No queremos invertir en seguridad

money2

En Puerto Rico damos por sentado muchas cosas en cuanto a seguridad de informática se refiere. Creemos que los doctores protegen sus datas en sistemas, los abogados mantienen sus archivos seguros, las tiendas por departamento tienen mecanismos para proteger su data y las grandes corporaciones hacen lo propio para asegurar sus sistemas de información. Pero la realidad es que “dar algo por sentado” no necesariamente significa lo mismo se esté llevando a la práctica. La realidad en Puerto Rico tiende a ser muy diferente.

La queja más repetida entre los consultores y administradores de sistemas es que las compañías para las que trabajan, o sus clientes particulares, no desean invertir en seguridad. Dicen que los costos son altos y que el riesgo no es tanto. Es lamentable pensar sobre el asunto y llegar a la conclusión que en parte el problema es la falta de información, la falta de análisis de riesgos y la actitud desentendida de los dueños de negocios que está causando que la tendencia sea “seguridad a través de obscuridad”.

Uno de los posibles problemas es la falta de relación entre la educación como profesional y la práctica profesional. Las universidades nos preparan para ser profesionales dentro de un campo específico, pero no nos preparan para la realidad a ser enfrentada en la práctica. La realidad es que nos graduamos y tenemos que complementar nuestros estudios ya sea, montando un negocio, trabajando por nuestras cuentas, trabajando para otros ya sea gobierno o empresa privada. El problema de esto es que cuando necesitamos administrar una oficina, coordinar el desempeño de otras personas o trabajar nuestros propios proyectos nos topamos con la crudeza del campo; y es que carecemos de otros requisitos básicos para poder ejecutar de una manera correcta.

Esto en parte es lo que está sucediendo en las oficinas de nuestros doctores, abogados, tiendas por departamento,  y todos los lugares donde la informática es necesaria. ¿Cómo podemos cambiar eso? Debemos empezar con la educación, conocimiento básico de computadoras, interés en saber ¿Cómo funciona eso? Esa falta de interés de nuestros profesionales se traduce en posibles fallos en la seguridad de los sistemas de información. Estas fallas causan lo que se entiende como pérdidas monetarias, pérdida de reputación, daños a terceros entre otros. Debemos empezar hacer caso a lo que se nos recomienda por personas especialistas en la materia, y como siempre, todos debemos poner nuestro grano de arena. La seguridad y el proteger un cliente y/o su información no recae sobre un individuo. Es una cadena de fallas que caen como filas de dominó. Lo importante es la actualización de información para evitar a toda costa que el primer eslabón en la fila no ceda a ningún movimiento.


Posted in IT by with no comments yet.

Cambiemos las cosas!

 

Los eventos de seguridad de informática en Puerto Rico han llegado a la monotonía. Siempre son los corresponsales de los diferentes auspicios los que hablan de temas, que aunque bien disfrazados terminan siendo sobre los productos que los mismos ofrecen. Mucho de nosotros en este campo vamos o porque, somos CISSP y necesitamos los créditos de educación continua, o porque queremos salir de la oficina un día y simplemente charlar con compañeros y hacer amistades nuevas. Me atrevo a escribir que el 99% de los asistentes a estos eventos no le sacan nada de provecho intelectual, quizás los estudiantes y tengo mis dudas.

Con esto en mente, junto a algunos compañeros, decidimos fundar una organización sin fines de lucro y poder alcanzar metas reales, como elevar la calidad de los eventos llevados a cabo en Puerto Rico sobre la informática. Mi última experiencia en una conferencia de seguridad uno de los conferenciantes habló de la aplicación móvil del banco que él mismo representaba, me sentí un poco insultado. El conferenciante habló de la historia del banco y cómo llegó hasta el desarrollo de la aplicación móvil. El tema estaba interesante de por sí, ¿pero en una conferencia de seguridad de informática ? ¿qué lugar tiene este tipo de charlas? El conferenciante ni tan siquiera tocó el tema de autenticación y seguridad dentro de la aplicación.

La organización Obsidis Consortia está dedicada al tema de seguridad y por eso creó la unidad init6. El cual no es un club social, no requiere membrecía, no necesitas tener mil certificaciones, no tienes que ser experto en ningún tema, sólo tener ganas de aprender y compartir conocimientos. Con esta idea en mente decidimos organizar un evento de “Security B Sides” en Puerto Rico. Security B Sides en su nivel matriz es un evento creado por la comunidad para la comunidad. El mismo tiene sus reglas a seguir y una de ellas es, no tener conferenciantes que sean vendedores de productos.  Gracias a esta iniciativa es que ahora existe Security B Sides Puerto Rico.

Security B Sides Puerto Rico como ya he mencionado tendrá conferenciantes al mismo nivel que DEFCON = conferencia de hackers en Estados Unidos, por eso decidimos llamarle la primera conferencia de Hackers en Puerto Rico. Para el que no entienda lo que esto significa me explico. DEFCON es uno de los eventos más respetado en el mundo de la seguridad de informática. El mismo tiene más de 20 años de historia y sus conferenciantes están a un nivel por encima de lo normal cuando se refiere a experiencia, interés y relevancia en el mundo de la seguridad de informática. Si la charla de X conferenciante fue aceptada en DEFCON quiere decir que su tema es de alto interés y nivel de relevancia, no todo el mundo presenta en DEFCON.

No todos los conferenciantes que tendremos en BSidesPR han presentado en DEFCON pero tenemos un surtido de ellos que sí. Temas desde análisis forense en artefactos iOS, hasta implementación de estafas utilizando correos electrónicos vía Phishing, por expertos en la materia muy respetados en la industria.  Todo el que asista al evento que le guste el tema de la seguridad no se arrepentirá.  

Vale la pena aclarar que este evento es puramente de la comunidad para la comunidad. Esperemos que cuando tengamos auspiciadores lo podamos hacer completamente gratis, por el momento el miedo de los mismo de auspiciar un evento donde la palabra “hacker” este envuelta nos ha limitado a llevar a cabo este evento por nuestra propia cuenta. Traer los conferenciantes, comida, local, audio visual entre otras cosas, lo hace un poco difícil no cobrar, el costo de entrada de este evento cubrirá parte de los gastos básicos del mismo. El mismo se llevara a cabo con mucho orgullo como dice el americano “no matter what!!!”


Posted in Conference, IT by with no comments yet.

¿Quien tiene la culpa?

Mucha gente en Puerto Rico vive en completa ignorancia de los problemas que pueden surgir al implementar un sistema de información de manera incorrecta. La dependencia de sistemas de información en nuestros negocios y en nuestras vida diaria han logrado que muchas personas salgan a comprar computadoras y a adquirir proveedores de servicios de Internet.

Esto es una tendencia bastante conocida en Puerto Rico, lo que me sorprende un poco es la ignorancia de los comerciantes ante dicha tendencia. Cuando pequeño me decían “la ignorancia es atrevida” y después de grande me doy cuenta de lo cierto que es este comentario.

En esta ocasión quiero hablar del clásico error más común en Puerto Rico: las configuraciones por defecto.  Para todos los que nos encontramos en el mundo de la seguridad este es uno de los temas mas aburridos y uno de los errores mas tonto que cualquiera pueda cometer. El problema con este asunto en particular es que, evidentemente, para el resto de la población este tema no es tan simple.

Configuraciones por defecto son configuración donde: prendes el equipo, lo conectas, y lo pones a trabajar sin editar o cambiar ninguna de sus opciones.  La pregunta de los 64,000 chavitos es, ¿por qué esto es malo? Enumeraré las razones y ofreceré documentación para aquellos que deseen documentarse más:

(more…)


Posted in IT and tagged , , , by with no comments yet.

Tesis en Ingeniería Social

Llevo mucho tiempo sin publicar este trabajo. Aquí mi Tesis de Maestría en Ingeniería Social.  El ser humano siempre a sido el punto débil de toda empresa. Solo con entrenamientos y actualizaciones de métodos de ataque podremos sobre pasar estos retos.

Social Engineering and Information Awareness


Posted in IT Basics and tagged , by with no comments yet.

Abierto los “Call For Papers” para la primera conferencia de Hackers en Puerto Rico

BSides Puerto Rico

Empezamos el proceso que nos llevara a la primera conferencia de Hackers en Puerto Rico, Security B-Sides PR. Tenemos ya una lista de conferenciantes que están al mismo nivel que los conferenciantes de DefCon (famosa conferencia de Hacker). Una de nuestras iniciativas es poder presentar conferencias en español.  Somos un país bilingüe y tenemos los  profesionales con la capacidad de presentar temas interesantes y de relevancia para Puerto Rico.  De esta forma exhortó a nuestro talento local a presentar temas en esta conferencia y ganar exposición.

Todos los que estamos en el mundo de seguridad de informática sabemos que nuestros empleadores siempre buscan un “pero” al momento de hacernos participes de dichas conferencias en los Estados Unidos. Ya sea por costo, o por que no le encuentran el valor adquirido versus el gasto de enviar a un profesional de seguridad a una conferencia.  Con este fin le dimos forma a esta idea loca de hacer una conferencia de este calibre en Puerto Rico.

Compañero en informática aprovecha la oportunidad, asiste o participa de este evento, esperamos que sea una experiencia enriquecedora en conocimiento y exposición en el campo de seguridad de informática.

Hoy abrimos el Call For Papers donde podrás someter el tema que te interesa presentar en el evento.

 

Para mas información:

Call For Papers

Aqui el enlace directo al formulario

http://bit.ly/T1LK2z


Posted in Conference and tagged , , by with no comments yet.

03/10/2012 2da Reunion de GlpSISd

Evento 03/10/2012

Grupo de Interes para Seguridad de Informacion y Sistemas y desarrollo

Actividad:

  1. Router Hacking using python: Por Alejandro Laboy
  2. Linux basics for security professionals: Por Jose L Quiñones

Fecha: 3 de Octubre de 2012

Hora: 6:00pm a 9:00pm

Lugar: Base de la Guardia Nacional en Punta Salinas (Levittown)

El Sr. Alejandro Laboy es un professional de sistemas de informacion con suficiente pasion y curiosidad para ser un verdadero hacker.

El Sr. Jose L Quiñones se desempeña como Director de Tecnolgia en el area de Salud,  Educacion Superior, es Instructor de Microsoft e EC Council.

Register: http://codefidelio.org/register/registro.php

Ustream: http://www.ustream.tv/channel/codefidelio

Map: (En la tarde la entrada es por la salida del balneario)
View Larger Map


Posted in Grupo de Informatica by with no comments yet.

B-Sides Puerto Rico

BSides Puerto Rico

 

Estamos cansados de conferencias dirigidas por vendedores enseñando como sus productos nuevos sirven para nuestras empresas. En Puerto Rico existe una comunidad de informática que  que merece una conferencia digna. Security BSides es una conferencia organizada por la comunidad para la comunidad.  Los organizadores de este evento pretenden hacer de BSides Puerto Rico la primera conferencia de Hackers en la isla.

Esperen mucho mas  de BSides Puerto Rico pronto!

 

BSidesPR en Twitter


Posted in Conference by with no comments yet.

(GIpSISd) Grupo de Interes para Seguridad de Informacion; Sistemas y Desarrollo

 

 

En Puerto Rico, el tema de la seguridad de informática es uno que interesa a muchas personas pero que a su vez, muchos en la sociedad desconocen su importancia. El mismo tiene diferentes aspectos desde lo más técnico hasta lo más social y humano. Estamos en el proceso de crear un grupo local de personas enfocadas en dar a conocer la importancia, legitimidad y educar sobre el tema. El fin no es solamente llevar un mensaje a la comunidad envuelta en la informática en la isla, sino al público en general, entiéndase, corporaciones, escuelas, desde urbanizaciones y barriadas.

Desde Obsidis Consortia (OC), grupo en desarrollo que tiene la misión de crear conciencia con respecto de la seguridad de informática en todas sus áreas de enfoque, iniciamos este esfuerzo. Como grupo queremos cubrir todas las bases, desde el niño que usa su Nintendo DS, el abuelito que se le regala un “Smart Phone” por primera vez, hasta el profesional que defiende los muros de contención cibernéticos de una corporación. Pequeños negocios, grandes corporaciones, los expertos en informática,  la iglesia de la comunidad, las personas con curiosidad, la escuela de la comunidad, los padres y madres, los estudiantes y toda persona que quiera aprender del tema estará bienvenida.

Para iniciar, se creará un grupo de correos destinado a notificar invitaciones a reunirnos y exponer las metas y misión del grupo. El martes 21 de agosto en UPR-Recinto de Ciencias Medicas se citaron profesionales en el campo de la informática, no sólo para escuchar la charla, si no que aprovechamos el tiempo de nuestro experto Carlos Pérez para llevar a cabo un entrenamiento de “Power Shell” para administradores de red y profesionales de seguridad.

El evento fue todo un éxito, logramos llamar la atención y propagar nuestras metas creando interés entre las personas que asistieron esa noche.  Esperamos poder seguir informado sobre la creación de este grupo mientras planificamos un segundo evento.

Para mas información sobre las ideas de el grupo favor descargar la propuesta aquí.  GlpSISd

Tambien pueden ver el video en Ustream incluyendo la presentacion de Carlos, aqui: Ustream

 

En Colaboración con CODE Fidelio


Posted in Grupo de Informatica, Regular Post by with no comments yet.

Leer antes de usar

SmartPhone

Es evidente que la tecnología en Puerto Rico va incrementando en uso. Esto no significa que las personas que utilizan esta tecnología van a la par con el conocimiento de como utilizarla.  Un ejemplo sencillo es Red Box.  Redbox esta diseñado para que busques tu película favorita de una manera rápida si utilizas la tecnología presentada adecuadamente, como buscar la película por internet o por teléfono.

Nadie puede decirme que el problema es que Puerto Rico no esta suficientemente actualizado! , como dije al principio estamos creciendo en tecnología. Hoy día abuelito tiene un iPhone o un HTC aunque no sepa utilizarlo.

Mi punto es que entiendo que deberíamos leer un poco mas, entender en lo que nos estamos metiendo cuando compramos tecnología nueva.  Como dice el anuncio no comprar teléfonos “Smart” para hacer estupideces. Esto debería ser asi para todo, nos creemos expertos sin saber y ahí es donde fallamos.

Pensaba en esto hoy por toda la información que viaja en las redes de los proveedores de servicio móvil.  Fotos de la gente, conversaciones por texto, fotos de nudismo mas todo las otras cosas que se hacen con este tipo de teléfono. Yo no soy experto en nada, pero invito siempre a leer he informarse sobre lo que estas utilizando de alguna manera u otra. De esta forma podremos utilizar la tecnología a nuestro favor. La seguridad de la información que tenemos en nuestros teléfonos es nuestro deber, proteger esta información no le debería interesarle a nadie mas que a nosotros mismos.


Posted in Regular Post by with no comments yet.

Info Sec …

Lo malo de las convenciones en Puerto Rico es que siempre tienen intencionado vender algún tipo de producto.  Aunque se entiende por que los auspiciadores son los que logran que las convenciones se lleven acabo, creo que poner a un vendedor a tratar de hablar en el lenguaje de administradores como que no es real. Lo mejor que se puede sacar de este tipo de convenciones es el networking y los good times con los compañeros.

Dentro de las cosas mas interesantes, los estudiantes de Maestría de la Politécnica sacaron la cara con una demostración real de un Session Hijack , en realidad cuando el profesor lo anuncio se escucho como Sexual Hijack pero ahí vamos.  La tendencia de la industria de IT hacia cloud computing logra un user group que creo que tiene esperanza. El Puerto Rico Cloud Computing iniciativa de John Robles suena interesante y espero poder ser parte de esa iniciativa.

En mi carácter personal a mi me gusta mas lo” informativo” de verdad sin ninguna venta, pero claro como lograr esto sin auspicio es lo difícil. Vamos a ver como evoluciona el mundo de la seguridad en Puerto Rico.


Posted in Conference by with no comments yet.