Un informático en el lado del mal: mayo 2009

domingo, mayo 31, 2009

Eventos y Cursos en Junio

Hay un mes en Junio plagadito de acciones, que os he ido diseminando por aquí, así que creo que os voy a poner una lista que recapitule todo y que me va a servir a mí también de agenda para saber que va a ser de mi vida.

Semana del 1 al 5

- Madrid [Hands On Lab] Dedicados a SQL Server 2008 con 8 acciones que van desde la migración de SQL Server 2005, la migración desde Access, los servicios de análisis de datos, etc…

Semana del 8 al 12

- Málaga [Azlan D-Link Academy] 4 HOLs dedicados a Diseño de Redes, Tecnología Switching, Tecnología WiFi y Tecnología Firewalling.

- Madrid [Hands On Lab] 4 HOLs dedicados a System Center 2007, con SCCOM y SCCM.

Semana del 15 al 19

- Valencia [Azlan D-Link Academy] 4 HOLs dedicados a Diseño de Redes, Tecnología Switching, Tecnología WiFi y Tecnología Firewalling.

- Madrid [Hands On Lab] 7 HOLs dedicados integramente a Exchange Server 2k7 y, por primera vez, un HOL dedicado a lo que será Exchange Server 2010, todos con Joshua Sáenz, MVP de Exchange Server en España.

- Madrid [El mal está en tu ordenador], el día 16, en Getafe, habrá un evento gratuito dedicado a problemas de seguridad en las PyMes que impartiremos la gente de Bitdefender y yo.

- Madrid[Asegúr@IT 6], el día 18, en Getafe, 5 cráses de la seguridad darán un evento hipermegachulo.

- Madrid [FTSAI Módulo 7] Tras cuatro ediciones de FTSAI, se va a hacer un módulo especial de auditoría y seguridad para roles de servidores concretos que comenzará el Viernes 19. OpenLDAP, Active Directory, Oracle, SQL Server, Exchange, Postfix, Firewalls, Windows Server 2008 R2, Windows 7, Apache e IIS. Serán 5 viernes por la tarde en Junio y Julio.

- Madrid [FTSAI Auditoria de Aplicaciones Web] En el FTSAI IV, en Madrid, durante 5 viernes de Junio y Julio, se impartirá el módulo dedicado a las aplicaciones web. Inyecciones a cascoporro y mucha auditoría de aplicaciones web.

Semana del 22 al 26

- Madrid [Hands On Lab] 7 HOLs dedicados íntegramente a SharePoint Portal Server 2k7 con Rubén, MVP de SharePoint Portal Server.

- Vigo [Summer of Security] Evento en Vigo el día 23, en las instalaciones de Caixanova, dedicado a la seguridad, con Spectra, SmartAccess, Quest, D-Link e Informática64.

- Valencia [Summer of Security] Evento en Valencia el día 25, en las instalaciones de Bolsa de Valencia, dedicado a la seguridad, con Spectra, SmartAccess, Quest, D-Link e Informática64.

Semana del 29 de Junio al 3 de Julio

- Madrid [Hands On Lab] 7 HOLs dedicados íntegramente a Windows Server 2008.

- Bilbao [Summer of Security] Evento en Leioa el día 30, en las instalaciones de la Universidad del País Vasco, dedicado a la seguridad, con Spectra, SmartAccess, Quest, D-Link e Informática64.

Saludos Malignos!

sábado, mayo 30, 2009

Hablar con Periodistas [III de III]

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

Acto III: This is the end

Tiempo después, ya con los deberes estudiados, llegamos a un encuentro en Huesca, en el que el abuelo y yo dimos una charla de hacer el capullo (más o menos como siempre). Después había un coctel "futamadre" en un restaurante con estrellas michelín donde nos copeamos a gusto antes de la esperada cena. Llegado el momento de dispendio nocturno se hace el reparto de asientos en las mesa y... oh que bien, nos sientan con los periodistas y la responsable de prensa de Spectra que los vigiliaba, cuidaba, asistía y ayudaba. La gran Mónica.

Depués de tomar unas copas más de vino del Somontano, los platos de la comida y llegados ya a los postres acompañados de los licores dorados de la patria chica del abuelo. Uno de los periodistas decide hacernos la gran pregunta:

- "Bueno, y vosotros...¿qué opináis de los periodistas?"

La tensión se podía cortar, la chica de prensa perdió dos kilos en ese segundo debido al stress (nos conocía demasiado bien) y a mi me entró un descojono interior brutal mientras pasaban por mi memoria todas las conversaciones mantenidas con el abuelo tras los actos I y II de esta historia. Decidido a no interferir en ese momento historio y perturbarlo con una mala acción opté por dejar todo el protagonismo al protagonista y mirando directametne al abuelo le dejé toda la mesa para él.

El abuelo, con ese arte y esa valentía torera que lleva me mira mientras se le escapa una sonrisa maliciosa entre las comisuras de los labios. No iba a arrugarse ante ese morlaco y lo iba a coger por los cuernos. Mira a la derecha, luego a la izquierda, a ese la do con peores ojos, y se concentra.

Yo, que he compartido no pocos momentos con él, sabía que estaba ante uno de esos momentos de brillantez que el abuelo nos deja para la historia. Uno de esos momentos únicos como la palmada en el suelo del bar de Amsterdam mientras se daba el baile con todo el mundo. Ese momento en las Las Vegas que.. [CENSORED], la introducción inexperada en el webcast de Server Core con la ODA a la línea de comandos" [en la versión Youtube no se aguanta la risa] o ese otro en el que apareció en el vídeo simulando ser un cocinero. Allá iba, se estaba arrancando:

- "Pues.....[risita] la verdad...[jeje] es que... mmmm [se rie otra vez].....es que....[ultima risa y pa'latante] Pues la verdad, es que a veces sois unos hijosdeputa".

[1,2,3 segundos de tensión]

Yo casi me caigo al suelo del descojono a mandíbula batiente, los periodistas se quedaron flasheados y el corazón de la responsable de prensa de Spectra botaba entre las copas pequeño y jugueton mientras ella, más blanca que Michael Jackson, intentaba calmar la situación diciendo:

- "Je,je, no lo hagáis caso que está de broma, esta de bromo, ¿verdad? jeje, ¡qué bromista"

A los periodistas les podía haber dado por cualquier cosa, pero les dio por reirse, demostrar su humanidad y autocrítica y darle la razón al abuelo diciendo que a veces la liaban parda, pero que muchas veces no eran ellos y eran los que les editaban las noticias y otras que el entrevistado había dicho realmente eso pero se arrepentía después.

Fue un momento historio en el que el abuelo pudo resarcirse de los problemas sufridos con anterioridad. Y yo me pregunté... ¿Qué cojones le habrán enseñado a éste en el curso de como hablar con periodistas? ¡Qué grande! ¿Por qué dirán luego que soy yo el que la lio? ¿Es o no es un cráck el abuelo?

Saludos Malignos!

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

viernes, mayo 29, 2009

Summer Of Security

El veranito ya está aquí, y con él los calores que conllevan. Esa época del año en el que a muchos de los hombres se nos aclara la vista y redescubrimos de nuevo el sexo contrario con otros ojos, con expresión de sorpresa, viendo cosas que antes no habíamos visto.

La temperatura sube, así que hay que irse a la playa... y nos vamos a las más fresquitas con cuatro eventos de seguridad. Serán Vigo el día 23 de Junio, Valencia el día 25 de Junio, Bilbao el 30 de Junio y terminaremos en Barcelona el día 14 de Julio...(de momento...) Después del verano decidiremos si llevamos la gira a la mitad sur. La agenda es la siguiente:

09:15 - 09:45: Registro

09:45 – 10:20: Red segura con tus switches

Xavi Campos, de D-Link, dará una sesión para que tu red esté segura desde los cimientos. La tecnología D-Link permite fortificar tus conexiones, evitar técnicas de MITM e, integrado en el AD con 802.1x y la tecnología NAP, dejar una rede integrada con tu servidor Windows 2008 totalmente controlada. Una sesión de seguridad en switching de las chulas.

10:30 – 11:15: Se tú en tu AD

España es un país puntero que cuenta con uno de los documentos identificativos más punteros, el e-DNI y esa herramienta puede convertirse en el único token necesario para que tus empleados se autentiquen en tu Active Directory. Rames Sarwat de SmartAccess, mostrará como es posible integrar el e-DNI en el AD y acabar de una vez con cualquier otro sistema de autenticación. No más "se me ha olvidado la password".

11:14 – 11:45: Café

11:45 – 12:30: Gestiona todas tus máquinas con el AD

Cada día los entornos empresariales son más heterogéneos y se necesitan más y mejores herramientas para gestionar de forma segura tus equipos. El Active Directory es la solución ideal para gestionar tu red de ordenadores. Con Vintella Integration Services de Quest Software vas a poder extender las funcionalidades del Active Directory para gestionar incluso tus puestos de trabajo Linux.

12:30 – 13:14: Microsoft Threat Management Gateway

Evoluciona los firewalls de tu empresa. Durante esta sesión Chema Alonso, Microsoft MVP en Enterprise Security de Informática64, mostrará las novedades de seguridad en la solución Firewall L-7 de Microsoft. Controla la seguridad perimetral de la red corporativa a todos los niveles y publica, de la forma más segura, tus servicios a Internet.

13:15 – 13:30: Ruegos y preguntas

Tienes toda la información y los links de registro en la siguiente URL: Summer of Security.

Saludos Malignos!

jueves, mayo 28, 2009

Periodistas...¡Qué gente!

Antes de que se pueda descontrolar el objetivo de la serie de Hablar con Periodistas, quiero hacer una reflexión sobre las historias. Los tres actos que componen esta serie no son más que tres anécdotas graciosas que he contado muchas veces en muchas cenas. Son de esos momentos que te deja la vida de feriante por estas Españas nuestras.

Sé que en la foto quedan desdibujados los periodistas en general, pero no es la opinión que tengo sobre los periodistas. Vaya por delante que me tocan los cojones a dos manos los ineptos que hacen crítica técnica sin tener ni puta idea, pero para eso los bauticé con un bonito término que creo que los representa: Tecnicoless

Sin embargo, he de decir que hay otro grupo de periodistas técnicos que me han demostrado que hay que tener respeto por su profesión y es a ellos a los que quiero rendirles homenaje en este post.

Carles del Collado, un catalán serio y mordaz que parece que la flema británica le viene de alguna rama genética de quién sabe dónde. De él he publicado algún artículo en este blog directamente, pero para que os hagáis una idea, Carles, antes de escribir sobre un tema técnico nos brea. Sí, nos machaca con cuestionarios a todo técnico que él haya catalogado como válido para que le contemos, le enseñemos, le guiemos y después escribe su artículo. Ahora lleva su red social de ITPros.

Daniel Comino, golfo, trotamundos y amigo del destornillador. Desde IDG en PCWorld se pasa el día de conferencia en conferencia, aprendiendo, escuchando, filtrando. Es un periodista al que no le asusta abrir su ordenador, instalarse lo que sea, configurar los cacharritos y cuando quiere un artículo denso técnicamente, se lo encarga a los técnicos. Después se lo lee, lo relee, lo adecúa y nos lo devuelve mejorado. Para quitarse el sombrero, así que le dediqué un post hace mucho tiempo.

Fernando Jofre, periodista freelance en el mundo técnico, centrado en aprender y que te lo vas a encontrar en las conferencias de tecnología, pero no en las de “pájaros y flores” sino en las de técnicos, es un tipo metódico. Te pregunta, te graba la conversación, transcribe los textos, y luego te llama: “Oye, ¿esto es así o realmente lo he entendido mal?”

Fernando García, un periodista técnico, pero a otro nivel, al nivel de organizaciones. Desde hace años se curra y ha llevado el Congreso de Directores de Tecnología de Medios de Comunicación a Huesca, dónde los gol…digo… los responsables de los sistemas informáticos de periódicos, radios y televisiones esquilman a los proveedores para compartir problemas y soluciones. Sus entrevistas y artículos en El País, después de años, son siempre desde el punto de vista en el que él aporta valor y no intentando jugar a consultor de seguridad. Es uno de los buenos periodistas de verdad. Le debo una buena entrevista ... y unas foto con unas gafas de pasta naranja que perdí. Snif!.

Mercè Molist, es una amante y apasionada de la tecnología y el mundo de los hackers. Es cierto que yo le he dado cera alguna vez, pero sé que es su amor por el software libre, el espíritu comunitario, compartir conocimiento y las personas que van más allá lo que a veces le lleva a cometer alguna incorrección técnica. No obstante, he decir que no será la primera, ni la segunda, ni la tercera vez que me ha solicitado consejo técnico para un artículo que está escribiendo. Tiene afán de aprender y eso es admirable. Su blog... Pot666

Javier San Juan es un periodista agradable, que escucha y atiende a las explicaciones técnicas. Programa sus propias aplicaciones y se mantiene hiper actualizado de lo que sucede en el mundo tecnológico. Será uno de los protagonistas del acto tres de la historia que estoy publicando, con un suceso en Huesca. Trabajaba en ISV Magazine y actualmente trabaja su pasión en la web: http://www.quinfo.com

Mercedes Oriol, de red de seguridad, que realiza una labor de periodismo informativo de lo que pasa en este país y por dónde van los tiros en España desde Red Seguridad y, para los que trabajamos en seguridad, siempre nos mantiene al día. No sólo busca la opinión técnica de los técnicos, si no que busca la opinión de los técnicos.

He citado algunos de los periodistas con los que he tenido más trato en estos últimos años, de forma cercana, pero hay otros que he tenido la suerte de que me entrevistaran en un momento puntual en radios, televisiones o periódicos y que he quedado muy contento con su labor profesional, como el periodista argentino del Diario Clarín, Christian de Telecinco que me escuchaba, me preguntaba, me proponía y decidíamos, las entrevistas en el Diario de Noticas y el Diario de Navarra en Pamplona, o el reciente Aldo en BarcelonaLatina.

No quiero que las anécdotas parezcan una crítica desmedida a todos los periodistas. Son tres anécdotas con periodistas…que a mí me hicieron mucha gracia, más.. .cuando yo las viví en primera persona y no fui el sufridor (je!).

Saludos Malignos!

miércoles, mayo 27, 2009

Hablar con Periodistas [II de III]

martes, mayo 26, 2009

¡Internet es Guay!

Ayer estuve participando en el III Encuentro de personas desaparecidas para participar en una mesa de debate sobre Internet, miedos, mitos y realidades. Como muchos os presuponéis correctamente, la participación que me preparé inicialmente era de alerta:

“Tened cuidado, Internet no es un juguete, puede ser peligroso, no se sabe quién hay detrás, te pueden pasar cosas chungas, etc…”

Esa es la charla que generalmente doy a los estudiantes cuando estoy con ellos e inicialmente es la que iba a transmitir a los padres, pero… tuve el placer de compartir la mesa con dos pájaros más que como yo traían un mensaje más o menos similar.

La realidad es que cuando el periodista Paco Lobatón me presentó había optado por cambiar de estrategia. La gente que tenía allí tenía una visión muy negativa de Internet y no es eso lo que yo quería que vieran. Quería que lo usaran y dejaran usar Internet a sus hijos pero con cuidado así que comencé la sesión con dos preguntas.

1) Estamos hablando de redes sociales, pero… ¿cuántos de vosotros habéis entrado en alguna en algún momento de vuestra vida?

El porcentaje de la gente que levantó la mano rondaba el 3 %. Y la pregunta más difícil.

2) ¿Cuántos de vosotros no habéis entrado nunca en Internet?

El porcentaje de la gente que levantó la mano rondaba el 20 %. Así que no estaba dispuesto a seguir “asustándoles” con Internet y les enseñe que estaba haciendo yo mientras mis compañeros hablaban. Algunos de vosotros me ayudasteis a enseñarle el Messenger, otros participasteis contestando a mis mensajes de Facebook, otros poniendo comentarios en el blog. Les enseñé lo que yo opino hoy en día: ¡Que Internet es guay!

Antes de que existiera Internet y los teléfonos móviles, si queríamos ir al cine, un equipo “Swat” se iba por la mañana a ver la cartelera. Sincronizábamos los relojes y quedábamos en el mismo banco del parque siempre. Cuando regresaban (al banco dónde quedábamos) repasábamos la cartelera y preparábamos un comando de asalto a la cola de entrada. Sincronizábamos de nuevo relojes, quedábamos en el banco e íbamos 1 hora antes a hacer la cola para coger las entradas.

Si te habías perdido alguna sincronización o llegabas tarde localizar al resto de “la manada” podía ser un desfilar por los “caladeros” habituales de “la manada” que podría tenerte paseando toda la tarde sólo.

Antes de que hubiera Internet nosotros jugábamos al Kick Off 2 del Amiga durante meses y nos gustaba customizar los equipos. Entonces no venían cargados con los nombres de los equipos ni los jugadores. Un año nos dio por jugar la liga Rusa, la liga Alemana, la liga Francesa, etc… Algo que hoy en día es trivial, como consultar los nombres de los equipos que jugaban en cada liga, en aquel entonces era una odisea.

Antes de que existiera Internet, guardábamos fotocopias de fotocopias de cosas que nos habían pasado, de artículos, de carátulas publicadas en revistas especializadas por si ponían la peli en la tele y podías grabarla en vídeo.

Antes de que existiera Internet hacíamos rutas de viaje comprando mapas y pidiéndoselos a los amigos.

Antes de que existiera Internet comprabamos enciclopedias enormes que había que actualizar año a año con apéndices y que terminaban las biografías de la gente 10 años antes del tiempo actual.

Antes de que existiera Internet buscar trabajo había que ir a ligar al bar.

Antes de que existiera Internet se guardaban revistas porno bajo la cama.

Internet tiene riesgos, sí, y un mal uso del mismo te va a putear la vida, pero no hay que olvidar que Internet es guay.

¿Qué hacías tú distinto antes de que existiera Internet?

Saludos Malignos!

PD: Gracias a todos por ayudarme a enseñarles cómo funciona la comunicación en Internet

lunes, mayo 25, 2009

Veraneando en Salamanca

Por segundo año consecutivo nos vamos de "fiesta" a Salamanca, a compartir experiencias en el área de seguridad. Por segundo verano consecutivo un grupo de amigos y profesionales de la seguridad informática nos reunieremos en la bella ciudad salmantina durante tres días para debatir de nuestras cosas durante el II Curso de Seguridad Informática de los Cursos de Verano de la Universidad de Salamanca.

El curso tendrá lugar los días miercoles 8, jueves 9 y viernes 10 de Julio de este año. Con una agenda de 8 horas cada día más un reto hacking por las calles de Salamanca en el que probaréis si tenéis lo que hay que tener para hackear un sistema WiFi que llevará el señor Inalámbrico por los cafés de la plaza.

Para confeccionar la lista de amiguetes he tenido la suerte de poder meter baza yo con lo que he preparado una sesión de post-curso para el miercoles, jueves y viernes con lo "mejor de cada casa".

Entre los que se vienen están los siguientes pájaros:

- Fran, el "vice" de "inno" en la USAL, el amigo del UML, de la innovación y de cuidar de que los alumnos que aprueban en la USAL... salgan sabiendo UML como los ángeles...

- Mikel Gastesi, de S21Sec, el amigo del cracking, el reversing, los retos hacking en el blog de S21Sec, el e-crime y ponente en el Asegúr@IT III y en las últimas jornadas de BlindSec.

- Gonzalo Álvarez Marañón, nuestro investigador personal del CSIC, creador de los boinas negras, cuentacuentos, currante de cryptool y autentico crá a la hora de presentar.

- Fernando Guillot, el primísimo del abuelísimo, miembro de la oscura Spectra, ex-ingeniero de soporte, ex-adicto a mobile y charlista evangelista del programa TechNet que vendrá a quemar la noche salmantina.

- Antonio Guzmán, mi tutor del doctorado, es como House pero más guapo, ácido y mordaz y experto en métricas de seguridad se vendrá desde la tierra prometida de Bronxtolex y la universidad Rey Juan Carlos.

- Enrique Rando, el funcionario de los metadatos, compañero cantante de la Blackhat, de la Open Source World Conference y del Up to Secure, se vendrá desde su Junta de Andalucía para abandonar durante un tiempo al pingüino de su Guadalinex.

- Rames Sarwat, el ex-Spectra miembro de la secular SmartAccess que se dedica a integrar los e-DNI en cualquier árbol LDAP o Directorio Activo que se deje. Él está ccreando el nuevo gran hermano que os vigilará a todos....

- Xavi Campos, desde Barcelona, si deja de tomar copas por las celebraciones futboleras y su higado se lo permite se vendrá desde D-Rink... digo... D-Link a hablar de como tenía que haber montado el Señor inalámbrico su WiFi para que nadie se llevara los dispositivos home multimedia que hay de regalo.

- Alejando Ramos, el dab, dispuesto a bannear a todos los que se dejen, esta nueva estrella mediática de la Web 2.0, artista de la seguridad y de profundidad en sus artículos de SecurityByDefault, vendrá a hablarnos de los Captchas o... "Cómo ser tan humano como Bender"....

- Miguel Gesterio, el vigués trotamundos, dónde hay cuatro hackers frikis con ganas de hacerse un reto ahí está él para animarles la existencia. Viajero infatigable se vendrá a estar tres días cuidando del señor inalámbrico y, lo que es más chulo, dando el solucionario del reto.

- Alberto Carlos Escola, el amigo de los móviles y la innovación tecnológica que se vendrá desde El Boecillo a descubrirnos los trucos de la seguridad en dispositivos móviles.

- Jorge Perea, de Bitdefender, la empresa Rumana que se abrió un hueco internacional en el dificil y competitivo mundo de los antivirus que vendrá a contarnos algo de los últimos especímenes que pululan por el mundo de la Interné.

- Alejandro Martín, operador en Informática64, alekusu, el amigo Zamorano que estudió en la USAL y que como en las pelis de serie B regresará a la misma para vengarse de todos los que le catearon.

- Pedro Sánchez, de Atca, el forense de los CSOs, el "cherif" de la seguridad en ATCA, el masca, que se vendrá de Zaragoza a cuidar del astronauta.

- Y el Maligno, osea yo, para ver como ellos curran meintras me dedico a recuperarme de las cosas de la noche anterior y tirarme fotos con todas las admiradoras sexies que aparezcan por allí.

Serán 3 días (y sus tres noches) que se emplaman con un finde en Salamanca (ciudad universitaria y turística llena de fiesta por doquier y toquier) en veranito, con crás de la seguridad y unas tapas de flipar en los bares...

¿Te lo quieres perder?.

Toda la agenda del curso de verano, el lugar de realización, como apuntarse y la lista de ponentes la tienes en la siguiente URL:

Curso de Verano de Seguridad de la Información 2009 de la Universidad de Salamanca

Saludos Malignos!

domingo, mayo 24, 2009

Aplicación de la LOPD a la memoria RAM [IV de IV]

Imagen 6: Volcado de memoria abierto con Bintext
8.- Protección de los ficheros de memoria RAM
Si nos atenemos a lo dispuesto en los articulados del capítulo III del título VIII del Reglamento, es necesaria la aplicación de unas medidas técnicas y organizativas para su cumplimiento. Estas medidas dependerán del tipo de datos manejado y por lo tanto dependerán de las circunstancia. En el escenario tratado tendremos por lo tanto solamente en cuenta todos aquellos aspectos técnicos exigidos por el reglamento y que pudieran aplicarse a los tipos de memoria tratados. De entre los artículos existentes, destacan como críticos la aplicación de los siguientes:

- Para medidas de seguridad de nivel básico:

o Artículo 91: control de acceso. Establece la necesidad de garantizar que el acceso a los datos se realice, solo por las personas que necesiten por sus funcionen el acceso a los datos y que por lo tanto queda consignado en el documento de seguridad de la organización.

o Artículo 92: Gestión de soportes y documentos. En el caso de la salida de soportes y documentos fuera los locales donde se encontrara el responsable del fichero, deberán establecerse una serie de medidas con objeto de evitar el robo, pérdida o acceso indebido de los datos.

- Para medida de seguridad de nivel alto:

o Artículo 101: Gestión y distribución de soportes. La distribución de los datos que contuvieran datos considerados como de nivel alto, se realizará cifrando dichos datos o bien implementando cualquier mecanismo que impida el acceso o su manipulación durante su transporte.

Adicionalmente en este mismo artículo, se consigna la necesidad de evitar el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Cuando se realice el tratamiento de la memoria es necesario por lo tanto tener en cuenta los artículos citados anteriormente. Los fabricantes de software están desarrollando herramientas para el tratamiento de estos ficheros de forma centralizada y segura.

Imagen 7: System Center Desktop Error Monitoring de Microsoft[11]
9.- Conclusiones

El presente artículo quiere poner de manifiesto la peligrosidad y el impacto de los ficheros utilizados por la memoria RAM en la protección de los datos y la aplicación de la Ley de Protección de Datos.

Es por tanto necesario establecer un proceso de tratamiento de todos los ficheros utilizados por la memoria RAM en todos los sistemas informáticos de una organización siendo necesaria la implementación de opciones de recogida, catalogación, procesado y borrado de los mismos de forma segura.

Todos los ficheros de volcado de memoria RAM de un proceso deberán estar sujetos a las mismos niveles de seguridad que los datos que son procesados por la aplicación, es decir, el nivel de seguridad es viral de los datos a la aplicación que los procesa.

Como queda demostrado, de nada sirve proteger los ficheros si no se protege correctamente la información que se procesa en memoria RAM.

REFERENCIAS

[1] Ley Orgánica Protección de Datos (LOPD). 14 de Diciembre 1999. B.O.E.,
http://www.boe.es/boe/dias/1999/12/14/pdfs/A43088-43099.pdf

[2] Real Decreto 1720/2007 Reglamento de desarrollo de la LOPD. 19 de enero de 2008. B.O.E.,
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/RD_1720_2007.pdf

[3] ADRC Data Recovery Tools,
http://www.adrc.com/software/data_recovery_tools/

[4] Delete Files Permanently, http://www.deletefilespermanently.com/

[5] Corte del Distrito Central de California, Estados Unidos, juicio de Columbia Pictures Industries contra Justin Bunneli,
http://i.i.com.com/cnwk.1d/pdf/ne/2007/Torrentspy.pdf

[6] Pagefile.sys, http://en.wikipedia.org/wiki/Paging#Windows_NT

[7] Swap partition, http://en.wikipedia.org/wiki/Paging#Linux

[8] Strings, http://technet.microsoft.com/en-us/sysinternals/bb897439.aspx

[9] Bintext, http://www.foundstone.com/us/resources/proddesc/bintext.htm

[10] Findstr,
http://technet2.microsoft.com/windowsserver/es/library/2b01d7f5-ab5a-407f-b5ec-f46248289db93082.mspx

[11] Microsoft System Center Desktop Error Monitoring,
http://download.microsoft.com/download/6/4/f/64f5dc66-832a-4df3-baf4-3b4e7fb9e500/Datasheet%20-%20SCDEM.pdf

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

sábado, mayo 23, 2009

Hablar con periodistas [I de III]

El formato de las diapositivas
Con la campaña de marketing que se hizo se consiguió que todos los eventos estuvieran a rebosar de peña, e incluso, con medios de comunicación. El final de la gira fue un Security Day en Madrid con 1.000 personas de asistentes que recuerdo entre los más divertidos (y en el que tuve el famoso problemilla con el Calíco electróncio...).

Acto I: Amor a primera vista

La historia comenzó a finales de Enero, en Murcia, con unas entrevistas para la radio y la televisión. Allí estaba él, mi compañero "el abuelo", atendiendo a uno de los medios de comunicación cuando le preguntaba una periodista sobre la seguridad en Internet:

- "¿Y es seguro Internet?"

A lo que el abuelo, relajado y risueño, con mentalidad de técnico, intentó darle una explicación larga y detallada.

- "Bueno, es como todo, hay actitudes y mecanismos que te ayudan a protegerte, pero debe haber una predisposición del usuario que se conecta. No debes ejecutar todo lo que llegue a tu ordenador, tomar medidas de seguridad, poner un antivirus, activar el firewall, actualizar el sistema y..."

- "Ya...bueno, ¿Pero es seguro internet? ¿Es seguro usar los bancos por internet?"

El abuelo volvió a insistir:

- "Bueno sí, aunque todo es mejorable, hace poco, en una newsletter de Hispasec, se alertaba de que el 44 % de los bancos no ofrecen medidas anti-phising seguras y..."

- "Vale, muchas gracias, me tengo que ir a cubrir otra noticias, así que... ¡adios!"

Al día siguiente el abuelo recibió una llamada de la gente que lleva los clientes de banca en Spectra.

- "¿Cómo que 44 % de los bancos son inseguros en España? ¡Pero cómo se te ocurre decir eso a un periodista, nos han llamado los clientes echando pestes y enfadadísimos!"

El títular que el abuelo había conseguido fue tan brutal como directo:

"EL 44 % de los bancos son inseguros en España"
Esto no tenía que volver a pasar, había que aprender de esta lección.

*************************************************************************************************
- Hablar con periodistas [I de III]
- Hablar con periodistas [II de III]
- Hablar con periodistas [III de III]
*************************************************************************************************

viernes, mayo 22, 2009

Aplicación de la LOPD a la memoria RAM [III de IV]

Imagen 3: Ficheros temporales de trabajo generados durante la edición del documento
- La memoria RAM: Para que la aplicación pueda mostrar los datos por pantalla, estos deben estar en la memoria de proceso dentro del sistema operativo que maneja la herramienta. ¿Es esta memoria RAM un fichero temporal que deba ser tratado como tal por la LOPD?

6.- La memoria RAM de un proceso

Supongamos una herramienta de acceso a datos personales de nivel alto que cumpla con todas las protecciones de seguridad que la LOPD exige. En el momento en que el usuario está visualizando en pantalla los datos de carácter personal de nivel alto estos se encuentran en la memoria del proceso del sistema operativo que está mostrándolos en la pantalla y estos datos, están sin ningún tipo de protección. Es decir, si en la pantalla se está visualizando un valor este valor se encuentra en memoria de la misma manera.

La memoria RAM (Random Access Memory), dónde se encuentran esos datos es volátil y, por tanto, en cuanto el sistema se apague o se quede sin energía todos los datos serán completamente eliminados. Es por ello que no se tiende a considerar un fichero temporal al que se le deban aplicar medidas de protección extras.

En Marzo de 2007, la Corte del Distrito Central de California, Estados Unidos, determinó en el juicio de Columbia Pictures Industries contra Justin Bunneli[5], que la memoria RAM constituía un conjunto de información electrónica que debía ser tratada con cualquier otro soporte físico ya que no tenía ninguna limitación temporal ni mínima ni máxima de perdurabilidad de los datos ya que estos dependen de la utilización del sistema.

Sin embargo, la memoria RAM tiene un funcionamiento mucho más complejo como para no ser considerada un fichero temporal, ya que el uso de la memoria RAM en los ordenadores implica la generación de varios archivos temporales. Estos archivos temporales utilizados por la memoria RAM deberán ser considerados del mismo nivel que los datos que son mostrados por pantalla. Estos ficheros temporales generados por la memoria RAM son:

1) Ficheros de paginación de memoria: La memoria física de un ordenador es finita, pero para poder trabajar con grandes cantidades de datos se utilizan copias en soportes físicos más grandes para poder ir cargando las diferentes páginas de datos que son necesarias en cada instante de datos. Así, en los sistemas operativos Microsoft Windows se utiliza un fichero llamado pagefile.sys[6] mientras que en los sistemas *NIX se utiliza una partición especial denominada swap[7]. En estos ficheros, almacenados en un soporte físico, se almacenan copias de los datos utilizados en la memoria RAM.

Imagen 4: Pagefile.sys en un sistema Operativo Microsoft Windows
2) Ficheros de volcado de memoria: Si un error se produce en un proceso del sistema y este tiene que detener su ejecución, el sistema operativo realiza una copia de los datos que se encontraban en memoria en un fichero denominado “dump de memoria”. En este fichero se encuentra toda la memoria utilizada por el proceso y/o por todo el sistema operativo si es un error general que para la ejecución del sistema.

Imagen 5: Opciones de Volcado de Memoria en Windows Vista
**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

jueves, mayo 21, 2009

Boosting las pequeñas TICs

Dice el manifiesto "Por una internet libre, abierta y participativa" que ha publicado el PSOE una frase...., no, mejor, una coletilla que me recuerda al debate de "Con tetas gordas". La frase dice:

"Especialmente en el ámbito de la educación, sanidad y administración, donde apostamos decididamente por el uso de tecnologías de fuentes abiertas y del software libre," y la coletilla genial es: "que además favorece el desarrollo de una industria TIC propia."

La pregunta es ¿a quién coño han preguntado? ¿cuales son los datos para decir esa coletilla? La verdad... yo creo que a nadie. Han sacado el dedo, se lo han chupado y han dicho otra de las perogrulladas y falacias que dicen aquellos que no tienen una empresa que desarrolla software.

La industria TIC en los paises que tienen una industria TIC fuerte se basa en exportar productos tecnológicos software al extranjero, como Google que recauda sus adsense en todo el mundo y cotiza en California u Oracle, IBM o Spectra que lo hacen en diferentes puntos de los USA.

En España existen empresas que venden software, empresas que comercializan sus productos en el extranjero, pocas, es cierto. Pero tenemos un Panda que comercializa productos por todo el mundo o un S21Sec que implementa su bitacora en muchos países o el SIMAX de Iñaki, producto adquirido por multinacionales niponas. Todas pagando impuestos e intentanto rellenar las tan debilitadas arcas de este país.

En nuestra pequeña empresa intentamos comercializar un producto, uno en el que se está trabajando desde hace tiempo y, desde luego, nuestra ventaja competitiva es el código desarrollado. Si liberamos el código perdemos la ventaja competitiva y otros lo pueden copiar o replicar. Si tenemos que esperar a vender servicios y soporte con el producto estamos muertos porque el producto es de nicho y con poco que hacer extra. Si lo vendemos por todo el coste que nos ha llevado producirlo sería inviable para ningún departamento justificar su compra y, una vez comprado, se perdería nuestro control y nuestra ventaja competitiva.

Además, en el caso de que la empresa que compita con nosotros sea más grande... como por ejemplo Google, Oracle o Microsoft, si tienen nuestro código y lo pueden utilizar, entonces....estaríamos auténticamente jodidos. La licencia comercial nos permite competir y comercializar nuestro pequeño software aquí y fuera de España.

Julián Inza, en su blog habla del mismo sentir y termina corrigiendo lo que debía haber sido la frase bajo su entender:

"propugnamos por que en el ámbito de la educación, sanidad y administración se empleen las mejores soluciones TIC para los ciudadanos, desarrolladas por empresas competitivas y con los costes más ventajosos para el estado"

Saludos Malignos!

miércoles, mayo 20, 2009

La hacker de pronóstico

Hace ya muchos años preparabamos el Chico Maravillas y yo el primer evento juntos. Era nuestro primer encuentro sexual y fue como juntar el hambre con las ganas de comer. A él le iba el cachondeo y la fiesta tanto o más que a mí y tras preparar aquel evento enfrentándonos al malvado pingüino, decidimos seguir nuestras andaduras luchando juntos.

Entre el arsenal de tonterías que preparamos, incluidos los disfraces de héroes, utilizamos un montón de vídeos, audios y demás fuegos de artificio para conseguir el resultado deseado: Una sesión de despolle.

Hoy, revisando porn...digo... cosas en mi ordenador, he encontrado el audio de la "hacker de ponóstico" que tantas charlas llenó con su presencia y que comenzó su andadura en nuestros eventos en aquel Momentus Ridículous III.

Con el objetivo de que sea fácil encontrarlo lo he subido al youtube para que no me lo pidáis un día y no lo encuentre.

La creadora del virus "Ano"
Saludos Malignos!

Aplicación de la LOPD a la memoria RAM [II de IV]

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

3.- Destrucción de Ficheros Temporales

Parece que en esta circunstancia, el propio procedimiento automatizado desarrollado por la herramienta de procesado, en este caso el procesador de textos, garantiza la aplicación de los principios de seguridad existentes en el Reglamento.

Sin embargo, es públicamente conocido por la comunidad técnica informática, que esos documentos eliminados del sistema de ficheros no son completamente eliminados. Los datos que este fichero contiene son conservados en el soporte de almacenamiento hasta que el sistema necesite espacio para almacenar un nuevo documento.

El proceso de eliminación de un archivo en un sistema operativo con entorno gráfico hoy en día se puede resumir en cuatro pasos:

Paso 1: Eliminación del fichero del sistema de ficheros

Este es el proceso normal que realizan los usuarios en el manejo habitual del sistema de ficheros. Durante este proceso, el documento es enviado a una zona especial llamada “Papelera de Reciclaje” en los sistemas Microsoft Windows y con nombres similares en sistemas operativos Linux con GNome, Linux con KDE o MacOS X. Este fichero ha sido borrado de su lugar habitual, pero sigue permaneciendo en el sistema operativo, con lo que cualquier usuario del sistema puede seguir trabajando con él. Si comparamos este proceso con la destrucción de un listado en papel con datos de carácter personal es el equivalente a coger el papel y depositarlo en una autentica papelera que tendremos cerca de nuestro ordenador. Cualquiera que acceda a la papelera pueda recuperarlo.

Paso 2: Vaciado de la Papelera de reciclaje

En este caso el usuario vacía la papelera de reciclaje y dejan de aparecer allí visibles los archivos recientemente borrados. Sin embargo, este proceso no destroza los datos del soporte y un usuario con una sencilla herramienta de recuperación de archivos borrados podría acceder a los mismos. El símil con la destrucción de nuestro listado impreso consistiría en coger la papelera de reciclaje que existe junto al ordenador y vaciarla en un contenedor, pero el documento sigue existiendo.

Paso 3: Eliminación total del documento

La eliminación total del documento se puede producir de dos formas:

a) Dentro del proceso normal de trabajo con el sistema operativo: En este caso el sistema operativo machacará los datos almacenados por ese documento cuando un nuevo fichero del sistema operativo necesite espacio para almacenar los datos. De esta forma los datos desaparecerán y serán ocupados por otros datos. Si lo comparamos con la destrucción de nuestro listado supondría la recogida y vaciado del contenedor para ser remplazado por otro contenedor vacío.

b) Forzado con un proceso de escritura a cero: Este proceso se conoce en el mundo informático como “Borrado fuerte” o “Borrado permanente” y se utiliza su término en inglés Wipe. Este proceso consiste en escribir varias veces en los bits utilizados por el fichero todos los datos a cero o a uno para evitar que nadie pueda acceder a los datos antes almacenados en esas posiciones del soporte físico. El equivalente en la metáfora comparativa de la destrucción del listado correspondería al uso de una papelera de destrucción de papel, tan comunes hoy en día en las oficinas de trabajo.

4.- Recuperación y destrucción segura de Ficheros Temporales

Conocido este funcionamiento, la industria informática ha desarrollado dos tipos de herramientas que inciden directamente en la aplicación de la LOPD.

1.- Recuperadores de ficheros borrados

Estas herramientas permiten leer los datos almacenados en el soporte físico cuyos ficheros han sido eliminados y recuperar íntegramente tanto los datos como los ficheros que los contenían. Este tipo de herramientas demuestra que un borrado de datos puntual de un fichero hoy en día no garantiza la eliminación de los mismos.

Imagen 1: Herramienta para la recuperación de ficheros borrados [3]
2.- Herramientas de borrado permanente de datos (wipeadores)

Estas herramientas, cuando el documento es eliminado, se utilizan para la eliminación definitiva de la información almacenada en un fichero, por lo que todos los datos son sobre escritos con nuevos valores para garantizar la imposibilidad de recuperación de los mismos.

Imagen 2: Herramienta de borrado permanente de datos [4]
Estas herramientas deberían ser implementadas en todos los equipos de todos los trabajadores que accedan a datos que son procesados de forma temporal para garantizar la no recuperación de los datos eliminados.

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

martes, mayo 19, 2009

Juegos de niños

Las técnicas de XSS son una plaga por la facilidad para encontrarlas, pero la mayoría de ellas no persistentes. Los XSS no persistentes son esos en los que para que la víctima se vea afectada tiene que hacer clic en un link y esto ya no es tan común hoy en día.

Recuerdo que tiempo ha publiqué un post de cómo hacerte un crisma con el potosó usando las técnicas de XSS no persistentes en un par de sitios graciosos. Mis amigos de SecurityByDefault también publicaron un XSS de libro en cierta empresa que se encargaba de gestionar ciertos derechos digitales.

La pregunta es..¿son peligrosos realmente o son más un juego para nosotros? Es decir, si tomamos un sito, … no sé, por ejemplo IBERIA y hacemos un XSS no persistente como éste en el que ponemos nuestro código javascript para reírnos un rato con los colegas… ¿es realmente un fallo de seguridad importante?

XSS no persistente 1
O si hacemos un ejemplo, como este otro, para defacear un poco una web con XSS y enseñarlo a los amigotes… ¿puede ponerse en riesgo la seguridad del sistema de Ibirria o es sólo una bromichuela? Al final todo corre en tu navegador y no en otro sitio.

XSS no persistente 2
Es decir, puestos a mirar el riesgo de seguridad… ¿no es más fastidioso dejarse los petes de los programas en la caché de Google?

Éste es un clic malo, te vas a infectar de malware
¿O dejar código antiguo indexado en la caché con valores raros raros en los parámetros por GET? ¿Y si fueran sensibles?

Al final te infectas y luego dirás que ha sido Windows
Yo creo que los XSS no persistentes están para… llenar unas risas con los coleguillas por el Messenger y el feisbuk y ya está, ¿no?

Saludos Malignos!

lunes, mayo 18, 2009

Volar con IBERIA, ¡Qué dolor!

Hace tiempo os conté una de las aventuras más graciosas que me han pasado nunca volando. En esa historia me fue imposible hacer la facturación web a través de la web de Iberia y cuando llegué me tocó overbooking. ¡Qué dolor!

Hasta ahí la cosa va dentro de lo normal con Iberia, la compañía con la que me he chupado overbooking, huelgas encubiertas que me obligaron a cancelar una conferencia, retrasos infinitos y viajes transatlánticos mortales con aviones que están, de todo, menos preparados para viajes cómodos.

Pero la última ha sido genial, hoy mismo he perdido un vuelo, pero… llegando a tiempo. Tenía el embarque de 09:40 a 10:10 y he llegado tranquilamente a las 10:00 en punto a la puerta de embarque pensando en que no habría ningún problema y … ¡sorpresa! No me dejan entrar porque han cerrado ya.

Es genial porque yo estaba en la lista de pasajeros, el avión estaba ahí pegadito en la puerta y podía ver a la gente al fondo, pero… nada, no he podido subir. La explicación: “Tiene que estar usted aquí media hora antes, esto no es el AVE ni el tren”, aliñado de las formas más groseras.

Lo más divertido de todo es que la cultura que se ha transmitido entre la gente de la empresa hace de su personal el menos agradable de todos. He volado durante estos 10 años en casi cualquier compañía aérea que se te ocurra y, siempre que me toca en Iberia, me tocan los malhumorados. No me extraña que la viabilidad de esta compañía esté siempre en entredicho ni que mucha gente los evite en viajes largos. A ver si aprenden de RENFE.

A partir de ahora, tras este viaje, ya me han visto en Iberia. ¡Qué os vaya bien!

Saludos Malignos!

Aplicación de la LOPD a la memoria RAM [I de IV]

**************************************************************************************************
Artículo escrito por Juan Luís G. Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

1.- Aplicación Técnica de la LOPD

Uno de los grandes problemas funcionales con los que se encuentran las empresas a la hora de aplicar las medidas reguladoras, establecidas en la Ley Orgánica de Protección de Datos de Carácter Personal[1], es la de si sus sistemas y aplicaciones cumplen con la normativa vigente. A pesar de haber invertido un esfuerzo tanto humano como económico, queda la incertidumbre de posibles resquicios técnicos y legales de elementos muy presentes, pero a veces, no suficientemente conocidos por los administradores de sistemas.

A través de este trabajo se evaluará una de las grandes dudas: La funcionalidad de los procesos de memorias intermedias, la situación de los datos que quedan residentes como datos temporales y la interpretación legislativa de dichos elementos. Se intentará dilucidar por lo tanto la situación en la que queda dicha implementación técnica.

Cuando se establece la iniciativa para promover una ley que regule el marco de trabajo con datos de carácter personal, uno de los principios fundamentales es el de la seguridad de los mismos. Ciñéndose a este principio, se establecía la necesidad de adoptar medidas tanto técnicas como organizativas que garanticen la seguridad. Entre dichas medidas, quedan previstas en la Ley Orgánica de Datos de Carácter Personal 15/1999 aquellas que eviten la alteración, perdida, tratamiento o acceso no autorizado, independientemente de la tecnología empleada, la naturaleza de los datos o los riesgos a los que puedan ser sometidos.

Puesto que la LOPD no reflejará dichos mecanismos a emplear, los requisitos y condiciones deben ser establecidos reglamentariamente a través de un Real Decreto que desarrolla la LOPD. Es por lo tanto, a través del Nuevo Reglamento de desarrollo 1720/2007[2], en el que nos fundamentaremos para la aplicación de las garantías legales necesarias a una implementación técnica muy utilizada pero a la vez bastante desconocida.

Como aspecto fundamental para el tratamiento de los datos de Carácter Personal, el Reglamento de desarrollo de la LOPD, adopta una serie de principios técnicos y organizativos para garantizar la seguridad de los datos, independientemente del soporte o formato en que se pudieran encontrar. Estas medidas de seguridad para el tratamiento de los datos quedan dispuestas a través del Título VIII, dónde se indica que deben ser adoptadas las mismas en función de los diferentes niveles de seguridad.

2.- Ficheros Temporales en LOPD

Uno de los artículos más transcendentales, pero del que curiosamente no se suele dar mucha importancia, lo refleja el artículo 87, sobre la funcionalidad de los ficheros temporales o copias de trabajo de documentos:

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artículo 81.

2. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación.

Independientemente por lo tanto del escenario, hay que tener muy presente dicho articulado y lo que representa adicionalmente el número 81 citado. En este se establecen los diferentes niveles de seguridad existentes para la adopción de medidas y el tipo de datos vinculado a cada uno de ellos. Se hace por lo tanto necesario aplicar cualquier mecanismo de índole técnico y organizativo en todos aquellos datos derivados de usos temporales, de la misma forma que lo haríamos sobre los datos propiamente en sí.

Uno de los grandes problemas cuando hay que hacer una interpretación técnica de un documento es la que conlleva conocer la definición a la que se hace referencia, y en este caso concreto, conocer qué es un “fichero temporal”. Afortunadamente es el propio reglamento a través de las definiciones de tipo técnicas para lo dispuesto en el título VIII, recogidas en el Artículo 5, quien establece que es un fichero de tipo temporal:

g) Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.

Es importante tener en cuenta a través de esta definición, que un fichero temporal, y en contra de lo que creen muchas personas, será cualquier elemento utilizado para la realización de un tratamiento o procesado, que pueda llegar a almacenar datos tipificados como de carácter personal.

Entre los ficheros temporales quedan claros que son todos aquellos listados intermedios, extracción parcial de datos en algún soporte e incluso informes impresos para cualquier toma de decisiones. No obstante, dicho tratamiento no se refiere sólo aquellos consignados por los usuarios de un sistema informático, sino también a los derivados de procesos automatizados necesarios para la realización de las tareas, pero a la vez vinculados a datos de carácter personal, como los que pudieran derivarse del uso del sistema operativo o las aplicaciones utilizadas por los usuarios.

Por ejemplo, nadie discute que en la apertura de un documento tipo ofimático con una herramienta para el procesado de textos, genera un fichero de tipo temporal como proceso adicional para la realización de las tareas de trabajo con el documento. No obstante no suele preocupar mucho, puesto que en las condiciones de la creación de dicho documento se consignan los mismos principios de seguridad, que se establecen en el fichero del cual proceden. Toda vez que el fichero ha cumplido su cometido, este fichero de tipo temporal es eliminado automáticamente sin que el usuario necesite realizar alguna acción sobre el mismo. Por lo tanto estaríamos cumpliendo los dos principios consignados a través del artículo 87:

- Cumplimiento de los niveles de seguridad según correspondan a los criterios establecidos.

- Borrado o destrucción de todo fichero temporal una vez que haya dejado de ser necesario, puesto que ha cumplido con su cometido.

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

domingo, mayo 17, 2009

Neuronas congeladas

Recuerdo un tiempo en que era capaz de pegarme una fiesta brutal el viernes, una fiesta brutal el sábado y el domingo disfrutaba tomándome unas cañas con el aperitivo. Lo recuerdo, fue hace mucho tiempo.

El San Isidro catalán fue demasiado para un Maligno que sabe más por “viejo” que por “Maligno”. Esto ha hecho que me tocara pasar el día de ayer organizando un plan de reorganización laboral para las pocas neuronas que aun conservan su puesto de trabajo tras el E.R.E. practicado en la celebración del día grande madrileño en Barcelona.

Previendo que podría pasar algo así, decidí dejar publicado el post diario con anticipación y tomarme unas horas de relax, pero hoy, el trabajo ya me muerde el culo y necesito que la maquinaria se ponga a funcionar a pleno rendimiento otra vez. Trabajar en esto no da tregua, ya lo sabéis.

Esta semana voy a estar jugando con ISA Server 2006, el firewall de Spectra, así que estoy ahora escuchándome ahora mismo a mi mismo en unos Webcast que grabé hace un par de añitos… ¡cómo pasa el tiempo!

En el caso de ISA Server dejé grabados tres webcasts:

- ISA Server 2004: Características de la versión antigua.
- ISA Server 2006: Introducción. En la que se muestra el funcionamiento de las reglas de acceso, la publicación de servidores, el bridging Http-s, la configuración de redes, etc…
- ISA Server 2006: VPNs. En el que se ven las características de las VPN en ISA Server, con su L2TP/IPSec, PPTP y configuración de VPNs cliente-servidor y site-to-site.

La idea de los webcast es genial, y se ha convertido desde hace tiempo en un repositorio para formarse en tecnología de los más utilizados. El formato, con las ppts, las demos y el audio grabado es muy cómodo para repasar tecnología. Un video de 10 megas que recoge durante 1 hora lo que sería una charla de una conferencia y que te puedes descargar para ver o escuchar en cualquier sitio. Mola.

En Technet se ha conseguido un repositorio brutal de más de 100 conferencias grabadas que te puedes descargar para que te ayuden a conocer mejor un producto. Hay algunas muy chulas y, en el área de seguridad, hay por ejemplo algunas grabadas sobre Análisis forense, sobre legislación, sobre cómo implementar redes WiFi seguras, etc…

A veces es difícil seguir todas las tecnologías, por lo que es probable que eches en falta alguna charla grabada en Webcasts, pero… si quieres que se grabe alguna charla en concreto sólo tienes que pedirlo e intentaremos dejarla grabada, que seguro que nos vendrá bien a nosotros mismos.

He de reconocer que el estar estudiando y aprendiendo cosas de mi mismo es un poco raro, pero se nota que en el momento que lo grabé tenía muchas más neuronas, pues fue tiempo antes de celebrar el San Isidro Catalán. Es algo así como congelar el semen para cuando ya no me quede.

Saludos Malignos!

sábado, mayo 16, 2009

Google, ¿no soy tu tipo?

Criticar cualquier aspecto de Google Search parece que es un tema sacrílego, pero la realidad es, como Google ha demostrado muchas veces, que todo es mejorable a pesar de que algunos piensen que con ser mejor que Live.com ya es suficiente. Vaya por delante que me gusta más Google que Live y eso lo han visto todos los que han venido a una de mis charlas pues es mi página de inicio, pero eso no quita para que no haya cosas mejorables. Así que.. ahí va un par de cosas que me parecen un cagada y que creo que sería mejorable.

¿Preferencia o Castración?

Mi mala leche comenzó cuando, ignorante e infeliz de mí, pensé que estaba haciendo tunning del pagerank para mis resultados. Y seleccioné la opción de "Dar preferencia a los resultados en inglés"

Dando "preferencia al inglés"
La realidad es que no es un proceso de "dar preferencia", es una castración de todos los contenidos que Google ha catalogado como en otros idiomas. Así, si busco pdfs en un dominio aparecen infinatmente menos. ¿Es sólo una mala elección del termino?

Sólo hay 2 pdfs
¿Es eso todo lo que hay? Pues evidentemente no. Si buscamos ficheros pdfs en el sitio de pdf "eliminando la preferencia de resultados en inglés" aparecen muchos más.

615 pdfs
¿Son estos todos los documentos pdf que hay en el sitio en cuestión? Pues la respuesta es No.

Si nos fijamos en la imagen anterior se puede ver que Google es bastante listo pues reconoce el formato de fichero lo muestra con una etiqueta a la izqueirda y, dependiendo del tipo de archivo muestra un menú especial. Por ejemplo, para los pdfs, puede aparecer un menú para ver como html.

¿Eres tú mi tipo?

Sin embargo, a pesar de que Google reconoce el tipo de archivo, cuando se busca con la acción filetype:pdf no ha buscado por tipo sino por extensión. ¿Cómo?. Sí, eso, busca por extensión.

En este sitio es posible detectar una aplicación para descargar ficheros que tiene una extensión ".do" y que devuleve ficheros pdf. Como se pueve ver en la imagen siguiente Google reconoce el tipo de fichero devuelto y nos muestra la etiqueta.

Ficheros pdf no devuletos con filetype:pdf
Es decir, a los ficheros pdf que se obtienen con filetype:pdf habría que añadir los ficheros pdf devueltos por download.do.

¿Y qué hace Live?

Pues Live.com sí busca por el tipo de fichero, así que mostrará todos los ficheros que él tenga catalogados como PDF independientemente de la URL y la extensión. Otras cosas las hará rematadamente mal si quieres, pero esto lo hace bien.

Live.com busca por filetype
De 2 he pasado a 1.350 documentos PDFs. Si no hubiera seguido enredando me habría quedado sin dar de comer a la FOCA en un pis pas y resulta que había más de mil ficheros PDF. Además Live, en las preferencias me queda más clara la opción.

Dar preferencias frente a Limitar resultados
Sí, Google está muy bien, pero no es perfecto y puede ser mejorado.

Saludos Malignos!

viernes, mayo 15, 2009

Buscando una aguja en un pajar

Hoy en día, con la cantidad de información que hay publicada en Internet, buscar un archivo concreto puede ser exactamente como buscar una aguja en un pajar. Yo llevo un tiempo volviendome loco para buscar los posts que he publicado en este blog, con lo que decidí que tenía que descubrir porque no era capaz de encontrar posts en mi blog que sé exactamente como son. Aquí van las pruebas.

Prueba 1: Sé dónde está y como se llama, ¡dámelo Google!

Pues ni puto caso. Utilizando Google y buscando el post de Espiando a los espías con el modificador de site:elladodelmal.blogspot.com y el título exacto del post consigo 5 posts que en su día tuvieron un link al post buscado, pero no el que quiero: Agua.

site:elladodelmal.blogspot.com "Espiando a los espías"
La respuesta es fácil, la búsqueda está en inglés, si busco en castellano sale a la primera, pero... ¿por qué unas páginas de mi blog aparecen en las búsquedas en inglés y otras en castellano? Puedo entender algunas, pero...¿la entrevista a frikiñeka?

Búsqueda en castellano
Prueba 2: Piensa tú por mí, Google, que yo no sé nada

Si pongo las tres palabritas del título, sin decirle de qué sitio quiero obtener el post y se las doy sin entrecomillar, es decir, sin buscar el título exacto, resulta que ¿mi post sale el primero?. ¡Qué alegría!, ¡es famoso!, pero... ¿realmente es el más adecuado para esa cadena de búsqueda?

Espiando a los espías
Prueba 3: Desde dentro de Blogger

Yo siempre he supuesto que la búsqueda que hay dentro de blogger es igual a la búsqueda realizada en la prueba 1, así, si busco "Espiando a los espías" debería obtener exactamente los mismos resultados... pero no es así. Encuentra el post a la primera. La pregunta es...¿qué coño de búsqueda usa entonces? ¿Usa las preferencias del navegador?¿Pasa de las opciones de idioma?

Blogger Search "Espiando a los espías"
Prueba 4: Live, pórtate como un campeón y dame lo que te pido

Ya para la Foca decidimos usar también Live porque obteníamos mejores resultados en ciertos entornos, así que pruebo a marcar el sitio con live y buscar la cadena entrecomillada. Y Live lo saca a la primera. Apúntate un tanto Live.

site:elladodelmal.blogspot.com "Espiando a los espías"
Prueba 5: Live, piensa tú

Como última prueba decido repetir la prueba 2 con Live y dejarle a él ser el que piense. Le doy la cadena sin entrecomillar y los resultados que aparecen, después de los subvencionados, tienen todos que ver con técnicas reales de anti espionaje y mi post no aparece. ¿Ha fallado Live?. Yo creo que no, que parece más lógica esta respuesta que la de un post de coña. ¿Qué opinas tú?

Live search Espiando a los espías
Conclusiones

Google es genial, pero no lo es todo, ni es tan bueno, ni tan perfecto...y parece ser que Live no es tan malo. Parece que tendré que usar más a menudo ambos.

Saludos Malignos!

jueves, mayo 14, 2009

18 Junio, Getafe: Asegúr@IT 6

El evento Asegúr@IT 6 ya está listo. Este evento, que me organizo yo a mi gusto, a la carta, es mi capricho. Yo elijo las charlas que me gustan, elijo donde lo voy a hacer y la fecha. Todo que me vena bien. Ya, después de 3 años, llega la 6 edición y, aunque la lista de "cantantes" y temáticas que han pasado es larga, va a seguir creciendo. En esta ocasión estos son los "nominados":

Auditoria WiFi con WiFiway

[Corporate] Sergio Gonzalez, es auditor de seguridad y uno de los responsables de Wifiway, una de las suites más utilizadas para auditoría WiFi. En esta sesión mostrará como se puede utilizar esta colección de programas para auditar la seguridad Wifi de redes corporativas. [/Corporate]

[Friends] Anelkaos lleva anos "dando la lata" con esto de la seguridad informática. Que si manipulo URLS en Gmail, que si administro el Foro de ElHacker.net, que si Wifislax, etc... Desde hace tiempo le echó el diente a las redes WiFi y esá dale que te pego a mejorar y mejorar WiFiway, la distro de auditoría WiFi. Esta sesión será sobre como auditar WiFis con ella. [/Firends]

Blind XPath Injection

[Corporate] Pedro Laguna, de Informática64, dedicará esta sesión a hacer un recorrido de las técnicas XPath Injection y Blind XPath injection, utilizadas para vulnerar sistemas web mal desarrollados. Además, mostrará cuales son las técnicas necesarias para securizar y fortificar una aplicación web que utilize XPath.[/Corporate]

[Friends] Pedro Laguna es un geek, enomorado de todo lo que huela a freak con un ordenador. ¿Y si enlazamos el twitter con el System Center Essentials? ¿Y si con una gusao XSS hacemos que se tome la captura de pantalla y se genere automáticamente un blog con los posts creados mediante CSRF del gusano? En esta sesión nos contará como funcionan las técnicas de Blind XPath Injection. [/Friends]

El e-DNI en mi Directorio Activo

[Corporate]Rames Sarwat, de SmartAccess, contará cual es el proceso de autenticación de un usuario en una máquina local o en un dominio Microsoft y cómo puede ser extendido ese proceso para autenticar cuentas de usuario con el e-DNI. No es necesario crear ningún nuevo deployment de smartcards si tus usuarios tienen su e-DNI para autenticarse en la red. [/Corporate]

[Friends] Si ya de por sí pensar en mezclar el e-DNI en el Active Directory no te parece suficientemente entretenido, espera ver como funciona todo el sistema de autenticación por debajo. Rames viene de Spectra, de crear soluciones de certificación, para terminar jugando con el e-DNI. Uno de los supervivientes a la extracción del chip de control mental de Spectra. Generalmente, el impacto post-traumático de abandonar Spectra suele ser muy duro y pocos sobreviven...[/Friends]

Rainbow Tables. Principios de funcionamiento

[Corporate]Gonzalo Álvarez Marañón, investigador de CSIC, dedicará esta sesión a explicar cual es el concepto teoríco y matemático en la construcción de Rainbow Tables, como se generan y como se utilizan para automatizar el proceso de descifrado de hashes.[/Corporate]

[Friends]Gonzalo es otro de los veteranos en esto de la seguridad informática. Después de picarse Boinasnegras, el reto más famoso en estas tierras, de pasarse el día dando charlitas técnicas, también tiene tiempo para hacer de cuenta historias. En esta ocasión le he pedido que nos cuenta algo que muchos saben usas [clic, clic] pero que no todos conocen bien como se crean, las Rainbow Tables.[/Friends]

MSRC: Security Response Process

[Corporate]Fermin J. Serna, miembro del equipo MSRC de Microsoft dara una sesión contando como funciona el equipo de respuesta ante incidentes de seguridad más famoso del mundo y contará algunos de los casos famosos en los que han tenido que actuar.[/Corporate]

[Friends]Los pandas eran sólo pandas hasta que entró él. Desde ese momento fueron sexys. Miembro del MSRC dónde se dedica a [********], divertido y el mejor amigo que nadie puede tener: "Oye Chema, cuando saques el MetaShuield Protector me lo pasas para que te hacer un crack, porque.. ¿quién te va a hacer el cráck con más cariño que un amigo?". En esta sesión los asistentes podrán lanzar objetos.[/Friends]

Dónde, Cómo y Registro

La fecha será el jueves, 18 de Junio de 2009 en Getafe, en el centro de formación de la Comunidad de Madrid en la Avda. Arcas del Agua, 2 (Sector 3) 28905 Getafe Tlf. 91 683 81 60- Fax 91 683 85 62. MAPA.

La plazas están contadas, el sitio es el que hay, así que si vienes nos vemos por allí. El registro se hace vía web en la siguiente URL: REGISTRO. Allí tienes también la agenda detallada con horarios.

Saludos Malignos!

miércoles, mayo 13, 2009

San Isidro catalán

El próximo día 15 de Mayo es un día grande en Madrid, es la fiesta de nuestro patrón San Isidro labrador y, por tanto, día en el que no se trabaja según el calendario. Eso es así salvo que seas tan berzas de comprometerte a una charla fuera de Madrid, por ejemplo en Barcelona, dónde no celebran para nada ese día de fiesta.

Ese ha sido mi caso, y el próximo viernes 15 de Mayo de 2009 estaré en la charla de OWASP que se celebrará en Barcelona. Además, con el síndrome del "yaque", es decir, "Ya que voy...", voy a hacer una paradiña el jueves 14, es decir, mañana, en la Universidad de Lleida para pasarme a ver a un grupo de personas que está haciendo un master de seguridad y darles una charlita. Es decir, que voy a pasarme toda la noche previa y el mismo día de San Isidro trabajando en Cataluña.

Y por tanto... hay que celebrarlo a lo grande.

El próximo viernes 15 de mayo, como la charla es de tarde, me quedaré a celebrar la noche de San Isidro en Barcelona así, después de la charla de OWASP habrá cena para todo el que se quiera apuntar y brindaremos por San Isidro hasta que la noche dé de sí. Como será un San Isidrio catalán habrá que pagar a escote y tomar vino catalán, pero para que se noe que es la fiesta grande de Madrid, habrá que bailar un "chotis apretao" así que, por favor, chicas, animaos a venir que si no me veo yo restregando la cebolleta con Carles, Jordi o Pere (que lo haré de igual forma...).

Pues eso, si te animas a venir a San Isidro catalán vente a la OWASP. Si no puedes venir a la charla pero te apecete venir después a la celebración, mándame un e-mail con tu número de teléfono y te avisaremos de dónde están los chulapones y chulaponas.

Si no puedes encontrar mi e-mail... no vengas a la charla.

Saludos Malignos!

PD: L@s que queráis bailar un chotis conmigo por favor pedid la vez que luego no quiero discusiones de celosones...

PPD:Vale, valor, por peticiones, los que os habéis apuntado a alguna sesión de la AZLAN D-Link Academy en Barcelona tenéis prioridad para el chotis....(hay que ver lo que tiene uno que hacer)

martes, mayo 12, 2009

El futuro no está escrito

Hace mucho tiempo, cuando yo era joven, no, perdón, quise decir, cuando yo era más joven que hoy en día, quise aunar mi pasión por el dibujo con mi pasión por los ordenadores y dedicarme al diseño gráfico. Eso me llevó a estudiar cómo funcionaban los formatos gráficos y a aprender a manejar todos los programas de la época, es decir, Adobe Photoshop, Adobe Premiere, Macromedia Freehand, Macromedia Director, etc…nunca me olvidaré del Gif animator, sniff. (¡Qué tiempos!)

Eran tiempos dónde había que preocuparse por detalles como la carga de la página. Recuerdo que en aquella época hubo un libro que fue el referente por encima de los demás en el diseño gráfico multimedia que se llamaba “Técnicas avanzadas para el diseño de páginas web”, escrito por David Siegel. Este libro estaba escrito por un diseñador gráfico que contaba los errores capitales del mal diseño. Entre los trucos que nos contaba para hacer una buena presentación estaba el Anti-aliasing.

Esta técnica consiste en realizar un suavizado de los bordes de un objeto mediante un degradado de los colores del borde de un objeto hacia los colores del fondo sobre el que se presenta y es utilizado por la gran mayoría de las aplicaciones que funcionan con gráficos desde los años 90 (ya no sueno tan joven hablando de los “años 90” que me parezco a mi padre hablando de los “años 60”).

OpenOffice.org 3.1.0 la implementa desde esta última versión en Mayo del 2009, que bueno, tampoco importa mucho si no quieres hacer presentaciones chulas o documentos con aspecto impactante, pero me ha sorprendido mucho.

No me ha sorprendido porque lo hayan implementado, sino por el sistema que han seguido para hacer las características. Es un sistema participativo, se realiza una votación y las features más votadas son las que se implementan. Esto es divertido, pues el Anti-Aliasing ha sido de las que más apoyo popular ha recibido, mientras que por ejemplo, limitaciones como que no se pueda pasar un párrafo de 65.534 caracteres no haya triunfado. Da igual que lleve descubierta desde la versión 1 y poco o que tenga más de 6 años de antigüedad. Si quiere ser corregida, que saque más votos, que sólo tiene 88.

Bug 17171
Supongo que la respuesta es, como decía Michael Meeks, los programadores, pero conocer el roadmap de un producto en base a lo que vote la gente, puede ser algo así como, complicado de meter en un plan director de una empresa.

Además, después de la charla de Blackhat dónde quedó de manifiesto que hay que mejorar “ciertas cosillas de seguridad” parece más lógico pensar en cómo arreglar estos problemas. Es decir, gestionar mejor la firma de documentos para que pueda ser comprobada la firma contra una entidad de confianza o ver cómo solucionar el problema de las macros firmadas o no firmadas cuanto antes, pues tras negarlo inicialmente, han comprobado que sí existe el problema y que hay que arreglarlo. Por no hablar de los metadatos.

Ahora, con la llegada de Oracle, parece muy claro que la intención de la casa de la base de datos es liberar el proyecto completamente y ser sólo un sponsor más para dejar de ser el único que paga la cuenta de los desarrolladores. Oracle tiene su visión de negocios muy definida (y no hya que olvidar que le ha llevado a comprar a SUN) y, después de tirar los precios con el soporte de la versión Linux que llevaba Oracle Database y enfadar a Red Hat mucho, mucho, mucho, no parece que esté, para nada, focalizada en ganar dinero con el soporte de un programa ofimático.

OpenOffice.org tendrá que ser una fundación o algo totalmente libre. ¿Será bueno o malo para el producto? Quién sabe, no podemos predecir el roadmap, como para predecir el futuro de este software.

Saludos Malignos!

lunes, mayo 11, 2009

Lista de artículos

A lo largo de los más de tres años que llevo malusando el espacio de Internet, he ido recogiendo en este blog todas mis paranoias, momentos endogámicos de "cuanto me molo", pataletas, bazofias y mentiras, crticas infundadas y algún que otro artículo técnico. Sí, esos que os calzo por entregas al más puro estilo de telenovela venezolana que me permitend no trabajar mucho con el blog.

Como muchas veces me cuesta a mi saber que tengo publicado, supongo que a vosotros os resultará aun peor, así que he hecho una recopilación de todas las bazofias dentro de la categoría de artículos técnicos que están por aquí tiradas.

LDAP
*********************************************************
- Ataques a LDAP
- LDAP Injection and Blind LDAP Injection
- Jugando con LDAP
- Or 1=1 en LDAP
- LDAP Injector
- El listín de teléfonos
- Whitepaper LDAP Injection & Blind LDAP Injection [Inglés]

Metadatos
*********************************************************
- Metadatos e información oculta en documentos Microsoft Office
- Metadatos e Información Oculta en documentos de OpenOffice
- Foca: Manual de Usuario
- MetaShield Protector
- Máginas Borrás con OpenOffice
- Espíando a los Espías
- White Paper Disclosing Private information using metadata, hidden info and lost data [inglés]

Test de Intrusión
*********************************************************
- Test de Intrusión
- Test de intrusión en aplicaciones web

Fortificación Apache
*********************************************************
- Fortificación de un servidor Apache

Redes Wireless
*********************************************************
- Protección de una red Wireless
- Atacar WPA/WPA2 PSK
- Crackear (WPA/WPA2 PSK)
- La WiFi en Ubuntu 8.0.4

SQL Injection
*********************************************************
- Protección contra las técnicas Blind SQL Injection
- Técnicas avanzadas de Blind SQL Injection
- Time-Based blind SQL Injection usign heavy queries
- Serialized SQL Injection
- RFD (Remote File Downloading) using Blind SQL Injection
- Lateral SQL Injection
- Deep Blind SQL Injection
- Whitepaper Time-Based Blind SQL Injection [Inglés]
- Technet Article Time-Based Blind SQL Injection using heavy queries [Inglés]

Messenger
*********************************************************
- Riesgos de seguridad protección en Windows Live Messenger

Estafas
*********************************************************
- El Nigeriano
- El Mulero
- Medidas de protección para evitar troyanos bancarios
- El negocio del SMS

Windows Vista
*********************************************************
- El Bebé Prebeta
- Tecnologías de Seguridad en Windows Vista

Saludos Malignos!

domingo, mayo 10, 2009

MetaShield Protector (IV de IV)

Figura 12: Estadísticas sobre ficheros
En la Figura 12 se puede ver el tiempo media de limpieza de un fichero que, en el sitio de ejemplo, ha sido de 197 milisegundos.

Figura 13: Numeros de ficheros descargados por tipos
Y en la útima figura se puede acceder al tiempo medio de limpieza por tipo de fichero.

Figura 14: Tiempo medio por tipo de fichero
MetaShield Protector permite, además, crear una política de imagen asociada a los ficheros publicados. Podríamos crear una política que pusiera en el nombre de la compañía de todos los documentos Microsoft Office y OpenOffice el nombre de nuestra compañía, que elimine cualquier dato que vaya como autor y que mantenga el nombre del título del documento, como se puede ver en la Figura 15.

Figura 15: Plantilla de acciones
Ventajas de MetaShield Protector

La ventaja principal del producto, lógicamente, es que los documentos que salen de la organización vía servidor web, van limpios de metadatos e información oculta. Esto se aplica de igual forma a las arañas de los buscadores, es decir, cuando un documento publicado en el sitio web es solicitado para ser indexado éste irá limpio y, por lo tanto, no habrá necesidad de preocuparse de que se pueda extraer información de los metadatos a través de los buscadores como se puede ver en la Figura 16.

Figura 16: Datos expuestos directamente en Google
En ese ejemplo se observa cómo se puede acceder a datos de usuarios publicados en documentos PDF del dominio fbi.gov simplemente realizando una búsqueda en Google de documentos con la palabra Documents en el título.

El documento original, por su parte, permanece intacto en el repositorio original en todo momento. Si el documento tiene metadatos que el servidor documental interno utiliza, o si el documento tiene versiones anteriores del documento guardadas o información de los revisores que está siendo útil internamente, ésta permanecerá intacta internamente. El administrador del sitio web podrá estar seguro de que los documentos no envíen datos no deseados fuera de la organización teniendo la garantía de que no se está modificando nada de los ficheros originales de los autores.

Conclusiones

Un documento ofimático puede llevar mucha más información de la estrictamente deseable como se ha visto. Puede ser una fuga de información utilizable por la competencia, por atacantes o simplemente que puede dañar la imagen de la compañía. Las soluciones que existen en la actualidad son soluciones que dependen de la pro-actividad del usuario que genera el documento y dentro de una política de seguridad corporativa no se puede depender de que todos los usuarios que publiquen documentos cumplan las normas de seguridad y más, cuando la mayoría de ellos no están alertados de esta situación.

Metashield Protector es una solución para bloquear la fuga de datos a través de metadatos e información oculta en ficheros ofimáticos que permite al administrador prescindir de la colaboración total de los usuarios a la hora de proteger la fuga de información de la compañía. Tienes más información del producto en: Metashield Protector

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

sábado, mayo 09, 2009

MetaShield Protector (III de IV)

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

MetaShield Protector

A la hora de administrar la seguridad de una web, las herramientas de DLP (Data Lost Prevention) o prevención de fuga de información son fundamentales. En el caso que nos atañe la fuga de la información se produce por medio de canales de difícil observación como son los metadatos y la información oculta en los documentos. Es necesario por tanto que se comprueben todos los documentos antes de ser entregados a los clientes.

MetaShield Protector es una solución para evitar la fuga de información en documentos ofimáticos a través de su publicación en sitios web. Para ello, el documento ofimático antes de ser entregado será limpiado en memoria por el componente, llegando al cliente una copia totalmente limpia de metadatos e información oculta.

La solución funciona como un módulo de Intenet Information Services 7.0 para Windows Server 2008 y está totalmente integrado con la arquitectura del servidor web. Así, cuando el servidor web recibe la petición de un fichero ofimático este será entregado a MetaShield Protector para que lo limpie en memoria. Una vez que se han eliminado todos los metadatos del fichero o se han establecido unos previamente establecidos por el administrador se entregará al cliente.

MetaShield Protector se instala a nivel de servidor web y se activa o desactiva a nivel de cada sitio web. Así, su aplicación a un determinado sitio web es tan fácil como activar la opción en el menú contextual del botón derecho como se puede ver en la Figura 10. La desinstalación de un sitio es exactamente el mismo proceso. Botón derecho sobre el sito, desinstalar MetaShield Protector.

Figura 10: Instalación/Desinstalación de Metashield Protector en un sitio web
Una vez configurada la protección para evitar la fuga de metadatos en documentos ofimáticos en un sito se pueden configurar las opciones personalizadas de cada uno de ellos. En el panel de configuración del módulo se debe configurar, en primer lugar, un repositorio de estadísticas. Este almacén tiene que ir sobre un motor de base de datos Microsoft SQL Server o Microsoft SQL Server Express. Durante el proceso de instalación del producto se puede elegir entre utilizar un servidor existente en la empresa o un motor en versión Express nuevo que se instalará con el producto.

Para cada uno de los sitios se podrá personalizar cuales son los formatos de documento que han de ser limpiados de metadatos para ese sitio. En esta versión del producto se puede activar la limpieza para documentos Microsoft Office en binario, es decir, versiones desde Microsoft Office 97 a 2003, de ficheros .doc, .xls, .pps o .ppt, ficheros de versiones OOXML para Microsoft Office 2007, tipo docx, xlsx, ppsx o pptx, ficheros en formato PDF y ficheros de OpenOffice de tipo sxw, ods, odp, odt y odg.

Figura 11: Configuración de MetaShield Protector
Estas opciones de configuración por sitio permiten al administrador de un sito realizar una administración granular y optimizar los tiempos de respuesta de todos y cada uno de los sitios. La limpieza de los documentos en memoria implica, como es de esperar, un pequeño retardo en tiempo. Este retardo será mayor o menor en función del tamaño del documento y el formato.

Para que el administrador pueda conocer cuál es el uso que está realizando el componente en cada sitio web, se puede acceder a las estadísticas y ver cuántos documentos han sido limpiados, es decir, cuantos documentos son aquellos en los que se ha encontrado algún metadato o información confidencial, el número de documentos que se han descargado por tipo de fichero y el tiempo que ha llevado de media el limpiar cada tipo de fichero. Con esta información se podrá decidir la aplicación de medidas especiales, como la limpieza del archivo original, o la desactivación de la limpieza sobre determinados documentos en determinados sitios de los que se tiene la certeza de que están limpios.

En la misma Figura 11 se puede apreciar que en el panel de configuración de MetaShield Protector hay una lista de los documentos descargados cada día. En ella se almacena el detalle de los tiempos que han sido necesarios para limpiar cada uno de los archivos. Si nos fijamos en la Figura 11 con detalle podremos ver el tiempo que ha tardado MetaShield Protector en limpiar el documento Blair.doc, objeto de la polémica en el gobierno británico: 50 milisegundos, es decir, la veinteava parte de un segundo.

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

viernes, mayo 08, 2009

Libextractor, Metagoofil, FOCA

Qué Libextractor es un software fantastico es cierto y que Metagoofil ya descargaba ficheros de Google para hacer análisis automáticos de sitios también es cierto. Ambas son herramientas que estaban disponibles antes de sacar la FOCA a pasear. Entonces...¿por qué FOCA?

Esa es una buena reflexión que incluso se hace Larry Pesce en un podcast de Pauldotcom con buen criterio. La verdad es que FOCA está hecha por nosotros y a nuestra medida y os voy a poner algunos de los motivos porque usamos FOCA y no libextractor y MetaGoofil.

Libextractor es una librería que busca metadatos en documentos e incluso en más tipos de archivos que los que busca actualmente la FOCA, que está centrada únicamente en documentos ofimáticos.

Aparenemente, cuando vimos el ejemplo con el documento de Blair, el resultado era bueno, pero se deja mucha información en otros entornos. Vamos a ver unos ejemplos utilizando la demo online de Libextractor que hay disponible en la web.

Ejemplo 1: Analizando un Excel del FBI

Si analizamos este documento excel del FBI con libextractor se puede ver que nos saca los usuarios creadores y los modificadores, así como la versión del software.

<<<<<

Resultados con libextractor
Sin embargo, si analizamos el mismo documento con la FOCA veréis que saca más información.

El mismo excel con la FOCA
FOCA busca rutas a impresoras, rutas a plantillas, rutas a ficheros incrustados, rutas en links y metadatos personalizados. Es decir, no se queda sólo en los metadatos, sino que busca la información oculta y los datos perdidos. Además, realiza búsquedas en el contenido del texto para encontrar direcciones de correo electrónico y URLs que puedan aparecer en cualquier sitio. Esto permite encontrar datos perdidos como los links en los ejemplos de los documentos de Novell.com

Ejemplo 2: Analizando formatos XML

Con los documentos en formato XML, como serían sxw, odf y ooxml, no estabamos teniendo buenos resultados con libextractor. En este ejemplo, con un documento sxw se puede ver que la información que se recibe con libextractor es bastante pobre.

SXW con libextractor
Sin embargo, si se analiza con la FOCA se obtiene más información.

SXW con FOCA
FOCA no busca sólo la info en meta.xml, sino que descomprime el archivo, busca las rutas a todo lo que aparezca, desempaqueta las versiones antiguas, busca el meta.xml y las rutas a todo lo que se menee en las versiones antiguas, después extrae los archivos gráficos y les saca la información asociada que lleven.

PPTX con información EXIF en fotografías incrustadas
Ejemplo 3: Google no es TODO

FOCA busca archivos en Google y en Live Search. La dictadura de Google en las búsquedas es alta, pero no tiene todo, todo, todo [A pesar de que permita espíar a los espías]. En casi todos los tests usamos Google y Live Search porque los resultados se complementan.

En este ejemplo se puede ver como, en Pauldotcom, buscando con Google aparecen 63 doucmentos, todos ellos PDF, de los que se descubren 5 usuarios y 9 tipos de software.

FOCA con Google
Si completamos el análisis con Live Search se ve que se llegan a 87 ficheros. Algunos son los mismos pero accediendo desde distinta ruta, pero existe alguno adicional como el fichero seleccionado.

FOCA completando con Live Search
Tras hacer el análisis aparece una versión de software detectado más. Dejarse datos en un test de intrusión no mola.

Libextractor es guay, MetaGoofil es una gran solución y muy madura, pero nosotros hemos preferido crear nuestra FOCA y evolucionarla a nuestro gusto. Así, el postprocesado de rutas, la clusterización de documentos, la búsqueda de nuevos servidores con la predicción DNS y las nuevas cositas que estamos añadiendo hacen que, como dice Larry en el podcast, I Love FOCA.

Saludos Malignos!

PD: Si te gustan los podcasts, tienes otro en el que también hablan de la FOCA en Exotic Liability

jueves, mayo 07, 2009

El suplente

Decía un amigo mio que mi charla de Metadata Security la iba a ver aunque no quisiera, porque soy más pesado que una vaca en brazos con lo mismo. Lleva razón. Soy muy, muy pesado para todo y en esto, va a tener razón. Va a ser casi imposible que te libres de ver la charla de Metadata Security porque en un evento o en otro apareceré sin avisar y contaré los mismos chistes, las mismas caras, las mismas bromas malas.....

En este caso he colonizado el evento de ISSA-Security de este viernes. Vicente no puede asistir y yo me ofrecí a ayudar a Gonzalo a buscar un sustituto. Como hice agua, pues... al final me apunté yo.

Le di a elegir charlas, la de Re-playing, la de Metadata Security, o cualquiera que el quisiera de lo que yo suelo cantar. Al final eligió... la de Metadata Security.

Así que este viernes por la tarde estaré junto con Oscar Delgado y Victor Manuel Fernandez en Madrid en el evento... con mi FOCA, mis chistes malos, las bromas tontas, y las mismas caras de situación.

Estás a tiempo de desapuntarte... o de apuntarte, si lo tuyo es el sadomasoquismo.

Saludos Malignos!

MetaShield Protector (II de IV)

Figura 4: Documentos ofimáticos fbi.gov
En la Figura 4 se puede ver como en el dominio fbi.gov se están publicando a día de hoy más de 4.800 archivos ofimáticos. Con que se sacara 1 dato de cada documento el volumen de información que se estaría haciendo pública de la organización sería enorme. Además, para la extracción masiva de metadatos en documentos ofimáticos existen herramientas como Metagoofil o FOCA, que permiten descargar masivamente archivos ofimáticos publicados en un sitio web y extraer de ellos toda la información.

Figura 5: FOCA
En la Figura 5 se puede ver a FOCA realizando un análisis de todos los documentos públicos del dominio novell.com.

Higiene de documentos

Para la higiene, limpieza o eliminación de metadatos e información oculta de los documentos ofimáticos existen diversas soluciones. Para aquellos creados con Microsoft Office, a raíz del asunto Tony Blair, se hizo pública un add-in para las versiones XP y 2003, que permitía limpiar de cualquier metadato o información oculta a los archivos de Microsoft Office. Esta herramienta se llama RHDTool y está disponible para descarga en la siguiente URL: RHDTool

Siendo conocido este asunto ya, en el paquete de Microsoft Office 2007, todas las herramientas cuentan con una opción de limpieza de documentos, accesible desde el menú Preparar. En la Figura 6 se puede ver como la herramienta busca y elimina todos los datos que puedan poner en riesgo la privacidad o seguridad del autor del documento.

Figura 6: Limpieza de documentos en MS Office 2007
Para las versiones de OpenOffice, aunque la herramienta trae opciones para minimizar la información que debe guardar el documento cuando se está trabajando con él, no elimina completamente toda la información sensible. Así, rutas a plantillas o impresoras no son eliminadas y se hace necesario utilizar una herramienta aparte, como por ejemplo OOMetaExtractor. Esta herramienta es gratuita y está bajo licencia OpenSource, con lo que es posible ser utilizada por cualquier usuario. Está disponible en http://www.codeplex.com/oometaextractor y permite, entre sus principales características, extraer todos los metadatos de todos los ficheros en formato ODF de una carpeta, la limpieza de todos los metadatos de todos los ficheros de una carpeta y el establecer una plantilla de metadatos genéricos para que aparezcan en todos los ficheros.

Figura 7: OOMetaExtractor
Para los ficheros PDF, el mismo paquete de Adobe Acrobat, en su última versión, ofrece herramientas para la limpieza de metadatos, pero, también se puede utilizar la herramienta exiftool para limpiar datos XMP en ficheros PDF.

Google y la caché

Además de limpiar de metadatos todos los ficheros que se encuentren publicados, debe ser necesario tener en cuenta que muchos buscadores, como por ejemplo Google, no sólo indexan el contenido de los ficheros sino que realizan una copia completa del mismo como se puede apreciar en la Figura 8.

Figura 8: Documentos en caché
Es por tanto necesario tener en cuenta que si se limpia un fichero de metadatos, este debe ser eliminado de la cache de Google también. Para ello, como se puede ver en la Figura 9, dentro de las “Herramientas para Webmasters” de Google disponibles en http://www.google.com/webmasters, hay una opción para eliminar URLs de la cache de google e incluso de la base de datos de indexación.

Figura 9: Eliminacion de URL
Problemas de publicación

Como se ha visto, existen soluciones para la limpieza y el análisis de metadatos en documentos ofimáticos. Sin embargo todas esas soluciones recaen en la aplicación manual de las herramientas de limpieza.

Supongamos un usuario que se encuentra trabajando con un documento ofimático y enviándolo periódicamente a publicar en la web. La única forma que tiene este usuario de estar seguro de que el documento está limpio es realizar el proceso de limpieza siempre que vaya a ser enviado fuera de su equipo.

Por el contrario, desde el punto de vista de un administrador de un sitio web que publica documentos ofimáticos en formato doc, xls, pdf, odt, ods o pptx, la única forma de estar seguro de que los documentos están limpios es revisándolos él uno a uno.

Al final, aunque existen soluciones para limpiar los metadatos y la información oculta, no son suficientes para poder establecer una política de seguridad confiable en la publicación de documentos. Es necesario automatizar este proceso.

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

miércoles, mayo 06, 2009

Los trastos en el sótano

Durante los últimos años, en el sótano, en la guarida, en las galeras de de i64, se han ido fraguando algunas utilerías que hemos ido utilizando para diversas cosas, el siguiente post es un recopilatorio de todas esas cosas que hemos ido poniendo disponibles, en plan “usa mis tijeras para cortar tu jardín”:

LISSA & LISSA 2004

En las versiones de MS ISA Server 2000 y MS ISA Server 2004, las conexiones Http-s venían restringidas a los puertos well-known de SSL. Esto nos generó bastantes problemas cuando muchos de los servicios de Hacienda en España se publicaron por puertos SSL no estándar. Para arreglar esto sólo había que modificar valores del registro con unos scripts, pero nos daba bastantes problemas, así que hicimos una herramienta que configuraba los puertos SSL para ISA server de forma gráfica y sencilla.

- Download LISSA para MS ISA Server 2000
- Download LISSA para MS ISA Server 2004

I64Pop3Connector

En una implantación necesitábamos una herramienta que recogiera correo de unos buzones por medio de POP-s y lo distribuyera a otros buzones. En aquel entonces no había nada que funcionara con SSL disponible así que hubo que programar con las librerías de OpenSSL este concentrador/redistribuidor de correo entre buzones. Lo pusimos freeware y es una de las herramientas que más se ha bajado la gente.

- Download I64Pop3Connector

SQL Faster Paste

Uno de los compañeros se programó este add-in para Visual Studio 2005/2008 para que le ayudara a tirar más rápidamente las queries en las aplicaciones. Automatiza el proceso de crear una consulta SQL segura en una aplicación web. Tienes más información en la siguiente URL: SQL Faster Paste

- Download SQL Faster Paste

LDAP Injector

Pequeña utilizad para automatizar las injecciones LDAP. La utilizamos para documentar y explicar las técnicas de LDAP Injection & Blind LDAP Injection en charlas. Se hizo expresamente para la Blackhat pero la utilizamos en todas las formaciones. Más información en la siguiente URL: LDAP Injector

- Download LDAP Injector

Thumbando

Thumbado es una herramienta en versión online para extraer las miniaturas de los ficheros thumbs.db utilizados en las versiones de Windows XP. Es cómoda, porque no tienes que descargarte ni el thumbs.db si se encuentra dentro de un servidor web. Tienes más información en la siguiente URL: Thumbando

- Usa Thumbando

WbFingerprinting

Esta es una prueba de concepto para demostrar que se puede hacer, por medio de Javascript, un fingerprinting del navegador que se está utilizando sin comprobar el valor que aparece en el campo USER-AGENT. Tienes más información de esta herramienta en la siguiente URL: Web Browsing Fingerprinting.

- Usa WBFingerprinting

Marathon Tool

Hacía falta una POC de la técnica Time-Based Blind SQL Injection using heavy queries. Se presentó en sociedad en la Defcon16. Tienes más información en las siguientes URLS: Marathon Tool & Reto Hacking I con Marathon Tool.

- Download Marathon Tool

OOMetaExtractor

Utilizad para extraer y eliminar los metadatos de documentos ODF en carpetas. Esta herramienta se creó como parte de un trabajo que se presentó en la OSWC. Tienes más información en la siguiente URL: OOMetaExtractor

- Download OOMetaExtractor

FOCA Online

Herramienta para extraer on-line los metadatos, información oculta y datos perdidos de un fichero. Tienes más información en la siguiente URL: La FOCA adquiere el tercer grado

- Usa la FOCA Online

FOCA

Herramienta para descargar ficheros ofimáticos de sitios web, extraer metadatos, información oculta y datos perdidos. Después cruza la información e intenta representar el mapa de la red. Se creó para la gira Up To Secure y Blackhat Europe 2009. Tienes más información en la siguiente URL: FOCA, Manual de usuario

- Download FOCA

Si alguna de ellas te sirve utilízala, si no… pues nada, que son DUPIS!

Saludos Malignos!

martes, mayo 05, 2009

¿Periodistas técnicos o Técnicas de periodismo?

Supongo que el mundo del periodismo está tan prostituido como el mundo de la informática. Un mundo dónde un faltón malhablado y una perra gritona se pueden llamar a sí mismos periodistas del corazón o un melenas que cuenta sus basuras todos los días en Internet se llame blogger hacen que las fuentes de noticias que usa la gente cada vez sean menos de fiar y más partidistas.

Partiendo de esa base, he de decir que es lo que tiene la libertad de los RSS, tú te levantas por la mañana y decides con qué mentiras vas a pintar tu realidad, con qué reafirmar tus convencimientos propios y con qué no. Es el mundo de los medios de comunicación. Los mass media, esos que en los Estados Unidos se consideran garantes de la democracia.

Especialmente me llaman la atención aquellos periodistas que consideran el mundo de la informática como el mundo del corazón. Son personas que tienen que escribir de informática igual que escriben de la prensa del corazón: “Fulanita se ve en secreto con el rey según un informante anónimo borracho” y después sueltan ese artículo para escribir otro que diga “Windows Vista es malo y además ronca”. Son los tecnicoless. No sé si por obligación o por devoción publican sus posts de toros y luego de seguridad informática.

Yo, que a veces me olvido el jabón, me encrespo con algunos artículos que generan ruido y desinformación sólo por el placer de escribir un titular. En este caso es uno publicado en El País sobre Windows 7. El titular es muy simpático: “Windows 7, una beta para olvidar Vista”

Y tiene tantas imprecisiones que da miedo que se publique un artículo así en un medio como El País. Vamos con algunas de ellas obviando que lo que va a salir no es una beta sino una Release Candidate pero eso ya sería de nota para un periodista que tiene que escribir de todo, incluso de toros.

“Si uno de los errores más reprochados en el sucesor de Windows XP fue su escasa compatibilidad con dispositivos de muchos fabricantes (los conocidos 'drivers') en esta ocasión se han asegurado que no se repetirá”

Sí, es cierto, y no lo es. La escasa compatibilidad con los drivers antiguos nada más salir ya que a día de hoy en Windows Vista hay más de 120.000 drivers siendo el sistema operativo con más drivers de la historia. En Windows 7 funcionarán todos los drivers de Windows Vista porque es una evolución de la misma rama del kernel.

“No sólo llama la atención la compatibilidad con aparatos”.

Ésta me encanta. Eso de llamar a la placa base aparato me ha parecido…no sé, muy básico, con fuerza, rudo, primario, con fundamento.

Si hasta ese punto el artículo es más o menos feote y desgarbado técnicamente, el final es un éxito total. Con la siguiente apreciación:

“En el aspecto de la seguridad, uno de los puntos débiles, también se notan mejoras:”

¿Uno de los puntos débiles? Tú no te has enterado de nada. Sigues usando Windows XP porque no te apañas con Vista, pero desde luego no conoces ni una de las mejoras de seguridad en Windows Vista. Decir que la seguridad es uno de los puntos débiles de Vista es no haber leído nada que no sea “tomate” y “salsa rosa” sobre Windows Vista y por supuesto, no haber probado ninguna de las tecnologías que se citan en el artículo.

Pero el final es muy divertido:

“Este tipo de estrategia, el lanzamiento de una versión preliminar gratuita muy habitual en el mundo del software libre pero novedosa en una compañía como Microsoft ya se utilizó con su última versión de Windows para móviles y el navegador Explorer 8.”

Claro, Spectra ha copiado del mundo del software libre el concepto de versiones beta, que en este caso es RC, una versión que sale justo antes que la RTM. Spectra lleva lanzando betas siglos ha, de hecho, tiene uno de los programas más fuerte, si no el más, de beta testers. Creo que tengo guardada aun una beta de NT5 en casa. Lo que sucede, es que tú llevas tan sólo en ésto ese tiempo, es decir, desde la beta de Windows Mobile e IE8, antes estabas... a otras cosas.

En definitiva, este artículo podría haberse resumido en un twitter de ésos, entre el típico update de “me levanto” y “haciéndome un café”:

“Olé, olé, olé, Vista es malo y con la beta del 7 se vuelve a XP, olé, olé, olé!”

Tiene fuerza, ¿no?

Saludos Malignos!

lunes, mayo 04, 2009

Tipos muy legales

Muchos conoceréis a Héctor S. Montenegro sólo por su blog, muchos incluso sólo por su defensa de OOXML o por trabajar en Spectra. Seguro que pensáis que Héctor es casi tan malo como yo con todas sus apreciaciones. No vais desencaminados… Héctor es tan maligno como yo. De hecho, desde hace ya más de 5 años que nos conocemos, hemos sido como el fuego y la gasolina. Uno mantiene a otro, y el otro desata al uno.

Héctor es el tipo que quisieran tener todas las empresas. Es un hombre de compañía, en este caso de Spectra, pero aplica su pasado como hombre de ciencia a poner el máximo de sentido común y rigor a todo lo que hace. No repite nada de lo que le dicen y ni tan siquiera sigue la doctrina “oficial”, como muchos pudieran pensar, si no está de acuerdo con ella. Ése es el secreto de su éxito.

Héctor tiene entre sus funciones ser el encargado de las relaciones nacionales de Spectra. Sí, eso de relaciones nacionales suena como a que tiene que encargarse de los ligoteos o de untar políticos con pasta para que le aprueben sus proyectos, pero nada más lejos de la realidad. Héctor tiene que conocer los problemas tecnológicos de España e intentar que Spectra pueda ayudar y aportar valor.

Para conseguir ésto, Héctor tiene muy poco presupuesto, de hecho tiene cero, y mucho respeto ganado entre sus colaboradores. Estuvo metido en la cesión del código fuente de Windows y Office al gobierno, en la liberación y estandarización de OOXML, en la pelea del DNI-e, previamente también en la colaboración con la FNMT, en la creación de una API en Visual Studio para usar el DNI-e, en las campañas de concienciación en seguridad o sufriendo los momentos más duros de los virus en Spectra siendo el responsable de seguridad en España.

¿Cómo lo hace? Pues gestionando su tiempo mejor que yo. Héctor transmite pasión e ilusión por hacer las cosas. Te llama desde su utilitario monovolumen (no lleva malignomovil como yo) después de pasar por el cole de cuidar a la prole y te dice gritando por el manoslibres: “Me mola, me mola, me mola!!!!!!” y ya la has liado, estás metido en otro proyecto con Héctor.

Entre sus proyectos también estuvo crear un libro desde Spectra que fuera gratuito, de libre descarga para todo el mundo, en el que se acercara la Ley de Protección de Datos (LOPD) desde el punto legal y técnico para que los responsables de sistemas supieran como debían lidiar con ese morlaco que les cayó sin previo aviso. Esto fue hace años, pero la ley cambió y hacía falta revisar los conceptos, tanto legales como técnicos al entorno de hoy en día y así fue como me lio.

“Chema, tenemos que hacerlo. Hay que actualizar el libro a la nueva versión de la ley y a las nuevas tecnologías, así que no te hagas el remolón y príngate en el proyecto”.

Y así, de patitas me vi pringado en un proyecto del que no iba a salir sólo ni de coña. Así que tuve que llamar a uno de mis escoltas en temas legales, el gran Juan Luís Rambla. Juan Luigi es un MVP de Seguridad más que peligroso que tiene una capacidad a la hora de escribir infinitamente superior a la mía y, si bien hay que descifrar lo que escribe la mayoría de las veces, tiene una energía a la hora de transmitir brutal.

En el proyecto se vio implicada más gente que aparece en los créditos, como Antonio Soto de Solid Quality o David Suz Pérez de Spectra ayudando en la parte técnica como José Helguero Sainz y María Estrella Blanco Patiño ambos de Helas Consultores o Miguel Vega Martín ayudando en la parte legal y consistente del texto. Pero también hubo alguno que no aparece en los créditos y que puso sus letras en el texto, como el gran Joshua Sáenz, compañero y MVP de Exchange que tuvo que lidiar con el correo, Manuel S. Chumillas que ayudo a descrifrar y poner orden y concierto al texto o Alberto Amescua, responsable de Technet, que pensó que eso era necesario y un buen recurso para los técnicos en España y puso su tiempo, su desvelo y financió el proyecto completo.

Al final, un trabajo de meses que empezó con un “Me mola!” y acabó con un libro que te puedes descargar hoy en día en la siguiente URL: LOPD & Spectra V.20

Lo peor de todo, es que Héctor, además de todo esto, aun tiene tiempo de quedar con sus colegas y aporrear la batería para destrozar las canciones de Deep Purple o Led Zepellin…¿de dónde saca el tiempo?

Saludos Malignos!

domingo, mayo 03, 2009

MetaShield Protector (I de IV)

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

El affaire Tony Blair & Microsoft Word

Es inevitable hablar de los riesgos de seguridad y privacidad asociados a los metadatos y la información oculta almacenada en un documento ofimático sin contar la famosa historia que afectó al gabinete de Tony Blair.

Era el año 2003 y se cernía el comienzo de la guerra de Irak cuando Tony Blair presentó un informe en la cámara alta del gobierno británico que había sido recibido del servicio de inteligencia de los Estados Unidos. Dicho informe se presentó como una prueba irrefutable de que en Irak existían armas de destrucción masiva. El presidente fue preguntado repetidas veces si ese documento había sido manipulado, modificado o tratado de alguna forma por el gobierno británico y la respuesta siempre fue: No.

Sin embargo, el documento fue publicado en el sitio web del gobierno sin tener en cuenta los posibles metadatos y la información oculta que pudiera contener. El documento en cuestión había sido escrito en formato .doc, el formato nativo de Mirosoft Word, y resultó que, al hacer un análisis de los metadatos, apareció una lista de ediciones realizadas por ciertos usuarios que demostraban que el documento sí había sido manipulado por personal del gobierno británico.

El documento, nada más saltar el escándalo, fue retirado de la web dónde había sido publicado, pero como sucede con toda la información que se pone disponible en Internet, ya mucha gente lo había descargado y existían miles de copias de ese documento, todas ellas con la prueba de la edición del documento por parte del gobierno de Tony Blair.

Analizando el “informe Blair”

El famoso informe puede ser descargado hoy en día desde la siguiente URL: "Documento Blair" y podemos analizarlo utilizando múltiples herramientas. La forma más sencilla es utilizar el servicio gratuito de la FOCA Online. FOCA son las siglas de Fingerprinting Organizations with Collected Archives y permite, no importa el formato del documento que sea, extraer toda la información oculta, metadatos o datos perdidos que pueda contener. El servicio está disponible en la siguiente URL: http://www.informatica64.com/FOCA.

El informe Blair analizado
En la Figura 1 se puede ver la lista completa de metadatos e información que el servicio FOCA Online extrae del documento Blair.doc. En ella se puede apreciar una lista de ediciones sucesivas del documento. En primer lugar se puede apreciar como este documento es editado tres veces por un usuario identificado como cic22 que trabaja en la ruta del sistema de ficheros C:\DOCUME~1\phamill\LOCALS~1\Temp\. Esta ruta hace referencia al perfil del usuario phamill. Posteriormente hay tres usuarios más, que también editan varias veces el documento. Dicho usuarios están identificados como JPratt, ablackshaw y MKhan.

Con estos datos fue sencillo para los medios de comunicación asociar los cuatro usuarios que aparecían en el documento con cuatro personas que trabajaban en el gobierno inglés: Paul Hamill - Funcionario de Foreign Office, John Pratt - Funcionario de Downing Street, Alison Blackshaw - Asistente personal de la secretaria de prensa del Primer Ministro y Murtaza Khan - Funcionario Junior de prensa para el Primer Ministro.

Los metadatos y la información oculta

Como se ha podido ver en el ejemplo del informe Blair, hay cierta información en un documento ofimático que está almacenada pero no se puede ver a simple vista. Dicha información, en contra de la creencia popular, no existe sólo en los formatos de fichero del paquete Microsoft Office. Los formatos de fichero de OpenOffice fueron objeto de un amplio análisis en el artículo publicado en la revista PCWorld Profesional de Octubre de 2008 en el que se pudo constatar la información que podía encontrarse en esos formatos de fichero. De esta información no se libran tampoco los formatos de fichero Lotus, PDF o WordPerfect.

Metadatos en WordPerfet
En la Figura 2 se puede ver como hay información de impresoras de red en un documento WordPerfect publicado en internet y que con una herramienta como Bintext, diseñada para buscar cadenas de texto, aparece claramente.

Al final, en un documento ofimático pueden encontrarse nombres de servidores de la red o direcciones ip de los mismos porque compartan una carpeta de red en la que trabajen los usuarios o una impresora que sea usada por los mismos revelando información interna de la organización.

También, como se ha podido ver en el ejemplo del informe de Tony Blair, pueden aparecer nombres de usuarios, ya sea como creadores y editores del mismo o como nombres de carpetas en los perfiles de usuario.

Uniendo los dos tipos de datos anteriores, es decir, rutas a recursos compartidos en servidores y datos de usuarios que trabajan en ellos, un atacante podría establecer una lista de permisos asociado al recurso, es decir, se podría inferir, si no toda, parte de la lista de control de acceso de los recursos (ACL).

Los documentos PDF y las impresoras virtuales

Otra información que queda al descubierto en la mayoría de los documentos ofimáticos son las versiones de software que están siendo utilizadas por una empresa. Esto podría ser bastante comprometedor para una organización si se hubieran publicado documentos creados con versiones de productos de los que la compañía no tiene licencia.

Esto suele ser bastante común en los documentos PDF. El formato PDF, además de ser un formato ampliamente aceptado por los usuarios como un documento de intercambio de información, tiene la característica de poder ser creado fácilmente desde cualquier programa utilizando impresoras virtuales.

Las impresoras virtuales no son nada más que un software que recibe la salida para impresión de cualquier programa y lo convierte en un fichero PDF. Así, un usuario que tenga instalado en su sistema una impresora virtual PDF puede generar, desde cualquier aplicación un fichero PDF.

Sin embargo, la mayoría de las impresoras virtuales que generan ficheros PDF guardan información de la aplicación que ha mandado imprimir el documento. Así, aunque el documento sea PDF, puede ser comprobado con que software se hizo.

Metadatos en ficheros PDF
En la Figura 3 se puede observar un fichero PDF creado por el usuario ramón, desde Quark Xpress 7.0.1 a través de Adobe Acrobat Distiller 7.0.5 para Macintosh. Es decir, con un simple documento en formato PDF se ha podido averiguar que el usuario ramo usa un sistema operativo Macintosh, que trabaja con Quark Xpress 7.0.1 y que genera los documentos PDF a través de Adobe Acrobat Distiller.

*************************************************************************************************
Artículo Publicado en PCWorld Abril 2009
- MetaShield Protector (I de IV)
- MetaShield Protector (II de IV)
- MetaShield Protector (III de IV)
- MetaShield Protector (IV de IV)
*************************************************************************************************

sábado, mayo 02, 2009

Hoy sólo fúbol

Hoy es sábado, y día festivo, y como todos los días en los que la presión del trabajo baja un poco, acabo poniéndome malo. Soy como una máquina que funciona a pleno rendimiento y va bien, pero que la apagas para descansar un poco y se le rompen las piezas, por lo que hoy pienso dejar la informática aparte y voy a hablaros de cómo pienso recuperarme: Viendo el gran Clásico.

No es que sea especialmente forofo del futbol, suelo ir al campo una vez al año cuando alguien me invita a uno de esos palcos blancos que tienen las empresas alquilados anualmente, y tampoco suelo ver todos los partidos de futbol, me basta con ver los resúmenes y algún que otro partido cuando me pilla bien en un hotel o en casa.

Eso sí, soy Raulista hasta la médula, y beso cada brizna del campo por la que pisan las botas de nuestro capitán. Vigilo constantemente al mantenedor de la wikipedia de Raúl, para ver si ha actualizado el palmarés, los partidos jugados, la media de goles por partidos, las listas de records en el artículo del Madrid y en las de la Liga.

No soy anti-culé ni anti-atlético ni anti-nada. Soy seguidor del Madrid pero puedo disfrutar un partido de Iniesta, Xavi, Mesi, Pujol y Henry igual que todos. Ver jugar a este Barcelona es muy bonito. Pero aun así…

He crecido con Raúl, soy un poco mayor que él, pero he vivido con él, y gracias a él, momentos muy bonitos. Le he visto levantar partidos, competiciones y títulos a él sólo. Todo ello está grabado todo en mi retina y en la piel de mi negro corazón.

Siempre Raúl
El Madrid puede que no juegue bien, o puede incluso que tenga debilidades, pero ahí sale de repente el orgullo de llevar esa camiseta para sorprendernos. Aun guardo en la memoria aquél partido en las semifinales de la Champions con el Barcelona en el Camp Nou y Raúl marcando, el partido en Manchester camino de la consecución de una Champions League en el que Raúl y Fernando Redondo se citaron para ganar a domicilio con el famoso taconazo del 5, la final de la Supercopa de Europa con Fernando Hierro y Raúl levantando la copa, las dos intercontinentales que se ganaron con Raúl (no digo nada de la que perdimos con Boca... ;)), el gol de pillo y milagro que igualaba la final de la champions que nos daría la 9ª copa de Europa, o Raúl subiendo a besar a la Diosa Cibeles tras una nueva liga (y van 31).

La consecución de la 7ª copa de Europa recreó a un Real Madrid que había estado dormido durante algunos años en los que se había conformado con ganar ligas y un par de copas de la UEFA. Decía Valdano que el Madrid creaba una rara enfermedad en el vestuario del Barcelona que llamaba “Madriditis” y que era capaz de anular a los mejores jugadores. Además, el gran Jorge apuntaba que la mayoría de los equipos, cuando llegaban al estadio Santiago Bernabéu, sentían el famoso “Miedo Escénico” que anulaba sus capacidades de creación de juego.

Yo he visto ganar 5-0 al Barcelona en el Camp Nou y hasta ganar 0-3 en el Bernabéu, con un Ronaldinho que salió aplaudido del campo, y este año hay que reconocer que el Barcelona está haciendo muy buen juego. Todo esto es cierto, pero…el espíritu que se respira en el madridismo es de máxima confianza en que se va a ganar. Raúl y San Iker están con nosotros.

El capitán, al más puro estilo Oliver Aton, nos lleva en volandas. Ya lo hizo hace dos temporadas cuando el Barcelona nos llevaba una gran cantidad de puntos y al final se ganó la liga empatados a puntos, con menos goles a favor que el Barcelona y más goles en contra, pero con el average particular a favor del Madrid. Creemos en el milagro.

Las competiciones deportivas en el futbol que duran un año generalmente no las ganan los mejores, sino los más fuertes, y Raúl tiene una fortaleza mental que hace que aun cuando está vencido mantenga su tranquilidad. De hecho, lleva más de 500 partidos en liga y ninguna tarjeta roja, cosa que no puede decir nadie hoy en día.

Decía un compañero culé, “no es justo, en las pelis ganan los buenos, y el chico se casa con la chica. La liga la tiene que ganar el que mejor juega y el Barcelona juega mejor”. Es cierto, el Barcelona juega mejor y tras salir del Bernabéu, pase lo que pase seguirá líder, así que no hay que preocuparse, ¿verdad?

Además, el Barcelona aun puede ganar la copa si es capaz de doblegar a unos leones que van a pintar con sangre las rayas rojas de su camiseta por ganar esta copa, o la champions league si son capaces de ganar (o empatar con goles) en Londres al equipo del talonario y después al más que probable Manchester de Ronaldo en Roma.

No hay que preocuparse más, es sólo un deporte, sólo un partido de fútbol para disfrutar. Un partido que puede ser de 7 puntos. 3 que ganas, 3 que le quitas al rival y 1 punto más si sales con el gol average a tu favor. ¡Venga hoy sólo toca fútbol!

Saludos Raulistas!

PD: Aprovechando que estaré en casa cuidandome mañana me pegaré a ver a Valentino, Jorge y Dani batiendose el cobre y al gran Rafa Nadal en Roma, así que esto de estar malo no va a ser tan malo después de todo

UPDATE: Ahora que van 7 comentarios ayuda a Raúl a elegir el mejor de sus 7 goles

viernes, mayo 01, 2009

Azlan D-Link Academy

Desde hace tiempo, cada vez que hablo con alguien sobre cosas que tienen que ver con Informática64 siempre me quedo corto en años. No sé si será por algún complejo de Peter Pan que se niega a aceptar el paso fugaz de los años o simplemente por tener una memoria de pez despistado, pero siempre me quedo corto en años.

Esto me ha pasado con la famosa campaña de Hands On Lab que empezamos a realizar allá por el año 2004, es decir, estamos en el quinto año de realización o con las Giras Technet en las que llevo participando desde hace siete años. Cuando echo cuentas me pongo intranquilo, y es que son ya diez años los que va a cumplir Informática64 en Septiembre de este 2009.

A lo largo de los diez años hemos trabajado con grandes empresas de gran y pequeño tamaño, en los que nos hemos visto involucrados en procesos de formación y consultoría. Estas empresas han confiado en nosotros para ayudar a formar a sus técnicos en diferentes tecnologías.

Este año hemos tenido la gran suerte de que otra de las grandes empresas en comunicaciones haya contado con nosotros para realizar esta misma tarea. En este caso D-Link junto con Azlan y Techdata nos han confiado la labor de formar a los técnicos en las tecnologías de comunicaciones. Así, después de trabajar durante la primavera en la preparación de los manuales, las presentaciones, los exámenes y las prácticas, hace dos semanas se impartieron las cuatro acciones diseñadas en Madrid (siento no haberos avisado, pero no había mucho tiempo ni muchas plazas).

Las formaciones están dirigidas a técnicos que quieran “tocar chapa” y aprender a implantar redes con los dispositivos. Desde siempre, contar con el material para formarse en comunicaciones no ha sido fácil, pero D-Link Ibérica ha hecho un esfuerzo considerable para conseguir un stock de Firewalls, Swtiches L-3 y Routers WiFi para poder disfrutar de la formación.

La asistencia tiene coste pero os aseguro que el esfuerzo económico que se realiza para alquilar las aulas, desplazar el equipamiento, materiales y técnicos lo justifica. Y es un complemento para los profesionales que quieren montar las VPNs, configurar el NAP o poner la WiFi con RADIUS en tiempos tocando escenarios reales.

A día de hoy, el presupuesto sólo permite que se puedan llevar las formaciones a cuatro sedes que serán Barcelona del 18 al 22 de Mayo, Bilbao del 25 al 29 de Mayo, Málaga del 8 al 12 de Junio y Valencia (aun sin confirmar) que será del 15 al 19 de Junio. Las acciones son:

- DL01: Network Design
- DL02: Tecnología Switching
- DL03: Tecnología WiFi
- DL04: Tecnología Firewalling

Una oportunidad única para jugar con VPNs, STP, VLans, RADIUS, EAP, Web Filtering, QoS, etc… Tienes toda la información en Azlan D-Link Academy.

Saludos Malignos!

AZLAN D-LINK Academy

Windows Técnico

Archivo del blog

Blogs y Links