Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

miércoles, 31 de marzo de 2010

¿Por qué los usuarios ignoran todas las recomendaciones de seguridad?

El magnífico paper "So long, And no thanks for the externalities: The Rational Rejection of Security Advice by Users" de Cormac Herley de Microsoft, lo expone claramente.

En el se examinan 3 áreas en las que la comunidad de Seguridad ha puesto grandes esfuerzos en materia de educación a los usuarios, pero sin grandes resultados:
  • Las reglas de una buena contraseña
  • La identificación de sitios phishing
  • Los avisos de certificados SSL
Las recomendaciones en cada uno de esos tres puntos son complejas y cada vez mayores. Los beneficios de seguirlas dudosos. Esto genera la siguiente ironía:
Muchas recomendaciones de Seguridad no sólo hacen más daño que el beneficio que generan (por lo cual se suelen ignorar) sino que hacen más daño que los ataques que puedan prevenir.
No son los usuarios quienes necesitan una mejor educación en los riesgos de Seguridad, sino, la comunidad de Seguridad.

Coste de un fraude financiero online

Mientras la "concienciación de los usuarios" es una de las mejores medidas para luchar contra el fraude online, el coste-beneficio de que lleven a cabo las recomendaciones dadas, no es favorable. Los costes y beneficios deben ser aquellos que importan al usuario, no aquellos que nosotros pensamos deben importarle.

Estudios con métricas anteriores y posteriores a campañas de concienciación podrían mostrar datos objetivos del beneficio real de seguir recomendaciones de seguridad. 

En definitiva, dicho paper, da respuestas a todo aquel que se pregunta que falla en la concienciación de seguridad a los usuarios, y que líneas seguir para no caer en errores conocidos.

HoneyTech -empresa de concienciación- rebatiendo el paper

martes, 30 de marzo de 2010

¿Cuáles son tus mejores hacks para la vida?

En What are you best lifehacks y sssh comparte los pequeños secretos de tu vida, puedes pasarte unas cuantas horas leyendo desde trucos serios hasta sarcasmos usuales de sitios como reddit. Esta es una pequeña lista que he recopilado, me han parecido interesantes y divertidos.



¿Y para tí, cuales son los pequeños secretos de tu día a día?

Para estudiantes: Para aquellos que tengan que escribir un gran "paper" de investigación. Encuentra uno de referencia que pertenezca a tu tesis y usa las fuentes bibliográficas para encontrar nuevas fuentes.

Para los olvidadizos: Cuando necesites llevar algo al día siguiente, déjalo junto a las llaves del coche o la casa. 

Prácticos: Memoriza lo que mide tu palmada. De esa manera no necesitarás una regla para medir pequeñas cosas.

Habilidades sociales: Ponte en tantas situaciones torpes como puedas, de esa manera te insensibilizaras y te hara más abierto.

Ejercicio sencillo para ganar pulsaciones: Cuando leas un artículo en tu navegador, activa la función de búsqueda (ctrl+f) y empieza a escribir el texto que estas leyendo. Con firefox o chrome, el texto que estas escribiendo simultaneamente se resaltará. Simplemente lee el texto resaltado, y siguelo escribiendo tan rápido como puedas.

Práctico: Nunca te tires un pedo cuando lleves auriculares.

Cargador de móvil: La próxima vez que lo pierdas, no compres otro. Ve a un hotel, y dí que te lo dejaste ahí. Es el elemento en #1 posición que se olvida en los hoteles. Los hay de todas las gamas inimaginables.

La compra de la semana: Cuando vayas al supermercado nunca lo hagas con hambre, come algo antes de ir.

Toallitas húmedas de bebe: No fueron inventadas por un bebe, fueron inventadas por un hombre, un hombre muy listo. Usalas.

Más energía: La  cafeína tarda en empezar a hacer efecto entre 15-20 minutos. Cuando te sientas cansado, toma un cafe, echa una siesta de 15-20 minutos, y te levantaras despejadísimo y con energías.

Parking: Si aparcas en un gran parking, haz una foto con el móvil al número de localidad. Ahorraras tiempo buscando el coche.

Compra de coche: No te compres un coche en su primera generación. Casi siempre se usan para testearlos en el mundo real. La segunda-tercera generación son mucho más estables.

Servicios de atención al cliente: Quéjate de manera privada. Felicita de manera pública. ¿Cuantas veces has pedido hablar con un manager de soporte técnico cuando algo ha ido mal? ¿Y cuando algo ha ido bien?

Gente negativa: Mantente alejado de esas personas que irradian negatividad.

Positivo: Mantén un angulo positivo en todo. Ejem. Si una comida no te gusta,  intenta sentir lo que hace que le guste a otras personas, céntrate en esa parte, y puede que empiece a gustarte. Esto se aplica a gran parte de las cosas (viendo la parte positiva de ellas y centrándonos en ello).

Lo importante: No te abrumes por las cosas que tienen poca importancia. A menos que te esten apuntando con una pistola, todo lo demas son cosas de poca importancia. ("Don't sweat the small stuff. Unless you are getting shot at, everything is small stuff.")

Emergencias: Cuando seas testigo de algún accidente y tengas que hablar con el 112. Las 4 Ps son la mejor forma de ser eficiente en una emergencia:
  • Posición
  • Personas
  • Problema
  • Progreso

Y en ese orden.
Ejemplo: Estoy en la Avda Navarra, núm 130. Pamplona. Hay un bebe, una mujer de unos 30 años y un hombre de alrededor de 50 años víctimas de un accidente de coche. El bebe parece que está bien, la mujer está consciente pero con una herida en el estomago. El hombre está inconsciente pero respira. No tiene heridas visibles. Hay un señor ayudando a la mujer aplicando presión en la herida.

Puntualidad: Siempre voy 10 minutos antes a cualquier sitio, no importa a donde; una vez que lo conviertes en hábito, no te estresarás por llegar tarde. Si algo inesperado te ocurriría, irías con tiempo!

Pon atención: Nunca deja de sorprenderme las pequeñas observaciones que suelo hacer de cualquier cosa, me fijo en los detalles. Las conexiones entre estas pequeñas cosas se empezarán a formar y de repente te verás sentado en una reunión y parecerás un gran líder porque fuiste capaz de encontrar la solución a cualquier crisis que os enfrenteis porque pusiste atención a los pequeños detalles que otros no detectaron.


Fill your bowl to the brim and it will spill.
Keep sharpening your knife and it will blunt.
Chase after money and security and your heart will never unclench.
Care about people's approval and you will be their prisoner.
Do your work, then step back.
The only path to serenity.
(Lao Tzu)

viernes, 19 de marzo de 2010

Un ESCRITOR valiente

Hace meses que sigo el blog terceraopinión, me gusta ese vocabulario llano y rico que tiene para mostrar su opinión sobre temas actuales cada domingo.

Hace semanas, me enteré que había escrito una novela, "el bolígrafo de gel verde", y decidió tomar el camino difícil; publicarla y distribuirla el mismo. Su forma de escribir, y la valentía de escribir un libro sin ayuda editorial ni comercial, fueron los motivos por los cuales le compré el libro. Lo hice a través de su web, y el mismo me lo envío, esperando confirmación por mi parte de que me había llegado. En la contraportada figura lo siguiente:
Esta novela no ha sido galardonada con ningún conocido premio -ni siquiera con uno desconocido-, no ha sido nombrada en la lista de los mejores libros del año ni tampoco ha sido elogiada ni censurada por ningún crítico literario.
Nada más abrirlo, me encuentro con una dedicatoria:



Este post lo escribo para dejar constancia de un escritor a tener en cuenta, "Eloy Moreno". He tenido el privilegio de que me dedicará su primera novela. Os invito a disfrutarla como yo lo hice.

-¡¿Cómo que hicimos? ¿Cómo que estamos? ¿Cómo que hemos ganado?! - me cabreé un día, un día de esos en que te sale todo al revés, un día equivocado. Lo dije sin pensar, así de impertinente, así de maleducado lo expulsé, pero no paré, ya puestos...
    
    -¿Ácaso tú recibes un sueldo de "tú" equipo?, ¿ćomo que hemos ganado? Tú no has ganado una mierda. Tú, ¿qué cojones has hecho para ganar? ¿Has jugado? ¿Has estado entrenando cada día? ¿Has cobrado un millón por partido? No, tú tan solo te has gastado el poco dinero que ganas comprando un diario deportivo que estira las noticias durante una semana y cuando  no existen se las inventa, un diario "deportivo" que sólo habla de futbol. Tú sólo te has gastado el dinero comprando una entrada para ver el artido, una bufanda para lucirla y una camiseta que la venden por ochenta euros pero cuesta cinco. Los que de verdad han ganado han sido ellos, maldito ignorante -y ahí sí que acabé.

viernes, 12 de marzo de 2010

IV Semana de la Seguridad Informática (NAVARRA)

La Fundación Dédalo para la Sociedad de la Información es una entidad sin ánimo de lucro que tiene como objetivo principal la promoción, el impulso y desarrollo de la sociedad de la información en el área geográfica de la Ribera (NAVARRA) , realizando para ello actividades en el ámbito de la ciudadanía, empresas, emprendedores y organizaciones.


 Dentro de las actividades que realizan, se encuentra la IV Semana de la SEGURIDAD INFORMÁTICA, con el objetivo de concienciar e informar sobre el uso correcto de las nuevas tecnologías.

En esta edición impartiré la charla "Seguridad en twitter", el lunes 22 de marzo de 18 a 19. Salúdame si vas a estar por ahí. :-)

miércoles, 3 de marzo de 2010

Un error fatal

Nervioso tras perder por un tiempo el control de la botnet, le hizo cometer el fallo que llevaría a su detención; conectar directamente al C&C desde su casa en lugar de a través de servicios de VPN anónimos como era habitual. Esa fue la clave para detener a Netkairo tras meses de investigación. Era el responsable de la botnet Mariposa, que controlaba 13 millones de ordenadores en 190 países.

Una operación bien organizada y con estrecha colaboración entre Guardia Civíl, empresas de seguridad informática y proveedores de Internet ha permitido la detención de los dueños de la red. Nada se sabe todavía de los creadores.

Algunos datos curiosos:
  • El informe técnico de la Botnet Mariposa muestra el entorno que permitió el análisis del comportamiento de los bots: Windows XP Pro SP2
  • No importaba el navegador usado: IE (6,7 y 8), firefox, chrome, opera. Disponía de módulos extras para cada uno.
  • Gran parte de los paneles de control estaban hospedados en el dominio sinip.es
  • trinka, alinfiernoya, pillaestenuevoya,  eran algunos de los comandos de control de la botnet.
  • Los principales implicados en la investigación: Defence Intelligence y Panda labs provienen de diferentes ambientes. Mientras el origen de los primeros es la seguridad de la información, panda proviene de la industria de antivirus
  • No lo he visto en ninguna noticia, pero intuyo que los ISPs involucrados han colaborado de manera estrecha facilitando todos los datos necesarios. Algo que suele ser muy complicado.
  • Ninguno de los tres arrestados hasta ahora, tenía antecedentes.
  • El primer arresto se produjo el 3 de febrero, los otros dos el 24. ¿No pudo avisar a sus compañeros o no quiso hacerlo?. ¿Empezó quizás una pelea interna por el control de la botnet.?
  • No tenían grandes conocimientos técnicos. Unicamente compraron y administraron la botnet. Esto pone de manifiesto el gran mercado negro de malware al alcance de cualquiera.
  • Las empresas afectadas llegan al 50% de Fortune 1000.
  • Discovered: September 29, 2009
    Updated: September 30, 2009 8:32:32 AM
    Also Known As: W32/Autorun.worm!a758e0e7 [McAfee], W32/Rimecud [McAfee], W32/Autorun-AUP [Sophos], ButterflyBot.A [Panda Software]
    Type: Worm
    Infection Length: 109,056 bytes
    Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
    W32.Pilleuz is a worm that spreads through file-sharing programs, Microsoft instant messaging clients and removable drives. It also opens a back door on the compromised computer.
    Currently, W32.Pilleuz has been most commonly referred to as the Mariposa or Butterfly botnet. [Fuente symantec].
Mariposa FAQ.
Comunicado oficial de la Guardía Civíl.
Información de PandaLabs
Mapa de Mariposa Botnet

Sin duda, un gran trabajo de la Guardía Civíl, Panda, y Defence Intelligence. ¡Enhorabuena!

lunes, 1 de marzo de 2010

En marzo estaré por el blog de la BBC

En el post recursos online para aprender inglés, en primer lugar indicaba el sitio de la BBC como uno de los mejores que conozco para ello. Pues bien, entre los cientos de recursos que dispone, existe uno denominado Learning english blog. Se trata de dos blogs; uno de un estudiante, el otro de un profesor. Cada mes, eligen a un estudiante entre las cientos de peticiones que reciben, para escribir en el blog de la BBC, al mismo tiempo, un profesor asignado le corregirá y dará consejos para mejorar. En definitiva, se trata de algo así como un mes de clases gratuitas de inglés ¡con profesores de la BBC!.

Hace 2 meses que envíe mi solicitud y recientemente me la aceptaron, aprovecharon mi perfil tecnológico para testear la nueva plataforma de blogging que van a estrenar el mes de marzo.


Así que el mes de marzo estaré escribiendo también por el blog de la BBC. Espero divertirme mientras sigo aprendiendo inglés con uno de mis recursos favoritos en la red, y esta vez, participando activamente.