viernes, abril 12, 2013

Análisis Mundo Hacker - Seguridad en Dispositivos Moviles

Los smartphones han intensificado la actividad digital, especialmente en lo que se refiere a la utilización de las redes sociales.

Ya en la Noconname de 2011, Sebastián Guerrero nos advertía a los asistentes de los peligros que entrañan los dispositivos móviles aunque en su caso fue un demo mas centrada en Android, y su sistema de permisos, analizando un malware que provenía de una appstore de dudosa seguridad.

La temática en si es muy buena, y da mucho juego. La pena es el limite que establece no entrar mucho en harina, ya que los usuarios noveles dejarían de ver el programa. La máxima sigue siendo concienciacion sin alarmismo, y en esa linea se le auguran buenos resultados de audiencia. Lo que eche en falta es hablar un poco de aplicaciones software legitimo que bloquean móviles con sistemas antirrobo, antivirus , bloqueadores de SIM mediante IMEI... una especie de consejos útiles.

También se quedo corto el tema que tratan sobre seguridad en BYOD ( en castellano "trae tu propio dispositivo") y como afecta en la seguridad perimetral de las empresas.

Vamos con el análisis de los protagonistas de esta semana:

Antonio: Bien, sin contemplaciones, aunque debería haber estado mas explicito con el usuario que trollearon. Un nuevo "Momento Leila", algún día tendrán un percance xD

Monica: Muy bien durante todo el programa, pero no me convenció la explicación sobre "instalar programas y antivirus". Si es cosa del guion, dales una colleja a los guionistas.

@jacin_Grijalba: Se lo paso de lujo con su demo, me gusto la facilidad con la que explica. Amigable y tecnicamente correcto.

@EnriqueITE: Joven aunque sobradamente preparado. Bien en el dificil juego de la camara, bien lo de los permisos en sistemas moviles,sin paranoias ni oscurantismos.

WTF de la semana: En el montaje de imágenes ¿Que dispositivo no aparece? ¿Que marca gana por goleada en las apariciones?

Por aportar, algo al programa, os presento a los que no lo conozcáis el sistema avast! Mobile Security, que consta de las siguiente características:

  • componente Anti-Theft
  • bloquear llamadas o SMS de números no deseados
  • contador del Flujo de Datos
  • opción SiteCorrect 
  • firewall en dispositivos rooteados
  • El escudo Web que avisa carga una URL infectada por malware
  • Analisis de aplicaciones instaladas

miércoles, abril 10, 2013

Cuerpos de seguridad Vs Hackers

El Grupo de Delitos Telemáticos fue creado para investigar, dentro de la Unidad Central Operativa de la Guardia Civil, todos aquellos delitos que se cometen a través de Internet. Entre las funciones de la Brigada de Investigación Tecnológica está la de velar por la seguridad de los internautas y de los ciudadanos en general.

Tengo que reconocer cierta ventaja al realizar esta entrada. Hace unos días hubo un debate  o mas bien mesa redonda en la cual había ciertos momentos de interesantes puntos objetivos. Un miembro del puerto de GDT, explicaba entre otras cosas que la legalidad en las actuaciones es un mantra en su trabajo, y que ello en ocasiones les condiciona a estar un paso por detrás en defensa de los intereses y la seguridad y defensa de los ciudadanos.

En este punto, tiene mas razón que un santo. Cualquier abogado defensor sabe buscar cualquier escondrijo legal para poder alegar un defecto de forma, por ejemplo. Si la actuación no se produce acorde con la legalidad, puede que las pruebas obtenidas no sean validas, incluso tengas que indemnizar al delincuente.

Hace ya unos años me plantee el acceso a alguno de los cuerpos de seguridad del estado, en su sección de investigación telematica. Amen de que primero debes pertenecer al cuerpo y luego especializarte en dicho cometido, no me gustaba la idea de tener las manos tan atadas. Es muy dado a la demagogia el tema de la pornografía infantil. Pues eso. Yo me veo en un registro que hallas pornografía infantil en casa de un investigado y no llega al habeas corpus, porque no se si podrían aguantar chafarle un monitor en la cabeza.

Ahora vienen los palos. Como en todos los cuerpos y fuerzas de seguridad del estado, los ascensos generalmente suelen ser por rango mas que por merito. Eso lleva que sea muy dificil el acceso y ademas sea muy difícil la promoción profesional, cosa que limita mucho la productividad laboral de la gente brillante que esta en esos cuerpos (si hay gente brillante).

El palo mas gordo es contra la legislación vigente. La pornografía, el trafico de drogas-armas.humanos,  los sicarios... son delitos, y es lógico. ¿Porque no se persiguen la apología de la bullimia y la anorexia, las autolesiones o las incitaciones al odio/racismo/violencia? No entiendo que sean impunes, y ademas sean consciente de ellos.

Realmente ahora ya no existe una lucha encubierta entre Cuerpos de seguridad Vs Hackers como hace años, mas que nada porque ellos entienden que en muchas ocasiones son una ayuda inestimable, e incluso participan de manera conjunta en conferencias y charlas. Aun así quedan reticencias, sobre todo de gente de la vieja escuela en ambos ¿bandos?

Por lo demás  un abrazo a todos los amigos de ambos cuerpos, y enhorabuena y gracias por el trabajo que realizáis a diario.....

viernes, abril 05, 2013

Analisis Mundo hacker Episodio 3 - Ciberguerra


Guerra informáticaguerra digital o ciberguerra, en inglés cyberwar, se refiere al desplazamiento de un conflicto, en principio de carácter bélico, que toma el ciberespacio y las tecnologías de la información como escenario principal, en lugar de los campos de batalla convencionales.
Anoche, fielmente me enganche a Mundo Hacker de nuevo. La verdad es que la rutina me apasiona. Terminar el trabajo, cena ligera y mis aperitivos para ver el programa. Claro esta con mi netbook para twittear y comentar cosas.

El capitulo de ayer me encanto. El enfoque de un tema tan sensible como la ciberguerra y los ataques a infraestructuras criticas requiere un punto de seriedad y profesionalidad que es muy fácil caer en alarmismos o por contra en vanalidades, por la estrechez del camino para tratarlos de forma entendible para el gran publico. 

Pero vamos con el análisis de los diferentes protagonistas:

@chemaalonso: Tengo que reconocer que cuando lo conoci no me cayo bien. Yo tenia la extraña teoria de que una persona que te engaña no te puede hacer sonreir y ademas conseguir que le des las gracias. Asi es Chema, el mentalista del hacking en España. Kevin Mitnick comento en muchas ocasiones que pocas veces usaba sus profundos conocimientos sobre hacking. No le hacia falta. Chema para mi es un genio, pero no tiene la necesidad de demostrartelo en cada momento. Solo cuando el quiere. 

Eso si, me hubiera gustado que hubiera seguido desarrollando esa idea de la importante diferenciación entre servicios que solo deben verse en una Intranet, y los que deben salir a Internet. Por otro lado, ¿Bing el mejor buscador? Los de Yandex no pensaran igual que tu XD

Ángel Ochoa : Me convence desde los comienzos de mundo hacker, ademas le da ese puntito entretenido cuando la ocasión lo requiere. Suerte en la HackMeeting !!

monivalle: Lo comente en la pasada y sigue In crescendo. Chema también puso de su parte en la parte de la demo, pero condujo muy bien.

@Antonio: Muy bien cambiando el rol en un programa eminentemente mas sobrio. Eso si no me gusto el denominar a Reino Unido como UK. Los que somos catetos en el idioma de Shakespeare .... ;) Por otra parte, hablando con Arbor no dejan del todo claro diferencia entre dos y ddos.....

Vamos ahora con el WTF de la semana: ¿Os habéis fijado que en el gran montaje que ha hecho el equipo de realización, se les ha colado una imagen repetida del Keygen.EXE con el  error aplicacion Win32 no valida?


jueves, abril 04, 2013

Diseño web: Precio Estimado Vs Precio Presupuestado Vs Precio Real

El acceso al diseño web es de fácil  y cualquier persona puede obtener y aprender a diseñar un sitio web. Un diseñador profesional no recibirá la página construida sino que también se asegurará de que el sitio web funciona perfectamente. El diseño, el tema, los colores, el contenido .etc. Lo importante es que toda la apariencia de la página web debe ser agradable y armónica.
Esta entrada viene precedida por un Tweet que publique haciendo referencia a la cantidad de entidades publicas, oficiales o incluso gubernamentales que vienen haciendo uso de varios CMS como Joomla, Wordpress o Drupal para la gestión de sus sitios web. En principio la iniciativa no me parece errónea. Esta elección denota un interés por la agilidad en la gestión de la información  una cierta inquietud por las nuevas tecnologías y manejo básico de las TIC.

En si yo no considero que un script en PHP como lo están en la mayoría de los casos sea mas inseguro que una programación a medida, sino es la gestión de la configuración de ese script, y la concienciacion en la seguridad la parte mas compleja para ellos. Muchas veces comienzan a plagar su sistema de plugins con mayor o menor necesidad en su uso, de sitios o desarrolladores no confiables, y en muchos casos de forma ilícita al saltarse cualquier licencia de uso o de pago.

He realizado una mini encuesta "a pie de urna" y las respuestas de los diferentes actores implicados me ha dejado helado. Un desarrollo Web de un portal corriendo un Wordpress por esta zona ronda los 2000 euros (cifra orientativa). Bien, eso implica que desgrabando gastos salarios y demas, voy a hacer un pelin de demagogia y simplismo en este punto. Voy a dejar limpios 1000 europeos. A un desarrollador medianamente avispado, la instalación e implementacion de un CMS, voy a echarle una mañana, 5 horas. Otra mañana con el Photoshop+ Illutrator, que si diseña que si vectoriza-rasteriza-maqueta. Son 5 horas mas. Hagamos ahora la cuenta de la vieja:

  • 1000 Euros / 10 horas = 100 Euros la hora de trabajo.
Bajando al mundo real ahora desde nuestra simulación, y siendo un poco mas objetivos, me sigue pareciendo una estafa.

Supongamos ahora que compro este argumento y lo veo normal. ¿Cuantas pymes pueden hacer este desembolso para publicitar su negocio? Pocas, estas tendrán que seguir mendigando en servicios como el de paginas amarillas....

La mayoría de las ocasiones, estas empresas son piratas en el sector, y las compañías serias realmente salen perjudicadas y los clientes reales o potenciales también.

Hace tiempo en una conferencia uno de estos "gurus" dijo que ellos tenían el problema de "los sobrinos que hacen webs por 200 Euros", yo le dije que yo he hecho alguna por una buena cena, que cuando quiera le hacemos una auditoria y comparamos :)