprises Corporation.

Una manera positiva de alimentar tu mente. Los siguientes conceptos me han gustado especialmente:

GENEROSITY
"If you make a difference, you also make a connection.
You interact with people who want to be interacted with
and you make changes that people respect and yearn for."
(Seth Godin.)

CONNECTED
"We walk the streets with our heads down staring
into 3-inch screens while the world whisks by
doing the same. And yet we’re convinced we are
more connected to each other than ever before."
(Howard Mann)

VISION
"Leadership is more than influence. It is
about reminding people of what it is we are trying
to build—and why it matters. It is about painting a
picture of a better future. It comes down to."
(Michael Hyatt)

ENRICHMENT
"We are all on a search – a search for more meaning in our lives."
(Rajesh Setty)

SPEAKING
"Speaking soon? Keep this in mind: people at events are hungry for authentictiy.
Saying something you might not have said elsewhere is a good way to find your
authentic voice."
(Mark Hurts)

STRENGHTS
"Forget about working on your weaknesses; Focus on
supporting your strengths.
We hate doing things we're not good at, so we avoid them.
But my strenghts -ah, I love my strenghts [...] When we love
what we do, we do more and more, and pretty soon we're pretty
good at it."
(Marti Barletta)

POKER (BUSINESS IS A GAME)
EDUCATION
"Never stop learning. Read books. Learn from others who have done it before.
Learn by doing. Theory is nice, but nothing replaces actual experience.
Have fun. The game is a lot more enjoyable when you're trying to do more
than just make money."
(Tony Hsieh)

POWER
"Stop waiting around for bosses and companies to
get better and complaining about how are you
treated. Build the skills—and use them—that will
permit you to create the environment in which you
want to live."
(Jeffrey Pfeffer)

HARMONY
"In the true sense of karma, to achieve harmony,
you must always do the right thing with no eye on
a reward. The reward will come because there is trust on the other side."
(Jack Covert.)

TOUGH-MINDEDNESS
"We live in the age of distraction, of Twitter and
multi-tasking and short attention spans. Even
these micro-essays are part of it. Whereas what
produces real work (and happiness for each of us,
in my opinion) is depth, focus, concentration and
commitment over time."
(Steven Pressfield)

EVANGELISM
"Ignore pedigrees. Don't focus on the people with big titles and
big reputations. Help anyone who can help you."
(Guy Kawasaki)

EMPATHY
"We have it in our power to begin the world again
by implementing the ancient principle that is often
called the Golden Rule:
Always treat all others as you would wish to be treated yourself."
(Karen Armstong)

CHANGE
"You’re probably trying to change things at home or
at work. Stop agonizing about what’s not working.
Instead, ask yourself, “What’s working well right now,
and how can I do more of it?."
(Chip and Dan Heath)

PASSION
"If you think you haven't found your passion yet, you're
probably expecting it to be overwhelming.
Instead, just notice what excites you and what scares you
on a small moment-to-moment level.
You grow (and thrive!) by doing what excites you and what
scares you everyday, not by trying to find your passsion."
(Derek Sivers)

CONFIDENCE
"The secret to unbreakable confidence is a
lifestyle of emotional/mental diet and exercise.
1. Feed your mind good stuff
2. Exercise your gratitude muscle."
(Tim Sanders)

OPEN-SOURCE DNA
"There will surely be people who will not share any part of their
genome with anyone under any circumstances. that’s okay.
But great benefits will accrue to those who are willing to share
their genome. By making their biological source code open, a
person allows others to “work” on their kernel, to mutually
find and remedy bugs, to share investigations into rare bits, to
pool behavior results, to identify cohorts and ancestor codes.
Since 99.99% of the bits are shared, why not?."

It will become clear to those practicing open-source personal
genomics that genes are not destiny; they are our common wealth.
(Kevin Kelly)

EXPERTISE
"If you keep everything in your head then you
can’t expect anyone else to appreciate your genius
or trust your knowledge - they don’t know it exists.
Ignorance can be an advantage, and feedback an
incredibly useful tool. It allows you to share the
journey, which helps make writing accessible to
beginners."
(Aaron wall )

DIFFERENCE
"The hyperlinked world—the Web—is made for
this way of networked knowing.
A hyperlinked world includes all differences and disagreements,
and connects them to one another. We are all
smarter for having these differences only a click
away. The challenge now is to learn how to
evaluate, incorporate, respect, and learn from
them. If we listen only to those who are like us, we
will squander the great opportunity before us: To
live together peacefully in a world of unresolved differences."
(David Weinberger)

FOCUS
"Focus. Most important". That's what Mr. Miyagi said.
(Todd Sattersten)

LEAP
"Show don't tell To write fiction and to have faith is to take
an imaginative leap. And because life is always full of doubts
and fears, to actis to take that leap".
(Chimamanda Ngozi Adichie)

WOMEN
"If you’re a man running a business, and if the
power and influence females wield hasn’t
completely registered on your radar, well, then,
what we’ve got here is a failure to communicate."
(Paco Underhill)

PRODUCTIVITY
"Don't worry too much about getting things done.
Make things happen."
(Gina trapani)

SOCIAL SKILLS
"Getting or giving anything is about social skills. The
world is about being comfortable where you are and
making people feel comfortable, and that’s what social
skills are. What’s important is to be kind, and be
gracious and do it in ways that make people want to do
that for someone else."
(Penelope Trunk)

I'M SORRY
"Mistakes happen. How you apologize matters.
Don’t bullshit people - just say “I’m sorry.” And mean it."
(Jason Fried)

SLEEP
"I have had to learn to unplug and recharge. To trade multi-tasking
for uni-tasking and -ocasionally- no-tasking. It's left me healthier happier,
and more able to try to make a difference in the world . My eyes have been opened to the value of regularly closing them."
(Arianna Huffington)

KNOWING
"There is no such thing as boring knowledge.
There is only boring presentation."
(Dan Roam)

GOVERNMENT 2.0
"The secret learned by technology providers is to spend
less time providing services for citizens, and to spend
more time providing services to developers. Every
successful technology platform, from the personal
computer and the internet to the iPhone, has been
profoundly generative: a small investment in open
infrastructure that others can build on turns into a vast
cornucopia of services.
This is the right way to frame the question of
'Government 2.0.' "
(Tim O'Reilly)

GUMPTION
"These corners we paint ourselves into, it’s no way to live.
There’s no adventure here, no passion, no hunger for
change. Remember that relentless optimism you once
had? The goals you wished to achieve, before settling in?
They’re still there. You need a nudge to find them; a
little gumption."
(J.C Hutchins)

Y a tí, ¿cuál te ha gustado?.

Recuerda que este libro es libre, es tuyo para leerlo, descargarlo, imprimirlo, redistribuirlo, y para que añadas tu propia idea. Pero no vendas el contenido ni cambies ninguna entrada.

Post de Seth Godin anunciándolo.

Si no quieres que algo se sepa, no lo hagas

2009-12-13T22:12:00.001+01:00

Pero si no te importa que algo se sepa y crees en ello, hazlo.

Hace varios años, me ocurrió una divertida anécdota que quedo en sólo eso. Colaboraba activamente en un proyecto open source y en varias listas de correo técnicas (todo en inglés). Toda la información era pública. Un día, de repente, me encontré un interesante correo en mi bandeja de entrada; al principio pensé que era falso, pero las cabeceras del correo me demostraron lo contrario; tras pensarlo y discutirlo, contesté, recibí respuesta del recruiter -así es como se presento-, envié el currículum en inglés tal como solicitaron, y concertamos una entrevista telefónica. Hicimos la entrevista la fecha acordada en horario PST. Mi inglés hablado no me permitió completar la entrevista, y el entrevistador fue tan amable de darme una nueva oportunidad. Quedamos dentro de 6 meses -para poder prepararme- en volverla a realizar. En esos 6 meses, estudié inglés, me fuí a Londres un mes y cree un blog para practicar inglés.

Pasaron los 6 meses, y no tuve noticias del entrevistador. Tenía sus datos, y a través de una red social profesional, ví que había creado su propia startup y ya no trabajaba en la empresa para la cual me había entrevistado.

Moraleja: Todo lo que haces queda registrado, así que procura que sea para bien. Y sobre todo, aprende inglés. :-)

Esta historia venía al hilo de las siguientes afirmaciones qué se han hecho últimamente sobre la privacidad en Internet. En el fondo, no difiere tanto del mundo real. Aunque la privacidad es un derecho, hay que ser consecuente con el rastro que dejamos. Así que, si no quieres que algo se sepa, no lo hagas, pero si no te importa y crees en ello, hazlo.

We have to be sure that protecting people in cyberspace does not mean invading their privacy, does not mean denying them that basic human right of access to information.
(Hamadoun Touré. Head of the International Telecomunication Union ).

Pero si ha hecho algo mal, si quiere esconderlo, eso no podremos hacerlo. Hoy, con la web, olvídelo. No puede pretender negar una evidencia que está ahí. (Sally Costerton. Presidenta de Hill & Knowlton en Europa).

If you're concerned about Google retaining your personal data, then you must be doing something you shouldn't be doing. (Eric Schmidt. Google CEO).

My problem with quips like these -- as right as they are -- is that they accept the premise that privacy is about hiding a wrong. It's not. Privacy is an inherent human right, and a requirement for maintaining the human condition with dignity and respect. [...]
Privacy protects us from abuses by those in power, even if we're doing nothing wrong at the time of surveillance. (Bruce Schneier, renowned security technologist)

Saliendo a la superficie

2009-12-11T00:27:00.000+01:00

Después de varios años blogueando con un seudónimo ;) para probar y aprender a manejarme por los medios sociales, salgo a la superficie, necesitaba oxígeno. :-)

Los hombres ocupan muy poco lugar en la tierra. (El Principito. Antoine de Saint-Exupéry)

ping...

2009-12-11T00:25:00.001+01:00

...pong