Book Review: Getting Started With Arduino

Posted on November 30, 2010 by Simon Roses

Este libro corto y de fácil comprensión (se lee en menos de una hora) es una magnÍfica entrada al mundo de la electrónica, Arduino y Physical Computing. “Getting Started with Arduino” (IBSN 978-0-596-15551-3) está escrito por uno de los cofundadores de Arduino, Massimo Banzi, que nos introduce en el mundo de la electrónica con simples ejemplos.

This short and easy to understand book (read in less than an hour) is a magnificent introduction to the world of electronics, Arduino and Physical Computing. “Getting Started with Arduino” (IBSN 978-0-596-15551-3) is written by one of the co-founders of Arduino, Massimo Banzi, who introduces us into the world of electronics with simple examples.

Personalmente había leído otros libros sobre el tema antes que éste, pero desde luego para una persona que quiere empezar con Arduino éste es su libro. A lo largo de los 7 capítulos el autor nos lleva desde la instalación de Arduino (Windows y MacOS), la forma de pensar, detalla la plataforma Arduino y realiza diversos ejemplos utilizando LED, Pushbutton, Breadboard entre otros componentes.

I personally had read other books on the subject before but for someone who wants to get started with Arduino this is the book. Along the 7 chapters the author leads us from Arduino installation (Windows and MacOS), how to think about it, detailing the Arduino platform and performed several examples using LED, Pushbutton, Breadboard among other components.

Recomiendo este libro por varias razones:

  • Es fácil de leer ya que este pensado para personas sin conocimientos técnicos.
  • El autor es todo un experto.
  • Los ejemplos son prácticos y fáciles de seguir y en poco tiempo estarás creando gadgets que se conectan a Internet.

I recommend this book for several reasons:

  • It is easy to read because is designed for non-technical people.
  • The author is an expert.
  • Examples are practical and easy to follow and soon you’ll be creating gadgets that are connecting to the Internet.

Definitivamente una obra de obligatoria lectura para cualquier persona que quiera entender sobre Physical Computing, Arduino o de electrónica en general.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 5 Rosas (Lectura Obligatoria)

Definitely a mandatory reading for any people who wants to understand Physical Computing, Arduino or electronics in general.

Score (1 pink, very bad / 5 roses, very good): 5 Roses (Mandatory Reading)

— Simon Roses Femerling

Posted in Books, Hacking, Technology | Tagged , , , | Leave a comment

Nessus Report Tricks

Posted on November 25, 2010 by Simon Roses

El escáner de vulnerabilidades Nessus es una potente herramienta para auditar sistemas aunque flojea en la generación de informes. En este post comentaré algunos trucos que utilizo para generar informes de forma rápida con la ayuda de Microsoft Excel 2007 o 2010 (Importante: esto sólo funciona con la versión Excel 2007 o superior).

Nessus vulnerability scanner is a powerful tool for auditing systems although is weak in reporting generation. In this post I will comment on some tricks I use to generate reports quickly with the help of Microsoft Excel 2007 or 2010 (Important: this only works with Excel 2007 or higher).

Una vez realizamos un escaneo mediante Nessus debemos guardar los resultados en formato XML para que podamos abrirlo con Excel.  Estos son los pasos:

Once we make a scan using Nessus we must save the results in XML format so that we can open it with Excel.  These are the steps:

1-     Abrimos Excel -> Fichero -> Abrir y seleccionar  el fichero XML.

1-     Open Excel -> File-> Open and select the XML file. 

2- Al seleccionar el fichero, Excel nos mostrará una ventana para preguntarnos en qué formato debe abrir el fichero, en nuestro caso seleccionamos la primera opción “como una tabla XML”.

2 – Select the file, Excel will show us a window to ask in which format should open the file and in our case we select the first option “As an XML table”.

 

3-Nos dará un error pero no pasa nada, le damos OK :)

3 – Excel will give us an error but no worries, just click OK :)

 

4- Ahora toca hacer limpieza de la tabla generada y esto va en función del gusto de cada uno. Yo suelo quitar las columnas (borrar) desde PolicyName hasta name5 (18 columnas, A-R) ya que no tiene nada de interés.

4- Now it is turn to make some cleaning in the generated table. I usually remove columns (delete) from PolicyName to name5 (18 columns, A-R) because it has nothing of interest to me at least.  

 

5- A  continuación le toca el turno a las filas, por lo que borro desde la fila 2 hasta la fila 250. Lo que sucede es que todas estas filas se quedan vacías al realizar el paso 4. A partir de la fila  251 viene el resultado de los sistemas escaneados.

5 – Then it is the turn to clean rows for which I delete rows from row 2 to row 250. What happens is that all these rows are empty when you perform step 4. At row 251 starts the result of the scan.

 

6- Al realizar los pasos 4 y 5 la información del escaneo queda a partir de la columna A, línea 2 y podemos empezar a trabajar en el informe :)

6 – Due to perform steps 4 and 5 now the scan information starts at from column A, row 2 and we can start working on the report :)

 

Este procedimiento tan simple nos salvara un montón de horas y agilizará la creación de los informes. Excel es una fantástica herramienta para analizar y filtrar información que podemos utilizar para nuestras auditorías.

This simple procedure saves us a lot of hours and speeds up the creation of reports. Excel is a fantastic tool to analyze and filter information that we can use for our audits.

Como he mencionado antes pueden existir otras columnas y filas que seguramente debamos borrar ya que no tienen datos de interés pero eso lo veremos con la práctica. Yo personalmente realizo más pasos que no detallo ;)

Tienes algún truco o herramienta para los informes de nessus?

As I mentioned earlier there may be other columns and rows that we should probably delete because it has no data of interest but we will decide that with practice. I personally do more steps that I’m not detailing ;)

Do you have other tricks or tools for nessus reports?

— Simon Roses Femerling

Posted in Pentest, Security | Tagged , | Leave a comment

Easy Root Android

Posted on November 3, 2010 by Simon Roses

El otro día navegando por la red encontré una solución simple y elegante para rootear el teléfono Android sin tener que cambiar la rom o cosas raras que se pueden leer en algunos foros. El programa en cuestión se llama SuperOneClick y lo utilicé para rootear mi Nexus One, el mejor teléfono Android del mercado :)

The other surfing the web I found an easy solution for rooting Android phone without having to change the rom or weird things that can be read in some forums. The program in question is called SuperOneClick and I did use it to root my Nexus One, the best Android phone on the market :)

Rootear el teléfono es importante si queremos tener derechos de administrador, Android es un sistema Linux, para poder instalar aplicaciones que necesitan privilegios o cualquier cosa que queramos hacer que ya os iré contado en futuros post ;)

Root the phone is important if we want to have administrator privileges, Android is a Linux system at the end, to install applications that require privileges or anything else that we want to do, more on that on future posts ;)

A continuación expongo un screenshot de SuperOneCLick que basta que tengamos conectado el teléfono al ordenador mediante Android SDK, y pulsar el botón Root y pasado unos segundos nuestro teléfono tendrá una nueva aplicación instalada y con permisos de administrador.

Below is a screenshot of SuperOneCLick in action to use it we need to have the phone connected to the computer using the Android SDK, and click Root button and after few seconds our phone will have a new application installed and with administrator permissions.

Otra función interesante es el botón Shell Root que instala una shell con privilegios de administrador de forma temporal para usos más avanzados como extraer aplicaciones del teléfono entre otras cosas.

Another interesting feature is the Root Shell button that installs a temporary shell for more advanced uses like extracting phone internal apps among other things.

Si el proceso salió bien tendremos un nuevo icono en el desktop del teléfono con el nombre de Superusuario como se puede ver la imagen. Y este screenshot fue tomado con la aplicación “screenshot” que necesita root.

If the process went well we have a new icon on the desktop phone with admin privileges called superuser as you can see in the image. And this screenshot was taken with the “screenshot” application that requires root. 

Vale confieso soy un fan de la ciencia ficción :)

Enlace a SuperOneClick

Alguna otra forma interesante de rootear Android?

Ok I confess I’m a huge fan of science fiction :)

SuperOneClick Link

Do you know another cool way to root Android?

Mas informacion / More Info:

— Simon Roses Femerling

Posted in Technology | Tagged , , | Leave a comment

Computer Security & Trading: Side by Side

Posted on October 27, 2010 by Simon Roses

Dos áreas que me interesan son la Seguridad Informática, ya conocido por mis lectores,  y el mundo de los negocios, especialmente el Trading. Lo interesante es el gran parecido que ambos tienen, para bien o para mal, y que compararé a continuación.

Two areas that interest me are Computer Security, already known for my readers, and the business world, especially Trading. The interesting thing is the strong resemblance which both areas have for good or bad that I compare below

Riesgo: Ambos mundos tienen el concepto de gestión del riesgo. Aunque en el Trading funciona y sirve para no quedarte arruinado y se conoce como Money Management, en Seguridad Informática aún falta por averiguar si realmente tiene futuro y para qué sirve.

Risk: Both worlds have the concept of risk management. Although in Trading it works and serves to not get ruined and is known as Money Management, in Computer Security is not clear yet whether it works or what to be used for.

Herramientas: Hoy en día existen potentes plataformas de Trading que permiten escribir tus propios scripts para automatizar tareas, realizar compras/ventas, etc.  En ambos mundos si no sabes programar estás limitado.

Tools: Today there are powerful Trading platforms that allow you to write your own scripts to automate tasks, perform sales/purchases, etc.  In both worlds if you don’t know programming you are limited.

Sistemas: En el mundo de la Seguridad Informática contamos con años de sistemas automáticos (casi) como IDS, IPS, Honeypots, etc. En el Trading desde hace pocos años han irrumpido las máquinas de alta frecuencia (HFT) que han cambiado las reglas del juego acelerando las oportunidades y son capaces de realizar acciones de compra/venta e incluso ataques contra otras máquinas, sería el equivalente a IDS y honeypots.

Systems: In the world of Computer Security we have years of automated systems (almost) such as IDS, IPS, honeypots, etc. In Trading for the past few years’ machines using High Frequency Trading (HFT) have irrupted and have changed the rules of the game accelerating opportunities and are able to perform actions buy/sell and even perform attacks on other machines, it would be the equivalent of IDS and honeypots.

Estrategias: Una buena estrategia es el camino al éxito. Ambos mundos requieren de meticulosas estrategias ofensivas y defensivas para conseguir los objetivos.

Strategies: A good strategy is the way to success. Both worlds require meticulous offensive and defensive strategies to achieve the objectives.

Productos, Servicios y Personas: Como no podía ser de otra forma ambos mundos tienen multitud de productos y servicios dudosos y malos (snake oil), además de mucho supuesto profesional que no sabe lo que hace.  Todos hemos oído hablar de los Warrants, la caída de los grandes bancos de inversión, etc.

Products, Services and People: As it could not be otherwise both worlds have many products and services doubtful and bad (snake oil), plus many supposed professionals (wannabes) who does not know what they do.  We have all heard about Warrants, the fall of the big investment  banks, etc.

 Visualización: Juega un papel vital para analizar información en ambos mundos y que debemos ser capaces de usar analíticamente.  En el Trading el arte de las Velas Japonesas es nuestro aliado.

Visualization: Plays a vital role to analyze information in both worlds and we must be able to use it analytically. The Art of the Japanese Candles is our ally in Trading.

Como hemos podido apreciar ambos mundos (Seguridad Informática y el Trading) son muy parecidos aunque cada uno con sus peculiaridades lógicamente.

¿Tienes alguna otra comparativa con el mundo de Seguridad Informática?

As we have seen both worlds (Computer Security and Trading) are very similar but each one with its own things logically.

Do you have any other comparison with the world of Computer Security?

— Simon Roses Femerling

Posted in Business, Economics, Security | Tagged , , | 1 Comment

Marketing Failure Series: Google Campaign using Internet Explorer

Posted on October 14, 2010 by Simon Roses

El pasado fin de semana de camino a Mallorca en la revista del avión me encontré con un anuncio de Google sobre AdWorks pero lo curioso, y que podéis apreciar en la foto, es que utilizan Internet Explorer en vez de Chrome, aunque no me extraña :)

Desde luego un fallo garrafal del departamento de marketing de Google…

Last weekend on my way to Majorca on the plane magazine  I did found a Google ad about AdWorks but the odd thing, as you can see in the photo is that they use Internet Explorer instead of Chrome, although I’m not surprised :)

A big mistake from Google marketing department…

— Simon Roses Femerling

Posted in Business, Technology | Tagged , | Leave a comment

The Raise of Tablet Wars

Posted on October 6, 2010 by Simon Roses

El concepto de tablet existe desde hace tiempo aunque no ha sido hasta este año al presentar Apple el iPad, del que llevan vendido millones, cuando ha comenzado la guerra de los tablets entre las grandes del sector: Apple, Dell, HP, Samsung, Viliv, MSI, RIM, e incluso supuestamente Google y compañías menos conocidas: ExoPC o Netbook Navigator.

The Tablet concept has existed for a long time although it was not until this year when Apple introduced the iPad, which have sold millions so far, when the war of tablets between the big players started: Apple, Dell, HP, Samsung, Viliv, MSI, RIM, and even Google supposedly and lesser known companies: ExoPC or NetBook Navigator.

Como consumidor de tecnología y conocedor de este mundo :) francamente estoy decepcionado con la cantidad de tablets que se están sacando al mercado con unas características pésimas y unos precios abusivos. Todavía no he visto ningún tablet que diga: vaya maravilla!

As a consumer of technology and knowledgeable of this world :) I’m frankly so disappointed with the amount of tablets that are flooding the market with bad characteristics and abusive prices. I have not yet seen any tablet that I say: it rocks!

Analizando el iPad, que es el líder del mercado, lógicamente tiene sus cosas buenas como son una magnifica pantalla táctil y nitidez, es ligero, tamaño apropiado y tiene GPS. Pero igualmente tiene algunas carencias importantes como son faltas de puertos USB y cámara. En mi opinión un producto que no está a la altura del precio pero lo mismo sucede con la mayoría de tablets del mercado. Mi consejo es tener cuidado con lo que compramos ya que nos están imponiendo productos que no están cumpliendo las expectativas.

Analyzing the iPad, which is the market leader, obviously has its good things as the great touch screen and sharpness, is lightweight, appropriate form size and has GPS. But also has some major shortcomings such as the lacking of camera and USB ports. I believe the product is not value to the price but the same applies to the majority of tablets on the market. My advice is to be careful with what you buy since they are imposing products that are not meeting expectations (value for money).

 Cómo sería mi tablet ideal?

  • Tamaño 10 pulgadas
  • Procesador a partir de un 1GHz
  • 2G RAM
  • Mínimo 32G disco duro (SSD a ser posible)
  • 2-3 puertos USB
  • Cámara (Estaría bien 2 cámaras: delante y detrás)
  • Wifi y bluetooth (aunque no suelo usar bluetooth)
  • GPS
  • 3G (podría ser opcional o en modelos de gama superior)
  • Salida VGA o HDMI
  • Sistema Operativo: alguno de mis 3 favoritos: Windows 7, Ubuntu o Android
  • Me falta algo???? :)

How my ideal tablet would be?

  • Size 10 inches
  • Processor on a 1 GHz at least
  • 2G RAM
  • Minimum 32G hard drive (SSD if possible)
  • 2-3 USB ports
  • Camera (would be nice to have 2 cameras: front and rear)
  • Wifi and Bluetooth (although I don’t use Bluetooth)
  • GPS
  • 3G (could be optional or top range models)
  • Output VGA or HDMI
  • Operating system: Anyone of my 3 favorites: Windows 7, Ubuntu or Android
  • Am I missing something??? :)

¿Existe un tablet como éste? He visto modelos que cumplen algunos requisitos como el ExoPC pero no todos… Personalmente estaría dispuesto a pagar un precio más alto por un tablet con esas características y creo que mucha gente también lo haría.

Espero que los consumidores nos pongamos más duros y obliguemos a los fabricantes a sacar tablets que realmente cumplan nuestras expectativas!! No queremos productos baratos pero sí buenos.

¿Cuál es el tablet de tus sueños? ¿Existe?

Is there a tablet like this? I have seen models that meet certain requirements such as the ExoPC but not all of them… I would personally be willing to pay a higher price for a tablet with these features and I think that many people would as well.

I hope we, the consumers, force harder and compel manufacturers to take tablets that actually met our expectations! We do not want cheap products but good products.  

What is the tablet of your dreams? Does it exist?

— Simon Roses Femerling

Posted in Business, Technology | Tagged | Leave a comment

Stuxnet Worm: Art of Cyber Warfare

Posted on September 29, 2010 by Simon Roses

Aunque el gusano Stuxnet lleva tiempo en funcionamiento pero es en septiembre cuando ha saltado en los medios de comunicación debido a su complejidad y su uso como arma moderna en ciberguerra.

Although Stuxnet worm has been around for some time is in September when it has jumped in the media due to its complexity and its use as modern weapon in cyber warfare.

Existe mucha especulación sobre este gusano y posiblemente nunca obtengamos las respuestas, pero no cabe duda que esta formidable arma ha sido diseñada posiblemente por algún Estado nación con amplios recursos y conocimientos. Me es realmente imposible aceptar que haya sido escrito por algún individuo o algún grupo de hackers al azar.

There is much speculation about this worm and possibly we will never get the answers, but there is no doubt that this formidable weapon was engineered possibly by any Nation-state with extensive resources and expertise. I can’t accept that it has been written by an individual or a group of hackers at random.

Composición de Stuxnet / Stuxnet Composition

 

Stuxnet Worm

Si analizamos el gráfico vemos la tremenda complejidad del gusano y que ha requerido amplios conocimientos de desarrollo, diversos exploits 0day, uso de una contraseña en sistemas SCADA de Siemens prácticamente desconocida,  utilización de P2P para actualizarse de forma automática, utilización de C&C para comunicarse y recibir órdenes, empleo de certificados digitales válidos para pasar desapercibido, un potente rootkit que modifica sistemas SCADA, etc. Desde luego no es el típico gusano ;)

If we look at the chart we can see the tremendous complexity of the worm which has required extensive knowledge development, various 0day exploits, use of a password in Siemens SCADA systems virtually unknown, use of P2P to update automatically, use of C&C to communicate and receive orders, use of valid digital certificates to be unnoticed, a powerful rootkit that modifies SCADA systems, etc. For sure isn’t your typical worm ;)

Desde el Microsoft Malware Protection Center han publicado que el país más atacado por este gusano es Irán, “que da la causalidad” que se encuentran en pleno desarrollo de su programa nuclear en contra de la opinión pública y de muchos países del primer mundo con conocidas capacidades de ciberguerra. No entrare a especular quien ha sido pero tenemos varios sospechosos habituales ;)

Microsoft Malware Protection Center have published that the country most attacked by this worm is Iran, “which gives the causality” that are in full development of their nuclear program against public opinion and many countries of the first world with known cyber warfare capabilities. I will not speculate who has been but we have several suspects ;)

Un claro ejemplo del elaborado plan es la infección a través de USB de la central nuclear de Irán, permitiendo al gusano llegar a redes generalmente aisladas como las SCADA y evitar diversos mecanismos de seguridad y sabemos que este vector de ataque funciona de maravilla.

A clear example of the elaborate plan is the infection via USB of the nuclear plant in Iran, allowing the worm to reach generally isolated SCADA networks and to avoid various security mechanisms and we know that this attack vector works perfectly.

Podemos concluir que Stuxnet es un ejemplo real de una poderosa arma para operaciones de ciberguerra desarrollada por algún Estado nación con amplios recursos y que ha dado una buena lección al mundo sobre sus capacidades ofensivas.

Aprovecho para pedir a mis lectores que si tienen copia de este gusano me lo hagan llegar, por favor :)

¿Y cuál es tu opinión sobre el uso de sofisticados gusanos para operaciones de ciberguerra?

We can conclude that Stuxnet is an actual example of a powerful weapon for cyber warfare operations developed by some Nation-state with extensive resources and have giving a good lesson to the world about their offensive capabilities.

I take this opportunity to ask my readers if they have a copy of this worm to send it to me, please :)

And what is your opinion on the use of sophisticated worms for cyber warfare operations?

Enlaces / Links

— Simon Roses Femerling

Posted in Security | Tagged , , , , , , | Leave a comment

SOURCE BARCELONA WAS A BLAST

Posted on September 27, 2010 by Simon Roses

La semana pasada se celebró la segunda edición de SOURCE BARCELONA y tengo que decir que fue una pasada  :)  La conferencia es pequeña con un toque casi familiar, lo que permite interactuar con los ponentes y asistentes a un nivel personal y acabar ciegos  ;)  Asistió gente de Europa, EE.UU y Asia, por lo que no está nada mal la mezcla y la cantidad de empresas importantes del sector que estaban allí representadas creando un evento de calidad.

Last week the second edition of SOURCE BARCELONA was held and I must say that was a blast  :)  the conference is small with an almost family touch allowing you to interact with speakers and attendees at a personal level and end up wasted  ;)  It was attended by people from Europe, USA and Asia and the quantity of important companies in the sector who were there represented created a quality event.

Las charlas estuvieron muy interesantes combinando tecnología y negocios con el mundo de la seguridad. En breve se publicarán las presentaciones y videos que no os deberíais perder!

The talks were very interesting combining technology and business with the world of security. In short they will publish the talks and videos that you should not miss!

Personalmente lo que más me gusta es el nivel de “colegueo” que se respira por la conferencia y que puedes hablar con todo el mundo sin ningún problema. Y por supuesto unas buenas marchas nocturnas explorando Barcelona!! (como un amigo que era el rey de la pista en el icebar, tú sabes quién eres ;)

Personally what I like most is the level of friendship that breathes at the Conference and that you can talk to everyone without any problem. And of course a few good nighttime parties while exploring Barcelona! (as a friend who was the King at the dance floor in the icebar, you know who you are ;)

Los asistentes valoran esta conferencia como una de las mejores a las que han ido y eso lo dice todo!!! El año que viene SOURCE celebra 3 congresos (Boston, Seattle y Barcelona) que recomiendo asistir a todos.

Hasta la próxima ;)

Attendees appreciate this Conference as one of the finest that they have gone and that says it all! The coming year SOURCE celebrates 3 Conference (Boston, Seattle, and Barcelona) I recommend everyone to attend.

Until the next one ;)

— Simon Roses Femerling

Posted in Business, Conference, Security | Tagged , | Leave a comment

Book Review: La Inteligencia como Disciplina Científica

Posted on September 17, 2010 by Simon Roses

Esta obra es una recopilación de artículos y presentaciones del Primer Congreso de Inteligencia celebrado en Madrid en octubre de 2008 por diversos autores. La recopilación a cargo de Fernando Velasco, Diego Navarro y Rubén Arcos se titula “La Inteligencia como Disciplina Científica” (ISBN 978-84-92751-67-9).

Sorry but the book is in Spanish only.

This book is a compilation of articles and presentations of the First Intelligence Congress held in Madrid on October 2008 by various authors. Book gathering was carried out by Fernando Velasco, Diego Navarro and Rubén Arcos and is entitled “The intelligence as a Disciplinary Science” (ISBN 978-84-92751-67-9). Original title “La Inteligencia como Disciplina Científica

A pesar de un ser un libro con partes densas (580 pág.) cubre los temas relacionados con las comunidades de inteligencia (CIA, CNI, MI5, etc.), recogida de información (OSINT, HUMINT, TECHINT, etc.), terrorismo, etc. de forma interesante y actual. La recopilación se compone de 6 áreas que son:

  • Primera sección: Inteligencia: Conceptos y Metodología
  • Segunda sección: Tipos de Inteligencia
  • Tercera sección: Inteligencia y Seguridad
  • Cuarta sección: Historia e Inteligencia
  • Quinta sección: Marco Jurídico
  • Sexta sección: Terrorismo

In spite of being a book with dense parts (580 pages), covers topics related to the intelligence communities (CIA, CNI, MI5, etc.), information gathering (OSINT, HUMINT, TECHINT, etc.), terrorism, etc. from an interesting and current angle. The collection consists of 6 areas which are:

  • First section: Intelligence: Concepts and Methodology
  • Second section: Types of Intelligence
  • Third section: Intelligence and Security
  • Fourth section: History and Intelligence
  • Fifth section: Legal Framework
  • Sixth section: Terrorism

Cada sección recoge diversos trabajos presentados en el congreso tanto por académicos como profesionales del sector aportando una gran calidad y realismo a la obra. Aunque confieso que algunos artículos no son de mi interés pero seguro que lo son para otras personas. En la variedad está el gusto :)

Each section contains various papers presented at the Congress by scholars and professionals in the sector providing a high quality and realism to the work. Although I must admit that some articles are not of interest to me, but for sure that they are for other people. Beauty is in the eye of the beholder :)

Algunos de los artículos que me han gustado son:

  • Primera sección: “Errores de Inteligencia, Fallos y errores en el ámbito de Inteligencia” y “La pieza clave de Inteligencia: el analista”.
  • Segunda sección: “Hacia la organización inteligente: Diseño de un sistema de inteligencia competitiva en una empresa de base tecnológica”
  • Tercera sección: “Inmigración e Inteligencia”, “Un nuevo reto de la sociedad internacional del siglo XXI: el crimen transnacional”, “La privatización de la inteligencia” y “La colaboración con expertos externos en el análisis de inteligencia”.
  • Cuarta sección: “Laundered archives: las fuentes primarias para el estudio del servicio secreto británico en España durante la Primera Guerra Mundial”, “Neutralidad violada. La actividad de los servicios militares franceses en España durante la Primera Guerra Mundial (1914-1918)”, “Protección de la información industrial: el gremio de los vidrieros venecianos” y “Historia de las estructuras de la inteligencia e información de la República Islámica de Irán”.
  • Quinta sección: “El control de los servicios de inteligencia en los Estados democráticos”.
  • Sexta sección: “Análisis masivo de datos y lucha antiterrorista”, “Cibercrimen y ciberterrorismo: dos amenazas emergentes en un contexto global”, “La economía del terrorismo yihadista: problemas de investigación” y “Osama Bin Laden: bibliografía en castellano”.

Above is a list of articles I did enjoyed but unfortunately I’m not going to translate them not to lose context.

A pesar de tener varios artículos no interesantes (para mi) o pesados de leer, en mi opinión una lectura recomendada para los interesados en inteligencia o algunos de los temas de las secciones.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Rosas (Lectura recomendada)

Licencia para matar leer…

In spite of having a bunch of not interesting  articles (for me at least) or some heavy reading, in my opinion a recommended reading for those interested in intelligence or any topic from the sections.

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Read)

License to kill read….

— Simon Roses Femerling

Posted in Books, Conference, Security | Tagged , , | Leave a comment

Software Security Development Framework: Survival Guide

Posted on September 8, 2010 by Simon Roses

La seguridad en el ciclo de desarrollo de aplicaciones ya no es opcional, tiene que ser considerada como un elemento vital y crítico para cualquier tipo de producto ya sea una aplicación web, móvil, cliente, etc. sin ningún tipo de excusa.

Security in application development lifecycle is not optional, it has to be regarded as a vital and critical part of the development process to any kind of product either an application web, mobile, client, etc. without any excuse.

Es frecuente oír en la industria lo difícil y costoso que es aplicar seguridad en el desarrollo y muchas compañías lo utilizan como excusa para producir productos de baja calidad, que lo único que hace es perjudicar a la industria del software y todavía más a sus clientes exponiéndoles a los peligros de Internet.

It is common to hear in the industry how difficult and expensive is to apply security in the development process and many companies use it as an excuse to produce products of low quality, which makes it prejudicial to the software industry, and even more to customers exposing them to online dangers

Por supuesto que requiere un esfuerzo, dedicación, gasta recursos, modifica los paradigmas de desarrollo y además tiene un precio. Pero los verdaderos problemas son otros que parece que muy pocos entienden o quieren ver como son la falta de conocimientos en la materia o foco en el beneficio en vez del cliente.

Of course it requires effort, dedication, spends resources, modifies development paradigms and has a price tag. But the real problems are others that very few understand or want to see as the lack of knowledge in security development or focus on the revenue instead of the customer.

A continuación pongo una serie de puntos a modo de guía de supervivencia que debemos tener en cuenta a la hora de meternos en esta odisea.

  1. Decisión: Existen 4 marcos principales de seguridad en el desarrollo que las compañías pueden utilizar como son el SDL de Microsoft, CLASP de OWASP, Touchpoints de Cigital y el BSIMM como punto de partida. Debemos escoger el que mejor se adapte a nuestras necesidades y no al revés.  No “Copy&Paste” de un marco sino adáptalo a ti.
  2. Selectivo: No es necesario aplicar el marco entero, solo seleccionar aquellas partes que nos interesen rebajando el tiempo de implantación y su coste. Por ejemplo Microsoft tiene 3 variantes: SDL para productos, SDL-LOB para aplicaciones de negocio y SDL-Agile para programación agile.
  3. Expertos: Si no tenemos las habilidades en casa debemos buscar ayuda fuera, aunque tenemos que tener cuidado ya que en el fondo muy poca gente tiene experiencia en este campo. Un punto de partida pueden ser las empresas que se han certificado en el SDL de Microsoft. Es conveniente contratar o formar a nuestro personal en este proceso de seguridad para tenerlo en casa.
  4. Formación: Una buena formación es el camino al éxito. Ofrecer diversos cursos de formación en función de la audiencia y los conocimientos que queremos que nuestros equipos obtengan. Existen diversas certificaciones que nos pueden ayudar como CSSLP del ISC2 y las certificaciones de desarrollo seguro de SANS.
  5. Paciencia: Microsoft es sin duda el líder en desarrollo seguro como se puede apreciar en estos últimos años (2008-2009), pero tenemos que tener en cuenta que llevan trabajando en este tema desde 2002 y con amplios recursos (humanos y económicos). Seguramente nosotros seremos más modestos que Microsoft, por lo que debemos ser más listos y eficientes.
  6. Realidad: Nuestro producto ganará en calidad pero en ningún momento debemos pensar que seremos capaces de evitar 100% los fallos de seguridad. El SDL de Microsoft lo define perfectamente: evitar todos los fallos posibles y mitigar aquellos que se escapen mediante otros mecanismos de seguridad (antivirus, cortafuegos, autenticación, criptografía, etc…).
  7. Unión: Debemos proteger la infraestructura y las aplicaciones (desarrollo) dentro de nuestra estrategia de seguridad. Por lo tanto estas 2 áreas están estrechamente ligadas y deben trabajar juntas sin ningún tipo de excusa. La seguridad es responsabilidad de todos en la organización.
  8. Sin Escape: Aplicar la seguridad tanto si desarrollamos en casa como si esta externalizado. En caso de externalización deberíamos aplicarles nuestros estándares de calidad.  Igualmente si compramos productos de terceros debemos tener ciertas garantías que han seguido un proceso de desarrollo seguro.
  9. Evolución: Esto es un proceso y en continua evolución. Nuestro marco de seguridad no debe ser estático sino que debe adaptarse a los tiempos: tecnología, procesos y personas.
  10. Respuesta: Debemos estar preparados para lo peor por lo que es conveniente tener un plan de respuesta en caso de inseguridad en nuestra aplicación que contemple quien debe estar involucrado, como manejar la situación, comunicación, etc.

I have put a series of points as a survival guide that we must take into account to get involved in this odyssey.

  1. Decision: There are 4 main security development frameworks that companies can use such as the Microsoft SDL, OWASP CLASP, Cigital Touchpoints and BSIMM are good starting point.  You should choose the best that fits your needs and not vice versa. Do not “Copy & paste” a framework but adapt it to yourself.
  2. Selective: No need to apply the entire; select only those parts that interest you to lowering deployment time and cost. For example Microsoft has 3 variants: SDL from products, SDL-LOB for business applications and SDL-agile for agile development.
  3. Subject Matter Experts: If we don’t have the skills in-house, we must seek help out but we must be careful because there are basically few people who have experience in this field. A starting point may be companies that have been certified in the Microsoft SDL. It is advisable to hire or train folks in-house to educate them in the security process.
  4. Training: Good training is the way to success. Offer various security courses depending on the audience and teach the knowledge that we want our staff to obtain. There are various certifications that can help us as the ISC2 CSSLP and SANS secure development certifications.
  5. Patience: Microsoft is undoubtedly the leader in secure development as seen in recent years (2009 – 2010) but we have to take into account that they been working on this subject since 2002 with extensive resources (human and financial). We will certainly be more modest than Microsoft so we must be smart and more efficient.
  6. Reality: Our product will win in quality but at any time we have to think we will not be able to achieve 100% security. Microsoft SDL defines it perfectly: avoid all possible failures and mitigate those that slip through other security mechanisms (anti-virus, firewall, authentication, cryptography, etc…).
  7. Union: We must protect the infrastructure and applications (development) within our security strategy. Therefore these 2 areas are closely linked and must work together without any excuse. Security is the responsibility of the entire organization.
  8. No escape: Apply security in the develop lifecycle in-house, same as if externalized. Our quality standards should apply in the case of outsourcing.  Also if we buy third party products we must have certain guarantees that they have followed a secure development process.
  9. Evolution: This is a process in constant evolution. Our security framework should not be static but it must change with the times: technology, processes and people.
  10. Response: We must be prepared for the worst so it is convenient to have a response plan in case of a security compromise in our application that includes who should be involved, how to handle the situation, communication, etc.

Este tema es muy amplio pero espero que el post ayude a enfocar la dirección y seas capaz de implantar un proceso adecuado para tu organización.

¿En qué situación se encuentra tu organización (perdidos, inicio, en desarrollo, implantado) y éxito o fracaso?

This topic is very broad, but I hope the post helps focus in the right direction and you’re able to implement an appropriate process for your organization.

What’s the current status in your organization (completely lost, starting, in progress, implanted) and success or failure?

— Simon Roses Femerling

Posted in Microsoft, OWASP, SDL, Security, Threat Modeling | Tagged , , , , | Leave a comment