SecuSpace

Bueno, después de unos meses sin actualizar, ya va siendo hora de que refresque un poco esto. Me gustaría compartir una conferencia que dieron en la universidad sobre seguridad informática que me resultó bastante interesante impartida por uno de los mayores expertos en seguridad informática de España:



Byeeeeeeeeeeee

Protección de datos

Más de una vez os habréis preguntado por qué tanto empeño cada vez que te registras o das tus datos personales en internet, tienes que aceptar la política de protección de datos correspondiente a la página web en que te encuentras. El motivo se basa en el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre (LOPD) que impone una serie de obligaciones legales para aquellas personas físicas o jurídicas que posean ficheros con datos de carácter personal. Esta ley establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc. Según la página web de la Guardia Civil,(link) ,la LOPD establece las siguientes obligaciones:

• OBLIGACIONES LEGALES DE LA NORMATIVA DE PROTECCIÓN DE DATOS

1. Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD. Artículos. 5 y 6 R.D 1332/1994 begin_of_the_skype_highlighting 1332/1994 end_of_the_skype_highlighting, de 20 de Junio.
2. Redacción del documento de seguridad. "El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información" R.D 994/1999, de 11 de Junio.
3. Redacción de cláusulas de protección de datos. Artículo 5 LOPD.
4. Auditoría. Artículo 17 R.D. 994/1999, de 11 de Junio.
5. Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento. Artículos 9 y 10 LOPD y R.D 994/1999, de 11 de junio.
6. Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos

La ley identifica tres niveles de medidas de seguridad, BÁSICO, MEDIO y ALTO, los cuales deberán ser adoptados en función de los distintos tipos de datos personales (datos de salud, ideología, religión, creencias, infracciones administrativas, de morosidad, etc):

(click en la imagen para verla con mayor detalle)

Es de vital importancia que las empresas que recojan datos de carácter personal se adecuen a la normativa de protección de datos ya que la Agencia de Protección de Datos es muy estricta e impone multas de elevada cuantía a todas aquellas que no la cumplan.

Ingeniería inversa - Kinect

Más de uno de vosotros, y más si os gusta la informática, de pequeños destrozasteis algún juguete para ver que tenía dentro, rompisteis cosas solo por verles "las tripas", tirasteis del hilo suelto de la camisa que tu madre te ponía de pequeño y que tanto odiabas o abríais el ordenador y tocabais todo lo que veíais sin saber nada de lo que hacía dicho aparato. Si erais tan "bacines" (palabraza manchega) como yo entenderéis rápidamente lo que es la ingeniería inversa.

Según wikipedia (y no me bajo de la nube), ingeniería inversa es: "obtener información a partir de un producto accesible al público, con el fin de determinar de qué está hecho, qué lo hace funcionar y cómo fue fabricado." - de ahí el nombre, no partes de un diseño para crear un producto, sino que partiendo del producto quieres descubrir el diseño (descubrir por qué el ingeniero que lo creó ahora tiene un Porche Carrera en la puerta de su casa).

Si todo lo anterior se cumple y consigues ponerte a la altura del creador, puedes diseñar con el nuevas utilidades para tal dispositivo que al mismo creador no se le ocurrieron, puedes mejorarlo, puedes terminar de romperlo o buscarle algún fallo para sacarle algún beneficio...

Ahora vamos a ver ejemplos de este arte aplicado en el campo de la informática, y el primer ejemplo que me viene a la mente está en la nueva cámara de Microsoft para Xbox 360: Kinect. Se trata del nuevo accesorio que te permite jugar sin mando a los videojuegos ("el mando eres tú!") de un modo futurista y atacando al mercado que hasta ahora monopolizaba Nintendo Wii.

El pasado mes de octubre, un español llamado Hector Martín se llevo a su casa 3000$ por ser el primero en sacarle las tripas a este aparatito. A raiz de este hackeo, han sido mas de diez los han logrado y a día de hoy ya existen drivers en internet para manejar la cámara desde el PC y diseñar aplicaciones para ella. Un ejemplo de esto es el siguiente vídeo, en el que se ha conseguido crear una cámara de 360 grados. Todo esto es posible porque posee dos cámaras, una tradicional (640x480 creo) que captura el video (objetos y ambiente) y una infrarroja que detecta la posición y distancias de los objetos. El vídeo:

Si con un acelerómetro y un giroscopio del mando de Nintendo Wii se ha podido crear cientos de aplicaciones y plagios, el mercado que puede abrir esta cámara puede ser bastante interesante. A ver qué pasa...!!!

Otros ejemplos de ingeniería inversa son las técnicas que se utilizan para sacar licencias falsas y gratuitas para los antivirus, cracks para software o el diseño de nuevos virus a partir del estudio de los antivirus.

Byeeee

Mi nube mágica

Cuando hablo de nube mágica no hablo de mi ídolo de la infancia Goku, me refiero a todos los servicios que utilizo de la computación en nube. Para los que no me sigan en este momento, os recomiento el siguiente link de otro blog mío en le que explico lo que es la computación en nube:

http://chipvela.blogspot.com/2010/05/cloud-computing.html

Es algo de lo que estoy bastante contento y que me hacen pasar las horas muertos frikeando en internet.

• Spotify -> Este es el último al que me he unido con mi cuenta de prueba de 20h quincenales y que me ha hecho olvidarme de mis listas de reproducción de youtube. En cuano me haga con un iphone me hago una cuenta premium para "irme con la música a otra parte..."

• Megaupload -> Como no... Que haría yo sin mi cuenta premium por las noches hasta las 2 ó 3 de la mañana con seriesyonkies y bajando "MB a chorrón" saturando la Villa Universitaria... :p

• Hotmail, Gmail... -> Mi cafe a las 10'00 de la mañana y un repaso antes de ir a clase no me lo quita nadie. Lástima que las clases empiezan a las 9... La culpa es de la cuenta de MG!!!

• Blogger -> pues aquí estamos...

• Twitter -> muy aficionado últimamente. Me recuerda a fotolog, ya que la red de redes no te pone límites y puedes seguir a bastante gente sin necesidad de ver fotos estúpidas en el baño de una rava apuntando al canalillo (tira de la cadena anda...) o comerte los pastelones de nadie ya que se limita a 140 caractéres.

• Betclick -> "Eramos pocos y parió la abuela..." Un vicio del que me quiero alejar...

• Tuenti & Facebook -> al contrario de la gente, cada vez tengo menos amigos aquí... BIEN! y dentro de poco probablemente sólo FB.

Esos son los que en 5 minutos más rápido me vienen a la mente que uso yo. Supongo que con la dirección que lleva esto, en muy poco tiempo se multiplicarán (ojala)... Al contrario de la gente, jajaja, deseo que no se convierta en el Benidorm de internet, quiero decir, que no se suba el imserso a la nube con eso de llevar las TIC's a todas las edades y menos aún que se masifique, ya que esto sólo llevará a que estos servicios cada vez se vuelvan más premium y controlen más las cuentas y las pirulas de un premium entre 20 amigos.... No sé por qué, pero esto último me ha recordado a mi amigo Pola... jejeje

Byeeeeeeeeeee

Ingeniería social

En la seguridad informática no todo son virus, troyanos, scripts y ataques automatizados. Hoy vamos a hablar de una de las técnicas que se usan con frecuencia y que más rápida que el robo de información mediante sistemas desarrollados para tales fines. Se trata de la ingeniería social.

Según wikipedia, en el campo de la inseguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. Esto ha tenido mucho auge en los últimos años con el boom de las redes sociales, de las cuales, sin esfuerzo alguno, se puede hacer un estudio exhaustivo sobre la víctima.

Hay que tener en cuenta que en este punto ya se esta llevando a cabo el proceso de inteligencia e investigación que el atacante hace para conocer a su víctima, saber cuales son sus familiares, amigos y allegados por medio de sus comentarios o fotos en la cuenta o perfil de la red social, los temas de interés de su víctima, los amigos y las relaciones que existen entre ellos, los hobbies y los lugares que posiblemente frecuenta. En resumidas cuentas, el atacante puede saberse la vida de su víctima gracias a la información que esta publica en su perfil o cuenta de la red social en la que esta.

Si las intenciones del atacante van mas allá de un simple ataque de ingeniería social y una víctima, este puede robar las contraseñas de cuentas de mensajería instantánea (messenger, yahoo!, skype, etc...) de la víctima y también las contraseñas de cuentas de perfiles en las redes sociales en las que esta registrada. De esta forma adquiere el control de su mundo informático puede hacerse pasar por la víctima ya realizando un ataque de suplantación de identidad (phising) y atacar en cadena a los amigos y contactos de esta, llegando a tener un número bastante grande de sistemas comprometidos por medio de una sola víctima que callo en el engaño y así sucesivamente con los contactos de las nuevas víctimas.

¿Cómo lo evitamos?

Como sugerencia personal, no publicar fotos propias ni de familiares en redes sociales o en lugares donde cualquier persona pueda verlas, ni tampoco cualquier tipo de información que facilite nuestra ubicación y contacto, es un poco exagerada la recomendación pero en realidad en esto se basan los atacantes con fines delictivos como extorsiones, secuestros y asesinatos.

No aceptar como amigos o seguidores de nuestra red a cualquiera que desee hacer parte de esta, saber quienes son nuestros amigos y tener control de la información que se publica en nuestro perfil, no confiarnos ni dejarnos engañar de personas que de ser un desconocido pasan a ser uno de nuestros "mejores amigos", ni confiarle cosas importantes de nuestra vida, no aceptar archivos de personas desconocidas que puedan aprovechar esa oportunidad para tomar control de nuestro sistema y perjudicarnos enormemente.


Byeeeeeeee

Más lento que un accidente de caracoles...

Hoy vamos a hablar de por qué mi ordenador tarda 20 minutos en encenderse. Más de uno estará en el club de cafés de aquellos que le dan al boton de la caja para encender el ordenador y después de merendar vuelven al escritorio a ver si se ha encendido el ordenador.

Muchas veces el problema proviene por al falta de máquina, es decir, tienes un sistema operativo que tu ordenador no es capaz de correr con fluidez. Este problema es muy común en los usuarios que cambiaron de Windows XP (un sistema fiable y estable) a Windows Vista (un trailer de 30 metros con el motor de un dos caballos...). Ante este problema, evitar el fracaso de Windows Vista y continuad con XP (no hay color...).

Otras veces el problema está en los miles de programas inútiles y tareas que usamos una vez al año o simplemente los instalamos y luego no los borramos que se arrancan con el inicio. Si esto se combina con 300 amenazas que detecta el antivirus que con microvirus que ralentizan el ordenador, en vez de tomarte un café mientras arranca el pc, vete al asador argentino más cercano que tengas y cómete un buen filetazo...

La solución drástica, la de siempre: formatear. Si no queremos ser tan radicales, os recomiendo seguir los siguientes pasos:

1. Borra todos los programas innecesarios -> Panel de control -> agregar/quitar programas
2. Pásale un buen antivirus -> Ver mi post anterior
3. Elimina arranques no deseados ->Inicio ->ejecutar -> msconfig -> pestaña arranque -> desetiqueta aquellos que no quieres que arranquen con windows.
4. Ampliar la memoria RAM si fuera necesario.
   

Con un poco de suerte y si el ordenador no esta muy masacrado, ganarás velocidad no solo en el arranque y el ordenador funcionará de forma más fluida.



Byeeeeeeeeeeee

Oscar al mejor actor...

En el post de hoy os voy a hablar sobre los distintos personajes, roles, actores, tecnócratas, ladrones de datos... y tres mil nombres más que se le puede dar a la gente que utiliza conocimientos informáticos para realizar delitos en la red. La verdad que este tema me recuerda mucho a las clases de inglés, pues lo que comúnmente nosotros llamamos "hacker", segun el delito que cometa tiene un nombre u otro. El símil viene porque en inglés, lo que los españoles llamamos vulgarmente "ladrón" (ya sea de bancos, casas, carterista, caco...), en inglés le dan distintos nombres en función del delito que cometen (thief, robber, burglar...).




Bueno, hablemos un poco de delitos y criminales:

• Hacker (Wikipedia)

Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y a los de moral ambigua como son los "Grey hats".

• Samurai

Persona que investiga un sistema para buscar fallos y debilidades hackeables.

• Newbiew

Novato en el tema con no muchos conocimientos que pretende convertirse en hacker (white hat)

• Lammer

Es un término coloquial inglés aplicado a una persona falta de madurez, sociabilidad y habilidades técnicas o inteligencia, un incompetente, que por lo general pretenden hacer hacking sin tener conocimientos de informática. Solo se dedican a buscar y descargar programas de hacking para luego ejecutarlos, como resultado de la ejecución de los programas descargados estos pueden terminar colapsando sus sistemas por lo que en general acaban destrozando la plataforma en la que trabajan.

• Wannabe

Generalmente son aquellos a los que les interesa el tema de hacking y/o phreaking pero que por estar empezando no son reconocidos por la elite.

• Cracker (Wikipedia)
  

Es una persona que mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo.

• Luser (Wikipedia)
  

Luser, contracción del inglés entre loser (perdedor, fracasado) y user (usuario), es un término utilizado por hackers y BOFHs para referirse a los usuarios comunes (local users en inglés o l-users, de ahí el término), de manera despectiva y como burla. "Luser" es el usuario común, que generalmente se encuentra en desventaja frente a los usuarios expertos (hackers), quienes pueden controlar todos los aspectos de un sistema.


Espero que hayais aprendido algunos de los muchos tipos de crímenes y criminales que podéis encontraros chateando por internet... jejeje

Byeeeeee