SombrerosBlancos.com

1. Impresión aparente. 2. Aumentado el contraste, aparecen los puntitos amarillos codificados. 3. El código, descifrado.

Yellow Peril muestra cómo funciona el código «invisible» que el gobierno norteamericano sugirió «persuasivamente» hace años que incluyeran de serie los fabricantes de impresoras, algo que por suerte detectó y descifró la EFF.

En la prueba se imprime una hoja A4, que aparentemente (1) está en blanco. Pero escaneándola a muy alta resolución y aumentando el contraste al máximo para saturar los colores aparecen (2) una serie de puntitos amarillos casi invisibles. Esa matriz de puntos forma un código (3). El código puede descifrarse y contiene la fecha y hora exacta de impresión, con precisión de segundos, y el número de serie de la impresora, que en este caso era una Xerox DC-12.

Hay otro ejemplo paso a paso también en la web de la EFF: DocuColor Tracking Dot Decoding Guide.

Esto es una forma en apariencia inequívoca de marcar cada página que se imprime, de modo que se conozca la fecha de impresión y la autoría, o al menos con qué impresora se creó el documento, lo cual permite hacerle un seguimiento más o menos fácil.

(¡Sshhhh! Vía kottke.org.)

En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001(Anexo A).
El documento podéis descargarlo en el portal ISO27000.es o desde este enlace.

Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001, quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien.

El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfación por el trabajo de consultoría bien realizado y por ser un proyecto pionero al tratarse, según parece, de la primera Administración Pública que obtiene una certificación ISO 27001. También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación.

De esta forma, Firma, Proyectos y Formación S.L. , una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia.

También comentar que a través del Grupo de Google “http://groups.google.es/group/Seguridad-de-la-informacion” se están compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificación por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificación.

Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educación de todo foro.

Si resolvieras este criptograma, tal vez pudieras trabajar en el FBI:

Lo han publicado en la web del FBI como entretenimiento para los visitantes, enlazando a algunos sitios interesantes sobre la historia de la criptografía, los códigos y el FBI.

(Ivn Trrxf Ner Frkl.)

Actualización (25 de noviembre de 2007): Gracias a todos los que mandaron la solución, realmente el criptograma no es demasiado complicado, pero entretiene un rato.

Javier Ruiz Spohr ha comentado hoy en el grupo ISO2000security que ya ha sido publicada la norma BS 25999-2.
Para quien no ubique esta norma, es la segunda parte de la norma BS 25999 y ambas están relacionadas con la gestión de la continuidad de negocio.
He encontrado bastante información la Web http://www.bs25999.com/ donde se comentan las dos partes de esta norma que puede ser adquirida en la tienda del BSI.

Coincide también que ayer, en la II Jornada Internacional del ISMS, el Bussiness Continuity Institute (BCI) repartió en castellano el manual en buenas de prácticas en gestión de continuidad de negocio.

Un tema muy vivo del que seguro que pronto también surge la necesidad de una normalización y estandarización, sobre todo, si la Comisión Europea se está planteado cómo garantizar la continuidad de negocio de las denominadas “infraestructuras críticas”.

The hack of the year publica la curiosa aventura de Dan Egerstad, un hacker sueco de 22 años que trabaja como consultor de seguridad. Consiguó hacerse con cientos de contraseñas de empresas, ONGs, embajadas y otras organizaciones, que luego notificó a los afectados y publicó en Internet.

¿En qué consistió su hackeo? Instaló varios servidores de Tor y los publicitó en la red. Irónicamente, Tor es un conjunto de herramientas para garantizar la navegación anónima por Internet: lo utilizan los trolls para porculizar cobardemente, gente de todas las edades para ver pornografía sin que «les pillen» y en algunos países se utiliza para rodear la censura (entre otros usos aceptables, además de todos los inaceptables).

Muchos usuarios de Tor creen que su navegación está protegida totalmente de inicio a fin y que tienen «privacidad», pero en realidad sólo tienen «anominato». El anonimato sólo se consigue si los servidores de la red son confiables y no se envían datos privados en abierto. Los servidores al parecer surgen y se cierran de tiempo en tiempo y los gestionan diversas personas y entidades. Como se ve no se puede confiar en todos ellos.

Aprovechándose de un problema de configuración de Tor en los ordenadores de ciertos usuarios, este hacker pudo interceptar los logins y contraseñas de correo que pasaban por sus servidores, durante varios meses. Entonces avisó del problema a las organizaciones afectadas. No todos le contestaron.

La cuestión de fondo es, obviamente, que igual que este hacker pudo interceptar las comunicaciones de la gente, lo mismo puede hacer cualquier otro experto, además de todas las organizaciones de inteligencia de los gobiernos para los que este tipo de espionaje es práctica habitual.

Actualización: Santiago nos remite a Anonymity and the Tor Network, donde Bruce Schneier explica cómo funciona Tor y aclara los conceptos de que «navegar anónimamente» y «navegar con privacidad» son diferentes (he actualizado el texto anterior un poco debido a esto, para que quede más claro). El 90 por ciento de la gente que navega por Tor no cifra sus comunicaciones, así que… tienen un potencial problema.

Google as a password cracker explica una forma de romper contraseñas en versión niños-de-cuatro-años-podrían-hacerlo. Se aplica cuando se tiene el hash de la contraseña pero no es fácil probar un diccionario completo contra ella, por ejemplo en muchos sistemas de login o identificación.

Un hash es una función que convierte o «resume» una contraseña o un documento en un número más corto: es una función fácil de usar en un sentido pero no en el otro (es imposible recuperar el original a partir del número hash con certeza, aunque sirve para verificar que una contraseña es correcta, entre otras cosas). Esas funciones se diseñan de modo que sea muy difícil que contraseñas distintas tengan hash iguales, aunque a veces sucede.

¿El truco para romper esos hashes? Preguntar a Google.

Por ejemplo para 20f1aeb7819d7858684c898d1e98c1bb resulta que la búsqueda en Google devuelve algunas páginas, incluyendo una de genealogía sobre el nombre «Anthony». Resulta que ese es el hash de una función concreta para la palabra Anthony. Resultó ser la contraseña de un usuario de un blog de Wordpress que hackearon hace unos días.

Por alguna razón el webmaster de la web sobre genealogía añadió a las palabras de su web el hash de éstas en la ruta en que se guardan (hay quien lo hace también con otros textos o imágenes). Algo aparentemente inocuo, excepto porque la función es la misma que en WordPress según parece, y si se busca desde Google y se tiene la suerte de que coincidan porque la contraseña era fácil… ¡Premio!

Moraleja: conviene usar contraseñas un poco más complicadas, con palabras que no estén en ningún diccionario.

(Cazado al vuelo en Reddit.)

Turn an ordinary inexpensive webcam into a hidden home security system viewable anywhere in the world on your cellphone!
Ranked 4.09 / 5 | 29957 views | 34 comments

Click here to watch the video (00:57)
Submitted By: akamakavely
Tags:
$10 Remote Home Security Hacks Tutorials Akamakavely 
Categories: How To Science & Tech