El bloc de d'Artagnan

[Deloitte]Applied Mobility | Tech Trends 2011

Posted in Android, Geek life, Seguretat, tablet by dartagnan on 10 Juny 2011

En el seu informe anual sobre tendències tecnològiques, Deloitte ressalta l’augment en l’ús dels dispositius mòbils, tant els telèfons mòbils com els tablets. L’informe recull les implicacions tecnològiques que té aquesta tendència en el món de l’empresa i per al seu responsable de tecnologia.

Dues de les implicacions tecnològiques recollides són la necessitat de gestionar els dispositius, i dotar-los de seguretat.

Device management: Ability to monitor, manage and maintain devices connected to the organization’s network – including enterprise-procured, as well as employee- and customer-owned devices. Allows tracking of assets, usage reporting, provisioning and over-the-air updates for software or profile revisions, backup/restore and remote locks or wipes for lost, stolen or compromised devices. Since several mobile device management tools exist, selection should align with the overall operating environment and IT maintenance strategy.

Ja havíem passat de tenir un sol ordinador (de sobretaula o portàtil) per cada empleat, a poder tenir un ordinador i una Blackberry. Ara, a més a més, l’empleat pot tenir un telèfon mòbil (propi) o un tablet (de l’empresa, o propi), i que l’utilitzi per connectar-se als sistemes de l’empresa i emmagatzemar-hi i tractar-hi informació de l’empresa!

Per això, l’empresa s’ha de plantejar tenir un control sobre aquests dispositius. No per xafardejar, sinó per poder protegir la pròpia informació (l’esborrat remot és una gran idea, però no la única).

Security: Password protection, encryption, controlling device administrative rights (system settings, permissions to directly install applications) and managing entitlements to back-end services must be implemented – ideally extended from the organization’s overall identity, control and access management solution.

Els mateixos controls de seguretat que ja se solen incloure en els ordinadors portàtils, també els inclourem en els dispositius mòbils (molt més fàcils de robar o perdre!).

I finalment apareix el gran debat: a què donem accés des del mòbil? Fugim ja del blanc o negre, de donar accés a tot des del mòbil, o bé a res. Perquè és molt còmode consultar el correu electrònic i consultar les comandes pendents d’un client al que estem a punt de visitar. Però potser no cal poder-ho fer tot des del mòbil: ordenar transferències de milers d’euros? consultar les nòmines dels empleats?

Enllaç: Applied Mobility | Tech Trends 2011| Deloitte Consulting LLP.

Quan canviem de mòbil…

Posted in Android, Geek life, Seguretat by dartagnan on 6 Juny 2011

A Lifehacker parlen de què fer amb el mòbil abans de vendre’l (o tornar-lo a la companyia, o donar-lo a algú altre):

It’s surprising how many people sell their phones without doing anything to remove private data. Selling your phone to a stranger as-is gives that stranger access all your music, email, text messages, and other data for a few hundred dollars. To make sure your private data’s safe, you’ll want to do a full wipe of your phone before you sell it off.

mitjançantWhat Should I Do with My Phone Before I Sell It? – Lifehacker.

La guia de com esborrar la informació en Android i iPhone està bé, però potser haurien d’avisar que aquest esborrat no és 100% segur. Amb eines especialitzades, es pot arribar a recuperar la informació (que inclou la nostra contrasenya de GMail, entre altres!)

Però, per una altra banda, m’he plantejat què passa amb WhatsApp si canviem de número de telèfon? La persona que acabi tenint el nostre número rebrà els  missatges que ens enviïn a nosaltres? imagino que sí, com passa amb els SMS i les trucades. La recomanació que fan a la seva pàgina web és:

Step 1: update your WhatsApp status with new phone number.

Step 2: delete WhatsApp and re-install and register with your new phone number

[Deloitte]Cyber Intelligence | Tech Trends 2011

Posted in Seguretat by dartagnan on 27 Mai 2011

Quan pensem en la seguretat de la informació en el món de l’empresa, se’ns ocorren molts conceptes que no són del tot equivalents: seguretat informàtica, seguretat de les dades, seguretat a Internet, etc.

Per això, s’estan concretant més alguns termes i, per exemple, quan parlem de la seguretat en relació a Internet, comencem a parlar del terme ciber-seguretat.

En el seu informe sobre tendències tecnològiques, Deloitte recull l’evolució de la ciber-seguretat a la ciber-intel·ligència. Vegem-ne un extracte:

What were the challenges? What’s different in 2011?
Cyber security Many cyber security efforts were geared toward perimeter intrusion protection and detection. As threats shifted inside the trust zone, new tools and techniques were needed.Identity and access management solutions were subject to systems silos – with isolated entitlements, activity logging and controls. Limited context of surrounding events made pattern detection of higher-order threats extremely difficult.

Technology solutions were manual, perceived as nuisances to the business and often circumvented.

The Chief Security Officer (CSO) or CISO, if they existed at all, were typically technologists with deep domain knowledge, but without a seat in the boardroom.

Cyber security is increasingly framed as a combination of architecture, practices and processes – with equal focus on internal and external threats.Highly integrated tool sets and investments in cyber analytics have helped connect dots and identify previously undetectable exposures.

Automated identity management tools are incorporated into day-to-day tasks, including smart cards, biometrics, fingerprint and handprint scanners.

CSO role has become common-place, possessing a mix of technology and leadership skills and a seat at the executive table.

A més de l’evolució de les amenaces i dels controls que hi podem aplicar, apareix la idea de fer servir tècniques analítiques per millorar la protecció, i anticipar-se a les amenaces. Així és com es defineix a l’informe:

Analytics: Effectively studying associations between people, organizations and other security-relevant data elements across systems and organizational boundaries requires broad capabilities, including data management, performance optimization and advanced analytics- integrated with system log files, storage, physical security systems and mobile profiles. Predictive modeling outputs are used to automate control updates, complemented by visualization to allow manual exploration of information. Additional value can be derived by providing insight to line-of-business decision making – ranging from fraud prevention to vendor management contracting.

Aquest salt en la maduresa de la prevenció d’atacs i incidents informàtics, el fet de passar de protegir a preveure i anticipar-se, és el que porta a parlar de ciber-intel·ligència.

Enllaç: Cyber Intelligence | Tech Trends 2011| Deloitte Consulting LLP.

Guia de referència per als responsables de la seguretat d’un lloc web | L’home dibuixat

Posted in Seguretat by dartagnan on 12 Mai 2011

Llegeixo al bloc d’un amic que la INTECO ha publicat la Guia de referència per als responsables de la seguretat d’un lloc web.

La guia, separada en 3 parts, inclou una llista de recomanacions molt bàsiques i desorganitzades de les accions que s’han de dur a terme per detectar, respondre o prevenir un atac a un lloc web.

  • Dic que la llista és desorganitzada perquè barreja diferents accions que, normalment, serien dutes a terme per diferents persones, departaments o empreses: revisar dates de modificació de fitxers, i revisar el codi de les pàgines web, connectar (?) amb l’empresa web de Hosting, etc.
  • Sobre les accions proposades, algunes accions donen molt detall (al revisar el codi de les pàgines web, busca scripts maliciosos, iframes ocults al codi), i altres es queden a alt nivell: revisa l’arxiu log de connexions (a la recerca de què???).
  • Pel que fa a la resposta a incidents (punt 4. Actuación ante el ataque), l’única referència a la investigació i recopilació d’evidències és la següent:

Sin embargo, haciendo esto pueden destruirse evidencias que pueden ser necesarias para determinar cómo ocurrió el ataque y cómo evitar que vuelva a ocurrir. Por ello, también es recomendable realizar una copia de seguridad del sitio para un análisis posterior y conocimiento de las causas.

En resum, penso que més que una guia madura, sembla un recull d’anotacions de coses a tenir en compte fruit d’una tarda de googling.

Why Multi-word Phrases Make for More Secure Passwords Than Incomprehensible Gibberish

Posted in Seguretat by dartagnan on 1 Mai 2011

Interessant recomanació a Lifehacker sobre un article que explica que utilitzar una frase com a contrasenya és més segur (difícil d’endevinar) que utilitzar una paraula amb números i símbols estranys:

We’ve always argued that the most secure password is one you don’t even know, and is basically incomprehensible. Security expert Thomas Baekdal argues that these incomprehensible passwords—while secure—are not as secure as a more memorable and simple phrase. In other words, this is fun is a more secure password than s$yK0d*p!r3l09ls. Here’s why.

Recomanació a Lifehacker: Why Multi-word Phrases Make for More Secure Passwords Than Incomprehensible Gibberish.

Article sencer: The Usability of Passwords.

El ‘The New York Times’ demana a Twitter que bloquegi un compte que permet accedir a la seva edició digital de pagament-Societat-El Periódico

Posted in Seguretat by dartagnan on 24 Març 2011

Llegint la notícia de sota a El Periódico, em pregunto si no tindrien una solució més fàcil…

Per exemple:

  • que calgui fer login per accedir al contingut del diari
  • que els enllaços a les notícies siguin específics per cada usuari (de manera que, si algú publica aquests enllaços, puguis renyar i desactivar l’usuari propietari de l’enllaç).

Aquí teniu un fragment de la notícia:

El diari The New York Times ha demanat a la xarxa social Twitter que tanqui un compte que permet accedir a l’edició digital completa del rotatiu perquè no sigui burlat el sistema de pagament que es posarà en marxa el pròxim 28 de març.

Una portaveu del rotatiu ha assenyalat que el compte de Twitter FreeNYTimes, en què es pengen enllaços al contingut del diari, és una violació de la seva marca registrada.

Així mateix, ha advertit que els responsables del diari han detectat altres intents de burlar els controls d’accés a la seva pàgina web, i que també actuaran per bloquejar-los.

mitjançantEl ‘The New York Times’ demana a Twitter que bloquegi un compte que permet accedir a la seva edició digital de pagament-Societat-El Periódico.

La recepta original de la Coca-Cola

Posted in Geek life, Seguretat by dartagnan on 20 febrer 2011

ColaEn els últims anys, els casos de fuga d’informació han anat tenint mes i més rellevància en els mitjans de comunicació. Començant pel robatori d’informació tècnica de Ferrari, seguint amb mil casos d’informació obtinguda via Facebook (l’empleat que diu trobar-se malament i penja fotos seves esquiant…), i arribant al cas Wiki leaks.

En tot cas, ens queda la sensació que tot s’acabarà savent, i que la intimitat ja no és el que era. Com a exemple, aquesta notícia que potser és poc rellevant, però que fa referència a l’anomenat secret més ben guardat.

La recepta de la Coca-Cola, guardada amb cura pels propietaris de l’empresa durant 125 anys, ha deixat de ser un misteri segons una pàgina web que afirma haver descobert els ingredients en una pàgina de diari oblidada.

(…)

Coca-Cola, que manté la versió oficial de la seva recepta en una caixa de seguretat d’Atlanta sota una clau que només coneixen dos empleats, no ha confirmat de moment si la composició publicada és correcta.

La recepta original de la Coca-Cola, redescoberta 125 anys després – Societat – El Periódico

[Deloitte]Tablets in the enterprise: more than just a toy

Posted in Geek life, Seguretat, tablet by dartagnan on 22 gener 2011

Un article interessant de Deloitte, sobre els tablets en el món de l’empresa durant el 2011. Aquí en teniu un resum:

Four main factors are driving tablet adoption in the enterprise market.

First, and already the most apparent, many consumers initially buy tablet computers as personal media devices, but quickly discover they are also useful for work. (…)

Second, certain industry verticals seem poised to start using tablets in fairly large numbers over the course of the year; in fact, trials are already underway. The retail, manufacturing and healthcare industries are considered the most likely early adopters, primarily due to (…)

Third, enterprise software providers are rapidly responding to Fortune 500 customer requests for tablet-specific software. Large players in ERP, ECM, CRM and other enterprise applications are combining with desktop virtualization providers to(…).

Fourth, the tablet form factor itself is driving adoption in the boardroom. Unlike laptops and smartphones, both of which create an obvious physical barrier between the user and others in the room, a tablet can be placed flat on a conference table and accessed unobtrusively

Per una altra banda, unes consideracions addicionals sobre els riscos de seguretat associats als dispositius, i el desenvolupament d’aplicacions específiques.

Security is already being discussed as a potentially big issue for enterprise tablets. In some ways tablets are more secure than PCs – at time of writing no tablet-specific virus has been reported, and most don’t even have USB ports, eliminating a common security weak point. On the other hand, tablets are small, portable and a popular target for thieves. As a new device, tablets should probably be presumed insecure until proven otherwise.

App development will need to be monitored closely. Cost per app can range from $5,000-$500,000 (depending on complexity), so not all enterprises will be able to develop an app for every type of tablet; nor will they be able to fund a large number of custom apps for employees. (…)

Aprovació del Nou Reglament de la LOPD

Posted in Geek life, Meta-blogging, Seguretat by dartagnan on 20 gener 2008


Es tracta d’un screencast de prova fet amb uTIPu que parla sobre l’aprovació del Nou Reglament de la LOPD, intercalant un text escrit en WordPad amb el pdf del BOE corresponent.

Enllaç.