El cuestionable procedimiento de notificación de la sección segunda de la comision de propiedad intelectual

Como no todo va a ser hablar en hexadecimal y ensamblador, para acabar la semana traemos una entrada de Cristina Martínez Garay, abogado de Derecho Tecnológico de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work.

La entrada de Cristina trata un tema tan de actualidad como es el sistema de notificaciones relacionado con la Ley Sinde, que estamos seguros de que les parecerá interesante. Buen fin de semana a todos.

No digo nada nuevo si digo que el procedimiento de cierre de páginas web o tal y como lo define el Real Decreto 1889/2011, el procedimiento de salvaguarda de los derechos de propiedad intelectual, es de dudosa legalidad por atribuir a un órgano administrativo (la Sección Segunda de Comisión de Propiedad Intelectual) competencias asignadas a los jueces por ley.

Por este motivo los usuarios, abogados, la Asociación de Internautas, la Red de Empresas de Internet y numerosos colectivos manifiestan sus protestas, quejas de toda clase acudiendo incluso a la vía judicial con la interposición y admisión de recurso contencioso administrativo ante el Tribunal Supremo.

Ahora bien, la reflexión que me gustaría compartir es sobre el cuestionable y confuso sistema de notificación descrito en la citada norma desde el punto de vista jurídico así como en la Orden ECD/378/2012 publicada 29 de febrero de 2012 por la que se establece la obligatoriedad para los interesados del uso de sistema electrónicos.

[Read more…]

La gestión de eventos de seguridad: un diamante por pulir

La entrada de hoy corre a cargo de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones y al que nos gustaría ver más a menudo por estos lares.

Aunque la entrada de hoy no es totalmente original como suele ser habitual, ya que fue publicada en su mayor parte ayer en su blog personal “Apuntes de seguridad de la información”, hemos creído interesante traerla también a nuestros lectores ya que guarda relación con dos de los aspectos en los que S2 Grupo está especializada: la Seguridad de la información y la Gestión de procesos (o eventos, en este caso) en tiempo real. Vamos pues con ella y esperemos que les guste.

Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.

[Read more…]

Una historia de lunes

Iniciamos la semana con una historia real o ficticia, juzguen ustedes mismos, de un viejo contacto, que por diversas razones prefiere permanecer en el anonimato.

Esta es mi historia, de quien fui, de donde llegué pero no de quien soy. Tal vez les resulte inverosímil, irreal o aburrida. Yo solo relato los hechos. Son libres de ponerlos en duda.

1999. Primer año de carrera. Elegí informática por un simple y llano motivo: me gustan los ordenadores. A mis tempranos 10 años había estado programando en Basic (¿recuerdan HOME, PRINT…?). Ese año fue realmente interesante; no disponía de ordenador en casa de mis amados progenitores, así que pasaba la mayoría del tiempo en la sala de ordenadores de una Facultad de Informática. Había pocos ordenadores y traían un sistema operativo, digamos que ya viejo, el Windows 3.11 (gran sistema). Éste nos permitia, a un par de amigos y a mí controlar bien la ocupación de la sala ya que enviábamos archivos por red que producían un overflow y la famosa pantalla azul de Windows. Tras unas tres pantallas azules el usuario se iba y nos dejaba el ordenador ya para todo el día. No, no iba mucho a clase, pero bueno, eso es otra historia.

[Read more…]

Intrusión mediante phpLdapAdmin y explicación del fallo de seguridad “Code Injection”

Para hoy miércoles tenemos una entrada de Sergio Galán, alias @NaxoneZ, que ya ha colaborado con Security Art Work en el pasado.

Pueden encontrarle en su blog naxonez.wordpress.com o seguirle en Twitter.

phpLdapAdmin es un front PHP que nos sirve para gestionar nuestro LDAP de una manera más cómoda y fácil. Realmente es una aplicación que nos puede facilitar mucho la vida, pero que como todos software, es vulnerable a diferentes fallos que un usuario remoto puede utilizar para hacerse con nuestro sistema. En concreto, el fallo que vamos a ver en esta entrada es del tipo denominado como “PHP Code Injection Vulnerabilities”; para más información sobre este tipo de ataques, pueden visitar la página correspondiente de OWASP.

[Read more…]

¿Qué ocurre con los planes de implantación en la Administración Electrónica?

Para hoy martes traemos una nueva entrada de Cristina Martínez Garay, de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work, en este caso al respecto de la implantación (o mejor, «no-implantación») de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Esperamos que les resulte interesante.

Han transcurrido más de cuatro años desde la promulgación de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y dos desde la publicación de su Reglamento de desarrollo y apenas observamos algun cambio en las Administraciones ni tampoco la intención de acometerlo pese que, la Disposición Final 3ª concedió un aplazamiento para la adaptación a la citada Ley (hasta 31/12/09 y para las Comunidades Autónomas y Entidades Locales supeditado a sus disponibilidades presupuestarias). No obstante, habida cuenta que la implantación de la Administración Electrónica es un proyecto complejo y costoso, es por lo que nuevamente el legislador otorgó una tregua a las Comunidades Autónomas y Entidades Locales para aprobar y hacer público los programas y calendarios de trabajo con mención particularizada de las fases en las que los diversos derechos serán exigibles por los ciudadanos.

[Read more…]

Obtención de certificados web utilizando LFI

Para acabar la semana, tenemos una entrada de Sergio Galán, alias @NaxoneZ, que ya ha colaborado con Security Art Work en el pasado.

Pueden encontrarle en su blog naxonez.wordpress.com o seguirle en Twitter.

Últimamente se ha hablado mucho del robo de certificados. Como sabréis el uso de https y de su seguridad, en gran medida depende de que el certificado usado en la web haya sido generado por una entidad confiable y de que el acceso al mismo sea limitado, ya que si disponemos del certificado podremos hacer un phishing de la página web como si fuera real y el usuario ni lo notaría debido a que el certificado lo considera auténtico.

Un ejemplo de la obtención de un certificado de manera fraudulenta sería utilizando un fallo LFI de la página en cuestión. Veamos por ejemplo una página conh el siguiente código vulnerable a ataques LFIs:

<?php
require($_GET[file]);
?>

[Read more…]

La e-Administración llega a la Administración de Justicia

Para finalizar la semana traemos la segunda entrada de Cristina Martínez Garay, de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work, y en este caso al respecto de la Ley 18/2011, de 5 de julio, reguladora del Uso de las Tecnologías de la Información y de la Comunicación en la Administración de Justicia. Esperamos que les resulte interesante.

Hace apenas unos días, en la era de las Tecnologías de la Información y Comunicación, otra norma más se ha promulgado promoviendo el uso de las TIC´S, y esta vez le ha tocado a la Administración de Justicia, así como a todos los profesionales que trabajamos, ejercemos y lidiamos en la misma.

Siendo la Administración de Justicia independiente al poder Ejecutivo no estaba sujeta a la famosa, en la teoría, Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en adelante LAESCP, por lo que era inevitable que se promulgara tarde o temprano una Ley especifica como ha sido la Ley 18/2011, de 5 de julio, reguladora del Uso de las Tecnologías de la Información y de la Comunicación en la Administración de Justicia.

[Read more…]

Varios fallos en Nagios XI

Para hoy martes, tenemos una entrada de Sergio Galán, alias @NaxoneZ, que inicia su andadura como colaborador de este blog.

Pueden encontrarle en su blog naxonez.wordpress.com o seguirle en Twitter.

Cuando hablamos de monitorización el primer software que nos suele venir a la cabeza es Nagios. Según la Wikipedia y para quien no lo sepa, “Nagios es un sistema de monitorización de redes de código abierto ampliamente utilizado, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no es el deseado. Entre sus características principales figuran la monitorización de servicios de red (SMTP, POP3, HTTP, SNMP…), de los recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos…), independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL cifrados o SSH, y la posibilidad de programar pluggins específicos para nuevos sistemas.”

Como en todo software opensource, existe la versión enterprise, que en el caso de Nagios se denomina Nagios XI. En este post vamos a ver algunos fallos de seguridad que ya han sido notificados al equipo de desarrollo de esta herramienta y en la nueva release dejaran de estar, afortunadamente. Vamos a comenzar a buscar posibles puntos de fallo, para lo que usaremos la demo que podemos visitar en su sitio web: http://nagiosxi.demos.nagios.com/.

[Read more…]

El proyecto STORK

Vicent Andreu y Paúl Santapau, del Gabinete de Planificación y Prospectiva Tecnológica de la Universitat Jaume I de Castellón (UJI), inauguran la semana con una entrada sobre el proyecto STORK, una iniciativa participada por un grupo de Universidades españolas y coordinada por la UJI, en lo que puede ser el embrión de una federación de identidades electrónicas paneuropea.

¿Qué es STORK?

STORK es el acrónimo de Secure idenTity acrOss boRders linKed, un proyecto cofinanciado por la Comisión Europea con la finalidad de permitir el uso de las credenciales expedidas por los diferentes estado miembros en toda Europa. Por ejemplo, un caso común es el de un estudiante Erasmus que, desde su país de origen, quiere prematricularse on-line en otra universidad de distinto país. Si nosotros somos responsables de los sistemas en la universidad de destino, ¿cómo podemos validar la identidad del estudiante sin que sea necesario que se persone en nuestra universidad? Parece que la única posibilidad es confiar en un tercero que sí la conozca, por ejemplo, la universidad origen o una entidad gubernamental. Pero, en este caso, ¿con qué nivel de confianza podemos aceptar los datos que nos envíen? Es más, ¿qué datos y en qué formato nos van a enviar? Y, si queremos aceptar estudiantes de diez países, ¿debemos lidiar con los formatos y atributos de todos ellos? ¿Cómo solicitamos permiso al usuario para recabar sus datos y le informamos de cuales son? Este es el problema que pretende resolver STORK.

[Read more…]

Crisis de moda

Para hoy martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Los primeros meses del año, después del maratón navideño y de la fiebre de la rebaja, son meses de moda. Las grandes firmas presentan sus colecciones para el siguiente otoño/invierno. A lo largo de febrero se suceden todas las semanas de la moda: la de Milán, la de París, la de Madrid… ¿Y que hace un planner hablando de moda en un blog sobre Seguridad de la Información? Pues retomar el tema que abrí hace unos cuantos meses sobre la Gestión de Crisis.

Entonces comentaba que las crisis se solucionan antes de que lleguen a estallar. La prevención es la mejor arma de gestión de crisis y el primer paso en esa estrategia de prevención es una auditoría de riesgos en toda regla. El ejemplo de la moda no es gratuito en este planteamiento porque en la mayoría de pasarelas los departamentos de comunicación de las marcas llevan años aplicando una estrategia de contención de riesgos. Uno de los puntos de conflicto en estos eventos es siempre el tema del tallaje y de la edad de las modelos así que las firmas preparan el terreno distribuyendo material informativo con referencias abundantes a la legislación y el compromiso que tienen los especialistas de la moda en la lucha contra la anorexia.

[Read more…]