Book Review: Conquest in Cyberspace, Information Warfare

Posted on August 31, 2010 by Simon Roses

Aprovechando el verano me he dedicado a leer algunos libros y a continuación os pongo el review de este libro sobre ciberguerra. El libro se titula “Conquest in Cyberspace, National Security and Information Warfare” (ISBN-13 978-0-511-28535-6, formato eBook (EBL)) del autor Martin C. Libicki, analista de la RAND Corporation.

Taking advantage of the summer I’ve been devoted to read some books and here is the review of one of them on cyberwar. The book is entitled “Conquest in Cyberspace, National Security and Information Warfare” (ISBN-13 978-0-511-28535-6, eBook (EBL) format) by Martin C. Libicki, senior policy analyst of the RAND Corporation.

Como el nombre indica la obra trata sobre guerra en el ciberespacio y sistemas de información, un tema tan de moda hoy en día, compuesta por 11 capítulos y anexos sobre la materia como conquistas, reflexiones, peligros, etc.

As the name indicates the work is about war in cyberspace and information systems, a hot topic these days, composed of 11 chapters and annexes concerning conquests, reflections, risks, etc.

A pesar de ser un tema interesante y del potencial de autor proviniendo de la RAND el libro se hace pesado de leer y no aporta novedades en la materia. Una lástima que un libro como este se haya quedado en poca cosa.

Despite of being an interesting topic and author potential coming from the RAND the book becomes boring reading and do not provides anything new. A pity such a book has become insignificant.

Además el libro contiene diversos errores de concepto en seguridad informática y describe ataques demasiados antiguos para ser una obra del 2007 perjudicando la calidad de la obra aún más.

Furthermore the book contains various errors in computer security concepts and describes attacks too old to be a work of 2007 harming the quality of the work even more.

Soy de la opinión que leer un libro nunca es perder el tiempo por malo que sea y lo mismo pienso de esta obra, aunque desde luego no es libro que vaya a recomendar existiendo obras mejores que ya iré comentando.

 Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 2 Rosas (Lectura poco recomendada)

I think that reading a book is never a loss of time and the same I think of this work although certainly I would not recommend this book as there are better books on the subject that I will cover.

 Score (1 pink, very bad / 5 roses, very good): 2 Roses (Not recommended)

— Simon Roses Femerling

Posted in Books, Security, Technology | Tagged , , , | Leave a comment

Viva Las Vegas

Posted on July 26, 2010 by Simon Roses

Estimados lectores disculpad que no haya actualizado el blog en unos días pero llevo una semana de gira por los EE.UU, la semana pasada en Seattle y esta semana en Las Vegas para asistir al congreso Blackhat :)

Dear readers apologies for not updated the blog in a few days but I’m currently on U.S. tour, Seattle last week and this week in Las Vegas to attending Blackhat :)

No os preocupéis que a mi vuelta volveré a escribir de forma habitual y os contare las novedades del congreso!

Un saludo,

Not worries as on my return I will be back to write regularly and tell you the latest news from the event!

Best regards,

— Simon Roses Femerling

Posted in Conference, Security | Tagged , , | Leave a comment

NSA WANTS YOUR CRITICAL INFRAESTRUCTURE NETWORK

Posted on July 13, 2010 by Simon Roses

El Wall Street Journal ha publicado una interesante pero inquietante noticia sobre un programa de la NSA (agencia nacional de seguridad americana) llamado “Perfect Citizen” que consiste en identificar ciber ataques a las infraestructuras criticas (CI) de los EE.UU. mediante la instalación de dispositivos de red (sensores) en las compañías privadas que operan estas infraestructuras.

The Wall Street Journal has published an interesting but troubling article about NSA (US national security agency) program called “Perfect Citizen” to identify cyber-attacks on US critical infrastructure (IC) by installing network devices (sensors) on private companies networks that operate these infrastructures.

La implantación de estos dispositivos de vigilancia estará a cargo de Raytheon, una compañía privada y uno de los principales contratistas de defensa del país, que acaba de ganar un concurso clasificado valorado en 100 millones de dólares.

The deployment of these surveillance devices will be in charge of Raytheon, a private company and one of the main defense contractors in the US, as they just won a classified contest valued at 100 million USD.

No me puedo imaginar que las compañías privadas estén demasiado contentas con que una compañía privada, Raytheon, y la NSA instalen dispositivos de red en sus redes de infraestructuras críticas.

I cannot imagine that private companies are too happy with a private company, Raytheon, and NSA installing network devices in their critical infrastructure networks.

Algunas preguntas que se me vienen  a la cabeza:

  • ¿Qué hacen exactamente estos dispositivos?
  • ¿Quién los gestiona y cómo?
  • ¿Las compañías tendrán pleno y libre acceso a estos dispositivos y conocerán todo su contenido (aplicaciones, capacidades etc.)?
  • ¿Qué sucederá cuando unos de estos sensores sea comprometido (0wn) y subvertido?
  • ¿Correrán Linux, Windows, BSD u otro sistema?
  • ¿Quién asume los gastos?
  • Etc…

Some questions that comes to mind:

  • What exactly do these devices do?
  • Who manages them and how?
  • Will Companies have full and free access to these devices, and know everything about them (applications, features, etc.)?
  • What happens when one of these sensors is 0wnned and subverted?
  • Will be Linux, Windows, BSD, or another system?
  • Who assumes the costs?
  • Etc…

Desde luego que este programa “Perfect Citizen” daría un acceso a información crítica a la NSA sin precedentes (aunque la pudieran conseguir de otras formas ;) Ahora las empresas privadas americanas no se tienen que preocupar de los ataques chinos, para eso ya está la NSA instalando sensores en sus jardines…

“Perfect Citizen” would give access to a vast of critical information to the NSA as never seen before (although they could achieved it in other ways ;) Now American private companies do not have to worry about Chinese attacks, they already have NSA installing sensors in their backyards…

En España contamos con el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), organismo público encargado de la seguridad de las infraestructuras críticas del país que se creó en el 2007.

In Spain we have the National Center for the Protection of Critical Infrastructures (CNPIC), which is a public body responsible for the security of critical infrastructures in the country created in 2007.

La CNPIC ha establecido canales de comunicaciones con las compañías privadas que controlan el 80% de las infraestructuras críticas del país y una guía sobre medidas de seguridad que deberían tener estas empresas.

The CNPIC has established communication channels to the private companies that control 80% of the critical infrastructure in the country and a guide on security measures that should adopt these companies.

Tengo que admitir que los ciber ataques a las infraestructuras críticas son un problema serio y que debemos luchar de forma conjunta entre UE y EE.UU., pero instalar sensores en estas redes y bajo una organización sin transparencia no me parece la mejor opción de defensa.

¿Y tú que piensas del programa “Perfect Citizen”?

I have to admit that cyber-attacks on critical infrastructures are a serious problem and that we must fight EU and US together but installing sensors in these networks and under an organization without transparency seem to me a bad defense approach.

And what do you think of the “Perfect Citizen” program?

— Simon Roses Femerling

Posted in Security, Technology | Tagged , , | Leave a comment

SOURCE C0NFERENCE AGENDA IS OUT!!!

Posted on July 9, 2010 by Simon Roses

Se acaba de publicar la agenda de SOURCE Barcelona para Septiembre 21 y 22. Si te interesa la seguridad y los negocios no te pierdas esta conferencia de nivel. Además co-presentare una charla sobre “contraseñas en redes corporativas” :)

Nos vemos en SOURCE BCN!

SOURCE Conference Barcelona agenda has just been published for September 21 and 22. If you are interested in security and business don’t miss this top notch conference. I will co-present a talk on “passwords in corporate networks” :)

See you in SOURCE BCN!

— Simon Roses Femerling

Posted in Conference, Security, Technology | Tagged , , , | Leave a comment

Hacking in Middle East: United Arab Emirates National Proxy Bypass

Posted on July 6, 2010 by Simon Roses

En mi reciente viaje a Dubai me encontraba en la habitación del hotel esperando a mi hermano para salir y mientras tanto el “hacker que llevo dentro” decidió jugar un poco con el proxy nacional de los Emiratos Árabes (UAE) que filtra todo el contenido considerado infiel.

On my recent trip to Dubai I was waiting at my hotel room for my brother to leave so meanwhile the “hacker in me” decided to play a little with the United Arab Emirates (UAE) national proxy that filters everything considered infidel.

Lo primero que hice fue abrir el navegador y ver si podía acceder a los buscadores, en mi caso Bing. Efectivamente esto no está censurado y además sale todo en árabe :)

First thing I did was open the browser and see if I could access search engines, Bing of course. Actually it was not censored and all text was in Arabic :)

screen1
 Procedamos con el experimento y ver hasta dónde podemos llegar. Para esta prueba hacemos una búsqueda de algo infiel ;) y efectivamente ahora nos sale un mensaje de advertencia que nuestra búsqueda ha sido bloqueada por “Surf Safely”, el proxy.

Let’s proceed with the experiment and see how far we can go. For this test we searched for something infidel ;) and now we get a warning message that our search has been blocked by “Surf Safely”, the proxy.

screen2
 Lo cierto es que saltarse el proxy es relativamente fácil y sólo me llevó cuestión de minutos dar con la clave y ya estaba surfeando la web totalmente libre ;) No entraré en detalles de cómo pero un aviso de seguridad para UAE es que deben mejorar su software de proxy y no filtrar solamente por contenido en función de un solo idioma.

The truth is that bypassing the proxy is relatively easy and only took me minutes to find the key and now I was totally free to surf the web ;) I will not go into the details on how to bypass it but a warning to UAE is that they should improve its proxy software and do not filter by content in one language only.

Además mediante un análisis de los metadatos del PDF obtenidos de la web de censura sobre lo que es infiel hemos podido obtener una cuenta de usuario que podríamos usar como vector de ataque, y que el documento se creó recientemente (abril) con Office 2007 :)

Y por cierto este hack era hacking ético por lo tanto legal según la ley (ver PDF sección 7, excepciones) }:-)

Un saludo y hasta el próximo hack en algún lugar del mundo!!

A metadata analysis of the retrieved PDF from the censorship website reveals a user name that could be used as an attack vector, and that the document was created recently (April) with Office 2007 :)

Of course this hack was ethical hacking therefore legal according to law (see PDF section 7, exemptions) }:-)

See ya and until next hack somewhere in the world!

— Simon Roses Femerling

Posted in Security, Technology | Tagged , , | Leave a comment

Book Review: Trump 101, the Way to Success

Posted on July 2, 2010 by Simon Roses

El conocido millonario, amante de la belleza y de la célebre frase “you are fired” del programa The Apprentice, Donald J. Trump ha publicado otro libro más titulado “Trump 101, The Way to Success” (ISBN 0-470-04710-0) bajo el sello de Trump University (que ahora se llama Trump Initiative), donde también se ofrecen otros interesantes libros.

Known billionaire, beauty lover and famous for the phrase “you are fired” from The Apprentice show, Donald J. Trump has published another book entitled “Trump 101, The Way to Success” (ISBN 0-470-04710-0) under the brand of Trump University (now called Trump Initiative), where you can find other interesting books as well.

Trump 101 es un libro de rápida y fácil lectura (173 pág.) donde el millonario nos relata en 33 capítulos su particular estilo de hacer negocios y entender la vida. Esto no significa que vayamos hacernos ricos siguiendo sus consejos pero siempre es interesante aprender de los maestros y desde luego que Trump conoce el mundo de los negocios a la perfección.

Trump 101 is a quick and easy read (173 pages) where millionaire tells us in 33 chapters his particular style of doing business and understanding life. This doesn’t mean that we will get rich on his advice but it is always interesting to learn from the masters and Trump knows the world of business perfectly.

El libro incluye notas de su diario donde narra las actividades de una semana en la vida de Trump, la semana que nació su hijo Barron William Trump, además de preguntas y respuestas realizadas a través de su blog en cada capítulo.

The book includes notes from his diary a glimpse into a week in the life of Trump, the week that his son Barron William Trump was born, also includes questions and answers made through his blog for each chapter.

En mi opinión una lectura obligatoria para los interesados en los negocios o como curiosidad para ver la vida de Trump desde la trinchera.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Rosas (Lectura recomendada)

In my opinion a mandatory reading for business interested or as a curiosity to view Trump life from a daily basis.

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Read)

You are fired!!!

— Simon Roses Femerling

Posted in Books, Business, Economics | Tagged , | Leave a comment

Lufthansa is the new Luftwaffe: flying hell

Posted on June 24, 2010 by Simon Roses

Ayer regrese de Dubai, donde he estado unos días de vacaciones. Mi primera opción para volar hasta allí era sin duda Lufthansa, para mí una de las mejores compañías, aunque en este viaje el avión y servicio no han estado a la altura y no volveré a volar con ellos en mucho tiempo.

Yesterday I returned from Dubai where I have been a few days on vacation. My first choice to fly there was no doubt Lufthansa, since for me is one of the best companies. But on this trip the aircraft and service have not being good at all and I will not fly again with them in a long time.

El avión (me tocó el mismo ida y vuelta, porque tenía el mismo televisor roto) un relativo moderno Boeing 747 sin On-Demand Video. Ok, puedo vivir sin ello pero me extraña que no pongan aviones más modernos entre Frankfurt y Dubai (6 horas vuelo).

The aircraft (same plane on both flights, because it had the same broken TV) a relative modern Boeing 747 without On-Demand Video. OK I can live without it, but I am surprised at not having a more modern aircraft between Frankfurt and Dubai (6 hours flight).

El regreso sí que fue peor (vuelo nocturno), ya que mi asiento no se podía reclinar (y lógicamente el de delante mía se reclinó) y mi luz de lectura tampoco funcionaba, pinta bien la cosa. Llamo a la azafata y prácticamente me dijo que “mala suerte” y que me fuera a buscar otro asiento de muy mala forma. Por suerte encontré un asiento decente porque una persona se movió, sino el vuelo hubiese sido muy pero que muy largo.

The return (overnight) was worse since my seat could not back (and logically the seat in front did) and my reading light didn’t work either, the prelude of a good fly. So I call the stewardess and virtually told me that “bad luck” and that should look around for another seat in a very rude way. Luckily I did found a decent seat because someone moved, if not the flight would have been very, very long.

Desde luego que Lufthansa ha caído en calidad de servicio muchísimo y recomiendo no volar con ellos en mucho tiempo!

Lufthansa has dropped quality of service big time and I recommend not fly with them in a long time!

— Simon Roses Femerling

Posted in Business | Tagged | Leave a comment

Book Review: Unauthorised Access

Posted on June 16, 2010 by Simon Roses

Hace poco que he terminado el libro “Unauthorised Access: Physical Penetration Testing For IT Security Teams” (ISBN 978-0-470-74761-2) del autor Will Allsopp y con una introducción del famoso Kevin Mitnick.

Recently, I have finished the book “Unauthorised Access: Physical Penetration Testing For IT Security Teams” (ISBN 978-0-470-74761-2) authored by Will Allsopp and foreword by famous Kevin Mitnick.

Este libro está enfocado a realizar Test de Intrusión (Hacking Ético) de forma profesional y basado en la experiencia del autor en la gestión de Tiger Teams en el Reino Unido (UK). La obra está compuesta por 11 capítulos y varios anexos que cubren los diferentes aspectos de un test de intrusión como la motivación, los recursos necesarios (personal, equipamiento, etc.), leyes, fases, vectores de ataque, etc.

The book is focused on how to perform professional Penetration Testing (Ethical Hacking) based on author experience in the management of Tiger Teams in the United Kingdom (UK).  The work consists of 11 chapters and several annexes covering different aspects of a penetration testing as the motivation, the resources (staff, equipment, etc.), laws, stages, attack vectors, etc.

El libro es de fácil lectura e incluye ejemplos reales del trabajo del autor. Una interesante lectura para cualquier persona que realice Test de Intrusión o departamentos de seguridad para entender la logística de los atacantes y cómo defenderse.

The book is easy to read and includes real-world examples of the work of the author. An interesting reading for anyone performing penetration testing or for security departments to understand the logistics of the attackers and how to defend themselves.

Los ejemplos del libro describen cómo el equipo del autor realizan Test de Intrusión a una Central Nuclear, una empresa química y una universidad en la cual se está desarrollado un proyecto clasificado del Gobierno Británico, además de varios ejemplos prácticos basados en la experiencia.

The book examples described as the author team perform Penetration Testing on a nuclear plant, a chemical company, and a University in which a classified project is being developed for the British Government, apart from several practical examples based on the author ‘s experience.

El libro me ha gustado, aunque como punto negativo tengo que admitir que me hubiera gustado algo más de información técnica y que los ejemplos no fueran tan obvios por regla general. Como punto a favor el autor no pierde demasiado tiempo con los primeros capítulos introductorios y enseguida pasa a la materia.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Roses (Lectura recomendada)

I’ve liked the book but as a negative comment I have to admit that I would have liked more technical information and examples that were not obvious as a general rule. A comment in favor is that the author does not waste much time with the first introductory chapters and move to the subject quickly.

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Read)

— Simon Roses Femerling

Posted in Books, Security, Technology, Wireless | Tagged , , , , , , , , | Leave a comment

You are a Virus!!

Posted on June 11, 2010 by Simon Roses

Recientemente leí una interesante noticia sobre un científico inglés que investiga la propagación de virus informáticos en los implantes electrónicos y para ello se ha infectado con un virus para ver cómo se transmite.

I recently read an interesting article about an English scientist who is investigating the spread of viruses in electronic implants and he has infected himself with a virus to see how it is transmitted.

Mediante un virus insertado en un chip RFID (identificación por radiofrecuencia) ha estudiado como el virus infectó a otros dispositivos de su alrededor durante la prueba y el potencial para infectar a otras personas con implantes.

Through a virus inserted in a chip RFID (radio frequency identification) he has studied how the virus infected other devices around him during the test and the potential to infect other persons with implants.

Desde el punto de vista de seguridad la trasmisión de virus mediante RFID es fascinante pero también preocupante, aunque al fin al cabo es simplemente otro medio de comunicación. Imagino que las casas de AntiVirus sacaran “firewall corporales” :)

From a security point of view the transmission of viruses using RFID is fascinating but also disturbing, but after all is just another means of communication. I imagine the AntiVirus houses will make “body firewall” :)

Por el lado ofensivo a medida que el Internet de los Objetos (IoT) está cada vez más introducido en nuestras vidas los virus podrían infectar toda nuestra casa o el barrio entero! Las ciberguerras en vez de atacar Infraestructuras Criticas (IC) ahora se podrían dirigir a los soldados o civiles mediante el uso de virus para dejarlos inutilizados.

On the offensive side, as the Internet of things (IoT) is increasingly introduced in our lives a virus could infect our house or the entire neighborhood! Cyber wars instead of attacking Critical Infratructures (CI) could be directed to soldiers or civilians using viruses to leave them crippled.

Está claro que ahora mismo es más fantasía que realidad pero no debemos subestimar los riesgos y la industria de seguridad debería ir preparando el terreno con medidas adecuadas y eficaces por una vez.

Y tú qué posibilidades le ves al uso de virus humanos?

It is clear that the current risk is more fantasy than reality for now but we should not underestimate the risks and the security industry should be preparing the ground with appropriate and effective measures for once.

What possibilities do you see in the use of human viruses?

 — Simon Roses Femerling

Posted in Security, Technology | Tagged , , , , , | Leave a comment

All that glitters is not gold: Google, Privacy and Wireless

Posted on May 24, 2010 by Simon Roses

Es un hecho que Google ha cambiado muchos aspectos de nuestras vidas con su fascinante tecnología disruptiva y lo que está por venir (GoogleTV, propia red fibra óptica, etc.), pero debe mejorar en los temas de seguridad y privacidad si quiere mantener su ventaja competitiva.

It is a fact that Google has changed many aspects of our lives with its fascinating disruptive technology and what is yet to come (GoogleTV, his own fiber-optic network, etc.), but it should improve security and privacy policies if they want to maintain their competitive advantage.

Varias agencias de protección de datos de países como Canadá, Francia, Alemania, Irlanda Israel, Italia, Holanda, Nueva Zelanda, España y Reino Unido han escrito una carta en conjunto para protestar frente a la actuación de Google con su nuevo servicio Buzz que han enviado al consejero delegado de la compañía, el señor Eric Schmidt.

Several data protection agencies from countries such as Canada, France, Germany, Ireland, Israel, Italy, Netherlands, New Zealand, Spain and United Kingdom have written a letter together to protest against the performance of Google with its new service Buzz that has been sent to the company CEO, Mr. Eric Schmidt.

Algunos países como Alemania están yendo más allá exigiendo cambios y restricciones en el servicio de Google Street View, que según las autoridades alemanas vulnera los derechos a la privacidad (caras, matrículas de vehículos, números de casas, etc.)

Some countries such as Germany are going even further demanding changes and constraints in the service of Google Street View since according to the German authorities the service violates the rights to privacy (faces, vehicle registrations, numbers of houses, etc.)

En los últimos días países como Alemania y España están tomando medidas contra Google por la vulneración de la privacidad que lleva años realizando con los coches Google que se conectaban a las redes wifi abiertas y que “accidentalmente” copiaban el tráfico de la red, la cantidad de información privada que Google tendrá ahora mismo debe ser una locura. A cualquier otra compañía ahora mismo la estarían crujiendo!

In recent days countries such as Germany and Spain are taking measures against Google by the violation of privacy performed with the Google car’s connecting to open wireless networks and “accidentally” copying traffic on the network done for years, the amount of private information that Google has right now I   assume has to be insane. If any other company would have done the same right now will be dead!

Sera interesante ver cómo Google responde a todos los frentes que se están abriendo. En mi opinión la compañía debe reaccionar satisfaciendo los requisitos de las partes implicadas y quizás dejar de acumular tanta información “de todo el mundo”.

Y tú qué opinas de las políticas de privacidad de Google?

It will be interesting to see how Google responds to all fronts that are opening up. In my opinion the company must react to satisfy the requirements of all stakeholders and maybe stop collecting as much information “worldwide”.

And what do you think about Google privacy policies?

— Simon Roses Femerling

Posted in Privacy, Security, Technology, Wireless | Tagged , , | Leave a comment