SombrerosBlancos.com

Puede que uses tu computador para entretenerte, especialmente con uno que otro videojuego. ¿Quieres conocer la “magia” que hay tras un sencillo videojuego de Bowling?, probablemente pienses en reformular tus críticas sobre pequeños detalles que ves en los juegos comerciales, especialmente cuando veas el trabajo que puede existir tras detalles tan pequeños como un simple pino de Bowling

Puede que uses tu computador para entretenerte, especialmente con uno que otro videojuego. ¿Quieres conocer la “magia” que hay tras un sencillo videojuego de Bowling?, probablemente pienses en reformular tus críticas sobre pequeños detalles que ves en los juegos comerciales, especialmente cuando veas el trabajo que puede existir tras detalles tan pequeños como un simple pino de Bowling

Se produjo un hecho legal entre curioso e interesante que se narra con detalle en News.com: Un juez dice que los fiscales no pueden obligar a un acusado a divulgar sus contraseñas.

Salvando las diferencias en los sistemas legales, que hacen que allí esto siente precedente más rápidamente que aquí (España), que parece que todavía cabe posibilidad de recurso, y los matices sobre el famoso «derecho a no declarar contra uno mismo», el caso se resume en que un juez considera que revelar unas contraseñas puede suponer dar acceso a información en cierto modo autoincriminatoria, lo cual sería equivalente a autoinculparse o declarar contra uno mismo, algo que violaría los derechos de los acusados (al menos en Estados Unidos, está incluido en la quinta enmienda a su Constitución).

El fiscal había pedido en un juicio que el acusado revelara sus «frases de contraseña» (passphrases; contraseñas largas compuestas por una frase, más seguras que las palabras únicas convencioanles) para PGP, el programa de cifrado con el que encontraron información en su portátil. Es un tanto asombroso que hasta ahora no hubiera habido casos relevantes donde se hubiera dado esta situación de una forma tan clara como para sentar precedentes, pero al parecer sólo había literatura al respecto, posturas a favor y en contra, pero no se había cuestionado de forma firme en un caso práctico.

Metafóricamente, es comparable a pedirle a alguien que entregue la llave de una caja fuerte donde hay documentos incriminatorios contra él. Por lo general, la ley obliga a entregar la llave, igual que los acusados están obligados a entregar muestras de sangre o sus huellas digitales, que también podrían resultar incriminatorias.

Una interesante fórmula alternativa que se manejó en la lista de los cypherpunks hace más de una década, ante ese «vacío legal» sobre si las autoridades podrían obligar a alguien a revelar su contraseña o no era la siguiente: utilizar como contraseña una frase… realmente autoincriminatoria. Como por ejemplo:

El 4 de agosto de 1992 conduje a 200 km por hora por la autopista @@@

ZZZ Tengo un cadáver enterrado debajo del tercer árbol de mi jardín, según se sale a la derecha

Copié en el examen de acceso a la universidad, oh, sssssi, lo hice

La frase puede ser real o inventada. Pero entonces cuando las autoridades la requieren, bastaría alegar que no se puede revelar porque la propia frase supondría inculparse… realmente.

Actualización: También explicado en Kriptópolis, bajo el título Juez considera inadmisible obligar a un sospechoso a revelar su contraseña de cifrado.

(Vía sssssh reddit.)

El título explica en qué consiste este hackeo con claridad meridiana: Make Something That Can Be Seen on Google Earth, un micro-artículo del Wiki How-to de Wired, que se resumen en:

1. Que tenga al menos 15-20 metros de largo
2. Que tenga cierto constraste (negro-sobre-blanco o al revés)
3. Que esté en zonas pobladas
4. Que dure bastante tiempo (pueden tardar años en hacer la foto)

Y luego a descargar Google Earth y a esperar que salga en las fotos.

– Anotación (CC)

Pero geeks, geeks. Si te gusta esto, te gustarán…

• Hack A Day (todo un clásico)
• Geekologie (futurista total)
• Hacked Gadgets (cacharritos)
• Brainy Quote (citas variadas)
• E-Skeletons (extraño proyecto)
• Chemical Elements (tabla periódica)
• Coffee Geek (todo sobre el… café)
• Board Game Geek (frikis de juegos de tablero)
• FixYa (reseñas de productos)
• Geek Of The Day (pobre y desactualizado)

Recopilado por Webupon, visto en Esquizopedia; añadidos los feeds RSS, algunos comentarios y reordenado de mejor-a-peor por mi. En realidad buenos, buenos, son los tres primeros de la lista, el resto están simpáticos para leer un ratillo.

Como ya había comentado en un post anterior, Firma, Proyectos y Formación S.L. ha trabajado durante este último año en un proyecto relacionado con la implantación de un sistema de gestión de seguridad de la información certificable con la norma ISO 27001 en una Administración Pública. Evidentemente hemos tenido que esperar a que el citado organismo lo diera a conocer para poder indicar quién y qué ha logrado.

En concreto, ha sido la Consejería de Agricultura y Agua de la Comunidad Autónoma de Murcia la que ha conseguido certificar bajo la norma ISO 27001 el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA.

Para quien no esté familiarizado, los fondos europeos de financiación se gestionan mediante los llamados “Organismos Pagadores”. Existen en cada comunidad autónoma y éstos a su vez son coordinados por el Ministerio de Agricultura y Pesca. La Unión Europea establece reglamentos donde define una serie de requisitos a satisfacer, tanto para la concesión de ayudas como para la gestión de los Organismos Pagadores.

Existe desde el año 97, una directriz que exige garantizar la seguridad de la información, en concreto, la Directriz VI/661/97 rev. 2 CE sobre la Seguridad de la Información de los Sistemas de Información de los Organismos Pagadores. Esta directriz establece que los organismos pagadores deberán basar la seguridad de sus sistemas de información en los criterios establecidos en una versión aplicable de una de las normas siguientes, que gozan de aceptación internacional:

• Organización Internacional de Normalización 17799/Norma británica 7799: Code of practice for Information Security Management (ISO/IEC 27002)
• Bundesamt fuer Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch (IT Protection Manual).
• Information Systems Audit and Control Foundation: objetivos de control en el ámbito de la información y las tecnologías afines (COBIT).

También se establece en la citada directriz que:

“Las medidas de seguridad deberán estar adaptadas a la estructura administrativa, al personal y al entorno tecnológico de cada uno de los organismos pagadores. El esfuerzo financiero y tecnológico deberá ser proporcional a los riesgos reales existentes.”

Dado que esto último implica seleccionar los controles de cualquiera de las normas sugeridas en base al nivel de riesgo, lo más adecuado para la Consejería de Agricultura y Agua de la Comunidad Autónoma de la Región de Murcia ha sido establecer un Sistema de gestión de la seguridad de la información sobre el sistema de información de apoyo a los procesos de gestión de ayudas FEADER y FEAGA y certificarlo según la norma ISO 27001.

A éste mérito se suma además, el tratarse de la primera Administración Pública que obtiene esta certificación ISO/IEC 27001. La entidad de certificación ha sido SGS acreditado bajo esquema UKAS.

La nota de prensa publicada puede ser consultada en CARM.es - La Consejería de Agricultura es la primera entidad pública de la Administración española que consigue la certificación ISO de seguridad

La pérdida de 25 millones de fichas personales en Gran Bretaña, también conocido como «el WTF definitivo» que dejó la privacidad de medio país completamente vulnerable sigue asombrando a propios y extraños. Ahora se ha calculado que esos datos, perdidos en dos CD-ROM que se «extraviaron» podrían valer en el mercado negro unos dos mil millones de euros: diversos tipos de criminales podrían usarlos para suplantar identidades y realizar transacciones falsas. Con razón ya empiezan a llamarlo el Chernobil de Gran Bretaña.

Bruce Schneier responde a Stephen J. Dubner de Freakonomics en una interesante entrevista: Bruce Schneier Blazes Through Your Questions. La pregunta obvia para este héroe de la seguridad informática, que hasta compite con Chuck Norris es… ¿Cómo hace Bruce Schneier para recordar todas sus contraseñas? La respuesta es interesante:

No puedo. Nadie puede, sencillamente: todos tenemos demasiadas. Tengo varias estrategias. Una, elegir la misma contraseña para todas las aplicaciones de baja seguridad. Hay varios sitios a los que pago por acceder, de modo que tengo la misma contraseña para todos ellos. Dos: las escribo en un papel. Circula la leyenda de que no se deben escribir en papel nunca las contraseñas, pero mi consejo es preecisamente lo opuesto. Ya sabemos cómo guardar de forma segura trozos de papel, de modo que basta escribirlas y guardarlas en el mismo sitio que otras cosas que requieren cierta seguridad: en la cartera. Y, tres, guardo todas mis contraseñas en un programita llamado Password Safe que diseñé yo mismo (sólo para Windows, lo siento), que cifra de forma segura todas las contraseñas.

Paloma Llaneza anuncia en su blog Palomallaneza.com que con fecha de 29 de noviembre ha sido publicada la adecuación de la norma 27001 al castellano titulada UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”.
Era algo deseado por todos que estabamos esperando que se resolvieran las diferentes cuestiones que han tenido retrasada esta norma de manera tan injustificada. La traducción se coordina por comités y seguramente no ha gozado de la prioridad necesaria pero ya hace casi dos años y medio que se publicó la ISO 27001 en ingles.

En este boletín de AENOR se informa también de las empresas españolas que han obtenido la certificación UNE 71502 hasta la fecha, que según creo, no es una certificación acreditada todavía bajo el esquema ENAC.

Intelligence.gov parece algo así como la página de inicio o el portal de las agencia relacionadas con las labores de inteligencia/espionaje estadounidenses. En el menú de la izquierda se ofrece una cómoda lista a las dieciséis agencias reconocidas como tales. El público en general conoce poco más allá del FBI la CIA, la NSA o la DEA, pero al parecer las ramas del espionaje son frondosas.

• Air Force Intelligence
• Army Intelligence
• Central Intelligence Agency
• Coast Guard Intelligence
• Defense Intelligence Agency
• Department of Energy
• Department of Homeland Security
• Department of State
• Department of the Treasury
• Drug Enforcement Administration
• Federal Bureau of Investigation
• Marine Corps Intelligence
• National Geospatial-Intelligence Agency
• National Reconnaissance Office
• National Security Agency
• Navy Intelligence

(Espiando desde Valleywag.)

Nuevamente publico el código completo del sitio. Modifícalo, analízalo y úsalo como desees, al no estar basado en ninguna plantilla es muy fácil comprender su funcionamiento, ahora con un rendimiento increíble, privilegios por grupos, administrador de usuarios, administrador de encuestas y muchas mejoras más

Nuevamente publico el código completo del sitio. Modifícalo, analízalo y úsalo como desees, al no estar basado en ninguna plantilla es muy fácil comprender su funcionamiento, ahora con un rendimiento increíble, privilegios por grupos, administrador de usuarios, administrador de encuestas y muchas mejoras más