SombrerosBlancos.com

Cyberacoso -o Cyberbullying- es la denominación que recibe el acoso virtual, que se realiza a través de internet.  Fotos trucadas, mentiras validadas desde páginas web supuestamente serias, insultos y demás formatos encuentra hoy esta nueva manera de agredir. En el programa del 16 de julio conversamos con el periodista Enrique Fraga, autor de la nota [...]

Brillante hackeo con JavaScript y CSS, bien explicado en anieto2k: Cómo detectar el sexo de tus visitantes con su historial de navegación.

El código original se llama SocialHistory.js y se basa en un hackeo tremendamente ingenioso: utilizando técnicas de programación en JavaScript y CSS se puede saber si un visitante ha visitado otros sitios anteriormente. ¿Cómo? Por que están en su historial de navegación y los enlaces visitados tienen un color distinto. En cierto modo podría ser considerado un agujero de seguridad/privacidad, pero no se antoja demasiado grave.

El truco no permite leer la lista de enlaces visitados, pero como se puede «preguntar» si se han visitado o no tantas veces como se quieras en una especie de sí/no al estilo del juego de las 20 preguntas, se pueden «averiguar cosas».

Por ejemplo, y rizando el rizo, se pueden compara una larga lista de URLs diversas –hasta 10.000– de las que se conoce aproximadamente el porcentaje de hombres y mujeres que las visitan, para «acertar» con cierto grado de precisión. Snopes o Amazon los visitan más mujeres que hombres; Boing Boing y Popular Mechanics al revés… etcétera.

Se puede ver una demo aquí (haciendo clic en el botón central):

• Using your browser URL history to estimate gender

Esto mismo truco permitiría hacer otras cosas en función de las URLs que el visitante haya navegado últimamente. Como además esa función relativa a los «enlaces visitados» es muy importante para los usuarios y de las más primitivas que existen en los navegadores, sería extraño que lo corrigieran. Esto abre todo un mundo de nuevas posibilidades a los webmasters.

Como resumen al documento que ya indiqué en el post Guía para la elaboración del marco normativo de Seguridad ISO 27002 en este texto que he redactado para el Blog del INTECO, comento los principales documentos que aparecen en un SGSI.

Cuando se trata de documentar las decisiones y acciones relacionadas con la seguridad de la información o la construcción de un SGSI (Sistema de Gestión de la Seguridad de la Información), aparecen diferentes tipos de documentos que contribuyen a lograr ese objetivo. En este texto trataré de poner algo de luz en relación a los diferentes documentos que pueden ser utilizados para tratar de establecer, definir y documentar las necesidades en Seguridad de la Información.

Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:

* Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).
* Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).
* Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).

Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:

* Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas.
* Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc.
* Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad.
* Una instrucción técnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución.
* Una política de uso es un documento destinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de información o los aspectos generales que se desean regular, así como los usos que son considerados autorizados y los usos no aceptables.

Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organización en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organización para saber qué hacer en cada circunstancia en relación con la protección de la información.

Yes today Insane Security got it’s first birthday… for me it came so quickly, just a couple of days ago noticed it… oh well, let’s do a list of articles written till now…

The Google Saga
(first article about a couple of things I wanted to do…)
How To - Videos (The Beginning)
(had an impulse to do a [...]

Once again Microsoft got defaced by means of SQL Injection. Few days ago a
defacer known as Agd_Scorp (component/option,com_attacks/Itemid,44/filter_defacer,Agd_Scorp/) defaced 6 Microsoft websites.
Few years ago,
Microsoft was the target…

Click here if you can't see the video.

A veces el truco consiste en rayarlo un poco más, como explican en Life Hackery: Removing Scratches from CDs and DVDs.

La mayor parte de las veces con agua templada, jabón, trapos de distintas texturas, pasta de dientes (!), pieles de plátano (!!) o un pulidor para metales se puede hacer el trabajo, consistente básicamente en pulirlo con cuidado.

Mi querida 360

En diciembre de 2006 estaba viendo la tele cuando me quedé flipando con un anuncio

Hasta ese momento había sido ajeno al mundo de las consolas de nueva generación, hasta ese momento. A la semana siguiente, y gracias a mis amigos Saik y Toni por la brasaza, ya la tenía en casa mi reluciente x360.
Lo primero que me flipó fue el transformador (tamaño ladrillo) y el ruidazo que hacían los ventiladores, dando una imagen de producto poco cuidado. Todo quedó olvidado rápidamente ante la abrumadora calidad de Gears of war sumado a la comodidad del mando inalámbrico. Era feliz.

Desde entonces he podido disfrutar de grandes juegos, destacando Bioshock, Call of duty 4, Halo 3 … Se acercaba la navidad del 2007 y yo me prometía felices horas de juego, hasta que apareció el famoso red circle of death .

Pues nada, envío de consola con lágrimas en los ojos. Destacar el estupendo servicio postventa que hizo que a la semana y media ya tenía la consola en casa preparada para seguir jugando. La diversión duró unos 2 meses.
En febrero segundo círculo de la muerte. Vuelta a enviar la consola, esta vez Microsoft me envió un jueguecito de regalo y otro mes de Microsoft Live, y a la semana y media otra vez en casa.

A estas alturas ya tenía la mosca tras la oreja, como es normal. Está claro que tienen un servicio postventa espectacular, pero es consecuencia de la dudosa calidad de un producto que ha cascado dos veces seguidas teniendo un año escaso de antigüedad. Pero todavía no habían acabado los problemas.

Mientras jugaba mi partida a Mass Effect , notaba cómo cada vez los problemas de lectura del juego eran más frecuentes, hasta tal punto que no podía seguir jugando. Es decir, cuando intentaba cargar el juego, la pantalla inicial, se quedaba piyuli. El DVD del juego estaba totalmente cascado, flipante. Comprobé que en internet había peña que decía que la Xbox en posición vertical rayaba determinados juegos bajo ciertas circunstancias, afirmación totalmente desmentida por Microsoft. A estas alturas, yo la creía a pies juntillas. Descubrí que existe un servicio oficial para enviar los juegos rayados y que te los devuelvan nuevos, pagando 15 euros claro. El juego rayado no me servía de nada, así que lo pedí. Mientras mi hermano me dejó el juego para poder acabarlo.

Tras recibir el juego nuevecito, quise hacer la prueba. Lo saqué de la caja sellada y lo metí en la consola, y empecé a jugar una nueva partida al Mass Effect. Con 3 horas de juego, ya empieza a dar errores de lectura como con el juego viejo, así que me temo que lo va a rayar de puta madre. Llamé al servicio técnico, que ya estoy cansado, para comentar el tema y que me cambien el lector. Por supuesto, me dijeron que Xbox no raya juegos, pero no han puesto ningún pero a la hora de ofrecerme no un cambio de lector sino de consola por una nueva.

En fin, a estas alturas no puedo más que tener un sentimiento encontrado respecto a la x360. Por una parte me parece que los juegos son geniales y la consola está muy bien, pero la calidad del producto me parece lamentable. En la guerra de las consolas el que no corre vuela, seguro que es más barato montar un servicio técnico currado y las que peten las reparamos, que esperar a sacar al mercado un producto de calidad. Es lo que prima hoy en día. A ver cuánto me dura la consola nueva …

El reciente informe “2007 Global Piracy Study” de la Business Software Alliance (BSA), sitúa al Ecuador con el 66% del índice de piratería, un punto porcentual menor que el logrado en el año 2006,…

If some of you remember I wrote a long time ago an article about secure login script, and entered a comment in the php code => mark as valid… well this is a tiny article on how different people mark as valid the logged in users…
Via SESSION
Also known as the preffered way…
—
$_SESSION["auth"]  = 1;
$_SESSION["name"] = [...]

Para que tanto yo, Sergio Hernando y Sebastián de Un Mundo Binario, así como todos los usuarios de Thunderbird (el cliente de correo que venía siendo abandonado por la Fundación Mozilla) nos quedemos tranquilos, finalmente han salido las actualizac…

Como todos los días, hoy estuve revisando la carpeta de spam de mi bandeja de correo, buscando que había de nuevo. Realmente, era más de lo mismo, spam mezclado con malware con una pizca de phishing y alguna que otra cosa similar.

Pese a eso encon…

Ayer tuve la suerte de ir al evento organizado por InfobaeProfesional.com y dedicado a tratar la nueva Ley de Delitos Informáticos en Argentina.

Pablo de unblogged.net me dio la oportunidad de publicar la review del evento en su blog, así que los in…

Les dejo algunas cosas interesantes para que lean y se actualicen durante el fin de semana en materia de seguridad informática y relacionados:

Un interesante post sobre los enfoques parciales que se tienen sobre la seguridad, por parte de Bernardo Qu…