Certified Information Systems Security Auditor

Pues para no perder las buenas costumbres, le contaré a quien quiera que lea esto, que este año (bueno, técnicamente fue en diciembre de 2009) he aprobado el examen para la certificación CISA (Certified Information Systems Auditor) de ISACA. Para esta ya he cumplido los requisitos de experiencia, así que si todo va bien debería estar certificado en breve (si el ajetreo en el trabajo me permite mandar de una vez la solicitud, claro).

La certificación es menos técnica que el CISSP, y menos específica de seguridad, pero es muy conocida en el sector y bastante valorada. O eso quiero creer 😛

Sobre el examen, para el que haya llegado hasta aquí en busca de ayuda… no puedo aportar mucho. Tiene el mismo formato de test que CISSP, aunque es bastante más corto. En cuanto a la traducción, me pareció muchísimo peor que la de (ISC)2, y además en este caso no te entregan la versión original para resolver las posibles dudas, así que evaluad muy bien si preferís hacerlo en inglés o en castellano.

Como consejo, simplemente os pongo lo que solíamos decir durante el curso de preparación y las pocas semanas de estudio: “Be ISACA, my friend”. O lo que es lo mismo: intenta pensar a la manera de ISACA, no siempre apliques lo que te parece más lógico. Y a veces puede parecer muy complicado!

Este año voy a por la GCFA (GIAC Certified Forensics Analyzer) del SANS. A ver si sigue la racha…

, , , ,

No Comments

Conspiranoia sobre el defacement de Promusicae

Update: he añadido la respuesta de gallir y mi réplica.

Publico aquí mi comentario al post de Ricardo Galli sobre sus dudas sobre el deface de Promusicae.

Me dedico a la seguridad y la entrada me parece un poco conspiranoica.
“¿podemos estar seguros que fue un deface externo? No.” Me parece una afirmación interesada, porque tampoco podemos estar seguros de que ningún deface sea externo si no tenemos acceso a los logs (y ni aun así…).

Sobre los “script preparados para atacar”, no son necesarios exploits si tienes una buena herramienta de auditoría web (las hay, y libres) y sabes usarla contra una vulnerabilidad de file upload o cualquier otra que te permita subir ficheros. Además, se pueden subir ficheros explotando el servidor, y no la aplicación web (y ese no creo que sea un sistema propietario (bueno… IIS es propietario, pero me se entiende, no? :-P)

Sobre el tiempo de respuesta, no me parece exagerado. No creo que Promusicae tenga su propio equipo de desarrollo web y/o administración de sistemas. Entre que te enteras, hablas con el proveedor y con los desarrolladores, pueden pasar varias horas.

Yo también apoyo el manifiesto y creo que esta acción, aunque puede “hacernos gracia”, es perjudicial para la imagen del “movimiento”. Pero hay mucha gente que seguro que no piensa así. Hoy en día ya no se ven grupos en la escena hacker española haciendo defacements y reclamando autoría en Zone-h. Hay gente muy buena, pero se dedican profesionalmente a la seguridad y me cuadra que alguno decida pasar a la acción de forma totalmente anónima. Nadie quiere ir a la cárcel y la motivación ideológica puede ser suficiente con todo este jaleo.

En conclusión, ¿podría ser un “inside job”? Perfectamente. ¿Hay indicios razonables para pensar que lo fue? IMHO, no lo creo.

La respuesta de Ricardo Galli no se hizo esperar:

@Morgg

En los medios (están los enlaces en el apunte) salieron acusaciones de Promusicae culpando a los organizadores del manifiesto.

Te repito la pregunta ¿estás seguro que no han sido ellos ni algún “amigo”? Además en El País salió que necesitaron dos horas, me consta que ha sido menos de una hora.

> ¿Hay indicios razonables para pensar que lo fue? IMHO, no lo creo.

Yo lo que no veo son indicios fuertes que haya sido cosa de un “hax0r”, y hemos visto a Promusicae hacer y mentir en cosas peores. Así que antes de nada, pongo en dudas de quién lo ha hecho, porque lo han usado muy rápidamente a su favor.

PS: El servidor es una Apache + PHP, si tuvo problemas de vulnerabilidades demasiado rápido han hecho la “auditoria” (menos de una hora entre que lo han parado 23:55 hs +- hasta que estuvo en marcha otra vez, antes de las 01:00 h)

Y mi consiguiente réplica:

@gallir

Está claro que los de Promusicae van a intentar aprovecharlo, tanto si fueron ellos como si no.

Entiendo tus dudas y nada de lo que dices es falso.

Repites la pregunta, y yo repito la respuesta: No, no estoy seguro. Y tampoco de lo contrario. Cuidado con sacar la conclusión de que “si no puedes demostrar que no han sido ellos, es que han sido ellos”. (p=>q no implica -p=>-q)

Tú no lo haces, sólo planteas las dudas, pero habrá gente menos razonable que utilice tu post para justificarse en sus afirmaciones de que “han sido ellos”

Simplemente me parece que el post está más completo con otro punto de vista, que no necesariamente es el acertado (larga vida a los comentarios :-) . Que el lector extraiga conclusiones.

Pues eso, a extraer conclusiones. La mía es que da gusto poder comentar y dialogar con los bloggers célebres de la red 🙂 Viva la web2.0.

, , ,

No Comments

Manifiesto: En defensa de los derechos fundamentales en Internet

Si tienes un blog, twitter, facebook, o cualquier otro medio para publicar contenido en internet, ¡ayuda a difundir este Manifiesto!

Y por si a alguien le quedan dudas de cuál es el “lado correcto”, le recomiendo leer esta entrevista al grupo La Excepción.

Ahí va mi granito de arena…

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que…

  1. Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
  2. La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
  3. La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
  4. La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
  5. Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
  6. Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
  7. Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
  8. Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
  9. Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
  10. En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

No Comments

Slamball, el NBA Jam en el MundoReal™

Hoy zapeando un rato por la mañana he oído la inconfundible voz de Héctor del Mar (sí, el del Pressing Catch) en Cuatro, pero lo que comentaba era lo más sorprendente que he visto en la tele en bastante tiempo, el Slamball.

Dos equipos de cuatro jugadores en una especie de campo de baloncesto, pero que alrededor de las canastas tienen trampolines (las “colchonetas” de las ferias), que los jugadores utilizan para volar por encima del aro y hacer mates espectaculares. Se permite bastante más contacto físico que en el baloncesto, y está todo montado en plan espectáculo más que deporte (incluidos los comentarios del Sr. del Mar :-)).

Es una mezcla entre baloncesto, fútbol americano (por las vestimentas, la anchura y el aspecto de gangstas de los jugadores), y espectáculo de tiempo muerto de la NBA, cuando la mascota y un grupo de saltarines se ponen a hacer mates con trampolines y coreografías imposibles. También tiene un poco de hockey: no hay tiros libres sino “penalties” que consisten en un 1vs1 desde el centro del campo. Pero mejor verlo:

Según la Wikipedia, el propio inventor del juego confirma que está pensado como “una combinación de deportes que se asemeje a un videojuego en la vida real”, sin mencionar el NBA Jam. Pero todos sabemos a qué jugaba ese señor en sus años mozos…

No digáis que no se parece… si hasta le ponen el efecto del balón en llamas!!! He’s on fire!!!

Yo quiero jugar a eso algún día… así podré decir que los blancos también sabemos saltar :-). Bueno, aunque eso ya lo ha demostrado Rudy este año en el concurso de mates…

, ,

No Comments

Follow me!

Viendo que esto de bloguear regularmente no es lo mío, voy a intentarlo con el microblogging, usando el omnipresente Twitter. Cualquier “ente” que se precie (ya sea persona física, organización o evento) tiene un twitter hoy en día. Pues yo no voy a ser menos! Además, como le he dicho a un amigo hace un rato, sirve para desahogarse de lo que se te pasa por la cabeza en algunos momentos digamos… poco agradables (sobre todo en el curro).

¿Qué es twitter? En realidad viene a formalizar lo que l@s adolescentes  llevan haciendo desde que empezaron a usar el Messenger, es decir, contarte su vida en cada momento en 2 líneas. Pero esta vez, en lugar de en el nick o mensaje de estado, lo pones en la página de tu perfil (tu “feed” ). Para actualizar tu estado no tienes más que loguearte en la página y poner mensajes con lo que se te pasa por la cabeza: tu estado de ánimo, un enlace chulo que quieres compartir o cualquier cosa en menos de 140 caracteres. Y no tienes que pasarte media hora redactando un post (como yo ahora mismo).

Además de contar tu vida en microfascículos, la ventaja de twitter es el aspecto de red social. Además de aparecer en tu feed, los mensajes que escribes les llegan a su perfil a los que deciden ser tus followers, normalmente tus amigos si eres un don nadie, o tus fans si eres una celebrityyyyyy. También es útil para seguir el desarrollo de determinados eventos de acceso cerrado, está muy de moda retransmitirlos en twitter.

Sobre la web y la tecnología en sí, es más simple que el mecanismo de un chupete. Puede que por eso triunfe. Además de mediante la web, los mensajes se pueden enviar y recibir desde el móvil (SMS o aplicaciones específicas), por RSS, e-mail o mensajería instantánea. Yo de momento uso el plasmoide incluido en KDE4 para Twitter en Linux y un bot de mensajería instantánea de Ping.fm con Pidgin en Windows. Por supuesto, hay mecanismos para integrarlo con el mensaje de estado de Facebook (no lo sabías? eso también es (casi) microblogging) y con una miríada de servicios o redes sociales similares.

Si os apetece podéis pasaros por http://twitter.com/marcosorallo y convertiros en mis followers (como diría Enjuto… qué palabra más bonita… follower, twitter, follower, follower, twitter, twitter…). Por cierto, dicen que es adictivo, ya os contaré en unos meses…

De momento he instalado un plugin para WordPress que pone mis últimos tweets en la columna derecha, para los que no sepan lo que son esas cosas raras de la tecnología de hoy en día y sólo entren en la página de vez en cuando.

Aquí os dejo el vídeo con alusión al Twitter de ese gran filósofo de nuestro tiempo, un ídolo de masas… Enjuto Mojamuto (que también tiene twitter).

, , , , ,

No Comments

El comercio por internet es inseguro…

… sobre todo si no utilizas la tecnología disponible para hacer que sea seguro. Hoy, como parte de las gestiones para reservar alojamiento para nuestras vacaciones en escandinavia, me un e-mail que incluye esto:

To make this booking please write back to us with your credit card number and expiry date (Visa (not electron), Bankcard or Mastercard) and your arrival time.
We do not make any booking until we receive all details and send you a confirmation email with a reference number.

¿A quién le preocupan los ataques a SSL cuando se envían los datos sensibles por correo electrónico sin cifrar, y a una dirección que no puedes verificar?

, , ,

No Comments

Still Alive

Una de música y videojuegos. Ahí va el genial tema principal del juego al que estaba viciándome últimamente y que me terminé ayer, acompañado de un vídeo muy chulo con imágenes del juego. La canción es Still Alive, de Lisa Miskovsky

El juego es corto pero intenso, algo que me parece cada vez más una virtud según voy teniendo menos tiempo para dedicarlo a jugar. Tiene una protagonista con mucho carisma, y su diseño super cuidado y original crea una atmósfera muy envolvente, que no sería igual sin una banda sonora que le pega a la perfección. El compositor de la música que suena durante el juego es un tal Solar Fields.

Espero que os guste, a mí me tiene enganchado!

, , ,

2 Comments

Associate of (ISC)2

Una buena noticia para inagurar el blog (aparte del inevitable “Hola mundo”): hoy he recibido el resultado del examen que hice para la certificación CISSP (Certified Information Systems Security Professional) y ¡¡¡he aprobado!!!.

Aún no soy un CISSP de pleno derecho porque no cumplo los requisitos de experiencia que exige (ISC)2, así que como premio de consolación accedo al estátus de Associate of (ISC)2, a la espera de alcanzar los años de experiencia que piden. No obstante, lo más complicado está hecho, ahora sólo es cuestión de tiempo. Es un examen difícil y una certificación importante para alguien que se dedica a la seguridad de la información como yo, pero me he quedado con un regusto agridulce.

¿Que por qué? Bueno, digamos que los resultados de los compañeros que hicieron el examen conmigo me han sorprendido. Algunos de los que en mi opinión lo merecerían tanto o más que los que hemos aprobado, se han quedado a las puertas, y me parece un poco injusto. No soy el único al que todo esto le ha hecho dudar en cierta medida de la justicia o la validez de esta forma de evaluación, descartando por supuesto cualquier tipo de favoritismo o amaño en una certificación de este nivel.

En cualquier caso, no puedo hacer más que dar la enhorabuena a los premiados y transmitir mi solidaridad con los que se han quedado a las puertas. Es posible que alguno esté pensando unirse a este grupo de LinkedIn, que no deja de tener cierta razón en su planteamiento…

, , ,

No Comments

Hello world!

Creo que llego un poco tarde, pero casi es mejor apuntarse cuando la fiesta ya está montada…

No Comments