El teléfono tutor

Ayer me encontraba en casa viendo la televisión y apareció él, delante de mí, como si nada, el TELÉFONO TUTOR.
¿De qué se trata? Pues es un teléfono movil en apariencia normal, con la particularidad de que es capaz de replicar todos los mensajes y llamadas que reciba y enviarlos a otro teléfono.
Usos que le atribuían: pues lo consideraban una buena medida para prevenir a los hijos de la actuación de los pederastas, poder tenerlos controlados y ver con quien se mensajean y en qué tono. También sería útil para temas de bulling, ya que por desgracia ambos están a la orden del día.
Está claro que dicho de esta forma parece que estamos haciendo un mal menor (vulnerar la intimidad del menor) para evitar un mal mayor (acto de pederastia), no iremos al infierno ya que el catolicismo nos lo ampara, pero, ¿y la ley? estamos vulnerando la intimidad de una persona (habrá que tener en cuenta también la edad del menor).
Yo, de mente perversa como ya sabéis, he estado pensando en otras posibilidades para este teléfono, y entre ellas me ha surgido una bastante interesante: podríamos hacer un regalo, amparándolo en que es un cliente preferente de alguna tienda, por ejemplo Carrefour (aquí entra la imaginación y la investigación de cada uno) y dárselo a un directivo de la competencia, que tentado por su bonito aspecto, lo utilice a diario, ¿qué os parece? Luego tenemos la variante de dárselo a un ejecutivo de nuestra propia empresa, como movil corporativo, veremos si nuestras sospechas sobre este trabajador están fundadas o no.
He oído rumores de que los espías del PP lo utilizan, jejeje.
La parte negativa de todo esto es que el juguetito se va a los 2.000€
CITA DEL DÍA: "No hay que matar moscas a cañonazos, olvida el formateo como primera opción"

Estás en las nubes!!!

A día de hoy si hay alguna palabra que define la última moda en internet es : nube.

No voy a explicaros en que consiste porque lo sabéis sobradamente. Actualmente se está debatiendo sobre la utilización de aplicaciones/servicios que residen en la nube, un ejemplo claro y tratado en varios sitios es el uso de plataformas de cloud mail como correo corporativo (lo podemos hacer extensivo a documentos, presentaciones…). Desde este pequeño púlpito me declaro contrario a estas acciones, ya que para mí, no ofrecen las suficientes garantías de seguridad. La idea de tener documentación confidencial y, en muchos casos crítica, en servidores de "vete tu a saber dónde", administrados por "vete tu a saber quién" y que te pueda pasar "vete tu a saber qué" no me convence en absoluto.

En ningún momento entiendo el correo corporativo como el súmmum de la seguridad, pero si que lo considero un medio completamente controlado por los administradores de seguridad de la empresa, sabemos cuando está down y podemos responder claramente a nuestro director de la situación actual del correo/documento o lo que sea. No me imagino diciéndole a mi director " Lo siento, pero no sé que pasa hoy en la plataforma de cloudmail que usted no podrá enviar ese correo importantísimo".

Antes de "pasar" a esta nube, os planteo algunas preocupaciones, y luego si veis que no lo son tanto pues a volaaaarrr...

- Falta de transparencia : no tenemos ni idea de como están los servidores en los que se aloja nuestra información, ¿están actualizados? ¿son seguros?
- Nulo poder de decisión o influencia : está claro que una "mega" empresa que ofrezca este servicio no se va a amoldar a nosotros, seremos nosotros los que nos amoldaremos a ellos.
- Sometimiento a las decisiones del proveedor : en el momento que decidan algún cambio, ¿nos consultarán? yo creo que no.
- ¿Necesidades cubiertas? : ¿Qué pasará, por ejemplo, cuando queramos recuperar unos correos borrados hace 6 meses? No es algo tan extraño, todos lo sabemos.
- Y si un día decido cambiar de nube o volver a la tierra, ¿me ayudarán? ¿cómo migraré toda la ingente información que tendré en la nube?

Tampoco quiero dar la impresión de que me opongo totalmente al cloud computing, no es así, lo único que debe delimitarse su campo de acción; para un particular, BIEN, para una empresa, MAL (siempre desde mi punto de vista claro!!).

Yo nunca sabré a que huelen las nubes...

CITA DEL DÍA: "No desearás el firewall del prójimo"

Hay vida más allá de www ?

Tras un considerable periodo de tiempo sin aparecer por aquí ya va siendo hora de compartir algo con todos y todas. No voy a extenderme mucho pero entre vacaciones, gripazo e inicio de año movidito en el curro (encuentro cara a cara con W32.Downadup.B) pues apenas he tenido tiempo para dedicarme a este humilde oráculo de conocimiento ;-).
Para inaugurar el nuevo año, por cierto os deseo todo lo mejor (básicamente salud puesto que el resto no sirve de mucho sin ella), os propongo una disertación acerca de la percepción actual que tengo del mundo de la seguridad. Me gustaría remarcar que este fue uno de los motivos por los que me apetecía iniciar este blog.
En los tiempos en que me inicié en esto de la seguridad y la auditoría de sistemas, allá por el año 95, las medidas de seguridad a adoptar se reducían, en el mejor de los casos, a los aspectos más básicos y rudimentarios (seguridad física elemental, control de acceso lógico, copias de seguridad y poco más). Hay que tener en cuenta que en aquella época no habían demasiadas normativas (BS7799-1 es del 95), estándares (COBIT es del 96) y/o leyes (LORTAD del 92).
Las auditorías que por entonces realizaba estaban esencialmente centradas en la infraestructura informática (usando una “metodología” propietaria). Remarcar que lo habitual eran sistemas operativos DOS y/o Windows 3.x bajo redes Novell (las empresas “avanzadas” empezaban a tener Windows 95). En cuanto a bases de datos todavía habían organizaciones que tiraban de dbase. Los sistemas de "verdad" no eran más que enormes hosts (IBM, Bull, Unisys, NCR, etc) con sus pantallas tontas, algún que otro AS/400, escasos Unix (SCO, HP-UX, etc.) y por lo general se disponía de un “potente” servidor por allí escondido (con suerte tenía hasta 100 Mb de espacio en disco).
Por cierto, ¿internet? Pues va a ser que no ......... de hecho no se sabía gran cosa. En cuanto a comunicaciones en el mejor de los casos tenían líneas RTB para comunicarse vía módem con las delegaciones (en muchos casos de modo diferido mediante transferencias de archivos). Los más modernos tenían líneas X.25 a precio de oro por supuesto.
Aún recuerdo la cara de poker de algunos respetables directores de informática (el rol específico de seguridad era inexistente) al plantear temas como la custodia de copias de seguridad en otras ubicaciones, separación de entornos de desarrollo y explotación, controles en aplicaciones, segregación de funciones, etc. La verdad es que por aquel entonces había mucho que proteger además de aprender ........
Tras rememorar viejos tiempos deciros que, a mi juicio, la “gestión” de la seguridad (en su sentido más amplio) de la actualidad es idéntica a la de entonces. Ahora tenemos más complejidad, diversidad, etc. a la vez que más recursos, guías, etc., pero en el fondo, es más de lo mismo.
No obstante, a día de hoy me da la sensación que la seguridad, al menos “mediática” (blogs, web, prensa, tv, etc.), está única y exclusivamente centrada en internet y todo lo que la rodea. Con toda sinceridad, salvo casos muy muy puntuales, me temo que internet no es para nada la principal preocupación de los “chicos y chicas” de seguridad.
Al igual que a much@s de vosotr@s intento ir a jornadas, charlas, seminarios, etc. relacionadas con la seguridad con objeto de aprender, estar al día, descubrir nuevas ideas o puntos de vista, etc. No obstante, últimamente estoy dejando de ir a muchos eventos dado que la inmensa mayoría están focalizados en la seguridad de internet.
No digo que se haga caso omiso a la seguridad en internet pero llega un momento que me resulta excesivamente aburrido que todo gire alrededor de ella. Parece que lo único que nos incumbe sea: virus, Sql Injection, phishing, botnet, rootkit, privilege escalation and XSS, malware, 0-days, pentest, exploit, etc (términos extraídos de los últimos feeds almacenados en google reader).
Como he dicho antes, uno de los motivos que me estimuló a esta aventura bloguera fue la de aportar mi pequeño grano de arena a la seguridad de siempre, a la del día a día. Desde aquí reivindico mayor divulgación de ideas, experiencias, buenas prácticas, etc. relativas a la seguridad de ayer y de siempre.
Será que tengo el día tonto y melancólico .............. ;-)

CITA DEL DÍA: "Mi seguridad empieza donde empieza la tuya"