Es probable que estés incumpliendo la LOPD con la agenda de tu móvil

Pregunta rápida: ¿Sabes si la agenda de tu móvil, que muy probablemente incluya tanto datos personales como profesionales, incumple la LOPD? ¿Y aplicamos el marco legislativo Europeo?

Seguramente algunos de vosotros sepáis responder a la primera pregunta, y también algunos otros podáis responder a la segunda. Os adelanto la respuesta correcta. Depende.

Seguramente será por muchos conocido el marco regulatorio español:

“Están obligados a notificar la creación, modificación o supresión de ficheros para su inscripción en el RGPD, de acuerdo a lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.”

Es gracioso porque, según dicha ley, “No se encuentran dentro del ámbito de aplicación… … los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.”

Es decir que si tenéis en vuestra agenda el teléfono móvil profesional de César Alierta no pasa nada, pero si tenéis el teléfono de vuestra tía Puri, la de Soria, el asunto se complica:

“En este caso podría incurrirse en falta leve o grave, tal y como señala el artículo 44 de la Ley Orgánica 15/1999, quedando sujeto al régimen sancionador previsto en esta Ley.”

En cualquier caso la ley y la jurisprudencia exime de aplicación a las antiguas agendas telefónicas escritas que todos nosotros hemos visto en casa de nuestros padres y por extensión debería serlo por tanto a la agenda de un móvil. Esto se debe a que la LOPD no es de aplicación a los datos personales que se tratan exclusivamente en el ámbito de actividades personales o domésticas.

Si todo fuera así de sencillo, la respuesta a mi primera pregunta sería un rotundo no. Pero por desgracia la vida no es así de fácil. Si vuestra agenda contuviese datos de contactos profesionales o de clientes que fuesen tratados en el desempeño de una actividad no estrictamente doméstica, la LOPD sí les sería de aplicación, y esta situación es frecuente en las agendas contenidas en teléfonos móviles. 

Por tanto, si vuestra agenda de móvil ha sufrido una sincronización con Gmail, Outlook, vuestro CRM o simplemente tenéis amigos a los que vendéis cosas, o clientes que han acabado siendo amigos, somos potencialmente sancionables. Ni qué decir tiene si habéis sincronizado vuestra agenda con redes sociales, el asunto se pone divertido, porque además la información que podéis almacenar (ej: condición sexual, religión, fotos de niños menores, etc.), consciente o inconscientemente, puede ser susceptible de un nivel de protección mayor y de mayores sanciones. El asunto se pone divertido.

Esto hace que la respuesta a mis dos preguntas iniciales se transforme en un “Puede que si o puede que no. Depende que hayas hecho con tu móvil”.

Por si esto no fuera poco ¿Cómo podría alguien ejercer sobre este fichero de tratamiento de datos personales sus derechos de acceso, rectificación, cancelación y oposición? ¿Y si a los anteriores sumanos los recientemente introducidos por la comisión europea de derecho al olvido o de portabilidad de datos?

En resumen, millones de ficheros tan solo en España (al menos uno por móvil) con información potencialmente protegida y no tramitados con la Agencia de Protección de datos. 

Pero no seamos derrotistas. Gracias a Dios la tecnología también puede usarse en positivo y en este sentido queríamos colmar el post con un halo de esperanza en forma de app móvil. ¿Os imagináis que todo el mundo tuviera una app en el móvil que le permitiera cumplir con la legalidad vigente sin tener que preocuparse por ella? ¿Os imagináis una app móvil que os permitiera rectificar o cancelar vuestros datos personales en los teléfonos móviles de vuestros contactos con tan solo apretar un botón? Pues echad un vistazo a Perpetuall.net y veréis como esto empieza a ser posible.

Perpetuall es una sencilla aplicación que permite que cuando cambias tu email o teléfono, esos cambios se propaguen automáticamente en las agendas de tus amigos y contactos. Y viceversa. Es decir, una tecnología de “sincronización de agendas”, puede llegar a convertirse en una tecnología que proporcione seguridad jurídica al respecto de protección de datos personales en los teléfonos móviles. Para los más curiosos, ahí va un vídeo de presentación de la app.

Por desgracia en esta primera versión solo se cubre el derecho a la rectificación, pero sus creadores nos aseguran que futuras versiones incluirán también el derecho al olvido. ¿Os imagináis poder borrar vuestros contactos en el teléfono de vuestra o vuestro ex?

Podéis descargar la app Perpetuall a partir del día 17 de Diciembre . Se avecinan momentos divertidos. 

Artículo cortesía de Carlos Polo

Leer más...

Entrevista a Miguel Angel Sanchez - Information Security Officer de ING Direct

Llevo un par de años trabajando con Miguel Angel Sanchez Barroso, y he tenido el atrevimiento de pedirle hacer esta entrevista para el blog. Miguel lleva más de 10 años trabajando en ING Direct y desempeña el papel de Information Security Officer. Por sus manos pasan todos los proyectos del banco y nunca quedan cabos sueltos. En ocasiones, tengo la suerte de no estar completamente de acuerdo con el y tenemos largas discusiones sobre aspectos tecnológicos o de negocio. Son realmente enriquecedoras  y siempre aprendo algo nuevo. He de confesar que siempre le acabo dando la razón, aunque sea con meses de retraso.

Para todos aquellos que queráis acercaros y enteder a lo que me refiero, os recomiendo su blog Negocios bajo control, donde se da una visión estratégica y de control de muchos de los procesos en los que los profesionales de seguridad se ven envueltos. 

• ¿Cómo empezaste en el mundo de la seguridad? ¿Cuál es el aspecto que más te gusta?

Yo procedo del mundo del desarrollo de sistemas y la consultoría. Casi por casualidad, en 2003 empecé a ocuparme de temas de seguridad de la información para cubrir temporalmente una baja. Lo cierto es que comencé a “engancharme” y a profundizar en temas de control de sistemas y auditoría de IT y desde entonces me he dedicado en exclusiva al ámbito de la gestión del riesgo tecnológico y el fraude online.

En cuanto a lo que más gusta, yo diría que es cuando compruebas que un mecanismo de control en cuyo diseño has participado funciona y ayuda a detectar/prevenir un incidente; por ejemplo, abortando automáticamente un intento de fraude online. También me motiva la sensación continua de que me queda un universo de temas por aprender. Es una profesión que te obliga constantemente a estar actualizado.

• ¿Cómo crees que evolucionará la seguridad en la banca?

Creo que la regulación bancaria, cada vez más estricta, forzará a una estandarización de procesos cada vez mayor. Puede que esto lleve a que aspectos relacionados con la identidad digital, la autenticación fuerte y la seguridad de las transacciones sean gestionadas de manera descentralizada por empresas muy fuertes desde el punto de vista técnico, probablemente participadas por los bancos. No obstante, he de advertir que no soy muy amigo de predicciones y de que no suelo acertar en el cupón de la once…

•  ¿Cuáles son los mayores retos a los que se enfrenta un banco en Internet?

Desde el punto de vista estricto de la seguridad, creo que por un lado la disponibilidad y la capacidad de prestar un servicio de calidad, aún en situaciones adversas en la red como pueden ser los ataques de denegación de servicio distribuidos (DDoS);  por otro lado, ser capaces de mantener un nivel de seguridad básico homogéneo en plataformas muy complejas distribuidas, con interconexión de sistemas externos y accesos múltiples de empleados, pero también de usuarios externos.

•  ¿Sobre APT, DDoS?

Se trata de una serie de siglas, casi impronunciables, que han sido creadas para fomentar el campo de la logopedia y dar trabajo a las empresas de seguridad… (chiste, risas…)

Fuera bromas, en el caso de los APT (ataques sofisticados diseñados exprofeso y dirigidos para robar los secretos de organizaciones e incluso estados), como en el de los ataques de denegación de servicio distribuidos (DDoS), asistimos a un cambio de tendencia: el llamado ciberespacio, que desde hace más de una década ya fue identificado por la delincuencia “menor” como una fuente de ingresos importante, es ahora cada vez más un campo de batalla real en donde se desarrollan los conflictos sociales y entre estados y las guerras económicas. Personalmente pienso que el abordaje de estos nuevos escenarios requiere paradigmas completamente nuevos en cuanto a la seguridad.

•  ¿Qué opinas de la seguridad en la nube?

La nube brinda una oportunidad inigualable para que muchas empresas pequeñas y medianas puedan dar el salto a la economía de Internet, beneficiándose de unos niveles de seguridad y fiabilidad que por sí mismos no podrían alcanzar;  Sin embargo, creo que la oferta de los proveedores de servicios en cloud debe madurar aún un poco más, especialmente en lo relativo a entender cuáles son las necesidades de las empresas (especialmente las más grandes) para cumplir con leyes, reglamentos, requisitos  de seguridad y de auditoría… En este sentido hay unos conceptos que me parecen interesantes y que deben ser incorporados en la oferta de servicios estándar de los proveedores.  Se trata de la “Transparencia como Servicio” y la “Confianza como Servicio”.  

•  He visto en tu mesa el libro de Web Application Hacker's Handbook, Te he pillado.

Las personas que nos dedicamos a la seguridad desde la perspectiva de la gestión corporativa corremos en mi opinión el riesgo de alejarnos demasiado de la realidad más técnica y perder eficacia y perspectiva. Para poder evaluar de una manera lo más objetiva posible el riesgo tecnológico real, necesito ser capaz de conocer en la práctica los métodos y técnicas para descubrir y explotar vulnerabilidades. En mi caso, dado mis origines como programador, procuro mantenerme muy al día en cuanto a la seguridad de las aplicaciones web y móviles, que es en mi opinión uno de los frentes de batalla que son y van a ser más activos...El libro que mencionas es desde mi punto de vista una auténtica obra maestra del género y si alguien no lo conoce se lo recomiendo, vale la pena.

•  Recomiéndanos otros dos libros técnicos que hayas leído y te hayan gustado y otros libros no tan técnicos.

Todos estos me parecen fabulosos:

- Fraud in Accounts Payable: How to prevent it (no recuerdo el autor)
- La doctrina del Schock, de Naomi Klein
- Electronic Projects for Musicians, de Craig Anderton
- The Stomp Box CookBook (Build advanced effects for electric guitar and bass), de N. Boschorelli

•  ¿Alguna anécdota técnica?

Me viene a la Cabeza una que se remonta al año 2000. Acabábamos de poner en producción la web de un servicio de banca (yo era jefe de proyecto). A las pocas horas empezaron a recibirse llamadas de clientes alarmados diciendo que podían ver los datos y los saldos de otros clientes... Casi mancho los pantalones... Al poco tiempo descubrimos que la página de demo del servicio era tan realista que los clientes la confundían con la realidad...modificamos la página poniéndole un faldón rojo "PAGINA DE DEMO NO REAL"....

•  ¿Java o .NET? ¿IIS o Apache? ¿Windows o Linux?

Soy más de java, Linux y apache; pero no soy un fundamentalista en este sentido. Me gusta el concepto del software libre

•  Las aplicaciones móviles y la seguridad

Para mí, los retos de la seguridad de las aplicaciones móviles no están tanto del lado puramente técnico, ya que al igual que con otro tipo de sistemas, en los dispositivos móviles se pueden aplicar técnicas y controles que permiten asegurar razonablemente la información. Hay otro tipo de factores que influyen en los riesgos, como pueden ser:

1) La diversidad de los tipos de usuarios y los contextos de uso de estos dispositivos.

2) La estrecha vinculación del dispositivo con la persona y su localización geográfica.

3) La facilidad con que los dispositivos pueden ser perdidos o robados.

4) Una cierta presión de las empresas por generar aplicaciones para móviles y tablet sin perder el tren de la oportunidad de negocio

5) La consiguiente presión en los plazos de entrega para que los desarrolladores entreguen las aplicaciones

6) Un foco muy fuerte en la facilidad de uso y en la experiencia de usuario y menos intenso en lo que a control y seguridad se refiere.

7) El poco peso que los aspectos de seguridad y las prácticas de programación segura tiene en los planes de formación de los desarrolladores de software.

8) La creencia generalizada y errónea de que el móvil es más seguro que un ordenador común.

9) El modo de distribución de las aplicaciones en los markets y la frecuente poca discriminación de los usuarios cuando autorizan los permisos que requieren las aplicaciones.

•  ¿Qué recomendarías para iniciarse en el mundo de la seguridad?

En primer lugar frecuentar y seguir sitios webs como el vuestro que me parece excepcional. Después,  tratar de leer y digerir todo lo posible sobre el tema, para tener una panorámica lo más amplia posible sobre  las distintas áreas de especialización. En tercer lugar, poner en práctica todo lo aprendido (y que entre en el ámbito del interés particular de cada cual); eso sí, recomiendo que los “experimentos” se hagan en condiciones controladas, en el propio laboratorio y nunca tratando de descubrir vulnerabilidades en sistemas ajenos. En el terreno de la práctica profesional, creo que aportan valor los estudios regulados en las áreas relacionadas con la tecnología y (aunque sé que muchos discrepan) las certificaciones como las del ISC2 o las de la ISACA.

• ¿Tendencias de seguridad para el 2014?

Bueno, creo que la seguridad de los servicios Cloud va a seguir siendo un foco de atención importante. Creo que el ataque a los accesos de administración de estos servicios será algo cada vez más frecuente, al concentrarse en estas redes cada vez más valor económico.  Por otro lado, los responsables de servicios en la nube van a tener que plantearse seriamente ofrecer, como ya he mencionado, la confianza y la transparencia como un servicio más a ser consumido por sus clientes, para poder llegar a clientes verdaderamente grandes. 

En otro orden de cosas creo que continuaremos oyendo hablar frecuentemente del BYOD, el Big data asociado a la monitorización de seguridad y, ya desde la perspectiva de los consumidores finales, creo que aún está por explotar en todo su potencial el compromiso masivo de dispositivos portátiles y sus aplicaciones (móviles, tablets). Este crecimiento creo que irá en paralelo con la expansión de los servicios de banca móvil.

Leer más...

30th Chaos Communication Congress

Este año el congreso de seguridad por excelencia a nivel mundial, el Chaos Communication Congress, cumple nada más y nada menos que 30 años. Como siempre por estas fechas, ya disponemos de la agenda casi completa del conjunto de actividades, charlas y talleres que formarán parte de este evento de 4 días.

Como de costumbre, tendrá lugar en Hamburgo desde el 27 al 30 de Diciembre.

Podréis consultar la agenda completa del evento en los siguientes enlaces para cada día:

- Agenda del día 1 - 27 de Diciembre

- Agenda del día 2 - 28 de Diciembre

- Agenda del día 3 - 29 de Diciembre

- Agenda del día 4 - 30 de Diciembre

Después de esta edición seguro que vuelven a aparecer algunos titulares tras algunas de las charlas que se publicarán. Revisando la amplia agenda, que incluye un buen puñado de ponentes y charlas, así como debates, espero que las siguientes pinten tan bien como su resumen:

- Monitoring the Spectrum: Building Your Own Distributed RF Scanner Array - Ahora que se ha puesto tan de moda el SDR gracias al abaratamiento de costes para poder "jugar" con estas tecnologías, seguro que lo que nos enseñe a construir Andrew Reiter (miembro del w00w00) en esta charla lo tenemos que guardar en nuestros favoritos. 

- Extracting keys from FPGAs, OTP Tokens and Door Locks - David Oswald pretende poner en práctica ataques side-channel (os recomiendo esta charla de Eloi Sanfelix de la Rooted CON 2011) con tres ejemplos: FPGA's que contienen algún tipo de protección, cerraduras electrónicas, y por último un OTP de Yubikey 2.

- Using XEN live cloning to troll intruders - Esta curiosa charla presenta un proyecto por parte de Erik Tews, el cual ha modificado un hypervisor Xen que es capaz de clonar una máquina virtual en dicho hypervisor en caso de detectarse un ataque. Digamos que podría ser un honeypot al que se introduce al atacante en tiempo real a otro entorno y poder así monitorizarlo sin que llegue a provocar ninguna desgracia. 

- Fast Internet-wide Scanning and its Security Applications - ZMap ha supuesto una revolución en este año, junto con otras herramientas que permiten escanear el espacio de direcciones IPv4 en apenas minutos. Dejó la parte académica para plasmarse en herramientas, si bien tras las noticias se ha visto pocos ejemplos masivos si no más bien algún que otro estudio. Esperemos que en esta ocasión se vean más evoluciones de la herramienta, sobretodo en la parte de módulos/programas anexos. ¡A migrar Shodan!

- Sysadmins of the world, unite! - El panel más controvertido...Imaginad hablar abiertamente acerca de Snowden y lo que está suponiendo la fuga de información mundial de Gobiernos, espionajes y demás...con dos pesos pesados de la opinión pública: ¡Julian Assange y Jacob Appelbaum! De lo más esperado de esta 30c3.

- Console Hacking 2013: Los chicos de fail0verflow vuelven, pero esta vez no contra Sony, si no contra Nintendo y su nueva Wii U. La destripan de nuevo comex, sven y el español Marcan. 

- Baseband Exploitation in 2013 - Cualquier charla de esizkur (Ralf-Philipp Weinmann) es obligada, igual que su participación en las últimas CCC. De nuevo, nos vuelve a deleitar con temas de exploiting de Basebands, este año contra las de Qualcomm.

- SCADA StrangeLove 2 - Tras el éxito del año pasado con la charla SCADA Strangelove por parte de Sergey Gordeychik, Denis Baranov y Gleb Gritsai, para este 30c3 nos prometen continuar las investigaciones con más tecnologías alrededor del mundo SCADA. Seguro que no defraudan.

- Hillbilly Tracking of Low Earth Orbit - Satélites + Travis Goodspeed = Sobran las palabras.... Travis pretende presentar un sistema de seguimiento de satélites de forma remota utilizando un disco Navy-surplus desde el sur de Appalachia. Me apuesto lo que sea a que con esta temática, ¡tiene asegurada la nota de prensa y presencia en medios!

Si sigue todo como en años anteriores, dispondremos de streaming del evento en varios formatos (incluso desde móviles), así que habrá que estar atentos en la recta de final de año. Os iremos informando desde nuestro twitter de los enlaces y de todas las noticias de interés.

Leer más...

La privacidad de los mensajes directos en Twitter y Facebook

Una de las cosas que realmente me fascina de algunas personas es el misticismo asociado a los mensajes directos y 'privados' de las redes sociales, el pensar que lo dicho ahí va a quedar entre el emisor y el receptor.

Con eso en mente se me ocurrió una forma bastante directa de demostrar que las cosas, son bastante menos privadas de lo que parecen (ya sé que esta afirmación puede resultar muy obvia para muchos).

De un lado tenemos a Twitter, el campeón de las redes sociales. Del otro, Facebook, el lugar apacible donde compartes confidencias y enlaces con familia y amigos más allegados.

La prueba del algodón: compartir un enlace en una conversación. Vamos a ver que sucede cuando, en una conversación privada (DM en twitter o chat en facebook), una persona hace llegar a otra un enlace.

Este enlace va a contener un fichero PDF, en este caso uno aleatorio bajado de internet. El fichero está alojado en un servidor bajo mi control con lo que puedo acceder al fichero de log de conexiones.

Si hacemos una conexión con wget y revisamos el fichero de log nos encontramos con esta conexión:

xx.xx.xx.xx - - [10/Dec/2013:04:39:39 +0300] "GET /algo.pdf HTTP/1.1" 200 105870 "-" "Wget/1.13.4 (linux-gnu)" 133 106136

Debemos prestar atención a 105870 que es el tamaño total de la descarga, es decir, el PDF entero

Ahora procedemos a hacer llegar ese enlace vía Facebook a uno de nuestros contactos y vemos que al servidor llega esto:

31.13.99.114 - - [10/Dec/2013:04:40:21 +0300] "GET /algo.pdf HTTP/1.1" 206 105870 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" 238 106187
31.13.100.119 - - [10/Dec/2013:04:40:21 +0300] "GET /algo.pdf HTTP/1.1" 206 105870 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" 234 106187

Dos conexiones, perfectamente identificadas, de Facebook que descargan íntegramente el fichero en formato PDF.

En este caso Facebook ha tenido la delicadeza de poner un enlace donde explican que esas conexiones son para la función 'preview', no tengo claro que para eso sea necesario descargarse todo el fichero.

Si hacemos la prueba en twitter, vemos que igualmente, al enviar el enlace mediante un mensaje privado, obtenemos estos logs:

199.16.156.126 - - [10/Dec/2013:04:40:38 +0300] "GET /algo.pdf HTTP/1.1" 200 105870 "-" "Twitterbot/1.0" 132 106136

Y que de igual forma la descarga es completa, todo el fichero PDF. En este caso Twitter no hace 'previews' -que yo sepa- así que en este caso no hay una respuesta oficial a por qué los enlaces que se transmiten en mensajes privados terminan descargados en Twitter.

Probablemente esto carezca de importancia para muchas personas, pero lo que está claro es que tanto una como otra asocian el tipo de cosas que compartes, de forma privada o pública a tu perfil. No me cabe la menor duda de que al final esto termina formando parte del perfil de usuario de cada red social.

Leer más...

Crowdfunding para el jailbreak de iOS7

Device Freedom Prize es una iniciativa que se lleva a cabo en la página isios7jailbrokenyet.com. Esta idea surgió de gente de la talla de Cory Doctorow -activista de los derechos de autor, y co-editor de Boing Boing-  o Gabriella Coleman -conocida por sus estudios sobre Anonymous- y consiste en recaudar dinero para premiar a la primera persona (o grupo) que publique un jailbreak open source para iOS 7.

Este proyecto surge porque sus creadores creen firmemente en que los usuarios deben tener un control total sobre sus dispositivos y, al mismo tiempo, deben tener la posibilidad de auditar el código que están usando para conseguirlo.

La iniciativa recuerda un poco mucho a las recompensas que ofrecen empresas como Facebook o Google por los bugs encontrados en sus dominios, aunque, en este caso, el premio no lo da una empresa sino que es mediante crowdfunding. Otra diferencia es que tampoco hay categorías: si el jailbreak cumple todos los requisitos se obtiene todo el premio, si no cumple alguno, no se lleva nada. Dando exactamente lo mismo el tipo de vulnerabilidades que se exploten por el camino.

Los criterios que debe cumplir el jailbreak ganador son:

- Funcionar para iPhones con iOS 7 (incluyendo el 4s, el 5, 5c y el 5s).

- Soportar la última versión de iOS (7.0.4).

- Untethered y accesible al "usuario medio".

- Darlo a conocer públicamente y de forma gratuita.

- Estar liberado bajo una de las licencias OSI.

En menos de una semana han recaudado más de $5.000, con un total de casi 200 contribuidores, entre los que se encuentran mspy.com (empresa desarrolladora de software de "monitorización" de móviles), ifixit.com y appsrumors.com, además de un usuario que me ha llamado especialmente la atención: Volk'); DROP TABLE apple_restrictions;--, que a parte de hacer la gracieta, ha donado $100.

En febrero de este año, Charlie Miller, decía que se estaban pagando $250.000 por el jailbreak, pero en marzo, Kevin Mahaffey -co fundador y CTO de la empresa de seguridad móvil Lookout -aseguraba que el precio de los 0 days de iOS rondan los $500.000. Hay que recordar que a esas alturas de año aun no había salido iOS 7, así que estamos hablando de precios "antiguos".

El creador de Cydia, Saurik, ha criticado este proyecto en los comentarios de reddit y recomienda no utilizar la página. Cree que este tipo de iniciativas cambian a la gente que hace algo divertido para liberar los dispositivos por gente que hace cosas por dinero. Y, al mismo tiempo, cambia a los usuarios que, normalmente, hacen donaciones cuando obtienen un software que les resulta útil, en usuarios que pagan de forma anticipada esperando que el software por el que están pagando les resulte útil en su dispositivo.

Saurik señala, además, que el 5% de lo recaudado en esta página web va a parar a manos de la empresa Threshold, cuya propietaria es Elizabeth Stark, una de las creadoras de este proyecto.

Artículo cortesía de Yoya Silva

Leer más...

Securización de CentOS Linux

Tiempo atrás me pidió Karanbir Singh, uno de los líderes de desarrollo y mantenimiento de CentOS, que le gustaría invitarme a participar como ponente en un evento temático de CentOS, que se daría en Madrid. En mi caso, se trataría de hablar de securización de distribuciones CentOS, aunque realmente, el contenido de lo que expuse es aplicable a prácticamente cualquier Linux.

En mi caso, venía llegando de un viaje relámpago desde Bogotá, y no me dio tiempo a asistir al evento entero, por lo que cuando llegué los asistentes estaban esperando únicamente por mi charla. Se supone que las charlas serían en inglés y que se retransmitiría por el canal youtube de CentOS. Finalmente, varias de las charlas se dieron en español, y la mía me la pidieron en el idioma de Cervantes cuando me tocó darla.

Desde mi punto de vista, fue una charla muy divertida y muy enriquecedora para mí, puesto que los asistentes tenían una gran experiencia en CentOS y contribuyeron con un montón de conocimiento a la misma, aportando la interactividad y la participación del público, un valor muchísimo mayor que lo que yo iba a contar ese día. 

Sois muchos los que me habéis escrito pidiéndome las slides y el enlace al video de la presentación, por lo que directamente os la comparto en el blog para el que quiera pegarse un par de horas escuchando hablar de seguridad en CentOS.

Empieza en el minuto 2:17, aunque el hangout empezó a grabar un rato antes...

Leer más...

Enlaces de la SECmana - 204

• Brecha de seguridad en Vodafone Islandia que expone información sensible de más de 70000 clientes. Hubo deface de la web además, con el grupo turco Maxn3y como autores.
• Ampliación del proceso de solicitud de ponencias de Rooted CON 2014, hasta el 16 de Diciembre. De momento hay más de 90 ponencias enviadas.
• Agenda preliminar para la edición 30 del Chaos Communication Congress (CCC) de este año, celebrada del 27 al 30 de Diciembre en Hamburgo. 
• Descubren el código fuente de Prezi alojado en uno de sus servidores de desarrollo que a su vez tenía instalado un repositorio de código. Después de la correspondiente controversia con la compañía sobre si pagarían o no el bounty, finalmente el investigador lo consiguió.
• Exploit local para elevación de privilegios en Windows XP (CVE-2013-5065). Dicho exploit ha sido verificado y funciona a la perfección.
• En el blog de Krebs On Security, conocemos a Paunch, el autor del Exploit Kit Blackhole, el cual fue arrestado hace unos meses.
• Vitaly Kamluk de Kaspersky Lab analiza las noticias sobre seguridad informática más importantes de 2013.
• Samy Kamkar desarrolla SkyJack, un dron que permite interceptar y "secuestrar" a otros drones a su alrededor. Muy oportuno justo cuando aparecen noticias acerca del supuesto deseo de Amazon para repartir sus pedidos con drones.
• Publicada la versión 1.0.0 de MKBrutus, herramienta que facilita la fuerza bruta en routers Mikrotic RouterOS.

Leer más...