Certificación de la seguridad (y II)

5 de diciembre de 2011 Por

En el post del otro día fuimos críticos con los esquemas de certificación y nombramos de pasada algunos de sus posibles problemas. Continuamos.

El rigor y la credibilidad de lo que se afirma en un certificado está reñido con varios factores. Entre ellos, tanto con la duración de las auditorías como con la preparación de los auditores y, por tanto, con su coste. También con el rigor a la hora de interpretar y exigir los requisitos contenidos en las normas, por tanto con el número de empresas tanto certificadas como potencialmente certificables y, consecuentemente, con los niveles de ingresos de las entidades de certificación. Podríamos pues decir que la credibilidad de un certificado es o debería ser directamente proporcional al coste de la auditoría. También que la credibilidad de los esquemas de certificación debe tener algún tipo de relación inversamente proporcional al número total de empresas certificables. Si prácticamente cualquier empresa que solicita una certificación la consigue sin mayores problemas esta dimensión de la credibilidad tiende a cero. Es cierto que algunos certificados son denegados o retirados con el tiempo pero suelen ser opciones reservadas para casos flagrantes. Y siempre se puede encontrar alguna entidad dispuesta a certificar casi cualquier cosa. Y es que en el mercado se ofrecen certificaciones a medida, a la baja (en lo técnico y en lo económico) y a la carta y las empresas que consideran la certificación como un fin en sí mismo recurren a ellas. Y la consiguen.

En un mundo en el que nadie regala nada me constan certificaciones de ISO 27001 emitidas por entidades acreditadas que han costado ¡poco más de 1.000€! Es difícil de creer y me refiero al certificado resultante. Si una certificación tan técnica e intrínsecamente tan compleja como ésta puede llegar a rebajarse hasta estos niveles excuso decirles coste y rigor de una certificación de, por ejemplo, una PYME sencilla en base a una norma sencilla.

En resumen: hay certificados que resultan poco creíbles. Lo malo es que no hay forma de distinguir los certificados “buenos” de los otros y, al final, todas las certificaciones emitidas son igual de válidas. Así de injusto.

Hace años se nos vendió otra cosa muy distinta acerca de las certificaciones pero la realidad es esta. Y la verdad es que es una lástima. En más de una ocasión he tenido que escuchar que una certificación sirve para poco o para nada. Lo malo es a quién lo he oído decir: a directores y responsables de empresas con sistemas de gestión como Dios manda, porque su certificado vale lo mismo que uno falso. El colmo lo escuché decir al gerente de una empresa dudosamente certificable pero certificada que me dijo, átense los machos, “me lo habéis dado hasta a mí”.

Y ya que nadie se va a tirar piedras sobre su propio tejado cabría aquí una reflexión acerca del papel desempeñado y del nivel de exigencia de ENAC, que es la entidad encargada de definir y exigir los mínimos, responsable de velar por el rigor de los esquemas de certificación y por la correcta actuación de las entidades certificadoras y, por tanto, responsable última de la veracidad de todo lo que se afirma sobre un certificado. El papel desempeñado por ENAC es fundamental. En realidad es la base de todo, pero visto lo visto podríamos decir que hay de un margen de mejora amplio.

Al final parece obvio que la certificación no ha logrado resultar lo que se pretendía cuando empezábamos a trabajar en estos temas, allá por el año 94 ó 95. Consecuentemente, muchas empresas medianas y grandes continúan haciendo auditorías a sus proveedores, que era otro de los beneficios supuestamente reportados por las auditorías de tercera parte: proporcionar confianza y ahorrar a los unos y a los otros los costes y molestias de las auditorías de segunda parte. Pero no.

Si una organización necesita o no una certificación es algo que sabrá o debería saber su dirección. Pero si una organización necesita o no de un buen sistema de gestión no es cuestionable, es una obviedad: seguro que sí.

Afortunadamente llevo muchos años dedicándome a los sistemas de gestión, moviéndome entre normas y documentos de sistemas de multitud de empresas (centenares) y desde todas las ópticas posibles (consultor, director, auditor y otra vez consultor) y les puedo asegurar, tanto por vocación como por experiencia, que soy un auténtico convencido y acérrimo defensor de las bondades que conlleva la implantación de un sistema de gestión bien diseñado, hecho a medida para la empresa, un traje cómodo para la gestión del día a día pero también para no improvisar cuando surja un imprevisto. También soy un firme defensor, en general, de las normas en los que se basan; aunque también les puedo decir que no todas las normas con las que he tenido ocasión de auditar son correctas o están bien escritas, objetivamente hablando.

He sido testigo de la progresión a veces espectacular experimentada por algunas empresas durante los años siguientes a la implantación de su sistema de gestión en base a una norma. También en mi primera etapa como consultor fui testigo de empresas excelentes con sistemas de gestión excelentes que nunca se llegaron a certificar ya que el empresario no vio la necesidad. He visto sistemas de gestión reales, con los que de verdad se gestiona, dejando poco lugar a la improvisación, que tan malas consecuencias suele conllevar. Pero las cosas son como son y también he visto, posiblemente con demasiada frecuencia, sistemas de gestión paralelos, montados casi con la única finalidad de pasar auditorías. Lo malo es que las pasan.

Por ello a usted, como cliente, le diría que elija pero por favor elija bien; compruebe si un potencial proveedor dispone o no de una certificación pero primero: no cometa el error de quedarse sólo en eso y segundo: no descarte a una empresa por no disponer de una certificación si consigue buenas referencias, demostrables, o si posee una buena experiencia pasada. Fíjese también en el alcance del certificado; podría darse el caso de que usted esté contratando servicios no amparados por aquel, se trate o no de un certificado “auténtico”.

Se necesita mucho tiempo y esfuerzo para labrarse una buena reputación que, no obstante, suele resultar bastante frágil. El boca a boca es la mejor publicidad para lo bueno pero también para lo malo (especialmente para lo malo) por lo que si se granjea una mala fama es posible que ya no pueda levantarla ni con grúa. Por ello, a usted, como proveedor, con o sin certificado, le diría que procure dar un buen servicio y no fallar, que no caiga en la tentación de comprometerse a más de lo que puede (ni a nivel técnico ni de capacidad productiva) y que intente cumplir perfectamente tanto plazos como niveles de servicio acordados.

Algo muy positivo para su empresa y que sí le puede aportar una auditoría de tercera parte (en función de la fortuna que tenga usted con el auditor que le toque en suerte y del tiempo que le dejen al mismo para hacer su trabajo) es que puede obtener una valiosa visión externa de su organización, no sólo independiente si no también fresca y diferente. Con los auditores pasa lo mismo que con médicos, profesores y pasteleros: los hay buenos, malos y regulares. Un buen equipo auditor, preparado, con tiempo y con ganas, es capaz de hacerle en unos pocos días una radiografía de su empresa que puede aportarle mucho valor. Puede que le pongan ante los ojos algún problema que el día a día le hizo pasar por alto y hasta puede que reciba alguna sugerencia de mejora importante que le ayude a mejorar la calidad y/o la productividad y/o la seguridad de los procesos de su organización, y quizá algún coste asociado.

Una auditoría, ya sea de primera, de segunda o de tercera parte, es una herramienta de gestión potentísima que permite la observación objetiva y minuciosa de multitud de actividades que se desarrollan dentro de la empresa permitiendo fijar y extender las mejores y descartar las que no aportan valor y servir, de verdad, como una base sólida y contrastada para la mejora.

Terminaré diciéndole, por si no lo sabía, que usted puede elegir no sólo la entidad de certificación si no también el auditor que le envían, o al menos recusar al que le asignen inicialmente, por lo que si lo que espera de la auditoría es sacarle su jugo, un jugo por el que paga, y no sólo pasarla a toda costa tendrá la opción de elegir a un auditor de los buenos. En el otro extremo, podría tocarle otro tipo de auditor, ése que no pasa de la superficie y se pasea por las empresas sin cuestionarse nada o casi nada (que haberlos haylos, desde el inicio de los tiempos y, una vez más, sin que nadie haga nada). Así se asegura de conseguir el ansiado certificado, si ése es su objetivo.

Un último consejo si decide certificar su SGSI: mucho ojo con la publicidad que hace del certificado. El objetivo de la publicidad es, obviamente, llamar la atención, algo muy positivo en temas de calidad, responsabilidad social, gestión ambiental, etc. Pero puede que resulte menos positivo o conveniente llamar demasiado la atención en temas relacionados con la seguridad por motivos obvios. Quizá lo mejor con este tipo de certificaciones sea pasar discretamente. Especialmente si usted ha elegido la opción B y no cuenta con el respaldo de un buen SGSI que le pueda garantizar un elevado nivel de seguridad y la continuidad de su negocio.

Cisco Accelerated Security Path

2 de diciembre de 2011 Por

Recientemente he tenido que volver a repasar parte del funcionamiento del Adaptive Security Algorithm de Cisco. De manera breve, este algoritmo es el encargado de inspeccionar el tráfico y permitir o denegarlo basándose en las políticas existentes.

A grandes rasgos, cuando una conexión llega al sistema, es procesada mediante el Session Management Path, quien se encarga de comprobar la tabla de rutas y NAT y las listas de control de acceso, de forma que si la política definida permite el tráfico, se crea una nueva entrada en la tabla de estados mediante el Fast Path, que es el encargado de revisar las cabeceras 3 y 4, comprobar el checksum IP, números de secuencia TCP, etc. El resto de paquetes de la conexión ya establecida son enviados directamente al Fast Path. La conjunción del Session Management Path y del Fast Path es lo que se conoce como Accelerated Security Path (ASP).

El problema por el cual he tenido que volver a revisar este funcionamiento ha venido provocado por un sistema Cisco ASA que denegaba paquetes de conexiones permitidas por la política de control de acceso del propio firewall, por lo que los contadores de ASP podrí­an aportarme más información sobre lo que estaba sucediendo en el sistema.

ASA# show  asp drop 
Frame drop:  
    No route to host (no-route)                                                  2  
    Flow is denied by configured rule (acl-drop)                               101  
    NAT-T keepalive message (natt-keepalive)                                     4  
    First TCP packet not SYN (tcp-not-syn)                                      29  
    Bad TCP flags (bad-tcp-flags)                                                8  
    TCP failed 3 way handshake (tcp-3whs-failed)                                 3  
    TCP RST/FIN out of order (tcp-rstfin-ooo)                                    7  
    ICMP Error Inspect no existing conn (inspect-icmp-error-no-existing-conn)    9  
    FP L2 rule drop (l2_acl)                                                    30
Last clearing: 09:49:26 CEST Nov 24 2011 by enable_15

Como se puede ver, se están filtrando paquetes no solo por la propia polí­tica de control de acceso, sino también por problemas de enrutamiento o inconsistencias en el protocolo TCP (si queremos capturar este tráfico, podemos hacerlo mediante el comando capture CAPTURA type asp-drop OPCION). Para intentar mitigar alguna de estas inconsistencias en el protocolo TCP, podemos seguir los siguientes pasos:

1. Configuramos un tcp-map para inspeccionar y normalizar las conexiones TCP de forma que basándonos en ciertas características del protocolo podemos permitir o denegar las conexiones; dentro de estas opciones podemos encontrar entre otras:

  • Verificación el checksum a nivel TCP
  • Paquetes que exceden el tamaño máximo de segmento
  • Paquetes con ACK inválidos

    • Paquetes fuera de orden

  • Paquetes SYN con datos (o SYN-ACK)
  • Opciones activadas a nivel de cabecera TCP

2. Configuramos un class-map para identificar el tráfico que queremos inspeccionar.

3. Creamos un policy-map donde asociamos el class-map con el tcp-map creado mediante las opciones avanzadas.

4. Finalmente, creamos un service-policy para asociar el policy-map a la interfaz que queremos inspeccionar.

Como hemos visto, aunque lo habitual es que el tráfico se deniegue por la propia polí­tica, existen otras opciones que también pueden filtrar conexiones (antispoofing, inspección de tráfico, IPS,..) las cuales pueden estar configuradas por defecto en el sistema, por lo que es esencial disponer de un buen sistema de log que nos dé pistas de que esta sucediendo en el sistema, preferiblemente de forma automatizada buscando ciertos patrones en tiempo real, sin tener que llevar a cabo una revisión periódica por parte del administrador.

Es todo por hoy. La semana que viene introduciré el framework VERIS (Verizon Enterprise Risk and Incident Sharing), utilizado para algo tan necesario (y probablemente tan escaso) como es compartir información sobre incidentes de seguridad. Pasen un buen fin de semana y cojan o no puente (para aquellos que nos siguen desde fuera de España, el martes y el jueves que viene son festivos nacionales), les estaremos esperando.

Certificación de la seguridad (I)

1 de diciembre de 2011 Por

Soy español y tengo por costumbre pasarme por El Corte Inglés cada cinco de enero a eso de las 20:00 horas. También de llevar mi coche a revisión la última semana de julio.

Hace dos veranos, como cada año, llevé mi coche al taller. Cuando salía de dejarlo caí en la cuenta de que había olvidado indicar a la persona que me atendió que una de las luces de posición no funcionaba. Da igual, pensé. Seguro que se dan cuenta.

Cuando fui a recogerlo a última hora de la tarde, una chica ataviada con una bata tan blanca que en un taller resultaba chocante, casi elegante (parecía más un científico de laboratorio farmacéutico que la recepcionista de un taller de vehículos) me entregó, grapada junto con la factura, una hoja de control de calidad de las intervenciones, “50 controles de calidad”, sobre la que alguien había marcado otras tantas crucecitas y había estampado su firma.

De entrada he de confesar que la blancura inmaculada de la hoja me resultó algo sospechosa para tratarse de un taller de vehículos. No obstante comprobé aliviado que una de las crucecitas de la hoja se correspondía, precisamente, con la revisión del correcto funcionamiento de las luces de posición y que estaba marcada, como todas las demás, en la columna del “OK”. Estupendo, pensé. La recepcionista me explicó el desglose de la factura y todas las intervenciones realizadas a mi vehículo con cierto nivel de detalle y una sonrisa en los labios. A continuación me cobró y me despidió amablemente. La verdad es que me trató de manera impecable.

[Read more…]

Fingerprinting Web con ETags

30 de noviembre de 2011 Por

En esta pequeña entrada me gustaría comentaros un detalle interesante, que dentro de la fase de information gathering (N. del E. véase el informe sobre este tema que Josemi y Borja Merino publicaron hace unos días) a alguno le puede llegar a ser de utilidad. El otro día estaba haciendo una revisión de una aplicación Web y dentro de la fase de “Testing for web Application Fingerprint” (OWASP-IG-004) me encontré que el servidor Web en cuestión me devolvía en la cabecera HTTP Server el texto “Apache”.

HTTP/1.1 200 OK
Date: Wed, 23 Nov 2011 15:50:43 GMT
Server: Apache
Content-Language: es-ES
Content-Type: text/html;charset=UTF-8
Content-Length: 57942

En primera instancia, asumí como un campeón que era un servidor Web Apache. No obstante, utilizando la herramienta HTTPrint que deduce el resultado a partir de otras técnicas más avanzadas, obtuve que NO era un Apache, por lo que empecé a dudar y me dije: ¿habrán cambiado el banner para confundir? mmm…

Acto seguido me puse a mirar lo que decía Netcraft, pero también me decía que era una Apache… ¿y si lo dice porque ve el banner y no hace ningún tipo de comprobación más? Entonces pensé: voy a aprovecharme de que Shodan guarda un histórico de la respuesta del servidor a ver si hubieran cambiado el banner hace poco y al principio lo tenían con versión o era otro servidor Web. Efectivamente, Shodan tenía diferentes respuestas del servidor y por lo que pude ver era un Apache y además la versión para plataformas Windows, respuesta que relacioné con el resultado del Netcraft que también decía que era un Windows.

Vale. Pero… la aplicación es nueva y el histórico de Shodan es bastante antiguo; ¿habrán cambiado de servidor web, máquina, sistema operativo y ya no se corresponde? Como véis no me quedaba tranquilo. La aplicación trataba bien los errores y aparte del banner no daba pistas evidentes que me sirviesen para aclarar si se trataba realmente de un servidor Web Apache. Lanzo la herramienta nmap con la opción “-sV” y ésta también me dice que se trata de un Apache, habiendo también hecho match la respuesta con alguno de los patrones de nmap-service-probes. Sí, parece un Apache, pero… ¿y si no es un Apache?

Después de todo esto, en una de las peticiones devueltas por el servidor en Burp, caí en la cabecera Etag, que como en otra entrada del blog ya vimos cada servidor Web la crea de una manera diferente y podemos considerarlo una característica muy útil para determinar con qué servidor Web estamos trabajando. Observé el formato y coincidía con un servidor Web Apache. Es decir, lo que me habían dicho todos menos HTTPrint :-)

Con esto último mi estado paranoico de que los administradores del servidor Web estuvieran manipulando las respuestas se calmó, ya que ví poco probable la modificación de la cabecera Etag. Las dudas me las sembraron HTTPrint y el hecho de no ver ningún tipo de mensaje que pudiera confirmarme que lo que realmente me decía el banner era correcto.

Espero que esta entrada sirva para ahorraros todas las indagaciones que tuve que hacer yo y podáis comprobar de manera rápida (si la cabecera está activa) qué servidor Web hay detrás. Desconozco si alguna herramienta utiliza esta cabecera como un elemento más para deducir que se trata de un servidor web concreto, pero al menos HTTPprint por lo que he podido ver no lo hace. Si alguien sabe alguna herramienta que lo haga, le agradecería que la comentara. De todos modos no me extrañaría que ya se esté utilizando, ya que en Wikipedia se indica la cabecera como fingerprint del servidor Web:

An ETag is an opaque identifier assigned by a web server to a specific version of a resource found at a URL. If the resource content at that URL ever changes, a new and different ETag is assigned. Used in this manner ETags are similar to fingerprints, and they can be quickly compared to determine if two versions of a resource are the same or are different. Comparing ETags only makes sense with respect to one URL—ETags for resources obtained from different URLs may or may not be equal and no meaning can be inferred from their comparison.

A mi me resultó curioso y pensé en escribir este post, que espero que a más de uno le ahorre unos minutos ;)

Sistemas de monitorización social (Parte 2)

29 de noviembre de 2011 Por
Continuamos con la segunda parte de los posts relacionados con los sistemas de monitorización social, a cargo de Rafael Páez, un antiguo compañero de S2 Grupo que continúa colaborando con nosotros.

Continuando con la anterior entrada sobre Echelon, aparte de esa archiconocida red ha habido, y continúa habiendo, otras instituciones y países que se han unido a la utilización de estas prácticas creando sus propias “redes espía”. El FBI, sin ir más lejos, tenía su propio software llamado Carnivore, el cual nació en octubre de 1997 como sucesor de Omnivore y fue reemplazada en 2005 por el software comercial NarusInsight, que explicaremos en el siguiente post de la serie.

Carnivore funcionaba básicamente como un sniffer más que era utilizado bajo el sistema operativo Microsoft Windows. Su tecnología era bastante sencilla y común, pero lo que marcaba la diferencia y la efectividad era que podía ser instalado en los proveedores de Internet o en cualquier otro punto en el que se tuviera un acceso preferente a los datos que se intercambiaban en las comunicaciones. Además de este factor tan importante, como es la posición donde se situaba, su funcionalidad clave era el gran poder de filtrado del que se disponía, siendo éste su elemento diferencial. En la imagen podemos ver una captura de su interfaz de configuración.

[Read more…]

Presentamos Mail Malware Trap

28 de noviembre de 2011 Por

A raíz de la entrada del correo electrónico donde se enlazaba a un troyano bancario, comencé a desarrollar un programita que tenía en mente desde hacía tiempo. Se trata de un recolector de Malware de correos electrónicos, encargado de acceder a distintas cuentas de correo, obtener el correo electrónico, almacenarlos en base de datos, y en caso de poseer adjuntos, ser analizados con la API de Virus total.

Veámoslo con más detenimiento. Primero será necesario disponer de una serie de sondas, correspondientes a cuentas de correo electrónico perteneciente en distintos servidores públicos como son Gmail, Yahoo o Hotmail, así como una serie de correos privados como por ejemplo el corporativo. Dichas cuentas de correo solo se usarán para recoger el correo que llegue a la bandeja de entrada y Spam. Para ello en ocasiones será necesario hacer filtros para trasladar el correo de la carpeta Spam a bandeja de entrada. Por ejemplo para Gmail sería necesario crearse un filtro de tipo texto con la siguiente entrada “is:spam” e indicar que debe enviarse como correo no leído a la bandeja de entrada. Con esto dispondremos de varias cuentas de correo distribuidas sobre distintos servidores de correo cuyo único objetivo es almacenar los correos de entrada.

Así, el recolector de malware lo que hará será conectarse a las cuentas para descargarse el correo nuevo y una vez obtenido insertará en una base de datos MySQL el correo descargado, indicando de qué servidor de correo lo ha descargado, a qué hora ha llegado, quién lo ha enviado, con qué asunto y con qué texto. Tanto el asunto como el texto se almacenarán en base64 en la base de datos.

El agente también comprobará si el correo electrónico tiene adjuntos. En caso de tener se descargará el adjunto conservando su nombre y lo almacenará en un árbol de sistema de ficheros compuesto por año, mes y identificador de correo de la base de datos. A su vez se insertará en la base de datos de que correo procede el adjunto, donde está almacenado, su comprobación MD5, si ha sido subido anteriormente a Virus Total y en caso afirmativo, se nos mostrará el resultado de los antivirus.

Veamos como funciona. En primer lugar será necesario disponer de una base de datos MySQL en el servidor donde instalemos el agente. Una vez dispongamos del MySQL será necesario crearnos el usuario y la base de datos mediante las siguientes órdenes:

$ mysql -u root -p
> CREATE database mailmalwaretrap;
> CREATE USER 'mailmalwaretrap'@'localhost' IDENTIFIED BY 'MiContrasenya';
> GRANT SELECT, INSERT, DELETE ON mailmalwaretrap.* TO 'mailmalwaretrap'@'localhost';

A continuación volcaremos el esquema de la base de datos, que podéis obtener de mailMalwareTrap.sql (los ficheros están al final del post):

$ mysql -u root -p < mailMalwareTrap.sql

Posteriormente configuraremos el agente, escribiendo en el fichero “mailMalwareTrap.conf” una línea por cada cuenta de correo que dispongamos, teniendo en cuenta que se deberá seguir el siguiente esquema “servidorCorreo|cuentaCorreo|contraseña”. Si por ejemplo nuestro servidor de correo es “pop.gmail.com”, la cuenta “lol@gmail.com” y contraseña “lolazo” el fichero será el siguiente:

# cat mailMalwareTrap.conf
pop.gmail.com|lol@gmail.com|lolazo

Para finalizar obtendremos el agente “mailMalwareTrap.py” donde será necesario tener instalado las dependencias de MySQL para Python.

Para el ejemplo que mostraremos usaremos una única cuenta de Gmail donde enviaremos desde otro servidor de correo adjuntando un fichero pdf que corresponde con el meterpreter. Una vez enviado ejecutaremos el script para que procese los correos nuevos. Se aconseja que se ponga el script en el crontab para que se ejecute cada hora:

$ mailMalwareTrap.py
Hay correos nuevos en "pop.gmail.com".
$

Si accedemos a la base de datos tabla “mail”, veremos que se ha insertado el nuevo correo con identificador “1”, correspondiente a la sonda “1”, que ha llegado a las 10:52 del 11 de Noviembre, cuyo asunto y texto están en base64 para evitar “sorpresas”:

Si analizamos la tabla malware veremos lo siguiente:

Malware con identificador 1, procedente del correo con ID 1, que se encuentra almacenado en “/tmp/result/2011_11/1/meterpreter.pdf”, que ya había subido con anterioridad a Virus Total, listado de los resultados de los distintos antivirus (la mayoría lo detectan), texto añadido por nosotros (en este caso está a NULL) y para finalizar la comprobación md5 del malware.

Si comprobamos a mano la comprobación md5 veremos que es la misma que hay almacenada en la base de datos:

$ md5sum /tmp/result/2011_11/1/meterpreter.pdf
062e7ecdc4a15f2f49cb5b2b09e5a4ea /tmp/result/2011_11/1/meterpreter.pdf
$

Como ven es una forma sencilla de tener un recolector de malware de las carpetas Spam de distintos servidores que permite analizar los riesgos que pueden acontecer en su infraestructura.

Como mejoras pendientes tengo dos puntos claramente identificados: el primero será buscar en el texto del correo posibles URLs y analizar con Virus Total si se tratan de URL con malas intenciones. Así mismo el segundo punto lo constituye una interfaz gráfica que permita gestionar los correos de forma más sencilla. Pero todo esto ya otro día ;)

Espero que les haya gustado la entrada, todo sea dicho, imagino que alguien habrá tenido la idea antes, pero sinceramente, yo creo que para aprender es necesario hacerlo uno mismo. Los ficheros pueden descargarlos directamente desde este enlace: mailMalwareTrap.rar.

Seguridad micológica

25 de noviembre de 2011 Por

Coprinus comatusHace ya años que quiero publicar, por estas fechas, un post (quizás algo offtopic, ustedes dirán ;) que hable de la seguridad -de las personas en este caso- a la hora de disfrutar de una afición que muchos compartimos: el estudio de las setas y hongos, el interés por su identificación y recolección y, por supuesto, su valor gastronómico. Por estas fechas por un motivo obvio: estamos ahora en la temporada de setas por excelencia, ya que aunque setas hay todo el año es en primavera, y sobre todo en otoño, cuando más ejemplares y de más especies podemos encontrar en nuestros bosques, y por tanto cuando nos lanzamos, cesta en mano, a su recolección…

Este año no ha sido especialmente bueno en -creo- ningún punto de España para los aficionados a la micología; un verano demasiado seco y caluroso, y las lluvias otoñales que se han hecho esperar más de lo debido, han motivado que en la mayor parte del país podamos disfrutar más bien poco de una jornada en el campo buscando setas… y contando con que el invierno -y por tanto el hielo y la nieve- están al caer, la temporada podemos decir que está siendo más bien inexistente. Pero aún así, ayer ya aparecía en los medios el primer caso de muerte esta temporada por ingesta de setas en Mataró (Barcelona). Todos los años fallecen varias personas por este motivo: la ingesta de setas tóxicas. Muy pocas setas son mortales, pero si tenemos la desgracia de consumir alguna de ellas, las consecuencias son claras…

Desde el punto de vista “gastronómico” las setas se pueden dividir en comestibles, no comestibles y tóxicas (realmente hay un cuarto grupo, las setas comestibles bajo ciertas circunstancias, aunque yo las consideraría directamente no comestibles o tóxicas… y más en este post ;). Las primeras, obviamente, son las más buscadas y las que más se conocen a nivel general: Lactarius deliciosus, Amanita caesarea… y las segundas son setas sin ningún interés culinario: no saben bien, poseen una textura leñosa, etc.; ejemplos de éstas son casi todas las setas que crecen en la madera, como Trametes versicolor. Obviamente las setas no comestibles no suelen causar accidentes: si algo está malo o tiene una textura desagradable, nadie lo ingiere. El problema está en las setas tóxicas, setas con un sabor que puede resultar agradable -por eso es consumen- pero con unos venenos que pueden provocar desde trastornos digestivos (un ejemplo curioso es Coprinus atramentarius) hasta alucinaciones (Amanita muscaria, Amanita pantherina…), daños físicos irreversibles (Schizophyllum commune…) … o incluso la muerte (Amanita phalloides, Cortinarius splendens…).

Como decíamos, todos los años fallecen personas por ingerir setas mortales accidentalmente (eso sin contar intoxicaciones leves por setas no mortales, que no suelen ir más alla de ciertos trastornos menores y que no saltan a los medios); suele haber dos perfiles de víctimas: los incautos y los confiados. Los incautos más extremos son los que salen al monte y cogen cualquier cosa que parezca una seta, la cocinan y se la comen. Sin más. Obviamente, contra esto poco se puede decir: simplemente NO LO HAGAS. La probabilidad de intoxicarte es elevadísima, y la probabilidad de sufrir lesiones irreversibles o incluso morir es también considerable (en función de la zona de búsqueda y demás)… Afortunadamente, este tipo de incautos es mínimo; los incautos más numerosos son los que, basándose en creencias populares que vienen a decir que si un animal come una seta y no muere es que es comestible para un humano, que si la cocemos con una cuchara de plata y la cuchara no se pone negra es que no tiene veneno, que si es de tal o cual color se puede comer o no…deciden ingerir ejemplares de una determinada especie. Por supuesto, todos estos tópicos son completamente falsos y sin ningún rigor científico: la única forma de determinar a qué especie pertenece un ejemplar y la cantidad de veneno que tiene es en un laboratorio, con el material y los conocimientos necesarios. Todo lo demás son mentiras, aunque lamentablemente muy extendidas en zonas con afición micológica y aún a día de hoy creídas por demasiadas personas… Obviamente debemos desconfiar de cualquier identificación en base a estos mitos y jamás comernos una seta porque hemos visto que una oveja la ingiere sin problemas, por poner un ejemplo :)

Tras los incautos, tenemos a los confiados; los que creen que han identificado un ejemplar porque se parece a los de la especie que recogen habitualmente -o peor, porque se parece a la foto de una guía de setas “todo a 100”-, lo cocinan y se lo comen. El reino de los hongos es apasionante, pero entre sus cualidades encontramos que es muy engañoso; factores como la humedad, la exposición al sol o simplemente el terreno de crecimiento pueden hacer que dos ejemplares de una misma especie no se parezcan entre sí en nada -visualmente, claro-. O al contrario, que dos especies diferentes, una excelente comestible y una mortal, tengan un parecido asombroso. Para evitar esto, el principal consejo es no consumir ningún ejemplar si no estamos completamente seguros de su identificación. Y el estar completamente seguro -fuera de un laboratorio, insistimos- es difícil y sólo se consigue con años y años de experiencia y con buenos maestros -no con un simple libro de setas generalista-. Existen por todo el país -por todo el mundo- sociedades micológicas (en la Comunidad Valenciana está SOMIVAL) en las que podemos aprender mucho sobre setas y hongos, con auténticos expertos que nos pueden ayudar a identificar correctamente ejemplares tanto en laboratorio como en el campo y a las que podemos acudir incluso con ejemplares que hemos encontrado por nuestra cuenta para que nos echen una mano con la identificación… una vez que estemos seguros de que una seta es comestible, podremos disfrutarla en la mesa, pero ante la más mínima duda, no vale la pena jugársela…

Finalmente, otro consejo de seguridad; aparte de la correcta identificación de los ejemplares para no equivocarnos a la hora de consumir setas, recordemos que cuando salimos al monte a buscarlas estamos en un entorno más o menos hostil. Todos los años se producen demasiados accidentes buscando setas; típicamente, caídas, desorientaciones… aunque la mayor parte de ellos suelen acabar bien, sobre todo gracias al excelente trabajo de la Guardia Civil en el ámbito rural, algunos tienen consecuencias fatales. Es muy importante conocer el término en el que vamos a buscar setas, llevar un calzado y ropa adecuados y un teléfono móvil -con batería, obviamente- para poder llamar en caso de emergencia; y que personas de nuestro entorno sepan dónde vamos y sobre qué hora tenemos prevista la vuelta, para que puedan dar la voz de alarma en caso de que algo raro suceda. Si podemos salir en grupo, mucho mejor que solos, y si la climatología es adversa -sobre todo con niebla- es preferible quedarnos almorzando que adentrarnos en el monte…

Todos los aficionados confiamos en que esta temporada los problemas de seguridad “micológica” sean los menos posibles… y que no empiece a nevar o a helar de momento, para ver si se arregla la temporada :)

Sistemas de monitorización social (Parte 1)

24 de noviembre de 2011 Por
Hoy comenzamos una serie de posts relacionados con los sistemas de monitorización social, a cargo de Rafael Páez, un antiguo compañero de S2 Grupo que continúa colaborando con nosotros.

Los sistemas de monitorización social comúnmente conocidos como redes de espionaje, son mecanismos, normalmente gubernamentales, que se encargan de interceptar y analizar todo el tráfico que se transmite por las comunicaciones electrónicas, para así, como “ellos” lo definen, poder detectar y anticiparse a ataques terroristas, planes de narcotráfico y conspiraciones políticas entre otras funciones.

Existen diversos sistemas que cumplen estas características y con esta serie de posts me gustaría hacer una pequeña introducción a algunos de ellos.

Echelon

La red Echelon es considerada como la mayor red de espionaje creada para la interceptación de comunicaciones electrónicas de toda la historia y es el sistema de espionaje más conocido de todos sin lugar a dudas. Se han escrito multitud de libros e incluso se ha hecho alguna película (“Echelon conspiracy”) donde tenemos a Echelon como principal “protagonista”.

[Read more…]

Analizando la privacidad real de las fotos de Facebook

23 de noviembre de 2011 Por

La semana pasada se publicó en El Mundo una noticia en la que se hablaba de que la privacidad que Facebook aplica a las fotos que subimos a la red social, de la que @mkpositivo se hizo eco a través del twitter.

En la noticia se indica que, cualquier usuario, sin necesidad de estar registrado en Facebook, puede acceder a cualquier foto hospedada en la red social, previo conocimiento de su URL.

Veámoslo mejor con un ejemplo. A continuación se puede ver una foto subida por mí a Facebook. Se puede ver como en la configuración de visibilidad aparece compartida únicamente con mis amigos.

Si pulsamos con el botón derecho encima de la foto y seleccionamos la opción “Propiedades” en Internet Explorer, “Ver información de la imagen” en Firefox, o “Copiar URL de imagen” en Chrome, podemos obtener la URL de la foto. Luego solo es necesario pegarla en otro navegador distinto, o acceder tras hacer cerrado la sesión.

[Read more…]

Vaya por delante que no soy abogado

22 de noviembre de 2011 Por

El 7 de noviembre pasado el Tribunal Constitucional (TC) hizo pública una sentencia mediante la que rechazaba conceder amparo a un pedófilo condenado a 4 años de cárcel por la Audiencia de Sevilla que alegaba que se había atentado contra su derecho a la intimidad (ver sentencia).

Les resumo el caso. Un “caballero” lleva a una tienda de informática su portátil para que le cambien el DVD. El técnico que repara el equipo detecta contenidos pornográficos con menores en el equipo, y lo pone en conocimiento de la Policía Nacional, que interviene el portátil, confirma los hechos y lo pone en manos del juzgado.

Mi primera reacción al leer el titular de la noticia es de satisfacción. Otro mal nacido sobre el que cae el peso de la justicia. Pero al leer con un poco más de detalle la noticia y hacer una lectura rápida de la sentencia empiezo a preocuparme y aun a riesgo de no ser comprendido por tratarse del caso de que se trata, me gustaría compartir con ustedes una serie de reflexiones.

[Read more…]