(N.d.E. Durante el fin de semana hemos estado haciendo algunos cambios en el blog, para lo que tuvimos que desactivar algunas funcionalidades. En cualquier caso, ahora todo debería funcionar correctamente)

No hace falta que les hable sobre las ventajas de los snapshots. Tener una “foto” del servidor antes de hacer cualquier intervención crítica (o no tan crítica) en ella, es un valor por el que hubiésemos dado un brazo hace unos años. Con la difusión de la virtualización, esta práctica se ha vuelto mucho más común. La sencillez de hacer un simple “click” y tener las espaldas cubiertas hace que se llegue a utilizar más de lo necesario. Pero como casi todo en esta vida, los excesos se pagan. En ningún momento nuestra intención es desaconsejar su uso, al contrario, se pretende compartir errores y problemas tenidos para aprovechar al máximo y con seguridad esta gran herramienta.

¿A quién no le han llamado innumerables veces a lo largo del día ofreciéndole tarifas mucho más baratas de telefonía, luz, gas, etc. (aunque no te salgan los números) o el mejor móvil del mercado, a juicio del teleoperador? Es el comúnmente conocido como spam telefónico, técnicas abusivas e insufribles por las que, quien más o quién menos, todos hemos tenido que pasar.

¿Qué puede hacer el usuario en contra de éstas prácticas para defenderse? Bien, por si alguien no lo sabe vamos a hacer un breve resumen de las acciones que podemos poner en marcha al respecto. La Ley Orgánica de Protección de Datos nos ampara en este aspecto poniendo a nuestra disposición los derechos ARCO (de Acceso, Rectificación, Cancelación y Oposición). Veamos un par de artículos interesantes de la ley, resaltado lo que más nos interesa.

Hasta el próximo viernes 29 de enero a las 15h, Security Art Work inicia el segundo consultorio online sobre la LOPD y su Reglamento de Desarrollo (pueden ver las respuestas al primero en la entrada correspondiente), a cuyas cuestiones el equipo de consultoría y auditoría de S2 Grupo contestará en la entrada del próximo viernes 5 de febrero, según nuestro mejor saber y entender.

En ningún caso se publicarán datos de carácter personal (correos electrónicos, nombres de empresas, etc.), ni se contactará con los remitentes de las preguntas, salvo que éstos lo autoricen expresamente (y lo consideremos necesario). Pueden remitir las preguntas por correo electrónico a openlopd@argopolis.es, indicarlas en los comentarios o remitirlas vía mensaje privado al usuario securityartwork de Twitter.

Está a punto de salir el nuevo “megaproyecto” web de la compañía y como desgraciadamente sucede en algunas ocasiones, los aspectos de seguridad no han sido revisados previamente a la puesta en producción. Para solventar esto, a última hora recae sobre el equipo de explotación la responsabilidad de auditar el sistema, detectar las posibles vulnerabilidades y decidir si se pueden arreglar, o si por el contrario son de tal magnitud que impiden la salida a producción del proyecto. La presión por parte de la organización en estos momentos es alta frente al equipo de explotación, por lo que las recomendaciones y decisiones que se tomen deben ser firmes y estar fuertemente razonadas.

El equipo técnico auditor mediante la utilización de ciertas herramientas automáticas y otras manuales entrega el informe, en el que aparecen tres vulnerabilidades de criticidad “grave”, cinco de criticidad “media” y tres de vulnerabilidad “baja”. ¿Qué hacemos ahora?

Según parece, el Consejo de Ministros ha aprobado el Esquema Nacional de Seguridad para la administración electrónica del que tanto hemos hablado últimamente (véase I, II y III). El artículo 13 de la primera propuesta de dicho esquema, que aparece referenciado en la página del Esquema Nacional de Seguridad, dice así:

A la vista de esto, y teniendo en cuenta en particular el texto resaltado en negrita…

¿Qué pasa entonces con MAGERIT?

• MAGERIT no está reconocida internacionalmente, por lo que según el borrador del ENS no es una metodología válida.
• MAGERIT no está reconocida internacionalmente, pero los autores del borrador del ENS creen o quieren creer que sí lo está.
• MAGERIT sí está reconocida internacionalmente.
• Esté o no reconocida internacionalmente, se hará como que el artículo 13.2 no existe.
• Dentro de X meses, alguien hará una matización sobre esto.
• ¿MAGERIT? ¿Qué es eso?

View Results

 Loading ...

A lo largo de mi carrera como estudiante universitario, y más tarde durante mi etapa como técnico de sistemas, me he encontrado a menudo con el tema de debate preferido por el personal técnico —y no tan técnico— de sistemas: Windows vs. Linux. Será que me estoy haciendo mayor para discutir, o que tengo otras preocupaciones, pero lo cierto es que actualmente no es una cuestión que me preocupe lo más mínimo; si quieren saber mi opinión, cada uno tiene sus ventajas y sus desventajas, y el resto es simple miopía (o ceguera, en los peores casos). De cualquier modo, hay veces esta discusión muta y se convierte en una igual de estéril pero mucho más relacionada a mi parecer con la seguridad, que es de lo que he venido a hablar aquí: open source vs. closed source. Es decir, código abierto vs. código propietario (que me disculpen los puristas del lenguaje y de las licencias si la traducción de Open Source no es la mejor).

Y como por lo general los que más ruido arman son los defensores del open source, lo que vengo a criticar es que sus ventajas ni son tantas ni tan buenas como sus partidarios quieren hacer creer. Aun diría más: la etiqueta en cuestión no sólo no garantiza absolutamente nada en términos de seguridad y/o funcionalidad, sino que puede inducir a engaño y una falsa sensación de seguridad, sobre todo en aquellas personas más “creyentes” en la causa. Ya verán.

Como siempre ocurre cuando hay una actualización del núcleo de Linux, uno comprueba cuales son las mejoras que este aporta respecto a su última versión para realizar un estudio de riesgos que implicaría la actualización a dicha versión y si realmente vale la pena. Por ello hace unas semanas me encontraba leyendo la información acerca del nuevo núcleo (2.6.32) y leí un apartado enfocado a la virtualización. En él, los chicos de Red Hat habían aplicado un concepto que normalmente se emplea en los sistema de ficheros, pero esta vez aplicando la idea a la memoria principal; se trata del COW o copia en escritura (Copy On Write).

Para explicar la nueva mejora vamos a exponer primero el funcionamiento de la tecnología COW aplicada en los sistemas de ficheros de entornos virtuales. COW emplea ficheros Sparse: ficheros distribuidos en bloques, donde existe un índice que indica qué bloques están ocupados. Por ello, podemos crear ficheros de un determinado tamaño, y sólo ocupará espacio realmente el tamaño de aquellos bloques que tengan información valida. Por ejemplo, antes si yo quería crear un fichero vacío de 1GB, el fichero se creaba pero ocupaba 1GB aunque no contuviese ningún tipo de información. Con los ficheros sparse puedes crear un fichero vacío de 1GB y éste ocupara sólo 4Kbyte.

(Una vez pasadas totalmente las fiestas navideñas, retomamos con esta entrada la programación y periodicidad habitual, esperando que sigan con nosotros y que los Reyes Magos les hayan traído muchas cosas)

Hace cerca de 10 años que soy usuario de Linux; no por que lo considere mejor ni peor que otras opciones, sino porque es la opción que más se adapta a mis necesidades. Desde mi primera Linux SuSE 5.3 que compré en un kiosco con su increíble KDE 1.0 recién salido al no disponer de Internet por aquellos entonces, he usado en casa Linux. De SuSE pase a RedHat, luego a Debian, seguir con Gentoo durante 3 años, y actualmente uso Ubuntu. Sí, sé que es raro pasar de una Gentoo a una Ubuntu, pero la comodidad que me aporta, el gran número de paquetes disponibles y la versión actualizada de éstos me ha convencido para ser mi distribución.

Como ustedes sabrán las versiones de Ubuntu están formadas por dos cifras separadas por un punto: la primera cifra indica el año y la segunda el mes de la fecha de cuándo se va a lanzar la versión final. En concreto la última versión ha sido la 9.10 (Octubre del 2009).

Una de las mejores definiciones que he leído de Seguridad es aquella que dice que la Seguridad es una sensación. Las personas tenemos la sensación de estar seguras o inseguras en base percepciones, estímulos que recibimos del entorno y que nos hacen sentirnos de esa manera.

El otro día en una conversación con unos amigos en la cual estábamos recordando anécdotas del verano, con mucha morriña por supuesto, uno de ellos comentaba que este verano en su casa del pueblo había pasado algunos momentos de intranquilidad y quería poner remedio para que el verano que viene no le pasara lo mismo.

En esta casa mi amigo tiene una pequeña piscina, y a lo largo del verano había recibido muchas visitas de familiares que venían con niños pequeños de edades entre 2 – 7 años, no se trataba de visitas puntuales sino que eran estancias de varios días. El tener niños correteando por la parcela y en los alrededores de la piscina, le había hecho estar muy intranquilo teniendo que estar pendiente todo el rato por si acaso algún niño se caía al agua.

Dentro de la serie GOTO, comenzada recientemente en este blog, quería dedicar hoy un post a las metodologías de análisis de riesgos; personalmente he trabajado con algunas de ellas -con demasiadas- y, si les digo la verdad, ninguna me convence realmente. Las hay sencillas, las hay complejas (sí, estoy pensando en MAGERIT :), las hay mejores y las hay peores, pero en todas hay aspectos, bajo mi punto de vista, manifiestamente mejorables. Para empezar, y aunque quizás sea lo menos importante… ¿por qué no se ponen de acuerdo en la terminología? ¿Por qué Mosler habla de “bienes” y MAGERIT de “activos”, por poner un ejemplo? ¿Por qué a lo que en unas metodologías se le llama “amenazas” en otras se le llama “riesgos”? Sinceramente, este es un tema únicamente produce confusión… ¿tan difícil es ponernos de acuerdo?

Hablando ya de cosas más serias, una cosa que me toca las narices es que en ninguna metodología (ni fuera de las mismas) me he encontrado un catálogo de amenazas decente. A día de hoy, que a todos se nos llena la boca hablando de seguridad integral, holística, global o como le queramos llamar, aún no he visto un catálogo de amenazas integral de verdad, que cubra todos los posibles problemas de una organización, sin focalizarse en aspectos físicos o lógicos en exclusiva… Creo que hasta que esto no exista, mal vamos a la hora de analizar riesgos desde el punto de vista de la protección del negocio: únicamente haremos análisis parciales, y deberemos realizar tres o cuatro visiones diferentes para hacernos una idea del mapa de riesgos de nuestra organización… Ojo, sé que es fácil criticar sin aportar alternativas y que cerrar un catálogo de este tipo es complejo, pero algún día habrá que hacerlo, ¿no? (yo estoy intentándolo, cuando consiga algo decente lo colgaré aquí… o no :).