Security Art Work

Hace relativamente poco, buscando algún entretenimiento que me ayudara a salir de la rutina y estando fuertemente influenciado por mi pareja, decidí apuntarme a una actividad que ha resultado ser de lo más divertida: bailar Rock. ¡No me refiero a salir de marcha por locales! Estoy hablando de asistir a clases de baile. Acotando un poco más os diré que bailamos música swing de entre los años 1920 y 1950. Existen distintos estilos de baile relacionados con la música swing: Boogie Woogie, Lindy Hop, Rock´n´Roll, Balboa,… Las clases a las que asisto se centran principalmente en el estilo Lindy Hop.

Para situaros en escena y sin querer entrar en mucho detalle os diré que el Lindy Hop es un estilo de baile popularizado en Nueva York por bailarines afro-americanos en una sala de baile llamada Savoy Ballroom. El baile tenía como base el Charlestón pero incorporaba elementos de otros estilos como el “Texas Tommy“, el “Black Bottom” y el “Cakewalk“. El Lindy Hop nació cuando estos bailarines empezaron a incorporar posiciones abiertas intercalándolas con las tradicionales posiciones cerradas. En la práctica, se trata de un baile rápido, enérgico y, desde mi punto de vista, bastante divertido. El baile puede enriquecerse con una gran variedad de acrobacias que serán más o menos espectaculares en función de la experiencia y de la forma física de los bailarines.

En lo referente a las lecciones de baile puedo decir que las primeras han sido más bien “introductorias”, lo cual era previsible pues la mayoría de asistentes desconocíamos por completo el estilo de baile. No obstante, he de decir que también acuden algunas parejas experimentadas que ensayan coreografías relativamente complejas.

[Read more…]

Como vimos en el anterior post, la manera habitual analizar el tráfico de nuestra red pasa por configurar la interfaz de uno de nuestros switches en modo SPAN (o R-SPAN) y reenviar el tráfico para su posterior análisis mediante un analizador de red o un IDS.

Aunque esta solución suele ser la habitual, y suficiente en la mayoría de casos, presenta una serie de problemas, como pueden ser la limitación del número de interfaces (o VLANs) que podemos configurar en modo SPAN, y la carga de CPU asociada a la captura y envío del tráfico, incluyendo la carga generada al propio analizador de red, puesto que recibe todo el tráfico que atraviesa la interfaz, sea interesante o no para nuestra captura.

[Read more…]

Como ayer apuntaba José Luis, estuvimos presentes en el congreso de ISACA Valencia 2010, realizado los días 19 y 20 de octubre en la Universidad Politécnica de Valencia. La sesión de ayer miércoles, dedicada a la e-Administración, comenzó con un par de ponencias dedicadas la primera de ellas al estado general de la administración electrónica en España, a cargo de Lorenzo Cotino (Universidad de Valencia), y la segunda a la interoperabilidad, a cargo esta de Roberto Santos, de Telefónica -o Movistar- (videoconferencia desde León con algún que otro problemilla técnico que finalmente pudo subsanarse).

Tras un café, continuó la jornada con una excelente ponencia de Manuel Caño (LBIGroup) en la que se desgranó de una forma muy clara la necesidad de la contratación electrónica para todos (AAPP, empresas…), los problemas a los que se enfrenta en la actualidad y las líneas de resolución que se están adoptando a nivel europeo -que pasan todas por la estandarización-. Tras Manuel, se formó una mesa redonda en la que participaron José Benedito (Diputación de Valencia), Mar Ibáñez (ACCV, en representación de la Generalitat Valenciana) y Ramón Ferri (Ayuntamiento de Valencia), y en la que se plantearon trabajos, problemas y reflexiones en torno a la e-Administración desde el punto de vista de la propia administración pública. Tengo que decir una vez más que lo que yo entendía por “mesa redonda” sigue sin coincidir con lo que entiende el resto del mundo, porque las mesas redondas que llevo viendo desde hace unos años se limitan simplemente a presentaciones más cortas que el resto de las expuestas en el congreso; pero salvado este detalle, decir que me gustaron especialmente las reflexiones personales de José Benedito a la hora de plantearse qué requiere un ciudadano de la administración (hablando de trámites administrativos, no asistenciales -sanidad, educación…-) y dejando en el aire si realmente hace falta todo lo que tratamos de hacer. A fin de cuentas, el 90% de los ciudadanos tenemos unas comunicaciones con las AAPP muy simples: declaración de la renta con AEAT, algunos impuestos con el ayuntamiento y poco más… ¿no estaremos matando moscas a cañonazos con tanta e-administración? Ahí queda eso :)

Para finalizar, decir que este año, para mi sorpresa, la afluencia de público al congreso ha sido mínima, tanto el primer día como el segundo (el último día había un poquito más de gente, pero nada perceptible). Comparado con el éxito de asistencia del congreso 2009, este año nos hemos llevado un chafón; confiemos en que 2011 sea mejor…

P.D. Aquí teneis la presentación con la que S2 Grupo participó en el congreso. Disfrutadla :)

No, no estamos hablando de dejar esta vida ajetreada de las ciudades e irnos al campo a vivir y alimentarnos de lo que cultivamos y criamos. Tampoco hablamos de “invertir” nuestro tiempo libre en juegos de una determinada red social para aprender las labores del campo. Este post viene a explicar el proceso que hemos seguido para optimizar el rendimiento de un sistema de detección de intrusos (IDS) en redes con una tasa de tráfico alta.

Hace tiempo se nos propuso preparar para un cliente un sistema de detección de intrusos de alto rendimiento, capaz de procesar una gran cantidad de tráfico totalmente heterogéneo. Así que preparamos una máquina con muy buenas prestaciones para asegurarnos que, por hardware, no iba a ser; a saber, un procesador de 6 cores con 4 GB de memoria RAM, tarjetas Gigabit Ethernet y un sistema NAS para albergar toda la información generada en una red que, suponíamos, iba a ser muy complicada de manejar por la cantidad, la variedad y la naturaleza de su tráfico.

Se optó por una de las soluciones más extendidas en los sistemas de detección de intrusos de código abierto: Snort.

[Read more…]

Durante el día de ayer y hoy, se celebra en la Universidad Politécnica de Valencia el congreso ISACA Valencia 2010 organizado por el capítulo de Valencia de ISACA, que lleva como título “Esquema Nacional de Seguridad e Interoperabilidad y e-Administración”. Durante la jornada de ayer se realizaron una serie de conferencias dentro del marco del Esquema Nacional de Interoperabilidad y Seguridad, en las que S2 Grupo participó como ponente, y de las cuales, procedemos a realizar un pequeño resumen introductorio a continuación.

Protección de Marca

Nuestro compañero Antonio Villalón (S2 Grupo) planteó diversas cuestiones relativas a la reputación, tanto a nivel personal como a nivel de empresa, reflexionando acerca de los problemas actuales, los mismos que hace años pero elevados a la enésima potencia, debido al acceso global a la información donde todo el mundo puede opinar (en ocasiones amparados por una sensación de anonimato en la red), y recalcando que mi reputación no es algo que dependa únicamente de mí. Esta situación ha generado nuevos patrones de ataque no sólo sintácticos (virus, DoS, troyanos, etc), sino también semánticos (daño por la interpretación de la información que hace el ser humano). Para acabar, Toni nos ha sugerido que busquemos nuestro nombre en Internet para ver qué información existe de nosotros.

[Read more…]

Hace ya unos años que se produjo el boom de ventas de novelas históricas y ambientadas en el medievo. Quizás el máximo exponente fueron los famosos “Pilares de la Tierra” de Ken Follet que, aunque se publicó en 1989, creo que no ha habido ninguna novela posterior de este género que la haya podido destronar. De hecho recientemente también ha servido para poner “de moda” las series históricas de TV, con la adaptación producida por Ridley Scott. En 2007 la novela de Follet tuvo su continuación con “Un mundo sin fin”, novela que continúa la trama con los descendientes de los protagonistas de los Pilares.

Y ustedes dirán: ¿y este hombre qué nos está contando? Que esto es un blog de seguridad…

Pues les voy a sorprender. Esto es como la teoría de los grados de separación, que dice que entre dos personas que no se conocen en el mundo hay una cadena de conocidos de no más de cinco personas, y por tanto seis saltos.

Voy a ello. Para escribir la segunda parte de los Pilares (por cierto, felicidades a las Pilares que lean este blog por su reciente santo), Ken Follet se inspiró en las obras de restauración de la Catedral de Santa María de Vitoria-Gasteiz, ciudad que me permito recomendarles, y que tuve el placer de disfrutar en mis primeros años en esto de la seguridad (allá por el año 2000), colaborando en un proyecto para la Diputación Foral de Álava. De hecho, la ciudad, en la que se hizo la presentación mundial del libro, ha honrado al escritor británico con una estatua de bronce en su honor.

[Read more…]

Hace unos minutos leía en elEconomista.es la siguiente información relacionada con Google Street View y los datos captados por los coches (se han corregido los errores tipográficos, abundantes al parecer por las intempestivas horas). El primer párrafo es introductorio, lo interesante son los otros dos (la negrita es del original, la cursiva mía):

[Read more…]

El mes pasado asistimos, en las jornadas de Eficiencia Energética organizadas por el Club de Excelencia en Sostenibilidad en Port Aventura, a una serie de conferencias en las que se presentaban mejores prácticas de grandes empresas en esta materia. Las jornadas fueron francamente interesantes y una de las conclusiones a las que llegamos al final de las jornadas es la importancia creciente de las técnicas de monitorización y gestión en tiempo real en este amplio campo, que, por si no lo saben ustedes, es una de las líneas en las que más estamos investigando y desarrollando en S2 Grupo desde la óptica de la “Seguridad de los Procesos”.

Entre las prácticas expuestas nos llamó mucho la atención la siguiente por su originalidad y por los aspectos del proyecto relacionados con la intimidad de las personas. Una de las cadenas de hoteles importantes de nuestro país ha presentado una iniciativa que desde el punto de vista de la eficiencia energética es original y muy interesante. El proyecto en cuestión es la Habitación Inteligente en la que las habitaciones del hotel en cuestión se monitorizan con el objetivo de analizar los perfiles de comportamiento de los clientes: se mide en tiempo real la temperatura y humedad, el consumo eléctrico, el consumo de agua fría y caliente y otros parámetros que pueden resultar de interés. El resultado es impresionante ya que el análisis de datos pasados nos permiten establecer patrones de comportamiento y por ejemplo premiar al cliente en el caso de que su consumo esté por debajo de lo que se considera normal para una época del año determinada o con unas condiciones atmosféricas determinadas, es decir, por el uso responsable de los recursos.

Si todo este historial lo ligamos a la tarjeta de fidelización de cliente que la cadena de hoteles tiene, resulta que asociado a la tarjeta en cuestión se puede almacenar una serie de parámetros que definen, con cierto detalle, nuestros gustos y costumbres en aras a dar un servicio cada vez más personalizado al cliente, lo que en mi opinión resulta impresionante. Personalmente creo que todo esto es bueno siempre y cuando los responsables de los proyectos de este tipo sean muy conscientes de lo que tienen entre manos y demuestren que es así abiertamente para que los clientes nos quedemos tranquilos.

La Ley Orgánica de Protección de Datos exige muchas cosas al respecto. Los datos recogidos mediante todo tipo de sensores en una habitación de un hotel, incluido los canales de televisión que nos gusta ver, definen sin duda alguna el perfil de la persona o las personas que ocupan la habitación y por tanto son, a priori, datos de nivel medio con los requisitos de seguridad que el Reglamento de la LOPD exige al respecto. Al margen del pequeño detalle de que el Responsable del Fichero tiene que implantar las medidas de seguridad apropiadas, a cada cliente, se le deberá solicitar permiso para almacenar y tratar toda esa información y por supuesto se le deberá indicar claramente la finalidad del tratamiento y si los datos en cuestión se van a ceder a algún tercero con cualquier finalidad. Conociendo lo permisivos que somos habitualmente los ciudadanos al conceder el consentimiento, me atrevo a decir que este último punto no supondría en su caso ningún problema, y menos cuando la negación de dicho consentimiento tenga como consecuencia la imposibilidad de estancia en el hotel o la inhabilitación de esta tecnología, ya que, ¿quién quiere ir a un hotel de última tecnología para no hacer uso de ella?

Claro ustedes seguro que pensarán que el equipo de ingenieros que han diseñado este servicio habrá analizado en detalle la LOPD y las consecuencias legales del servicio que están diseñando y montando. En las jornadas se hizo una pregunta en esta línea. ¿Cual creen ustedes que fue la respuesta? En fin, se trata evidentemente de un prototipo y como tal, seguro que el equipo que está desarrollando el mismo tomará buena nota, tanto de los aspectos comerciales del proyecto, como de los aspectos legales asociados al mismo. Veremos cómo evoluciona y lo comentaremos cuando encontremos novedades al respecto.

Para el último día de la semana, tenemos una entrada de Marcos García, Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Sirva esta entrada además para iniciar una nueva línea del blog, orientada específicamente a esa vertiente de la seguridad cada vez más importante, dedicada a velar por uno de los activos más importantes de la empresa: la reputación online.

La reputación de cualquier empresa es uno de sus activos más importantes. En un DAFO debería estar siempre entre las fortalezas de la marca y, sin embargo, lo más habitual es que no sea así. ¿Por una mala gestión de crisis? ¿por una imagen deteriorada? ¿por una campaña de desprestigio? En la mayoría de los casos, por ninguna de las tres. La mayor parte de empresas no cuentan con una reputación favorable simplemente porque no se han preocupado nunca de construirla ya que la reputación corporativa es, hoy más que nunca, una cuestión de disponibilidad de la información.

[Read more…]

Impresionante término acuñado por Stephen Baker en su libro “Los Numerati. Lo saben todo de ti“. El propio título no deja indiferente al lector.

Ahora bien, ¿es recomendable su lectura? En mi opinión el libro como tal es un poco aburrido, aunque el concepto de base es apasionante y puede poner los pelos de punta a cualquiera. Al margen de los casos que analiza, con demasiado detalle para mi gusto, hay otros muchos, incluso más interesantes, que ni siquiera menciona. Por tanto, siempre en mi modesta opinión, el libro, en su conjunto, se hace bastante pesado, pero en el inicio del mismo, la realidad a la que hace mención en el libro, es escalofriante, y es ésta precisamente la razón por la que recomiendo su lectura ya que en él Baker nos descubre un inframundo apasionante para los que nos dedicamos al mundo de la seguridad y, sin duda, tenebroso para los que simplemente son usuarios de las tecnologías de la información y las comunicaciones.

Los Numerati lo saben todo de nosotros. Analizan trillones de datos diariamente para establecer perfiles de usuarios, de compradores, de votantes y un largo etcétera. Legiones de ingenieros y matemáticos que escudriñan la red en busca y captura de información que permita establecer patrones de comportamiento, grupos de perfiles de usuarios, grupos de individuos. Los primeros de esta saga, o al menos los primeros famosos, fueron Sergey Brin y Larry Page, cofundadores de Google.

[Read more…]