Hoy tenemos un post sensacionalista, exagerado y poco real que puede herir su sensibilidad, pero que no les dejará indiferentes.

Tras una larga tarde eleopedeando (revisando resoluciones de LOPD) por la web de la Agencia de Protección de Datos he topado con unas cuantas resoluciones reales que dan que pensar…

La LOPD dice así:

¿Veis donde pone que sirve para resolver envidias vecinales, escaquearse de pagar recibos, y otras cosas por el estilo? ¡Ay no! que no lo pone…

Dicho eso, Comenzamos con el carrusel de ocurrencias y situaciones curiosas que he encontrado en una tarde:

Hace un par de días Facebook anunciaba desde su blog dos de sus nuevas funcionalidades para aumentar la seguridad de sus usuarios.

La primera, y una de las más demandadas por los usuarios, es el soporte de sesiones https. Hasta ahora, solo la parte de autenticación de login y password iban cifradas, dejando toda la actividad que realizáramos en la red social sin cifrar. De este modo, un atacante podría leer nuestras conversaciones, ver nuestras fotos, robar nuestras cookies, etc. Parece que la aparición de Firesheep, una extensión de Firefox que permite robar las cookies de sesión de multitud de sitios web, ha acelerado el proceso de incorporación de https a los servidores de Facebook.

“Seleccione destino y abróchese el cinturón”. Estas palabras podían ser, en un futuro no muy lejano, las que escuchemos en nuestro coche antes de iniciar un trayecto. Los avances tecnológicos tienen una fuerte repercusión en la evolución de los transportes que usamos día a día, incluidos nuestros vehículos particulares y por tanto, también en lo referente a la seguridad vial.

En la presente entrada me propongo hacer una breve exposición sobre el estado del arte de los sistemas de seguridad que se emplean en los automóviles y ver cómo los avances tecnológicos están propiciando un cambio del paradigma de la conducción. Ya os adelanto que esta entrada no pretende ser una guía técnica sobre los sistemas de seguridad. Empezaré describiendo algunos de los “clásicos” sistemas de seguridad y, posteriormente, hablaremos sobre los sistemas más vanguardistas analizando los beneficios e inconvenientes. El tema que abordamos es extenso y por este motivo, hemos decidido publicar varias entregas.

Hace unas semanas, mientras comía con unos auditores -y amigos- de AENOR, les lancé la siguiente pregunta: ¿qué opinais acerca de las infraestructuras críticas -o estratégicas- españolas que son auditadas (en materia de seguridad, pero podríamos hacerlo extensible a tantas otras cosas..) por organizaciones extranjeras? A fin de cuentas, cuando llega el auditor a certificar nuestro SGSI le enseñamos buena parte de las tripas de nuestra seguridad, por no decir todas… Por supuesto, la respuesta de los auditores fue la esperada: es cuanto menos curioso que se produzca esta situación, y no es lo deseable; claro, tanto AENOR como S2 Grupo, son empresas españolas, por lo que era fácil estar de acuerdo :)

Con lo que nos gusta hablar de protección de infraestructuras críticas, seguridad nacional, ataques terroristas de terceros países y demás (a los que trabajamos en seguridad y desde hace un tiempo parece que también a los políticos), no parecen muy coherentes situaciones en las que aspectos relevantes de la seguridad de estas infraestructuras son accedidas sin reparos por terceros paises -algunos de ellos “amigos”, por ahora, y otros menos amigos, también por ahora-. Tampoco parece muy coherente que buena parte de la tecnología utilizada, por no decir toda, no sea nacional (¿algún fabricante de SCADA español? Yo no conozco…).

Imagino que a todos nosotros nos han enseñado que cuando tenemos que abordar un nuevo proyecto por primera vez, cuando tenemos que hacer algo que no hemos hecho nunca o cuando queremos mejorar un proceso -o lo que sea- debemos fijarnos y aprender de otros que lo hayan hecho antes. Y si nadie lo ha hecho antes, debemos aprender de los que han hecho cosas parecidas en otros ámbitos que no tengan nada que ver con el nuestro. Y si esto tampoco existe, pues ya nos vamos a I+D+i.

Particularizando para el campo de la seguridad lógica, a mí personalmente me gusta mucho fijarme en los compañeros de la seguridad física -con sus pros y sus contras- a la hora de abordar proyectos que no he hecho jamás. Desde luego, en campos como los modelos de negocio de seguridad gestionada o la gestión de incidentes nos llevan años de ventaja (a otro nivel y con otros problemas, pero años de ventaja), así como en temas legislativos, relación con FFCCSE y mil cosas más. Entonces, ¿por qué no tratamos de aprender de los profesionales que trabajan en este campo?

Hace ya algún tiempo, Toni Villalón nos hacia referencia a una técnica habitual en las auditorías de seguridad hace algunos años, el basureo (trashing), a partir de la cual podíamos obtener gran cantidad de información a partir de una papelera o cubo de basura. Sin embargo, ¿por qué ir rebuscando en la basura (que es algo sucio, desagradable y no sabemos con que podemos encontrarnos) si existen maneras mucho más fáciles, cómodas y limpias de obtener información? Además, sin ir muy lejos ni que te miren raro.

¿Dónde? En su impresora más cercana. Levántese, diríjase a ella y observe la documentación que nadie recoge, bien porque la envió a imprimir y olvidó que la había enviado, porque ya no la necesita, o por cualquier otra razón que se le ocurra. En realidad, el porqué no nos importa, lo que nos interesa es la información que contiene. Cójala y llévela a su sitio. Quizá le preocupe que su dueño legítimo aparezca de repente y le vea hacerlo, pero no se preocupe; lo más probable es que la haya abandonado, y en cualquier caso si acude a la impresora y ve que no está, la volverá a mandar imprimir, y probablemente volverá a olvidarla.

Durante estos días, como cualquiera que lea el periódico sabrá, ha salido a la luz un supuesto caso de espionaje industrial contra Renault, relativo al robo de información del coche eléctrico por parte de unos intermediarios que a su vez habrían facilitado la información a China. Por supuesto, muchos medios generales se han hecho eco de esta noticia, y también por supuesto ha sido analizada en blogs y canales especializados en seguridad.

El caso de Renault que ahora se publicita ni es el primero ni será el último en esto del espionaje industrial; simplemente pone de manifiesto un problema al que casi todas las empresas, grandes o pequeñas, están expuestas en la actualidad: el robo de información. Lo de siempre: se roba lo que vale, de una u otra forma, dinero; antes eran bienes materiales (un coche, un cuadro, una pieza concreta) y ahora lo que vale dinero es la información. Como dice Javier Cao en su blog, todos los que trabajamos en seguridad nos cansamos de repetir que la información es un activo de toda organización y, como tal, debe ser protegido. En plata: la información es dinero (o poder, o como lo queramos llamar) y por tanto tiene interés para los delincuentes.

Cuántas veces hemos hablado en este blog de los riesgos de compartir datos personales en Internet, de que la web no olvida, que nada se borra…… pues nada.

Aún hay incautos que, así y todo, no nos hacen caso. Y además en muchos casos no se trata de personas que se han acercado a esto de Internet y las nuevas tecnologías hace un par de meses y arrastrados por las modas sociales, sino de personas que provienen del mundo de las tecnologías, que desarrollan su trabajo con ellas, incluso como expertos en seguridad y dando clases sobre, por ejemplo, cómo securizar las comunicaciones a través de la red mediante el cifrado de la información.

El Sr. Iraitz Guesalaga, etarra y presunto informático, facilitaba sus datos personales en diferentes webs de contacto profesional, ofreciendo sus servicios. Figuraba su nombre, apellidos, datos fiscales, incluso el domicilio en el que ha sido detenido. Qué desastre de hombre.

Por cierto, hay cosas que no cambian: ya se ha abierto un debate en la web sobre la inconveniencia del nombre dado a la operación conjunta realizada por las FFCC de Seguridad españolas y francesas: “Operación Linux”. Hay rumores de que Microsoft ha patrocinado la operación…

La entrada de hoy es la segunda colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones.

Su carrera profesional se ha desarrollado alrededor de la gestión de la seguridad de la información en todas sus vertientes: ISO 27002/27001, Continuidad de Negocio, Protección de datos, etc., tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de Firma, Proyectos y Formación y participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

Como segundo post relacionado con la medición y evaluación de la seguridad de la información (véase el post anterior), quiero reflexionar sobre varios aspectos esenciales que deben ser tenidos en cuenta a la hora de desplegar nuestro posible cuadro de mandos de la seguridad.

Como ya comentamos en el post anterior, los objetivos se estratifican a diferente altura teniendo como niveles las decisiones estratégicas, tácticas y operativas.

En este contexto y dentro del marco de trabajo de la serie ISO 27000, se publicó el año 2009 la norma ISO 27004 Information technology — Security techniques — Information security management – Measurement que tal como se expresa en la introducción, tiene por objetivo permitir a las organizaciones dar respuesta a los interrogantes de cuán efectivo es el SGSI y qué niveles de implementación y madurez han sido alcanzados por los controles seleccionados en la declaración de aplicabilidad. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte del proceso de mejora continua servirá para evaluar los avances del proceso de mejora continua.

Recientemente me llego a mis manos un pendrive, cuyo dueño no usaba desde verano, para que le copiara un par de archivos de mi equipo personal de casa a su pendrive. Al conectarlo me llamaron la atención un par de cosas del pendrive, por lo que decidí echarle un vistazo a ver que me encontraba.

Primero me hice una copia en raw de nombre imagen:

# dc3dd if=/dev/sdb1 of=imagen bs=512 conv=noerror,sync hash=sha256 hashlog=ressha

Luego me puse a analizar que ficheros se habían eliminado del pendrive (símbolo *) y… ¡voilà! Un fichero “_autorun.inf” y “_gt.exe” no paraba de eliminarse, y si consultábamos el inodo, no paraba de ejecutarse: