Search Results for: cloud

Algo habitual a la hora de configurar una red donde podemos encontrar dispositivos de distintos fabricantes como switches o routers, es configurar los equipos de forma manual y por separado, lo cual, dependiendo de la complejidad de la red, puede llegar a hacer prácticamente imposible disponer de mejoras de forma rápida. Por ejemplo, para cubrir por ejemplo las necesidades de ancho de banda o conectividad de nuestros clientes.

Teniendo esto presente y más con la evolución en la actualidad de los sistemas cloud, donde ya se dispone de herramientas para gestionar y desplegar sistemas de forma prácticamente automática, disponer de una red compleja es algo poco factible de mantener de esta forma, por lo que grandes compañías están dedicando gran cantidad de recursos en encontrar una solución, de forma que la gestión de la red no sea nodo a nodo, como hemos dicho, muchas veces cada nodo de un fabricantes distinto, sino de forma centralizada. En la actualidad, ya se disponen de herramientas de gestión centralizada pero habitualmente suelen ser propietarias de cada fabricante.

Desde hace algunos años, todo esto ha dado lugar al concepto conocido como SDN (Software Defined Network), una red donde existe una separación entre el plano de control (control plane) y el de datos (data forwarding plane), dando lugar a la aparición de interfaces independientes que se encargan de gestionar este plano, de forma que sea posible disponer de redes más flexibles y automatizables.

Aparte de la mejora notable a la hora de gestionar la red, por ejemplo a en cuanto a tiempo se refiere, podríamos pensar en la simplificación de los dispositivos de red, ya que éstos dejarían de entender y procesar protocolos diversos y simplemente aceptarían instrucciones del controlador SDN. A nivel de seguridad, también podríamos filtrar el tráfico anómalo en distintos dispositivos de forma centralizada o redirigir dicho tráfico a nuestro IDS o firewall para inspeccionarlo.

(Imagen de la Wikipedia por Denwid)

Dentro de estas interfaces destacaría, por ser la primera, OpenFlow, un protocolo abierto creado por Open Networking Foundation, para permitir la gestión remota de tablas de enrutamiento. No obstante, existen otras interfaces como ONOS, de Open Networking Lab, Netconf/Yang, o directamente la gestión habitual mediante SNMP.

Actualmente, SDN se encuentra en una etapa inicial donde esta siendo adoptada por grandes operadores, proveedores de cloud o centros de investigación, aunque se prevé que para final de este año empiecen a aparecer de forma masiva aplicaciones y controladores SDN en el mercado. A pesar de ello, ya se dispone de una lista de equipos con soporte en la web de ONF, como la arquitectura Cisco ONE para la progamacion y provision automaticada de la red, o contrail de Juniper.

En la pasada RootedCON de 2013 Raúl Siles introdujo una mejora al clásico ataque de Joshua Wright a redes WiFi empresariales llamado Dumb-Down, desconozco si el término o la vulnerabilidad que explota fue contribución suya o de algún otro gurú, pero la verdad es que no he encontrado referencias sobre la implementación/descripción del ataque en otras fuentes. Como no identificamos referencias básicamente sobre su realización técnica pasamos al “do it yourself”. La verdad que esta vulnerabilidad, desde mi punto de vista, ha pasado bastante desapercibida por lo que al impacto en la red se refiere (blogs, comentarios, etc.) y me sorprende especialmente por el terrible impacto que tiene. En las próximas líneas veremos una prueba de concepto de cómo configurar un sistema capaz de ejecutar el ataque, desde los cimientos aportados por Joshua a la mejora propuesta por Raúl.

En primer lugar comentar que el ataque Dumb-Down permite obtener directamente las credenciales en claro de los clientes WiFi que por una mala configuración de sus terminales autentiquen a una red empresarial que utilice EAP como método de autenticación.

Para ello necesitamos primero desplegar la infraestructura que nos permita autenticar a los clientes inalámbricos, para ello utilizaremos “Freeradius-WPE”, el cual habilita capacidades de registro para las credenciales suplidas por los usuarios víctima. No voy a describir su proceso de instalación ya que hay cientos de blogs que ilustran el ataque, destacar tan solo que, este es capaz de capturar diversos métodos de autenticación EAP como son: EAP-TTLS PAP, EAP-TTLS CHAP, PEAP-MSCHAPv2, EAP-TTLS GTC y por supuesto sus versiones sin tunelizar, entre otros.

Lanzaremos por tanto una vez instalado, el Freeradius-WPE mediante el siguiente comando.

Pondremos un Tail en su fichero de registro que es donde nos irá guardando las credenciales de los clientes WiFi.

En este momento necesitamos levantar un punto de acceso que autentique contra nuestro servidor Radius modificado en el puerto 1812 UDP. Podemos usar un AP físico o montar un hostapd, esta segunda opción nos permitirá utilizar una tarjeta WiFi con una antena con bastante ganancia. La configuración utilizada para el hostapd es la siguiente, lanzando posteriormente el demonio.

Ahora que ya tenemos la infraestructura preparada vamos a hacer una prueba de conexión sin aplicar todavía el ataque Dump-Down. Desde un teléfono móvil por ejemplo conectamos al AP requiriendo inmediatamente en la pantalla de nuestro terminal las credenciales de acceso a la red.

Nuestro terminal nos alerta de que el certificado de seguridad no es válido, en numerosas ocasiones el usuario simplemente lo aceptará por simple desconocimiento, pero como veremos en el estudio realizado más adelante para una red concreta, la mayoría de equipos están configurados para no comprobar la autenticidad del servidor de validación. Esto conlleva un gran problema ya que en nuestro registro podemos ver el usuario que ha conectado y la huella tanto del challege como del response de MSCHAPv2. Con esta información podemos utilizar aplicaciones como “John the ripper” versión “Jumbo”, “asleap” o servicios en la nube de crackeo de contraseñas por el módico precio de 17$ la unidad.

Como vemos en el log del Freeradius-WPE de la captura anterior, el método de autenticación ha sido Mschapv2 con un protocolo de protección y cifrado del proceso PEAP.

Veamos ahora como conseguir que el cliente en lugar de remitirnos un challenge/response que deberemos crackear, nos remita la contraseña directamente en claro, que es la gracia de Dump-Down. Muchos de los suplicantes inalámbricos delegan en el servidor Radius el método de autenticación a negociar, de esta manera si el terminal le comunica que se va a validar a través de MSCHAPv2 y nuestro FreeRadius-WPE replica forzándole a utilizar por ejemplo, EAP-GTC, conseguimos evitar realizar la fuerza bruta sobre MSCHAPv2. Si queréis saber que clientes son presas de este ataque, el estupendo estudio de Raúl realizado para la Rooted puede aportaros más detalles. Adelantaros que, en entornos Windows, EAP-GTC no es aceptado de forma nativa (así como LEAP o EAP-TTLS), ¿por qué? Pues porque ya tienen su propio método creado por ellos, Microsoft CHAPv2. Donde comienza la verdadera fiesta es con los terminales móviles; IOS 5, 6 y 7 sucumben al ataque; Android, dependiendo del grado de configuración; Windows Phone, peor escenario posible. Lo verdaderamente terrorífico en este punto es la capacidad por defecto de los teléfonos inteligentes de conectar automáticamente a aquellas redes que aparecen en su lista de favoritos, es decir, todas con las que previamente se ha realizado una asociación satisfactoria.

Configuremos por tanto nuestro FreeRadius-WPE editando el archivo “/usr/local/etc/raddb/eap.conf” y cambiando el método de autenticación por defecto a EAP-GTC como muestra la imagen.

Agradecimientos en este punto a nuestro compañero David Lladró por la configuración anterior.

En estos momentos, lanzaremos nuevamente nuestro Radius y repetiremos el intento de conexión con los siguientes resultados.

Como vemos en la imagen, el servidor ha forzado al cliente a utilizar EAP-GTC revelándonos directamente las credenciales en claro.

Un estudio que trató de analizar el impacto y el nivel de seguridad de este tipo de redes arrojó resultados escalofriantes. El objetivo propuesto fue una popular red universitaria. En su página web podemos leer:

Para los que no la conozcáis es la red que da conectividad inalámbrica a los alumnos, independientemente de la universidad donde se encuentren. Tras un breve proceso de Wardriving por la ciudad con un punto de acceso simulando un nodo de XXX y un rápido paso por un par de campus, los resultados fueron los siguientes:

• 59 Challenge/response de MSCHAPv2 capturados, con el consiguiente 100% de crackeo de la contraseña.
• 36 credenciales en claro.

Como ellos mismos dicen “abre tu portátil y estás conectado”, paradójico ¿no…?

Pero este tipo de ataque Dump-Down, todavía puede dar mucho más juego, podemos utilizarlo para realizar ataques de ingeniería social. Supongamos que tenemos que realizar un test de intrusión sobre una empresa llamada Duff. Podemos levantar una infraestructura Dump-Down con un SSID por ejemplo “Duff WiFi mail service”, “Duff WiFi VPN” o cualquier otro nombre atractivo que pueda hacer que un usuario se autentique con sus credenciales de dominio, ya que lo único que se le requerirá al cliente que intente conectarse es un par usuario/contraseña, siendo muy fácil que asocie el nombre de la red con las credenciales de acceso al servicio (por ejemplo el correo). Al margen de esto, se me ocurre que podría ser interesante levantar por ejemplo, un punto de acceso en Barajas que se llamara “Google free WiFi” a ver cuántas “polillas” se pueden llegar a capturar… Dejamos esta práctica (que no recomendamos realizar en absoluto) para aquellos lectores Underground.

No hay que olvidar que normalmente, este tipo de sistemas de seguridad WiFi empresariales están integrados con el dominio Windows corporativo, es decir que no sólo pueden suponer el acceso a la red inalámbrica de una compañía, sino a todos los recursos internos que estén integrados con el dominio: escritorio remoto en servidores, correo electrónico, ERP, servidores de ficheros, OWA, VPN, etc.

Por lo tanto y como conclusión, el riesgo de una red EAP mal configurada es mucho mayor que una que directamente no presenta contraseña de acceso (OPN).

Nota final: Recomendación que desde Security Art Work nos gustaría realizar, SI NO ESTÁS UTILIZANDO UN SERVICIO WIFI, EL INTERFAZ INALÁMBRICO MANTENLO APAGADO SIEMPRE.

Y con él, muchas noticias relacionadas con la seguridad. Los casos de ciberacoso, la evolución del cloud computing, las dichosas cookies, los chinos haciendo de las suyas por un lado, la NSA haciendo de las suyas por otro… una año realmente movido en nuestro ámbito.

Pero sin solución de continuidad nos llega 2014. ¿Qué nos traerá?

Pues me temo que algunos de los temas que he citado antes seguirán con nosotros. Pero sin duda nos traerá nuevos retos. Algunos ya los prevemos: el desarrollo del BYOD y los riesgos que implica para las organizaciones, la ciberseguridad industrial, las smart cities… Otros retos, aún no acertamos ni a imaginarlos.

Pero lo que es seguro es que aquí en SAW seguiremos para contárselos, y para seguir haciendo lo que nos apasiona: hablar, compartir y seguir aprendiendo sobre seguridad, en todas sus vertientes. Y, si es posible, con su compañía.

Con nuestros mejores deseos para el año entrante.

Por enésima vez en este blog, vamos a hablar de un asunto que por norma general, suele levantar ampollas… Estamos hablando, como no, de las certificaciones. Si a eso le añadimos otro tema de moda (aunque bueno este ya está un poco más trillado) como es el de la nube, solo nos queda agitar y… ¡Eh voilà! Obtendremos certificaciones tanto para entidades como para profesionales. ¡Que tiemble el campo del titular del perfil de LinkedIn! Así pues, vamos a introducir a nuestros queridos lectores en estas nuevas certificaciones. Antes de empezar, me gustaría aclarar que probablemente nos dejemos muchas certificaciones sin mencionar.

Con lo dicho, vamos a comenzar con un clásico en el mundo de las certificaciones profesionales en el ámbito TI, como son las provistas por EXIN, y como no, con un curso de… traten de adivinarlo… ¡Efectivamente! Un curso de fundamentos en Cloud Computing (como ven EXIN nunca deja de sorprendernos). Sin entrar en detalle, los cursos que se ofrecen para la consecución de esta certificación suelen tener una duración aproximada de 2 a 4 días. El objetivo de esta certificación es acreditar conocimientos en los conceptos básicos del cloud computing, que van desde aspectos conceptuales hasta una serie de nociones básicas que permitan la correcta selección de un proveedor de cloud. Este curso, al igual que otros cursos de fundamentos, suele estar dirigido a un público que quiere iniciarse en la materia y no dispone de amplios conocimientos previos en esta área. Para presentarse a este examen, no se requiere la asistencia obligatoria a ningún curso; no obstante se considera recomendable.

Si os parece que este título nobiliario se queda corto, también es posible subir de nivel y obtener la certificación EXIN Certified Integrator Secure Cloud Service; sin embargo la consecución de esta certificación no implica la realización de otro curso relacionado con cloud computing sino que requiere estar acreditado en Cloud Computing Foundation, IT Service Management Foundation (ISO 20000), e Information Security Foundation (ISO 27002). El disponer de estos tres certificados presupone que el acreditado dispone de conocimientos que le permitan tener en cuenta aspectos de seguridad y de gestión de servicios en relación a servicios de Cloud Computing.

Además de las certificaciones de EXIN existen otras certificaciones a título personal. Una de ellas viene de la mano de CompTIA, no tan conocida por estos lares en comparación con EXIN. La certificación en cuestión se denomina CompTIA Cloud Essentials y no deja de ser una certificación equiparable a la propuesta por EXIN. El temario de esta certificación es el siguiente:

Las demás certificaciones que me gustaría presentarles son las que propone la CSA (Cloud Security Alliance), quizá el organismo más representativo en cuanto a seguridad en el Cloud Computing. La primera de ellas, al igual que las anteriores, es una certificación para profesionales. Esta certificación se denomina CCSK (Certificate of Cloud Security Knowledge) y cabe destacar que está más enfocada a aspectos de seguridad, en comparación con las anteriores. En este sentido quizá es la más recomendable para los profesionales interesados en la seguridad de los servicios Cloud. El temario para preparar esta certificación se encuentra disponible en la propia web de la entidad y consta de:

• Guía de seguridad para áreas críticas de interés en cuanto a Cloud Computing. CSA.
• Evaluación de riesgos en Cloud Computing. ENISA.

Los exámenes que hay que realizar para conseguir estas certificaciones son de tipo test. En el caso de la certificación de EXIN consta de 40 preguntas y en los otros casos, de 50 preguntas.
Me he dejado para el final la parte referente a la certificación de proveedores de Cloud Computing. El marco propuesto por la CSA se denomina STAR (Security, Trust & Assurance Registry) y básicamente consiste en la creación de un registro de proveedores de Cloud Computing que proporcione información a los clientes acerca del grado de implicación de los proveedores en materia de seguridad. Este marco define tres niveles de certificación:

El primero consiste en una autoevaluación, por parte del propio proveedor, mediante el uso de un cuestionario proporcionado por la CSA. Este cuestionario está disponible en la propia web del organismo. Destacar que este primer nivel ha sido realizado por muchos proveedores importantes en referencia sus servicios Cloud. Entre éstos podemos encontrar: Amazon, HP, Microsoft, Red Hat, Symantec y un largo etcétera. Todos los cuestionarios de estas entidades están accesibles públicamente en el registro de la CSA. Les invito a echar un vistazo al cuestionario de Amazon para entender exactamente de qué va la cosa.

El siguiente nivel de certificación consiste en la certificación por parte de un tercero de la seguridad del proveedor de servicios cloud, partiendo de la consecución de la certificación ISO 27001 y el cumplimiento de una serie de criterios específicos definidos por la CSA, en una matriz de controles para el Cloud Computing. Existen entidades certificadoras que ya ofrecen servicios conjuntos de certificación en ISO 27001 y STAR, como es el caso de BSI. El último nivel de certificación, CSA STAR Continuos, actualmente está en desarrollo y se prevé que se encuentre disponible durante 2015.

Como pueden comprobar, poco a poco los servicios de Cloud Computing van conquistado cuota de mercado. Este hecho es irrefutable. Allá donde aparezca una nueva tecnología, habrá una nueva certificación. Y yo me pregunto ¿para cuándo las certificaciones en Big Data? Me van a permitir una última reflexión en lo que atañe a nuestra legislación. Ya sabemos que en el ámbito del cumplimiento del ENS, el CCN propone el uso de productos certificados; en este sentido quizá tendría cabida pensar en la certificación de servicios de Cloud Computing que den cumplimiento a los requisitos del ENS. Who knows?

Recientemente he leído un artículo en “diaroti.com” referido a la censura que realiza Apple mediante el sistema iCloud donde, no solo los destinatarios del mensaje leen el mensaje sino que Apple también lo hace, y no solo el asunto del mismo, sino el cuerpo del mensaje. El exceso de celo que presenta Apple con todo lo relacionado con el sexo es por todos sabido, pero ha llegado al extremo.

La compañía ha sido recientemente acusada de bloquear todos los correos enviados a usuarios de iCloud con el texto “barely legal” (apenas legal). Esta frase es empleada en sitios pornográficos con la finalidad de dar a entender que “los participantes” acaban de llegar a la mayoría de edad, por lo que los correos que la incluyan (ya sea en el cuerpo del email o en el asunto) son eliminados sin importar que no incluyan contenido sexual o se trate de contenido de ficción. Aparte de ello, el correo que elimina, nunca va a parar a la papelera, ni a la carpeta de correo no deseado, sino que directamente lo elimina del servidor.

Este procedimiento de censura, quedó al descubierto cuando la edición británica de MacWorld realizó una prueba para comprobar la eficacia de este filtro. La prueba consistió en enviar un mensaje que contenía el siguiente texto: “My friend’s son is already allowed to drive his high-powered car. It’s ridiculous. He’s a barely legal teenage driver? What on earth is John thinking.” (El hijo de mi amigo ya tiene permiso para conducir su coche de alta potencia. Es ridículo; ya que es un conductor adolescente, que apenas ha superado la edad mínima legal. ¿En qué está pensando John?). Al contener la frase en cuestión (“barely legal”), el correo fue automáticamente eliminado de los servidores de Apple.

Posteriormente, se reformuló la frase de la siguiente manera: “My friend’s son is already allowed to drive his high-powered car. It’s ridiculous. He’s barely a legal teenage driver? What on earth is John thinking” (El hijo de mi amigo ya tiene permiso para conducir su coche de alta potencia. Es ridículo; ya que es apenas un conductor adolescente con edad mínima legal. ¿En qué está pensando John?). Fue suficiente con trasladar la letra “a” (que aparentemente, traducido al español no varía en nada su significado), para que el filtro no actuase.

Apple ha mantenido su habitual mutismo pero sí ha desbloqueado esta combinación de palabras. Aunque como siempre, tienen las espaldas bien cubiertas, ya que en los términos de uso de iCloud (que la mayoría ni leemos y aceptamos como si nada) permiten exactamente lo que ha ocurrido.

Otros que se han topado con esta censura han sido la revista “Playboy” que movió cielo y tierra para sacar una versión íntegra de su revista para Ipad y al final se han tenido que conformar con hacerlo vía web, y recientemente la revista “Muy Interesante” era motivo de censura al publicar la palabra pene y colocar la foto de un modelo desnudo que cubre sus genitales, por lo que la revista debió modificar la palabra de su artículo de portada para la versión Ipad con el pertinente retraso en su publicación y con ello las disculpas a sus lectores.

(Las fotos pertenecen a “eldiario.es” y “iphonefan.com“)

Hay gente que tiene la envidiable capacidad de hablar horas y horas durante un tema -del que quizás no tengan ni idea- diciendo cosas coherentes, con una forma perfecta pero sin ningún tipo de fondo: (algunos) políticos, (algunos) speakers, (algunos) periodistas… Voy a intentar imitarles con un post sobre seguridad, que para algo estamos en Security Art Work…

Hoy en día nadie discute que la seguridad es vital para lograr con éxito los objetivos de cualquier organización, y dicha seguridad debe aplicarse mediante una aproximación holística, que facilite una garantía global desde el punto de vista operativo, pero también desde los puntos de vista táctico y estratégico, por supuesto siempre alineada con el negocio, la legalidad y la ética de la propia organización y de las personas que la componen.

Sin duda los avances de nuestra sociedad ponen en jaque este modelo de seguridad al que hacemos referencia; tendencias como el cloud computing o el BYOD, normativas como la Ley de Protección de Infraestructuras Críticas o aspectos de privacidad o reputación digital, por citar sólo unos cuantos ejemplos, amenazan al modelo tradicional de seguridad global al que estamos acostumbrados.

Ante esta situación los profesionales individuales, las asociaciones, empresas, Administraciones Públicas, grupos de interés… en definitiva, cualquier actor involucrado actualmente en el ámbito de la seguridad debe reaccionar adecuadamente para adaptarse a la nueva situación sin degradar los niveles mínimos aceptables en su ecosistema profesional. Y para ello sólo cabe una posibilidad: el buen gobierno. Un gobierno alineado con la legalidad vigente, la ética personal y profesional y las buenas prácticas en materias de seguridad internacionalmente reconocidas, verificado de forma independiente y periódica mediante un esquema correcto de aditoría.

Sin este buen gobierno al que hacemos referencia jamás podremos hablar de una seguridad adecuada a los requisitos que nuestros clientes y usuarios, y en definitiva la sociedad en su conjunto, demandan; es necesario que todos trabajemos en la misma dirección, aunando esfuerzos, colaborando, intercambiando información y construyendo los cimientos de una seguridad empotrada en las bases de cualquier iniciativa: lo que se ha venido a denominar la cultura de seguridad. Solo así podremos hacer frente, de manera correcta y completa, a las nuevas situaciones o tendencias de las que hablábamos al principio; si no abordamos el problema mediante esta aproximación no tendremos más que iniciativas aisladas sin un marco de trabajo adecuado, que mejorarán la seguridad en ámbitos de trabajo concretos pero no en su conjunto.

Bien, ¿no? Todo lo expuesto parece coherente, correctamente expresado y seguramente alguno que otro, si no lo hubiera puesto en cursiva, lo habría considerado un post aceptable… es más, habría votado el “Me gusta” :) Hasta aquí todo normal…

Sustituyamos ahora la palabra seguridad con un término que nosotros podamos considerar cercano:

sed s/seguridad/tecnología/g

Ummm… tampoco tiene mala pinta, ¿no? Intentémoslo con otras palabras “cercanas”:

sed s/seguridad/informática/g
sed s/seguridad/defensa/g
sed s/seguridad/inteligencia/g

Sigue siendo bastante coherente, ¿no? A fin de cuentas, estamos diciendo tantas obviedades y generalidades que las mismas se podrían aplicar a cualquier cosa “cercana”… Sigamos entonces con cosas menos “cercanas”:

sed s/seguridad/justicia/g

¡Vaya! ¡Sigue sin quedar mal del todo! A ver…

sed s/seguridad/economía/g
sed s/seguridad/marca/g
sed s/seguridad/imagen/g
sed s/seguridad/"responsabilidad corporativa"/g
sed s/seguridad/...

Acabamos de generar un discurso universal; una serie de vaguedades e indefiniciones tan obvias, tan obvias, que todo el mundo está de acuerdo con ellas y se pueden aplicar a cualquier rama. Vamos, lo que muchas charlas de algunos congresillos esconden, ¿verdad? :) Y eso que es un discurso semi-hilado… Si lo intentamos con frases sueltas, la cosa es aún más sencilla (ojo, a veces hay que cambiar también el artículo):

“El paradigma del cloud computing introduce nuevos riesgos en la seguridad corporativa que es necesario tratar de forma adecuada.”

sed s/"cloud computing"/BYOD/g
sed s/"cloud computing"/movilidad/g
sed s/"cloud computing"/convergencia/g
sed s/"cloud computing"/...

“Si no gestionamos la seguridad no podremos introducir la mejora continua como factor de éxito.”

sed s/seguridad/finanzas/g
sed s/seguridad/empresa/g
sed s/seguridad/proceso/g
sed s/seguridad/...

Y si encima metemos anglicismos en nuestra presentación, aunque no vengan a cuento, ya el auditorio alucina:

“Un problema habitual en organizaciones grandes es el time to market de los nuevos servicios.”
“El desarrollo de non lethal weapons es un área de investigación crucial para la seguridad.”
“Como Chief Security Officer debes velar por la protección global del negocio, incluyendo aspectos de compliance y policy.”

And so on…

Del 30 de enero al 1 de febrero se celebra en Madrid Fiturtech’ 13, el foro de innovación y tecnología turística.

Y ustedes dirán… ¿y por qué hablan de esta noticia en un blog de seguridad? Pues si dan un vistazo al programa del foro verán que en la segunda jornada ya empiezan a hablar del papel que juegan las redes sociales, y que la tercera jornada se dedica casi en exclusiva al cloud, a la gestión de la información en la nube y a su seguridad. Incluso está prevista una intervención de Chema Alonso.

Vamos, que sí va teniendo sentido un post que hable sobre la seguridad y el sector turístico.

[Read more…]

/join #espana
<aaaa> BBBB, eres BBBB el de siempre?
<bbbb> AAAA?
<aaaa> El mismo :) Qué tal tío???
<bbbb> Coño, cuánto tiempo… Me alegro de que sigas vivo ;)
<aaaa> Aquí ando, de vuelta a Internet… por fin me he podido conectar…
<bbbb> Y eso?
<aaaa> Ya ves, lo he intentado con Infovía y con varios 900, pero o el modem no negocia bien o los 900 los han cortado…. así que he tenido que pasarme por la uni y me he enganchado un rato desde el aula, a leer el mail atrasado de la bugtraq y a ver quién estaba por el canal… Todo ok??
<bbbb> Vamos tirando ;) Tú qué tal?? Hacía que no te dejabas caer por EFNet… Has estado por Undernet??
<aaaa> Sí, mucho tiempo… No, no, nada de conexiones… Unos amigos a los que no les caía bien y he tenido que chapar una temporada… Quince años y un día para ser exactos… No me han dejao ni leer la Phrack impresa que me traía un colega, con eso te lo digo todo… tendré que ponerme al día desde ahora… Cosas que pasan ;)
<bbbb> Joder cómo está el patio…
<aaaa> Pero bueno cuéntame… Cómo va todo?? Y la peña?? Imagino que sigue igual, no?
<bbbb> Hombre, la verdad es que todo esto ha cambiado un poco… Has entrado en #hack?
<aaaa> Me he pasado pero no me sonaba nadie… No estaban los de siempre… Raro, no?
<bbbb> Ya te digo… Se han casado, tienen hijos y ahora trabajan ;)
<aaaa> No jodas!!! Jajajaja, yo que pensaba que estaban con otra campaña para Timor Oriental o algo de eso, o peor, que los había trincao Anselmo…
<bbbb> Qué va… Ahora todos tienen nombre y apellidos… Te acuerdas de ****?? De Director de Seguridad Informática en un banco… Y **** acabó la carrera y ahora va dando charlas por ahí, y **** con Linkedin y Facebook y todos así… Alucinarías…
<aaaa> Linkedin y Facebook? Yesoqués???
<bbbb> Pues… Redes sociales les llaman… Sirven para… Bueno, más o menos para que todo el mundo sepa lo que haces en cada momento, cambiar mensajes, decir chorradas, criticar…
<aaaa> Como las news?? Cuánto tiempo :) Voy a lanzar el screen para abrir el tin en otra terminal y ver como va alt.2600, alt.hackers y todo eso…
<bbbb> Ufffffff puedes ahorrarte el trabajo… Está muerto, ahora lo que se lleva es el Twitter…
<aaaa> El qué???
<bbbb> Na, una red de esas sociales que te decía, en la que te haces seguidor de gente que te interesa y lees lo que van escribiendo… Está curioso, la verdad…
<aaaa> Un RSS??
<bbbb> Pues… Más o menos, es una forma de verlo :) Ahora nos hemos puesto todos uno para decir tonterías sobre la nube…
<aaaa> Qué nube?
<bbbb> A ver cómo te cuento esto… Antes cifrabas con PGP todo por si te trincaban el disco… Ahora para ahorrar desplazamientos tú das toda la información en claro, bien clasificadita y organizadita, en lo que llamamos Dropbox, y así evitas sustos por la noche porque nadie tiene que ir allí para pillar los datos…
<aaaa> No jodas que hacéis eso… Madre mía, suena mal… **** no, verdad??? No me lo imagino…
<bbbb> Si lo vieras… Ayer justo dio una charla que se llamaba “Cloud privacy and Data Protection: a risk appetite approach” en la que la principal conclusión fue que “en la nube hay que gestionar los riesgos de forma alineada con la estrategia corporativa de seguridad”…
<aaaa> Pero no me jodas, no sé lo que es esa nube… pero esa conclusión es lo mismo que decir que el agua es transparente…
<bbbb> Sí, sí, como casi todas en este tema… pero bueno, el caso es que la gente puesta en pie aplaudiendo y todo dios encantado… lo quieren nombrar ahora International Chief Risk Enterprise Manager de su compañía…
<aaaa> Flipo con lo que me cuentas… Entonces quién queda del mundillo??
<bbbb> Todos muertos o jubilados ;)
<aaaa> Ni de phreaking?? Ni de virii? Alguien quedará… coño, estarán los de 29A, que eran unos cracks, no???
<bbbb> Qué va, chaparon el garito!! Eso ahora lo llevan las mafias, muy buenas algunas… Trabajan por dinero, no por placer, y tienen monopolizada la scene…
<aaaa> Por dinero? Quién les paga??
<bbbb> Nadie, lo roban haciendo phishing o vendiendo datos
<aaaa> Haciendo qué???
<bbbb> Phishing. Engañan a los usuarios haciéndose pasar por el banco para sacar las claves de acceso…
<aaaa> Carding, para el cajero o para comercio?
<bbbb> Nop. Para la banca online…
<aaaa> No jodas que la gente conecta al banco por INet así en general…
<bbbb> Ya te digo ;) Es lo más normal…
<aaaa> No lo entiendo… Para qué??
<bbbb> Cómo que para qué??
<aaaa> Joer, comprar en los USA lo entiendo, no te vas a ir allí para pillar un libro, pero pal banco… quitando de cuatro que tenemos modem, los demás tendrán que ir a la uni para conectarse a hacer transferencias en lugar de al banco a hacer esas mismas transferencias, no le veo las ventajas…
<bbbb> Qué va… Todo dios tiene conexión ADSL en casa… De cuatro megas, de cincuenta megas, de cien megas…
<aaaa> De cien megas?!?!?! Mbps???
<bbbb> Xasto. Mbps ;)
<aaaa> Joer la gente, qué ancho de banda, ni que fueran la NASA… Yo que pensaba que con mi módem de 56K y el dialup de siempre iba a flipar…
<bbbb> Jejejejeje… Te veo algo desactualizado… Ves a una tienda, pide un teléfono móvil con datos y verás lo que te cabe en el bolsillo…
<aaaa> Desactualizado yo??? Pues cuando salga el ****, que era punto de fidonet, va a flipar ;)
<bbbb> Ufffffff, el ****… qué es de su vida??
<aaaa> Allí anda, convenciendo a la gente que donde se ponga Veronica que se quite Archie y todo eso ;) En tres añitos sale…
<bbbb> Jajajajajaja… A tope!!!!
<aaaa> Como siempre ;) Bueno tío, voy a chapar esto que el operador del aula me mira mal y un par de chavales ya me han llamado señor y me han preguntado por qué la pantalla está tan negra… Dicen que tienen prácticas de nosequé, algo de diseño multimedia o parecido…
<bbbb> Está todo fatal ;)
<aaaa> Tenías razón, esto ha cambiado…ya no es lo que era… Cualquier día hasta sueltan al Kevin para que monte una empresa ;)
<bbbb> Estooooo… Sí, cualquier día ;)
<aaaa> Ale, nos vemos… A ver si engancho un dialup y hablamos con calma…
<bbbb> O por Facebook ;)
<aaaa> Sí, o por eso…
<bbbb> Cuídate
<aaaa> Lo mismo digo. Recuerdos a la peña
<bbbb> Se los daré si conectan ;)
<aaaa> Muacs :*
<bbbb> Chaito :)

Ahora a todo el mundo se le llena la boca hablando de la próxima directiva europea de protección de datos, del cloud, etc. Pero de vez en cuando está bien echar una mirada atrás para ver de dónde venimos. En este post voy a rememorar una aplicación clásica en protección de datos: el RGPD.

Recientemente comentaba con unos compañeros del trabajo si se acordaban de la aplicación que había antes del formulario NOTA para inscribir ficheros ante la Agencia de Protección de Datos. Lo único que recibí fue miradas extrañadas por su parte. Empecé a pensar que quizás mi memoria me estaba jugando una mala pasada, pero en mi fuero interno yo sabía que esa aplicación existió, tenía que desentrañar aquella intrincada cuestión.

Así pues fui a hablar con la persona de mi empresa que más tiempo lleva en esto de la protección de datos, es decir mi Responsable. Cuando le plantee la cuestión al principio mostró cierto grado de escepticismo, pero luego recordó que así era… esa aplicación existía… Para más inri, todavía tenía el instalable y lo que es mejor, aun sigue funcionando en Windows 7.

La aplicación era propia de la Agencia de Protección de Datos y dejó de tener soporte si no recuerdo mal allá por 2007, lo que quiere decir que nunca fue adaptada a las disposiciones del RD1720/2007. Únicamente la utilicé durante menos de un año, puesto que por aquel entonces la aplicación convivía ya con los formularios NOTA. Al igual que el NOTA existían dos versiones, una dedicada a entidades públicas y otra para entidades privadas.

Si me permiten voy refrescarles la memoria para que se hagan una idea. Básicamente se trata de lo que podemos encontrar en una formulario NOTA pero en aplicación local.

El menú principal de la aplicación nos permitía trabajar con las notificaciones, la copia de las mismas a un soporte “magnético”, y el envío a través de las notificaciones a la Agencia. Por otra parte también permitía importar y exportar notificaciones a formato .DAT. Aunque sea únicamente por el “valor arqueológico” e “histórico”, vamos a mostrar en unas cuantas capturas el proceso de creación de fichero (los datos empleados son ficticios, salvo el CIF el cual debe ser válido).

En primer lugar accedemos al menú de notificaciones y pulsamos sobre nueva notificación.

En ese instante la aplicación nos ofrece la posibilidad de creación, supresión y modificación. Accediendo a creación nos muestra un formulario con los apartados a cumplimentar:

Como han podido comprobar existe una correlación directa con la información requerida del formulario NOTA, si bien existe algún apartado que no se encuentra en los NOTA como es el punto 6. Sistema de Tratamiento.

Una vez cumplimentados todos los apartados podíamos guardar todas las notificaciones y enviarlos a la AEPD. Personalmente creo que esta aplicación presentaba alguna ventaja con respecto a los formularios NOTA. Resulta más “ligera” y más operativa dado que podemos replicar ficheros y cambiar solo la información que consideremos oportuno, lo que supone el ahorro de no tener que volver a introducir toda la información común como cuando creamos las notificaciones de una organización.

Hay una cosa que me ha resultado curiosa, y es lo difícil que ha sido encontrar información sobre esta aplicación en la red, y es que hay veces que incluso internet olvida. Obviamente la aplicación no es un modelo SaaS preparada para uso en smartphones, tablets. Pero no me pueden negar que tiene su encanto ¿no?