La NSA no es la única que te espía

Para hoy jueves tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Hace cosa de diez años Steven Spielberg tuvo a Tom Cruise corriendo durante unos cien minutos en una película de ciencia ficción bastante solvente llamada MinorityReport. Hacia el último tercio del film, el personaje de Cruise se introduce en una galería comercial donde escáneres de retina situados estratégicamente lo identifican ¿para atraparlo? No, qué va; para programar los carteles que, a su paso por la galería, le muestran anuncios personalizados.

[Read more…]

El año del Big Data

Para hoy martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

2013 va a ser el año del Big Data. No lo digo yo, lo dice la consultora Gartner que sitúa este concepto entre las siete tendencias que definirán el escenario tecnológico que está por venir. No es que el concepto de Big Data sea nuevo. El concepto existe de hace varias décadas, prácticamente las mismas en las que la tecnología se ha asentado como un valor diferencial en la empresa.

Ahora disponemos de la tecnología para trabajar con grandes cantidades de información gracias a los avances en correlación de eventos, reducción de costes de almacenamiento y hardware capaz de procesar estas bases de datos masivas.

[Read more…]

Buster Sandbox Analyzer

(Hoy tenemos una colaboración de Pedro López, en la que presenta la herramienta Buster Sandbox Analyzer a aquellos que todavía no la conozcan e invita a cualquier persona interesada a colaborar con su desarrollo)

Buster Sandbox Analyzer es una herramienta diseñada para analizar el comportamiento de aplicaciones, específicamente aquellos sospechosos, es decir aquellas acciones que lleva a cabo de forma típica el malware. Algunos ejemplos de acciones típicas son que el fichero ejecutado haga una copia de sí mismo en otro lugar del disco duro, que modifique claves del registro o que añada ficheros en el directorio de instalación del Windows entre otros.

No obstante, a la hora de identificar una acción como «peligrosa», cabe plantearse que algunas, si no muchas, de las acciones que se pueden considerar como sospechosas también las suelen realizar aplicaciones legítimas, por eso es muy importante considerar el contexto general de la aplicación analizada: ¿es razonable que la aplicación que estamos analizado realice esas acciones?

[Read more…]

¡Cuidado! Códigos QR

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

A estas alturas todos conocemos ya los códigos QR. Son estas imágenes rectangulares que parecen un criptograma y que podemos ver en pancartas publicitarias, dentro de folletos de publicidad, revistas, en las cajas de productos del super, etc. La intención inicial de los Códigos QR fue utilizarlos para inventariar los repuestos de almacén de forma rápida (Quick Response Codes) pero su uso se ha extendido hasta que podríamos considerar que es una forma de ‘realidad aumentada’.

Estos códigos bidimensionales se utilizan para almacenar información que puede contener desde una URL de una web hasta una tarjeta de visita, con una capacidad máxima de almacenamiento de 4.296 caracteres que se ven reducidos según el nivel de corrección de errores que se quiera incorporar en la imagen. De esta forma podemos enlazar a la descarga de un mp3, instalar una aplicación, enviar un correo electrónico, obtener información, marcar un número de teléfono, e incluso realizar pagos. Para casi todas estas acciones será preciso disponer de conexión a Internet.

El éxito de este tipo de código puede residir en que hoy en día todos los teléfonos inteligentes, con cámara, pueden disponer de un programa que lea este tipo de códigos bidimensionales y además, se trata de un código abierto cuyos derechos de patente no son ejercidos por Denso Wave.

Se han utilizado en campañas publicitarias que han causado cierto revuelo. Recientemente, en los juegos olímpicos de Londres, el equipo de beach volley británico llevaba uno de estos QR en la parte posterior del bikini; este código QR enlazaba con la página web del patrocinador. A Calvin Klein le censuraron ciertos anuncios por considerarlos de contenido explícito no apropiado, así que retiró las imágenes y las sustituyó por códigos QR que enlazaban a su visualización en Internet. Hay incluso quien parece que se quedó sin palabras y en la lápida del difunto solo le dejaron un código QR.

[Read more…]

¿Puedo colgar las fotografías de las vacaciones con mis amigos en redes sociales?

Aprovechando que estamos ya a la vuelta de las vacaciones (algunos incluso de vuelta literalmente), traemos una entrada de Cristina Martínez Garay, abogado de Derecho Tecnológico de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work, en relación con esas fotos que todo el mundo se saca alegremente pero que luego nunca se sabe dónde pueden acabar.

Las vacaciones son un derecho reconocido legal y socialmente reconocido para estudiantes y trabajadores por cuenta ajena, así como para todo aquel que se toma merecidamente un receso en su actividad diaria para el descanso. A diferencia unos años atrás, ahora con las nuevas tecnologías, las redes sociales, los Smartphone y otra serie de dispositivos móviles, resulta fácil contar y retratar al detalle dónde nos encontramos, las tareas que estamos cometiendo e incluso nuestros pensamientos y opiniones a todos los amigos, familiares y/o lista de contactos en general.

La cuestión, y el objeto del presente post, es analizar jurídicamente las consecuencias de incluir a otras personas en la crónica vacacional en las redes sociales pudiendo en ocasiones, vulnerar inconscientemente derechos fundamentales de terceros.

1) En el marco del derecho a la Intimidad Personal y Familiar y la Propia Imagen

Este derecho está reconocido en el artículo 18.1 de la Constitución y regulado en la Ley Orgánica 1/82, de 5 de mayo (Ley Orgánica 1/82, de 5 de mayo1, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen). La Protección de estos derechos está delimitada por las leyes y por los usos sociales según el ámbito que mantenga cada persona reservado para sí o su familia.

[Read more…]

La búsqueda de empleo en las redes sociales

Para hoy jueves, Día de Internet, traemos una entrada de Cristina Martínez Garay, abogado de Derecho Tecnológico de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work, en un ámbito un poco diferente a lo que solemos tratar en SAW, pero que seguro que interesa a muchos de los que nos leen.

Hoy, con motivo de la celebración del día de Internet, promovido desde 2005 por la Asociación de usuarios en Internet a las que se han ido sumando diferentes asociaciones españolas, me gustaría reflexionar sobre las virtudes y facilidades que los Servicios de la Sociedad de la Información han traído a las vidas de muchos ciudadanos y empresas internautas y qué mejor forma de hacerlo en los tiempos que corren que reflejarlo en la búsqueda de empleo.

En España el 48% de la población utiliza Internet para buscar empleo, según la reciente encuesta realizada por la consultora Ipsos siendo la referida tasa superior a la de otros países, como Italia (36%), Alemania (30%) o Francia( 25%). Para más datos, según el último informe publicado por el Instituto Nacional de Estadística (INE) en fecha 5 de octubre de 2011, el índice de personas en situación de desempleo que usaron Internet en sus hogares asciende al 86,6 % y aunque desconocemos los usos de este porcentaje, qué duda cabe que Internet es una herramienta útil para la búsqueda de empleo.

[Read more…]

El cuestionable procedimiento de notificación de la sección segunda de la comision de propiedad intelectual

Como no todo va a ser hablar en hexadecimal y ensamblador, para acabar la semana traemos una entrada de Cristina Martínez Garay, abogado de Derecho Tecnológico de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work.

La entrada de Cristina trata un tema tan de actualidad como es el sistema de notificaciones relacionado con la Ley Sinde, que estamos seguros de que les parecerá interesante. Buen fin de semana a todos.

No digo nada nuevo si digo que el procedimiento de cierre de páginas web o tal y como lo define el Real Decreto 1889/2011, el procedimiento de salvaguarda de los derechos de propiedad intelectual, es de dudosa legalidad por atribuir a un órgano administrativo (la Sección Segunda de Comisión de Propiedad Intelectual) competencias asignadas a los jueces por ley.

Por este motivo los usuarios, abogados, la Asociación de Internautas, la Red de Empresas de Internet y numerosos colectivos manifiestan sus protestas, quejas de toda clase acudiendo incluso a la vía judicial con la interposición y admisión de recurso contencioso administrativo ante el Tribunal Supremo.

Ahora bien, la reflexión que me gustaría compartir es sobre el cuestionable y confuso sistema de notificación descrito en la citada norma desde el punto de vista jurídico así como en la Orden ECD/378/2012 publicada 29 de febrero de 2012 por la que se establece la obligatoriedad para los interesados del uso de sistema electrónicos.

[Read more…]

La gestión de eventos de seguridad: un diamante por pulir

La entrada de hoy corre a cargo de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones y al que nos gustaría ver más a menudo por estos lares.

Aunque la entrada de hoy no es totalmente original como suele ser habitual, ya que fue publicada en su mayor parte ayer en su blog personal “Apuntes de seguridad de la información”, hemos creído interesante traerla también a nuestros lectores ya que guarda relación con dos de los aspectos en los que S2 Grupo está especializada: la Seguridad de la información y la Gestión de procesos (o eventos, en este caso) en tiempo real. Vamos pues con ella y esperemos que les guste.

Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.

[Read more…]

Una historia de lunes

Iniciamos la semana con una historia real o ficticia, juzguen ustedes mismos, de un viejo contacto, que por diversas razones prefiere permanecer en el anonimato.

Esta es mi historia, de quien fui, de donde llegué pero no de quien soy. Tal vez les resulte inverosímil, irreal o aburrida. Yo solo relato los hechos. Son libres de ponerlos en duda.

1999. Primer año de carrera. Elegí informática por un simple y llano motivo: me gustan los ordenadores. A mis tempranos 10 años había estado programando en Basic (¿recuerdan HOME, PRINT…?). Ese año fue realmente interesante; no disponía de ordenador en casa de mis amados progenitores, así que pasaba la mayoría del tiempo en la sala de ordenadores de una Facultad de Informática. Había pocos ordenadores y traían un sistema operativo, digamos que ya viejo, el Windows 3.11 (gran sistema). Éste nos permitia, a un par de amigos y a mí controlar bien la ocupación de la sala ya que enviábamos archivos por red que producían un overflow y la famosa pantalla azul de Windows. Tras unas tres pantallas azules el usuario se iba y nos dejaba el ordenador ya para todo el día. No, no iba mucho a clase, pero bueno, eso es otra historia.

[Read more…]

Intrusión mediante phpLdapAdmin y explicación del fallo de seguridad “Code Injection”

Para hoy miércoles tenemos una entrada de Sergio Galán, alias @NaxoneZ, que ya ha colaborado con Security Art Work en el pasado.

Pueden encontrarle en su blog naxonez.wordpress.com o seguirle en Twitter.

phpLdapAdmin es un front PHP que nos sirve para gestionar nuestro LDAP de una manera más cómoda y fácil. Realmente es una aplicación que nos puede facilitar mucho la vida, pero que como todos software, es vulnerable a diferentes fallos que un usuario remoto puede utilizar para hacerse con nuestro sistema. En concreto, el fallo que vamos a ver en esta entrada es del tipo denominado como “PHP Code Injection Vulnerabilities”; para más información sobre este tipo de ataques, pueden visitar la página correspondiente de OWASP.

[Read more…]