viernes, 28 de noviembre de 2008 1 comentarios

Computer Aided INvestigative Environment (CAINE) y Buenas Prácticas

Esta semana ha sido intensa de trabajo y sólo me permite hacer una recolección de dos post interesantes sobre análisis forense de otros blogs vecinos.

Por un lado, Sergio Hernando que nos informa sobre CAINE, una distribución Linux distribuida como LiveCD con herramientas para este propósito. Podéis leer extensamente el post en Linux forense: Computer Aided INvestigative Environment (CAINE).


Por otro, la Asociación AEDEL que recomienda la “Good Practice Guide for Computer-Based Electronic Evidence” de la Association of Chief Police Officers (ACPO). Parece ser todo un clasico del mundo del análisis forense, ya que su primera version data de 1999. Aporta un muy buen punto de partida para el examen inicial de un ordenador; multiples graficos y formularios que seran de utilidad.
lunes, 24 de noviembre de 2008 0 comentarios

Cryptool

He podido dar hace unos días con una aplicación didáctica sobre las tecnologías de cifrado llamada Cryptool.
Tal como explican en la propia Web, "Cryptool es una aplicación de aprendizaje electrónico gratuita para Windows. Puede utilizarse para aplicar y analizar algoritmos criptográficos. La versión actual de Cryptool se utiliza en todo el mundo. Soporta tanto los métodos actuales de enseñanza en escuelas y universidades como la concienciación de los empleados.La versión actual ofrece, entre otras cosas, lo siguiente:

  • Numerosos algoritmos criptográficos, clásicos y modernos (cifrado y descifrado, generación de clave, contraseñas seguras, autentificación, protocolos seguros, ...)

  • Visualización de varios métodos (p.ej. César, Enigma, RSA, Diffie-Hellman, firmas digitales, AES)

  • Criptoanálisis de ciertos algoritmos (p.ej. Vigenère, RSA, AES)

  • Métodos de medida criptoanalítica (p.ej. entropía, n-grams, autocorrelación)

  • Métodos auxiliares (p.ej. tests de primalidad, factorización, codificación en base64)

  • Tutorial sobre teoría de números.

  • Ayuda detallada on-line.

  • Script con más información sobre criptografía.



Desde su uso original para la formación en seguridad de una compañía, Cryptool ha evolucionado en un destacado proyecto de código abierto para temas.
En la siguiente presentación se explica extensamente el objetivo del proyecto Cryptool.


CrypTool: Criptografía para todos

From: gonalvmar,
1 week ago





CrypTool es un software libre para el aprendizaje de la criptografía



SlideShare Link


La presentación detallada del proyecto puede ser obtenida en este enlace.
domingo, 23 de noviembre de 2008 0 comentarios

¡Hambre no!

Acción contra el Hambre ha puesto en marcha una campaña bajo el título «Pídeselo a Al Gore» . Se pretende convencer al ex presidente de Estados Unidos, que recorre el mundo en su cruzada contra el cambio climático, para que financie una película sobre el hambre en el mundo.

Da verguenza ver como al primer quejido del "capitalismo" se han podido reunir los más grandes para planificar su salvación y que un esfuerzo muchisimo menor para solucionar el hambre en el mundo no consiga nunca sus metas.


Por eso, esta campaña de Acción contra el Hambre pretende que Al Gore, el "cruzado del cambio climático" que lucha contra un problema serio a medio y muy largo plazo, también centre sus esfuerzos en las lacras del presente, el hambre. El eterno problema olvidado e ignorado. Los 3.000 millones de euros necesarios son cifras ridículas en comparación con lo que se ha logrado movilizar para salvar al capitalismo.
Nuestra contribución es la adhesión al escrito para solicitar la creación de una película que pueda suponer una fuente de recaudación de dinero. Es quizás una de las entregas de datos de carácter personal más justificadas atendiendo a la finalidad de la recogida.

jueves, 20 de noviembre de 2008 0 comentarios

Aedel, Asociación Española de Evidencias Electrónicas

Ayer hojeando la revista SIC di con una asociación que me parece muy interesante y relevante de cara al futuro.

Asociación Española de Evidencias Electrónicas (AEDEL) nace con el objetivo de ser referente técnico y jurídico en aquello que las evidencias y pruebas electrónicas afecten a los ciudadanos, queriendo hacer posible con su actividad que la sociedad española – ciudadanos, padres, jóvenes, entidades públicas y privadas, sin distinción de tamaño o sector- puedan disfrutar de un marco de seguridad y confianza en los entornos digitales y en Internet.



Visión

Nuestra visión es ser la asociación líder en la promoción de iniciativas de estudio de evidencias y pruebas electrónicas, en la promoción normativa y regulatoria en este campo, en la difusión y capacitación del conocimiento, destacando como punto de encuentro de profesionales, sociedad, empresas y administración Pública, canalización cuanta iniciativa se enmarca en dotar de mayor confianza y robustez a las evidencias electrónicas y seguridad a las transacciones y operaciones que se desarrollan en el mundo telemático.


Misión

AEDEL nace con la finalidad de impulsar la seguridad y la confianza en la fiabilidad de las evidencias y pruebas electrónicas. Y ello mediante el impulso del conocimiento y desarrollo de las buenas prácticas y normas de voluntario cumplimiento, así como de la regulación de naturaleza legal que permita que la información en formato electrónico equipare su valor probatorio a la información existente en otros soportes.

Todas estas acciones se dirigen a posibilitar que la sociedad en su conjunto (ciudadanos, consumidores, padres, jóvenes, entidades públicas o privadas, sin distinción de su tamaño o sector) puedan disfrutar de un marco de seguridad y confianza en los entornos digitales incluido Internet.




Tal como expresan claramente, sus intenciones son todas muy loables y necesarias:

"AEDEL impulsará el conocimiento y el desarrollo de buenas prácticas y normas en torno a las evidencias electrónicas, así como su regulación legal con el fin de permitir que la información en formato electrónico equipare su valor probatorio –en procesos judiciales– a la información presentada actualmente como prueba legal en otros soportes.

Aspectos básicos como la igualdad de género ante el acceso a la sociedad de la información, o cuestiones prácticas de las pruebas electrónicas en teléfonos móviles y correo electrónico, son ejemplos de las lagunas que AEDEL pretende cubrir con información, formación y apoyo a la normalización y legislación.

AEDEL quiere, además, ser un punto de encuentro de profesionales, sociedad, empresas y Administración Pública, para la canalización de iniciativas orientadas a dotar de mayor confianza y robustez a las evidencias electrónicas y seguridad a las transacciones y operaciones que se desarrollan en entornos digitales."


Y estando Paloma Llaneza como presidenta y entre otros, el murciano Miguel Bañón Puente seguro que todas esas intenciones se transforman en proyectos que den frutos a la sociedad.
miércoles, 19 de noviembre de 2008 3 comentarios

19-N, Manifiesto por una informática digna

Informática (Del fr. informatique).
1. f. Conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores.

Ingeniería.
1. f. Estudio y aplicación, por especialistas, de las diversas ramas de la tecnología.
2. f. Actividad profesional del ingeniero.


En su momento se decidió que las carreras universitarias que abarcaran el área de la informática debían pasar de ser licenciaturas a transformarse en ingenierías. Es muy interesante la reflexión que publica Enrique Barreiro en su blog con el Comunicado de la CODDI del cual extracto algunos apartados.
La primera vez que se asoció el término “ingeniería” con la informática fue en el año 1968 durante la primera conferencia de la OTAN sobre desarrollo de software. En dicha conferencia se constató que, aún ya por entonces, la capacidad de los ordenadores y la complejidad de los problemas que se solucionaban con ellos crecía demasiado rápidamente para la forma en que se desarrollaban sus programas, resultando con los métodos que se utilizaban entonces un software no fiable, con fallos frecuentes y con enormes necesidades de mantenimiento. Todo esto hizo que naciera la disciplina de la Ingeniería del Software, que tomando como fuente los métodos de las ingenierías clásicas establecía cómo desarrollar software siguiendo los estándares de cualquier ingeniería.
Además, hay que tener en cuenta que la complejidad de desarrollar un sistema informático no sólo radica en cómo realizar su software sino en cómo manejar la máquina que lo ejecuta. Muchos de los sistemas informáticos actuales no se desarrollan para ejecutarse en un único ordenador sino en una red. Por ejemplo, el también familiar Google realiza tan rápidamente sus búsquedas porque se ejecuta sobre una red de ordenadores que se estima entre unos 450.000 y un millón, distribuidos en más de 25 centros a lo largo y ancho del mundo. Tampoco es frecuente encontrar en otras ingenierías que se utilice una maquinaria tan compleja para una tarea tan aparentemente sencilla, útil y con tanto impacto en la sociedad. Por último, el despliegue del sistema informático de una empresa de servicios puede requerir la coordinación en su funcionamiento de miles de ordenadores y programas que interactúan entre si en tiempo real, y con miles de usuarios que solicitan un servicio inmediato y seguro a prueba de cualquier imprevisto.


Esto nos lo enseñaron en la carrera a todos y lo que se denominó "La crisis del software" fue un punto y aparte en el enfoque que debía de darse al diseño, desarrollo e implantación de sistemas de información. Hablamos de 1968 y aunque las cosas han cambiado un poco, muchos de aquellos errores se siguen constatando cincuenta años después. Las grandes empresas del software no dudan en apostar por la Ingeniería del software pero en empresas más pequeñas, los plazos y la rentabilidad lleva a renunciar a estos aspectos, aunque a medio y largo plazo estas empresas (o bien sus clientes) acaban pagándolo lo caro.

Por tanto, es el momento de que la Ingeniería en Informática sea reconocida como tal y la regulación llegue al diseño, fabricación e implantación de sistemas de información, dotando de unas garantías al consumidor y unas responsabilidades al "arquitecto" o al "constructor". En otras áreas y disciplinas llegó un momento similar y fueron reguladas por su importancia en la sociedad. No puede ser que construyamos el futuro con cimientos de barro. Los errores cada día son más relevantes y no puede permitirse que circule software sin unas garantías mínimas o de hacerlo, que acabe en los tribunales si se producen daños. Seguro que ante este tipo de responsabilidad, las presiones, las prisas, los plazos pasarán a un segundo plano dado que hacerlo mal saldrá más caro que seguir chapuceando.

No son reflexiones nuevas, es un reclamo que desde el mundo de la seguridad de la información viene anunciándose durante ya demasiado tiempo. Por algún motivo (económico seguramente), dada la impunidad del "error informático" o dado el carácter escudo que proporciona este fallo para esconder cualquier otra negligencia, conviene que las cosas no cambien.




Por el reconocimiento de un área que cada día demuestra más su relevancia y necesita empezar a ser considerada como una ingeniería por el bien de nuestro futuro, este blog cierra un día en apoyo a las reivindicaciones que los Ingenieros e Ingenieros Técnicos en Informática estamos realizando a través del MANIFIESTO POR UNA INFORMATICA DIGNA.

PD: En Murcia la manifestación ha sido un éxito superando todas las expectativas previstas. Unos 1500 manifestantes. La prensa nacional y regional también se hace eco de la repercusión de las movilizaciones.

Prensa nacional:

Prensa Regional:

Y los videos de los manifiestos en diferentes ciudades.
martes, 18 de noviembre de 2008 0 comentarios

El ciclo de desarrollo seguro del software (SDLC)

Desde hace unos días y con lo agitado del mundillo informático por el tema de mañana, la manifestación 19-N, parece que está llegando el momento de "tirar de la manta" y destapar los trapos sucios que deja la industria del software y su ausencia de regulación.

No quiero defender en ningún momento la "titulitis", pero hay una evidencia clara que todos los días pagamos caro, el software es inseguro. No voy a entrar en profundizar mucho sobre las causas dado que otros blogs amigos ya lo han hecho con gran calidad (Security at Work) y profundidad (Hispasec).

Mi aportación viene más a contar la R-(evolución) de Microsoft en este tema. Ni que decir tiene que saben de lo que hablan. Han pasado de conocerse a sí mismos a intentar conocer a su enemigo (siguiendo la filosofía de Sun Tzu). Y ahora, fruto de ese esfuerzo y de la madurez de su estrategia para robustecer el software, van a la raíz del asunto: las metodologías del desarrollo software.

Esta r-(evolución) no es nueva: lleva ya algunos años en marcha y Vista creo que es el primer producto con este enfoque desde su nacimiento. Pero no contentos con eso, explican al resto cómo deben hacerse las cosas.
Para quien no tenga claro de que va esto, recomiendo ver este video What is Microsoft Application Threat Modeling?
Los resultados de este proceso son un conjunto de requisitos de seguridad necesarios para lograr que la aplicación sea robusta. En este video se pueden consultar los resultados de usar esta herramienta.

Como habréis podido observar quienes hayáis visto los videos, ¡Esto sí es SEGURIDAD en el DISEÑO de la solución SOFTWARE!.

Para quien tenga más hambre de conocimientos, puede saciar su sed en Microsoft Application Threat Modeling. También es destacable que todo este material es de acceso libre y que no cabe duda que es una gran contribución al mundo de la Ingeniería del Software.
La herramienta puede ser descargada en Microsoft Threat Analysis & Modeling v2.1.2
lunes, 17 de noviembre de 2008 0 comentarios

Truecall, el firewall de la telefonía fija

Leo vía Tuexperto.com que se ha dado a conocer un nuevo producto que puede ser la solución frente al spam telefónico.
Si estás harto, cada vez que estas en casa disfrutando de tranquilidad, de que suene el teléfono y no sea un conocido para hablar contigo, es el momento de plantearse adquirir este producto. Tal como explica Tuexperto.com, "Lo han inventado Steve Smith y John Price, dos expertos del telemárketing que, como es obvio, han dejado de trabajar para el sector. Bueno, en realidad siguen vinculados. Aunque más bien con el fin de hundir el negocio. Truecall es un potente filtro de llamadas no deseadas, que logra que ni tan siquiera suene nuestro teléfono. El aparato se basa en una lista negra en la que figuran una relación de números enemigos. Y, para empezar, filtra todas esas llamadas que ocultan el número desde el que llaman."

Mientras la legislación no cambie al respecto, este aparato puede ser una buena solución de frenar comportamientos de marketing tan agresivos. Uno, conocedor de la legislación en materia de protección de datos, solicitó en su momento no aparecer en el listín telefónico, pero las últimas modas ya se han aprendido el cuento y te informan que tu numero ha sido elegido al azar.
La lógica de Truecall es sencilla. "Detecta que la llamada entrante viene de uno de nuestros amigos, familiares o clientes y el teléfono suena para que podamos hablar con toda normalidad. Pero si quien intenta hablar con nosotros, es un número de la lista negra, la llamada es bloqueada y el teléfono no llega ni a sonar."
viernes, 14 de noviembre de 2008 0 comentarios

Little Bighorn y las ingenierías informáticas

Quería hacer un post especial en relación al 19 de noviembre, pero como adelanto, sirva esta excelente reflexión publicada por Fernando Llopis Pascual en "Little Bighorn y las ingenierías informáticas"


Para aquellos que aún no estén enterados dejo aquí una batería de enlaces necesarios para entender todo este embrollo desde diferentes puntos de vista y por supuesto para cualquier duda pasaros por la web iniciadora www.huelgainformatica.es.



En resumen, creo que al menos si eres un ingeniero/ingeniero técnico en Informática o estás relacionado con el tema merece la pena que inviertas un poco de tu tiempo en informarte y que así puedas tomar una decisión clara respecto a si ves o no necesario movilizarte y por qué.
viernes, 7 de noviembre de 2008 0 comentarios

La seguridad de la informacion en el sector sanitario: ISO 27799:2008

Ya he comentado alguna vez que la serie 27000 va a servir como marco normativo para todo lo relacionado con la seguridad de la información.

Pues bien, hemos de recibir una nueva norma de este marco, "ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002". He dado con ella gracias a ISO 27002.es
Tal como aparece en la Web de ISO, su resumen es:

ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard.

ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information.

ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.



Su estructura es:

  • Alcance

  • Referencias (Normativas)

  • Terminología

  • Simbología

  • Seguridad de la información sanitaria

  • Objetivos; Seguridad en el gobierno de la información; Infomación sanitara a proteger; Amenazas y vulnerabilidades

  • Plan de acción práctico para implantar ISO 17799/27002

  • Taxonomía; Acuerdo de la dirección; establecimiento, operación, mantenimiento y mejora de un SGSI; Planning; Doing; Checking, Auditing

  • Implicaciones sanitarias de ISO 17799/27002

  • Política de seguridad de la información; Organización; gestión de activos; RRHH; Fisicos; Comunicaciones; Accesos; Adquisición; Gestión de Incidentes; Continuidad de negocio; Cumplimiento legal

  • Annex A: Amenazas

  • Annex B: Tareas y documentación de un SGSI

  • Annex C: Beneficios potenciales y atributos de herramientas

  • Annex D: Estándares relacionados


La norma tiene stage 60.60 (Publicada) con fecha de 12 de Junio de 2008. Podéis adquirirla en ISO 27799:2008 - Health informatics -- Information security management in health using ISO/IEC 27002

Estos movimientos serán también continuos en años próximos dado que es intención de ISO extender la norma ISO 27002 con contenidos específicos en aquellos sectores que plantean una problemática especial.
martes, 4 de noviembre de 2008 2 comentarios

Protección de datos: concienciando que es gerundio

La Agencia Vasca de Protección de Datos llegó a un acuerdo con la Oficina del Comisionado de la Información del Reino Unido (Information Commissioner´s Office, ICO) para adaptar y editar un video formativo bajo su licencia.


El video es una breve introducción dramatizada a los principios de la protección de datos. Su uso está pensado como parte de un programa de sensibilización y formación para los trabajadores que ayude a las organizaciones en el cumplimiento de los requerimientos legales y en la adopción de buenas prácticas.

Este son el tipo de actuaciones formativas que generan una mayor concienciación: la exageración de situaciones cotidianas para hacer reflexionar sobre la problemática que se plantea en materia de protección de datos. No tiene desperdicio y debería usarse en cualquier curso básico sobre normativa en materia de protección de datos.

Podéis descargar el video en "Las luces funcionan... Cumpliendo con la protección de datos personales"
 
;