SOURCE BARCELONA WAS A BLAST

Posted on September 27, 2010 by Simon Roses

La semana pasada se celebró la segunda edición de SOURCE BARCELONA y tengo que decir que fue una pasada  :)  La conferencia es pequeña con un toque casi familiar, lo que permite interactuar con los ponentes y asistentes a un nivel personal y acabar ciegos  ;)  Asistió gente de Europa, EE.UU y Asia, por lo que no está nada mal la mezcla y la cantidad de empresas importantes del sector que estaban allí representadas creando un evento de calidad.

Last week the second edition of SOURCE BARCELONA was held and I must say that was a blast  :)  the conference is small with an almost family touch allowing you to interact with speakers and attendees at a personal level and end up wasted  ;)  It was attended by people from Europe, USA and Asia and the quantity of important companies in the sector who were there represented created a quality event.

Las charlas estuvieron muy interesantes combinando tecnología y negocios con el mundo de la seguridad. En breve se publicarán las presentaciones y videos que no os deberíais perder!

The talks were very interesting combining technology and business with the world of security. In short they will publish the talks and videos that you should not miss!

Personalmente lo que más me gusta es el nivel de “colegueo” que se respira por la conferencia y que puedes hablar con todo el mundo sin ningún problema. Y por supuesto unas buenas marchas nocturnas explorando Barcelona!! (como un amigo que era el rey de la pista en el icebar, tú sabes quién eres ;)

Personally what I like most is the level of friendship that breathes at the Conference and that you can talk to everyone without any problem. And of course a few good nighttime parties while exploring Barcelona! (as a friend who was the King at the dance floor in the icebar, you know who you are ;)

Los asistentes valoran esta conferencia como una de las mejores a las que han ido y eso lo dice todo!!! El año que viene SOURCE celebra 3 congresos (Boston, Seattle y Barcelona) que recomiendo asistir a todos.

Hasta la próxima ;)

Attendees appreciate this Conference as one of the finest that they have gone and that says it all! The coming year SOURCE celebrates 3 Conference (Boston, Seattle, and Barcelona) I recommend everyone to attend.

Until the next one ;)

— Simon Roses Femerling

Posted in Business, Conference, Security | Tagged , | Leave a comment

Book Review: La Inteligencia como Disciplina Científica

Posted on September 17, 2010 by Simon Roses

Esta obra es una recopilación de artículos y presentaciones del Primer Congreso de Inteligencia celebrado en Madrid en octubre de 2008 por diversos autores. La recopilación a cargo de Fernando Velasco, Diego Navarro y Rubén Arcos se titula “La Inteligencia como Disciplina Científica” (ISBN 978-84-92751-67-9).

Sorry but the book is in Spanish only.

This book is a compilation of articles and presentations of the First Intelligence Congress held in Madrid on October 2008 by various authors. Book gathering was carried out by Fernando Velasco, Diego Navarro and Rubén Arcos and is entitled “The intelligence as a Disciplinary Science” (ISBN 978-84-92751-67-9). Original title “La Inteligencia como Disciplina Científica

A pesar de un ser un libro con partes densas (580 pág.) cubre los temas relacionados con las comunidades de inteligencia (CIA, CNI, MI5, etc.), recogida de información (OSINT, HUMINT, TECHINT, etc.), terrorismo, etc. de forma interesante y actual. La recopilación se compone de 6 áreas que son:

  • Primera sección: Inteligencia: Conceptos y Metodología
  • Segunda sección: Tipos de Inteligencia
  • Tercera sección: Inteligencia y Seguridad
  • Cuarta sección: Historia e Inteligencia
  • Quinta sección: Marco Jurídico
  • Sexta sección: Terrorismo

In spite of being a book with dense parts (580 pages), covers topics related to the intelligence communities (CIA, CNI, MI5, etc.), information gathering (OSINT, HUMINT, TECHINT, etc.), terrorism, etc. from an interesting and current angle. The collection consists of 6 areas which are:

  • First section: Intelligence: Concepts and Methodology
  • Second section: Types of Intelligence
  • Third section: Intelligence and Security
  • Fourth section: History and Intelligence
  • Fifth section: Legal Framework
  • Sixth section: Terrorism

Cada sección recoge diversos trabajos presentados en el congreso tanto por académicos como profesionales del sector aportando una gran calidad y realismo a la obra. Aunque confieso que algunos artículos no son de mi interés pero seguro que lo son para otras personas. En la variedad está el gusto :)

Each section contains various papers presented at the Congress by scholars and professionals in the sector providing a high quality and realism to the work. Although I must admit that some articles are not of interest to me, but for sure that they are for other people. Beauty is in the eye of the beholder :)

Algunos de los artículos que me han gustado son:

  • Primera sección: “Errores de Inteligencia, Fallos y errores en el ámbito de Inteligencia” y “La pieza clave de Inteligencia: el analista”.
  • Segunda sección: “Hacia la organización inteligente: Diseño de un sistema de inteligencia competitiva en una empresa de base tecnológica”
  • Tercera sección: “Inmigración e Inteligencia”, “Un nuevo reto de la sociedad internacional del siglo XXI: el crimen transnacional”, “La privatización de la inteligencia” y “La colaboración con expertos externos en el análisis de inteligencia”.
  • Cuarta sección: “Laundered archives: las fuentes primarias para el estudio del servicio secreto británico en España durante la Primera Guerra Mundial”, “Neutralidad violada. La actividad de los servicios militares franceses en España durante la Primera Guerra Mundial (1914-1918)”, “Protección de la información industrial: el gremio de los vidrieros venecianos” y “Historia de las estructuras de la inteligencia e información de la República Islámica de Irán”.
  • Quinta sección: “El control de los servicios de inteligencia en los Estados democráticos”.
  • Sexta sección: “Análisis masivo de datos y lucha antiterrorista”, “Cibercrimen y ciberterrorismo: dos amenazas emergentes en un contexto global”, “La economía del terrorismo yihadista: problemas de investigación” y “Osama Bin Laden: bibliografía en castellano”.

Above is a list of articles I did enjoyed but unfortunately I’m not going to translate them not to lose context.

A pesar de tener varios artículos no interesantes (para mi) o pesados de leer, en mi opinión una lectura recomendada para los interesados en inteligencia o algunos de los temas de las secciones.

Puntación (1 rosa, muy malo / 5 rosas, muy bueno): 4 Rosas (Lectura recomendada)

Licencia para matar leer…

In spite of having a bunch of not interesting  articles (for me at least) or some heavy reading, in my opinion a recommended reading for those interested in intelligence or any topic from the sections.

Score (1 rose, very bad / 5 roses, very good): 4 Roses (Recommended Read)

License to kill read….

— Simon Roses Femerling

Posted in Books, Conference, Security | Tagged , , | Leave a comment

Software Security Development Framework: Survival Guide

Posted on September 8, 2010 by Simon Roses

La seguridad en el ciclo de desarrollo de aplicaciones ya no es opcional, tiene que ser considerada como un elemento vital y crítico para cualquier tipo de producto ya sea una aplicación web, móvil, cliente, etc. sin ningún tipo de excusa.

Security in application development lifecycle is not optional, it has to be regarded as a vital and critical part of the development process to any kind of product either an application web, mobile, client, etc. without any excuse.

Es frecuente oír en la industria lo difícil y costoso que es aplicar seguridad en el desarrollo y muchas compañías lo utilizan como excusa para producir productos de baja calidad, que lo único que hace es perjudicar a la industria del software y todavía más a sus clientes exponiéndoles a los peligros de Internet.

It is common to hear in the industry how difficult and expensive is to apply security in the development process and many companies use it as an excuse to produce products of low quality, which makes it prejudicial to the software industry, and even more to customers exposing them to online dangers

Por supuesto que requiere un esfuerzo, dedicación, gasta recursos, modifica los paradigmas de desarrollo y además tiene un precio. Pero los verdaderos problemas son otros que parece que muy pocos entienden o quieren ver como son la falta de conocimientos en la materia o foco en el beneficio en vez del cliente.

Of course it requires effort, dedication, spends resources, modifies development paradigms and has a price tag. But the real problems are others that very few understand or want to see as the lack of knowledge in security development or focus on the revenue instead of the customer.

A continuación pongo una serie de puntos a modo de guía de supervivencia que debemos tener en cuenta a la hora de meternos en esta odisea.

  1. Decisión: Existen 4 marcos principales de seguridad en el desarrollo que las compañías pueden utilizar como son el SDL de Microsoft, CLASP de OWASP, Touchpoints de Cigital y el BSIMM como punto de partida. Debemos escoger el que mejor se adapte a nuestras necesidades y no al revés.  No “Copy&Paste” de un marco sino adáptalo a ti.
  2. Selectivo: No es necesario aplicar el marco entero, solo seleccionar aquellas partes que nos interesen rebajando el tiempo de implantación y su coste. Por ejemplo Microsoft tiene 3 variantes: SDL para productos, SDL-LOB para aplicaciones de negocio y SDL-Agile para programación agile.
  3. Expertos: Si no tenemos las habilidades en casa debemos buscar ayuda fuera, aunque tenemos que tener cuidado ya que en el fondo muy poca gente tiene experiencia en este campo. Un punto de partida pueden ser las empresas que se han certificado en el SDL de Microsoft. Es conveniente contratar o formar a nuestro personal en este proceso de seguridad para tenerlo en casa.
  4. Formación: Una buena formación es el camino al éxito. Ofrecer diversos cursos de formación en función de la audiencia y los conocimientos que queremos que nuestros equipos obtengan. Existen diversas certificaciones que nos pueden ayudar como CSSLP del ISC2 y las certificaciones de desarrollo seguro de SANS.
  5. Paciencia: Microsoft es sin duda el líder en desarrollo seguro como se puede apreciar en estos últimos años (2008-2009), pero tenemos que tener en cuenta que llevan trabajando en este tema desde 2002 y con amplios recursos (humanos y económicos). Seguramente nosotros seremos más modestos que Microsoft, por lo que debemos ser más listos y eficientes.
  6. Realidad: Nuestro producto ganará en calidad pero en ningún momento debemos pensar que seremos capaces de evitar 100% los fallos de seguridad. El SDL de Microsoft lo define perfectamente: evitar todos los fallos posibles y mitigar aquellos que se escapen mediante otros mecanismos de seguridad (antivirus, cortafuegos, autenticación, criptografía, etc…).
  7. Unión: Debemos proteger la infraestructura y las aplicaciones (desarrollo) dentro de nuestra estrategia de seguridad. Por lo tanto estas 2 áreas están estrechamente ligadas y deben trabajar juntas sin ningún tipo de excusa. La seguridad es responsabilidad de todos en la organización.
  8. Sin Escape: Aplicar la seguridad tanto si desarrollamos en casa como si esta externalizado. En caso de externalización deberíamos aplicarles nuestros estándares de calidad.  Igualmente si compramos productos de terceros debemos tener ciertas garantías que han seguido un proceso de desarrollo seguro.
  9. Evolución: Esto es un proceso y en continua evolución. Nuestro marco de seguridad no debe ser estático sino que debe adaptarse a los tiempos: tecnología, procesos y personas.
  10. Respuesta: Debemos estar preparados para lo peor por lo que es conveniente tener un plan de respuesta en caso de inseguridad en nuestra aplicación que contemple quien debe estar involucrado, como manejar la situación, comunicación, etc.

I have put a series of points as a survival guide that we must take into account to get involved in this odyssey.

  1. Decision: There are 4 main security development frameworks that companies can use such as the Microsoft SDL, OWASP CLASP, Cigital Touchpoints and BSIMM are good starting point.  You should choose the best that fits your needs and not vice versa. Do not “Copy & paste” a framework but adapt it to yourself.
  2. Selective: No need to apply the entire; select only those parts that interest you to lowering deployment time and cost. For example Microsoft has 3 variants: SDL from products, SDL-LOB for business applications and SDL-agile for agile development.
  3. Subject Matter Experts: If we don’t have the skills in-house, we must seek help out but we must be careful because there are basically few people who have experience in this field. A starting point may be companies that have been certified in the Microsoft SDL. It is advisable to hire or train folks in-house to educate them in the security process.
  4. Training: Good training is the way to success. Offer various security courses depending on the audience and teach the knowledge that we want our staff to obtain. There are various certifications that can help us as the ISC2 CSSLP and SANS secure development certifications.
  5. Patience: Microsoft is undoubtedly the leader in secure development as seen in recent years (2009 – 2010) but we have to take into account that they been working on this subject since 2002 with extensive resources (human and financial). We will certainly be more modest than Microsoft so we must be smart and more efficient.
  6. Reality: Our product will win in quality but at any time we have to think we will not be able to achieve 100% security. Microsoft SDL defines it perfectly: avoid all possible failures and mitigate those that slip through other security mechanisms (anti-virus, firewall, authentication, cryptography, etc…).
  7. Union: We must protect the infrastructure and applications (development) within our security strategy. Therefore these 2 areas are closely linked and must work together without any excuse. Security is the responsibility of the entire organization.
  8. No escape: Apply security in the develop lifecycle in-house, same as if externalized. Our quality standards should apply in the case of outsourcing.  Also if we buy third party products we must have certain guarantees that they have followed a secure development process.
  9. Evolution: This is a process in constant evolution. Our security framework should not be static but it must change with the times: technology, processes and people.
  10. Response: We must be prepared for the worst so it is convenient to have a response plan in case of a security compromise in our application that includes who should be involved, how to handle the situation, communication, etc.

Este tema es muy amplio pero espero que el post ayude a enfocar la dirección y seas capaz de implantar un proceso adecuado para tu organización.

¿En qué situación se encuentra tu organización (perdidos, inicio, en desarrollo, implantado) y éxito o fracaso?

This topic is very broad, but I hope the post helps focus in the right direction and you’re able to implement an appropriate process for your organization.

What’s the current status in your organization (completely lost, starting, in progress, implanted) and success or failure?

— Simon Roses Femerling

Posted in Microsoft, OWASP, SDL, Security, Threat Modeling | Tagged , , , , | Leave a comment