Archive for November, 2008

Simuladores de celdas celulares, cuanto más caros, mejor

Wednesday, November 26th, 2008

Empleado para simple labores administrativas de programación celular (asignación de número celular), hace ya una década conocí de un aparatito (de unos $50mil, por entonces) útil para identificar -entre otras cosas- el número de serie de un dispositivo celular (algo así como olfatear la red LAN, para conocer la dirección MAC de una PC).

Sin embargo, hace no mucho un taxista me contó una historia fascinante de cómo un pasajero (especializado en telecomunicaciones) le extrajo una serie de datos (#móvil, serie, etc) de un celular que había olvidado otro pasajero, sin siquiera pedirle encender el celular, el realizar una llamada, y estando el auto en movimiento por casi una distancia de 6 km.

Ojalá que el Bluetooth haya tenido que ver en esto, de otro modo, sería preocupante que alguien pueda haber usado una celda real de telefonía para realizar esa operación, no importa si siendo o no empleado de esa compañía.

Realmente, suena más saludable que organizaciones como el FBI hagan uso de su propia tecnología para rastrear la ubicación de un teléfono móvil, que de la tecnología pública. Estoy seguro que desearía que esto último no sea verdad, más aún si vive en alguno de los paises con estos índices bajos.

Nota: Bienvenidos los comentarios de especialistas en telefonía celular que puedan despejar estas dudas.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | No Comments »

DEFACEMENTS: A marketing tool?

Monday, November 24th, 2008

Hace más de tres semanas realizamos un experimento de marketing y hacking (o mas bien defacement). El propósito de la prueba era medir la calidad de los rumores generados por un defacement en la web de una compañía de seguridad, como JACKSECURITY.

El experimento ha concluido, y aunque hoy ofrecemos los resultados estadísticos (de último round), no podemos dejar de comentar las experiencias que tuvimos directamente de parte de nuestros visitantes en ese tiempo. Algunos de ellos afirmaban con bastante disgusto y/o molestia el ¿cómo era posible que una empresa de seguridad sea hackeada?. A pesar de que la página trata de ser clara al respecto, vea
http://www.jacksecurity.com/index-defaced.html

Por supuesto, la gran mayoría jamás se dio cuenta de la supuesta desfiguración, porque suelen visitar el weblog antes que el web principal (eso será para otro experimento). Sin embargo, lo que sí lo hicieron, contestaron así:


Una muestra extremadamente ridícula, pero no por ello subestimable.

Considerando los números, es posible que los defacements no tengan por qué ser tan perjudiciales después de todo. Quizás (sólo quizás) haga falta añadirle ciertos aditamentos de marketing, para convertir un web defacement en una herramienta de marketing para otro tipo de organizaciones, no necesariamente dedicadas a la seguridad. Tal si fuera un az bajo la manga, hasta podría ser (descabelladamente) recomendable que los planes de respuesta a incidentes por web-defacement tenga un libreto más benéfico, que tendenciosamente mejore el marketing de la organización. Después de todo quién no quiere ver cómo quedó una web desfigurada, el morbo a la desgracia ajena nunca, nunca falta, sólo es cuestión de guiarlos en la clase de rumor que se genere.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Detección, Knowledge | No Comments »

Tip[door] de seguridad para políticos

Sunday, November 16th, 2008

Esta semana The Register ha regalado un manual bien detallado y extenso para evitar ser víctima de la continua pérdida a la privacidad, con los correos electrónicos. El mensaje es bastante sencillo, empiece a usar un software criptográfico para sus correos, a través de una herramienta comercial (PGP) o de su versión libre GnuPG.

Si usted es un profesional de TI de cualquier organización, el siguiente, sería un argumento lo suficiente provocador para que su superior le preste atención a esto del PGP o GnuPG:

He aquí el tipdoor, “tip con un backdoor simpático”.

TIP

Estimado(a) jefe, si usted fuera Luciana [...], y en realidad sí hubiera enviado esos correos a su padre [...], de haber usado correo cifrado, su privacidad inserta en esos mensajes no podrían haber sido abiertos sin la presencia de su destinatario, pues él y sólo él tendría la contraseña para visualizarlo de manera legible (descifrarlo).

Sin duda, este tip[door] es sencillo, poderoso, provocativo, convincente y todavía algo mediático, como para que su superior no capte la idea. Úselo sabiamente, ciertas leyes pueden ir en contra de su uso. Recuerde: no todo es tecnología, las leyes pesan más.

BACKDOOR

Sólo algo más, [por el bien de su país, si su interlocutor es un político] no le mencione la parte aquella en que el uso de la criptografía en los correos, también se convierte en una herramienta sutilmente poderosa para las autoridades con poder fiscalizador para autenticar mensajes de forma indubitable.

Recuerde esto: la seguridad informática, felizmente, no parece apelar a la injusta, a pesar de que proteger la privacidad de gente (posiblemente) no justa parece algo totalmente “injusto”. Pero si aún así, la seguridad apelara a la injusticia, sepa bien que la criptografía convencional son solo problemas matemáticos, y los problemas -usted sabe- pueden ser resueltos.¿lo duda?.

Nota: El uso de GnuPG tiene su costo, no en dinero, sino en factores técnicos que su personal de TI debe aprender a dominar primero.

CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | No Comments »

Cuando los números no dicen nada

Thursday, November 13th, 2008

Los inversionistas, economistas, financistas y empresarios nos sorprenden con sus habilidades para interpretar qué y cómo la vive un negocio cuando le pegan un ojo a sus estados financieros.

Ello se da gracias a que estos reportes poseen una estructura convencional, indicadores. Cualquiera que entiende las variables de los reportes, puede leerlo y saber, así, qué pasa tras bambalinas.

Sin embargo, es muy probable que a usted como especialista de seguridad le cause cierta frustración el tratar de entender qué exactamente está pasando en este resumen:

“Reducción de todo riesgo”

  • Implementación del Plan de Continuidad de Negocios (60%)
  • Contar con un Mapa de Riesgos Actualizado que presente los riesgos críticos (25%)
  • Adquisición de Software de Riesgos (50%)
  • Implementación de un Sistema de Prevención y Evaluación de Vulnerabilidades en Activo (reprogramado)
  • Implementación del Sistema de Información para la Gestión, Control y Seguimiento de los Riesgos (25%)
  • Recopilación de Información y Evaluación de Pérdidas por Incidencias (reprogramado)
  • Sistematización (Automatización) de Reportes Internos y Externos de Riesgos (reprogramado)

    • Extraido de América Sistemas en su edición 442

    Con el fin de obtener alguna interpretación usted podría proponer sin duda más de una teoría, obviamente sin inmiscuir lo ya advertido por América Sistemas (el tema de sobrecosto), pero eso sería, otra vez, como no saber leer lo que pasa con la seguridad.

    A causa de esto, Ud. concordará con nosotros que es conveniente que las organizaciones, especialmente las públicas, que tienen o desean hacer públicos sus logros o avances respecto a la seguridad de la información, TI o manejo del riesgo, deberían tener también un reporte convencional, que permita a un especialista en el tema emitir un juicio menos impreciso, y a la vez útil.

    Quizás llegue el día en que aún los especialistas citados arriba, también deseen ver estos reportes, y así obtener mejor comprensión de la suma del negocio de la organización, sin importar qué tipo de organización es (financiera o no financiera).

    CTO
    JaCkSecurity
    Conocimiento, Conciencia y Consultoría

    Nota: Admitimos que se trata de un plan y no de un modelo, a pesar de que muchas de las agendas pertenecen a Basilea (Basilea no es un modelo para todo tipo de industria). Por otro lado, incluso, los planes deberían seguir ciertos criterios o modelos, el plan de continuidad de negocios sigue uno, aunque no se precisa su madurez.

    Posted in Knowledge | No Comments »