SombrerosBlancos.com

Firma, Proyectos y Formación ha elaborado un documento donde se recopilan los contenidos mínimos que deben incluir los procedimientos y registros establecidos en Título VIII del nuevo Real Decreto 1720/2007. Para ello hemos analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboración de algún tipo de documento e identificando los contenidos mínimos de cada una de ellas. A la hora de establecer y documentar los procedimientos hay que tener en cuenta siempre que deben ser eficaces y ajustarse al estado de implantación en la empresa, dado que es la información utilizada para la revisión del cumplimiento.

El documento puede ser obtenido aquí

Cold Boot Attacks on Disk Encryption es una nota sobre la investigación de ocho autores acerca de un nuevo potencial problema de los sistemas de cifrado informático. El texto completo es muy interesante y lleno de detalles.

El problema es una debilidad intrínseca de las memorias DRAM que utilizan todos los ordenadores personales. El contenido de estas memorias supuestamente se borra cuando se apaga el ordenador. Lo que han comprobado estos expertos es que dependiendo del tipo de memoria, los contenidos en realidad permanecen entre unos segundos y unos pocos minutos sin borrarse.

Esto potencialmente supone un problema, dado que los sistemas de cifrado de cualquier tipo almacenan las claves criptográficas en la memoria DRAM. Mientras el ordenador funciona, los programas o sistemas operativos impiden que esas posiciones de memoria puedan leerse (así que se consideraban seguros), pero si se apaga de repente, por ejemplo cortando la electricidad, se podrían recuperar sabiendo dónde buscarlas.

El problema es peor de lo que parece porque aunque unos pocos segundos o minutos no parezcan mucho tiempo para que nadie pueda hacer algo malo, una de las pruebas que hicieron es enfriar súbitamente las memorias mediante aire comprimido. Tras un rociado con spray, a unos 50 grados centígrados bajo cero, los chips se pueden incluso desmontar y dejar sobre la mesa: los contenidos duran hasta diez minutos o más. Metiéndolos en nitrógeno líquido (unos 200 grados bajo cero) resisten horas sin borrarse.

Como dicen los autores, este problema es potencialmente grave, porque los programas de cifrado de discos no tendría ya ningún lugar seguro en el que guardar las claves criptográficas de forma protegida, y lo mismo sucedería con algunos sistemas de cifrado por hardware.

El problema afectaría naturalmente a sistemas como PGP y sus variantes o FileVault de Apple, que son considerados entre los más seguros que existen. En un artículo de Wired, Encryption Still Good; Sleeping Mode Not So Much, PGP Says la gente de PGP reconoce el problema diciendo que

Siempre pensamos que sería teóricamente posible, y ahora lo han hecho realidad.

¿Qué dicen los expertos sobre el tema? Bruce Schenier califica esta idea de «preciosa», apuntando con su habitual humildad que desde hace tiempo se sabe que es un problema difícil proteger datos cuando el atacante tiene acceso físico a la máquina. Ese «difícil» podría entenderse más bien por «imposible».

Por otro lado, en los hilos de comentarios de esas anotaciones se apunta que el problema de la DRAM es un viejo conocido (incluso en los viejos Apple, Commodore, Amiga y otros ordenadores era fácil ver que parte de la RAM permanecía unos segundos tras un apagado + encendido). Se han planteado algunas alternativas para evitarlo, tales como la zeroificación; almacenar las claves en el sitio que la BIOS del sistema machaca nada más arrancar; guardar las claves en los registros de la CPU de una forma especial; o utilizar algo como BIOS tipo Coreboot, pero ninguna parece tampoco definitiva.

¿Cómo proteger un pincho de memoria USB?

Una primera forma ingeniosa, pero por desgracia fake, que probablemente además no funcionaría porque no se podría llegar a insertar la llave aun con el candado abierto. Buen intento, aunque fallido. Como concepto es genial.

El Data Guard, de Digital Innovations, también ingenioso, es un candado numérico que se instala sobre el conector USB (se inserta por la izquierda, donde el botón rojo). Si no se conoce la combinación sólo se puede abrir forzándola. Una idea parecida a la anterior, pero este sistema sí que funciona.

IronKey, la bestia parda de la seguridad; profesional, muy profesional: un chip interior cifra la información por hardware mediante un estándar de alta seguridad y si la llave detecta que está siendo manipulada se autodestruye (mediante un borrado seguro). Además de eso, lleva un software de copia de seguridad, un Firefox «torificado» para la navegación anónima y un gestor de contraseñas. También es segura «a prueba de agua», aunque no lleva ningún tipo de candado físico. (Véase la reseña de Ironkey en Kriptópolis.)

Da gusto tener lectores que aprecien grandes detalles del MundoReal™ como estos y encima nos los manden bajo títulos tan sugerentes como

La fascinante paradoja del Telepizza – En la oferta del 2×1 te cobran la pizza más cara. Por ejemplo, pidiendo una de las caras Carbonara (precio normal 25€), combinada con otra barata, como una de pollo y bacon (precio normal 17€) te cobrarían 25€ por las dos pizzas. La paradoja es que si pides dos pizzas que tengan la mitad Carbonara y la otra mitad pollo y bacon, consigues dos mitades de pizzas iguales, de 21€ cada una. Al hacer el 2×1 te cobrarán sólo 21€, ahorrando 4€ sobre el precio anterior. He hecho la prueba y funciona. Simplemente hay que combinar los sabores de modo que los precios de las pizzas sean lo más parecidos posibles.

No sé si «pedir dos pizzas en dos mitades recomponibles es más barato que pedir las mismas dos pizzas enteras» es formalmente una paradoja… Pero en cualquier caso es divertido.

(El que le hizo este hackeo a Telepizza fue Javier. ¡Gracias!)

Actualización (22 de febrero de 2008): A Sergio le ha chivado una amiga que trabaja en Telepizza que «es que cuando se hacen las pizzas por mitades se les ponen menos ingredientes en cada mitad» por lo que considera que la densidad de ingredientes no se mantiene inalterable. Aunque hay otra forma de verlo, como si eso fuera otra paradoja en sí mismo: si pidieras una pizza de mitades repetidas, por ejemplo mitad de salami, mitad de salami, no tendría tanta densidad de ingredientes como una pizza de salami.

De nuevo la gente de Infosecwriters.com han elaborado un excelente documento sobre la gestión del riesgo. Para aquellos que no tengan claro cómo documentar la metodología de análisis y gestión del riesgo y mientras la norma ISO 27005 (que está en fase de desarrollo con fecha prevista de publicación en Mayo de 2008) no aparezca en escena, este documento puede ser una buena referencia. El documento puede ser descargado en A Practical Approach to Managing Information System Risk

La norma ISO 27005 consistirá en una guía de técnicas para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSIy recogerá partes de ISO/IEC TR 13335.

Disponemos también de un par de normas ya elaboradas en este tema:

• Risk Management, AZ/NZS 4360:2004
• Guidelines for Information Security Risk Management, BS 7799-3:2006

AZ/NZS 4360:2004
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos (AS/NZS 4360:1999). A través de una norma reducida en extensión, con diagramas que gradualmente expanden sus niveles a medida que nos adentramos en las definiciones y apoyada por un generoso manual explicativo, no tardó en ser adoptada por varias empresas de diversas industrias. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un “paquete” completo que incluye el manual de apoyo (HB 436:2004).

Guidelines for Information Security Risk Management, BS 7799-3:2006

En Mayo del año 2006, BSI presentó BS 7799-3:2006 (). La tercera parte de su norma BS 7799, que es el origen de la familia ISO/IEC 27000. En ella describe los aspectos mínimos que debe considerar un Proceso de Gestión de Riesgos de Información. Si bien, esto viene a aliviar un poco a los Implantadores más puristas, no es menos cierto que es una primera versión y como tal adolece de los males de los estrenos. Es necesario revisar la estructura, la distribución de los contenidos y la profundidad de los ejemplos. Es muy valorable la inclusión de ejemplos para graficar todos aquellos aspectos que podrían generar dudas.

Este post es para anunciar cambios en la plantilla de diseño del blog y la inclusión de nuevas secciones con enlaces a otras Webs y blogs dedicados al mundillo de los sistemas de gestión de la seguridad de la información. Si alguno considera que dispone de una página que pudiera ser interesante apuntar en la sección de links que me lo haga llegar a través de los comentarios.

Este vídeo del año pasado es una charla de las siempre recomendables conferencias TED con Gever Tulley, fundador de la Tinkering School. Se titula Cinco cosas que deberíamos dejar hacer a los niños [Flash, 9 min., inglés] y presenta lo que en su opinión son cinco cosas aparentemente peligrosas que los adultos deberíamos dejar hacer a los niños para no sobreprotegerlos y que vayan desarrollando habilidades y aprendiendo de la vida. Esas cinco cosas son:

• Jugar con fuego
• Poseer una navaja suiza
• Arrojar una lanza
• Desmontar aparatos
• Infringir la DCMA y otras leyes y regulaciones sobre derechos de autor y «propiedades digitales»
• Conducir un coche

Naturalmente todas estas cosas hay que enseñárselas a hacer con las debidas precauciones, por ejemplo aprender del fuego en un laboratorio o a conducir un coche en situaciones perfectamente controladas. En la charla se explica lo que cada una de estas cosas enseña a los niños o qué habilidades les permite desarrollar.

Lo de desmontar aparatos y poseer una navaja suiza (fascinante utensilio que sirve como destornillador, tijeras, pinzas, alicates, cuchillo y demás) se antoja especialmente recomendable para entrenar a los pequeños hackers o aprendices de MacGyver del futuro.

En la «idea peligrosa» relativa a las leyes sobre derechos de autor y propiedades digitales el ejemplo que utiliza es ir a una tienda online, copiar una canción y luego reenviársela por correo a un amigo. El punto de esto es enseñarles tanto lo fácil que es infringir una ley (y poder ser perseguido por ello) como, visto de otro modo, lo absurdas que son algunas de esas leyes.

(Y sí: en la lista hay seis cosas y no cinco como reza el título de la conferencia… El propio Tulley dice a modo de chiste que dependiendo de cómo las mires son más bien «cinco y media».)

Again, SIPRODE releases a new demo video. SIPRODE is an exclusive security training academy for Law enforcement Agencies and the private sector as well. Located in the heart of Central America (in Guatemala City) and led by Master Chief Mario Villanueva (Grand Master and 10th degree black belt) it provides professional Security training and Corporate Security consultancy. Ideal for Private security agents (guards and Bodyguards) or law enforcement or military officers.

The training provided involes CQB, firearms operation, unarmed defense techniques (Temv-K’a, Aikido, Muay Thai as well) Tactical knife and many other disciplines. SIPRODE’s speciality is regarding topics such as Anti-Gang operations, Anti-Drug operations, Anti-Kidnapping operations, Hostage Negotiations, Anti-Terrorism, Anti-Organized crime operatios and more. The Instructors’ Experience is a compilation of more than 43 years of security experience in several conflict countries.

SIPRODE certifies and supports security instructors, consultants and specialysts around the globe, visit our headquarters or find out about private instructing in your area. Come train with us! or let us come to where you are!

For more info, check out:

www.siprodefense.com
www.temvka.com

or call (502) 5449-8526 / (502) 5210-2658
Ranked 4.35 / 5 | 3833 views | 3 comments

Click here to watch the video (07:25)
Submitted By: Malama
Tags:
Security Swat Training Tactical Law Enforcement Guns Shooting Course Bodyguards Guards Mario Villanueva Temv-k’a Limalama Lima Lama Defense Tactics Fire Arms Profesional Corporate Police Military Range Target 
Categories: Entertainment

El 20 de enero se celebró en CosmoCaixa Barcelona la final española de la First Lego League. Es una competición internacional de robótica para niños (pequeños hackers de 10 a 16 años) en la que este año se inscribieron más de 100.000 niños de 43 países, de los que 200 llegaron a la final. En esta edición los niños competían en un «rompecabezas energético» proponiendo con sus construcciones ideas sobre el modo de gestionar y conservar la energía.

Hay más información y fotos sobre esta edición en Roboteca.org y también en Ya está aquí la Gran Final de la First Lego League. Se puede ver la lista de galardonados en First Lego League Spain Final, Rompecabezas Energético.

Incansablemente, el malvado “polling” existe con casi cualquier servicio residente de tu equipo, consumiendo y ralentizando cada pequeña operación. Hasta el momento tu única solución era esperar versión tras versión que la empresa desarrolladora corrija su ineficiente código. Mete mano y como nunca antes, dobla el brazo de ese ineficaz código

Incansablemente, el malvado “polling” existe con casi cualquier servicio residente de tu equipo, consumiendo y ralentizando cada pequeña operación. Hasta el momento tu única solución era esperar versión tras versión que la empresa desarrolladora corrija su ineficiente código. Mete mano y como nunca antes, dobla el brazo de ese ineficaz código