Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

31 enero 2014

Un Ángel en la Red



Siempre he pensado que el trabajo de la policía y la guardia civil no se paga con dinero. Pero que alguien, además de su labor profesional, dedique parte de su tiempo a ayudar a que la vida digital de otras personas sea más segura, eso sí que no tiene precio.

Hoy quiero hablaros de un personaje entrañable: se llama Ángel (@_Angelucho_) y es miembro del Grupo de Delitos Telemáticos de la Guardia Civil. Conocido por su blog (del que también hay versión facebook), se define a sí mismo como "aprendiz de todo, maestro de nada". Pero yo creo que somos muchos los que aprendemos de él: a ser buenas personas, a preocuparnos por el prójimo... A no mirar con desdén a los que saben menos que nosotros, sino intentar acercarles ese mundo un poco árido de la técnología, usando para ello palabras entendibles, de manera que puedan comprender cuáles son los peligros a los que se enfrentan y cómo protegerse. A hacer que se sientan más seguros.

Creo que, tan importante como los blogs de contenido más técnico, es este blog que traduce lo que ellos dicen a un lenguaje para todos asequible. Yo misma comparto muchas veces sus consejos con mis insensatos de facebook y whatsapp. Y me han dicho que les gusta porque "lo explica muy clarito".

Como muchas otras cosas, Internet tiene su lado bueno y su lado oscuro. Bien utilizado, nos abre las fronteras y nos amplía las miras, nos acerca el conocimiento y nos pone en contacto con la gente que nos interesa. Pero también son muchos los peligros que nos acechan: robo de contraseñas y de dinero, spam, phising, suplantación de identidad, fraude, acoso y hasta pornografía infantil, son algunas de las cosas feas que circulan por la red.

Aún así, no hay que asustarse demasiado. Dice Angelucho que lo que más le gusta es hacer que la gente pierda el miedo a la tecnología. Por eso ha escrito un libro que presentó en las Jornadas X1RedMasSegura

A Ángel podéis encontrarlo en eventos de ese tipo, siempre dispuesto a ayudar. Seguramente, muchos de los que leais esto ya lo conozcais. Para los que no, yo había pensado hacerle una entrevista. Pero la verdad es que ya hay muchas. Y, como sé que nuestro amigo está muy ocupado, he pensado que lo mejor era dejaros aquí unas cuantas referencias:







 

Si queréis preguntarle vosotros algo, servíos de usar los comentarios de este blog. O visitadlo a él en el suyo.

Y para terminar, os dejo con una canción interpretada por @insonusvita para recordar que, aunque nos acechan muchos peligros, también hay un Ángel en la Red.

24 enero 2014

Próximamente

Me había fijado el propósito de publicar algo cada semana. Sin embargo, ésta no me es posible tener un post como es debido. Sirva como excusa que he estado un poco pachucha, he tenido muuucho trabajo y también he estado enredada con varios proyectos personales.

Como los posts no los quiero hacer deprisa y corriendo, sino con cariño y esmero (in for a penny, in for a pound), pues voy a dejar las entradas más productivas para otra ocasión y, para compensar, comparto en aquí algunas ideas que tengo en mente sobre cosas para publicar. 

Quiero dedicar un post a esa gran persona que es @_Angelucho_, el ángel de la red; quien, además de velar por nosotros en su trabajo de guardia civil, hace todo lo que puede para que nuestra vida digital sea más segura.

También tengo medio apalabrado un post explicando qué es @eGarante, un servicio que me pareció interesante desde que supe de él por primera vez y que, según creo, ha cosechado varios éxitos. Lo he probado un poquillo, pero me falta tiempo para estudiarla a fondo y compartir con vosotros los resultados. Me parece que va a dar mucho juego, pero no quiero adelantar acontecimientos hasta que no la haya investigado a fondo.

Algo que me pone muy nerviosa es que el banco me haya obligado a usar, por narices, una Contactless de esas con las que te pueden robar 20€ sin necesidad de pin, y Dios sabe qué si te la hackean. ¿A vosotros no? Pues por si acaso, voy a informarme sobre lo que hay por ahí al respecto y ya os lo contaré.

Y tengo que hablaros de @SwiftKey, el teclado virtual más ligero y más guay, que instalé como resultas de mi desayuno con Bea, quien me prometió que sí, que sí, que eso de la privacidad ellos yo respetan mucho. Echaremos un ojillo a ese aspecto; porque, por lo demás, genial.

Si juego un poco con la Raspberry Pi y hago algo interesante, quizá también lo cuente.

Una buena noticia es que tengo ya casi convencidos a algunos miembros de mi "nerdbourhood" para que se animen a publicar algo en el blog. Estoy deseando, ya que con ello el blog ganará mucho prestigio porque ¡ellos sí que saben!

Y, cómo no, la que será la publicación estrella: la crónica de la V RootedCON, ese acontecimiento "histórico planetario" que no te puedes ni me voy a perder.

Espero poder cumplir con todos o, al menos casi, los propósitos que tengo. Y que os gusten. Éste no es un blog de los grandes,  pero aquí siempre podréis encontrar a penny of security. ;-)

17 enero 2014

¡Nos vemos en la Rooted CON!


Hay unas fechas que debes anotar en tu calendario: del 6 al 8 de marzo de 2014. Esos días tiene lugar la quinta edición de la Rooted CON, uno de los congresos de seguridad más importantes de España, que se celebra anualmente en Madrid.

Está patrocinada, entre otros, por el CCN-CERT y entre sus ponentes se cuentan los mejores profesionales del sector; algunos de los cuales también estuvieron en las Jornadas STIC organizadas por éste. (Puedes ver la crónica de dichas jornadas en este mismo blog, aquí y aquí).

En la Rooted suelen aparecer primicias de vulnerabilidades aún no conocidas (0days), nuevas herramientas aún no presentadas al público, etc. Es, además, un lugar de encuentro que te permitirá conocer y estar en contacto con empresas y profesionales destacados en el ramo. Por ejemplo de las 677 personas que asistieron el año pasado, unas 520 eran profesionales del sector de la TI, Seguridad, etc. Además, en los días previos al congreso, se organizan actividades formativas (laboratorios) con prácticas sobre cosas tan interesantes como Hacking Ético, Auditoría Forense e Ingeniería Inversa.

Yo ya tengo mi entrada. Es el primer año que asisto y me hará mucha ilusión volver a ver a viejas caras conocidas, así como "desvirtualizar" a algunos otros. Además, por los leaks que me van llegando, va a haber ponencias muy, pero que muy interesantes. Y, como novedad, este año contará con ponentes internacionales y traducción simultanea del inglés al español y viceversa. 

En la web puedes encontrar toda la información sobre precios, descuentos, así como el alojamiento para los que seáis de fuera de Madrid. La van actualizando poco a poco: aún queda que nos digan todas la charlas que va a haber, cuál es el mejor medio de transporte y otras cosillas. Me consta que están trabajando duro para que todo salga bien. Si tienes alguna pregunta y no lo encuentras en la web, dímelo y quizá pueda ayudarte. Y si quieres colaborar con ellos, también admiten voluntarios. 

En el momento de escribir este artículo, todavía quedan entradas disponibles. Las puedes comprar aquí, rellenando un formulario. Aceptan pago por transferencia, pero si quieres tener tu entrada en el momento, lo mejor es que utilices PayPal o tarjeta bancaria. De otro modo, podrías quedarte sin ella mientras les llega la transferencia. 

Pero si te quedaste sin entradas, o no puedes asistir por alguna otra razón, no te preocupes: puedes seguir el evento en directo en mi cuenta de twitter y leer la crónica completa que publicaré en este blog. Así será como si estuvieras tú también.

¡Nos vemos en la Rooted CON! :)

10 enero 2014

Ventanas a la Red



En mi ofi tengo tres ventanas: Windows (la ventana por antonomasia), la ventana física por la que espío a los vecinos en paro del edificio de enfrente y Ventanas a la Red, el programa de radio por internet que escucho siempre que las circunstancias me lo permiten (cuando el trabajo a realizar no me exige demasiada concentración).

El programa es uno de los muchos que forman parte de la parrilla de Radio3W, la radio temática por internet. Lo presenta Pilar Movilla, ayudada por Juan Carlos García, quienes con sus micrófonos abren una ventana a red, ese medio en el que (según ponen en su web) "se mueven millones de personas de todas las edades, condiciones sociales, nivel educativo e ideología", formando "comunidad internauta [que] es cada vez más influyente y poderosa".
Para mí, Pilar es una profesional como la copa de un pino. Dirige la parte principal del programa, que dura los primeros cuarenta y cinco minutos y consiste en una entrevista a un invitado relacionado de algún modo con el mundo de la seguridad informática. Por allí han pasado desde los grandes, como @chemaalonso, hasta aquellos menos conocidos, como @madrikeka. Si quieres saber quién es quién en este mundillo, estar al tanto de los congresos de seguridad más importantes, de las nuevas herramientas que van saliendo, conocer de primera mano lo que significa trabajar para los miembros de los Cuerpos y Fuerzas de la Seguridad del Estado y, resumen, no perderte un ápice de todo lo que está pasando, tienes que escucharla. 
Y es que, además, es un placer oír lo bien que hace las entrevistas: como sabe preguntar lo más pertinente, lo bien que maneja los tiempos y hasta cómo los saca a veces de los apuros en que se meten ellos solos. 
¿Sabes que hay un Ángel en la red? ¿Un Maligno que no es tan malo (aunque a veces lo tientan para que lo sea)? ¿O que en Albacete casi se repite el milagro de los panes y los peces? Pues no es una clase de Historia Sagrada, es Ventanas a la Red. El programa por donde también pasaron un pato, un jabalí y un perro, aunque no sea un zoológico. El programa que no te puedes perder.

La última parte la lleva Juan Carlos, quien da un repaso a la actualidad hacking en general. Me parto con él de la risa, con las ocurrencias que tiene y las cosas que suelta. Me cuesta un poco seguirlo porque habla muy deprisa; pero intento no perderme nada porque, en quince minutos, condensa lo más importante que ha pasado en la última semana, o lo que está a punto de pasar.

En fin, para qué te voy a decir más. Lo mejor es que te bajes los audios y lo escuches por ti mismo. Abre la ventana y asómate a la red.








06 enero 2014

Hacker Épico

Hacker Épico
¿Eres nuevo en esto de la seguridad? ¿Te apasionan las novelas de intriga? Entonces hay un libro que no puedes dejar de leer: Hacker Épico. Te lo dice alguien que responde "sí" a las dos preguntas.

No sé muy bien qué es: si una novela negra con componentes técnicos, o un  manual de consulta disfrazado de novela negra. Lo que sí sé es lo mucho que me ha gustado. Es una historia de héroes y villanos, con referencias al cine clásico, con toques de romanticismo y una trama en la que el protagonista afronta múltiples peligros y pone en práctica sus habilidades como hacker para salvar a la chica. Y con un final feliz que deja vislumbrar una segunda parte.

El título es un juego de palabras con "hacker ético", que es la profesión de Ángel, el protagonista. Pero es que resulta verdaderamente épico,  pues es una novela con sabores de epopeya, que nos hace pensar en los caballeros andantes que ponían a prueba sus habilidades, sorteando obstáculos y venciendo desafíos, buscando siempre a su dama.

Un libro que pueden incluso leer los que no sepan y no quieran saber nada de la seguridad informática, por el placer de la aventura. Porque, además, engancha y está bien escrito. Habrá cosas que no comprendan, pero que no inciden en nada para seguir el hilo de la historia. Y quién sabe si no se acabarán picando con esto de la #SEC...

Y si te gusta la seguridad, no sabes por dónde empezar y te intimidan los manuales áridos, tipo ladrillo, quizá ésta sea una buena manera de iniciarse. El libro cuenta con una completa guía de referencia de los "truquitos" empleados a lo largo de la historia, para que quien quiera pueda buscar más información en la web. (La única cosa que le reprocharía es que no hayan hecho una edición digital que permita hacer click en los enlaces. Pero, no te preocupes, no tienes que copiarlos: en la web oficial del libro tienes toda la lista).

Por otra parte, es un libro que agrada también a los hackers más aventajados. Es (y permítaseme la comparación, un poco desproporcionada) como esas obras maestras de la literatura, del estilo de El Quijote y El Lazarillo, que lo mismo sirven para enseñar a los chavales en el colegio, que para deleitar a los que tienen ya un gran camino recorrido.

Sus autores son Alejandro Ramos (si lo "googleas", verás qué gran profesional es), que se encargó de la parte técnica, y Rodrigo Yepes, que le dio el toque novelístico. Una cosa que me gustó fue enterarme de que ambos eran amigos desde los nueve años; lo que, inmediatamente, trajo a mi memoria la banda sonora de Stand by me. Pero esto es algo personal; cada uno se emociona con lo que quiere. :)

El libro tiene (de momento) dos premios, de las revistas SIC y Red Seguridad. Y ha recibido muy buenas críticas del público en general. Pero lo mejor es que lo leas, para que juzgues por ti mismo. Lo puedes encontrar en la editorial 0xWord. Y quién sabe si, retomando las palabras del prólogo, no acabarás tú también persiguiendo a tu Yolanda particular.

Nota: que conste que no me llevo comisión por la ventas del libro ;-) Pero he pensado que quizá algunos de los que me siguen recientemente no lo conozcan (especialmente aquellos más novatillos en esto de la seguridad) y me pareció buena idea compartirlo con ellos. Ya sabéis: por aquello de hacer comunidad :)