All posts by Jose Quinones

Certificacions MCSA, MCT, CEH, CEI, GCIH, GPEN, RHCSA

Init6 Meeting: Internet of Things and Infosec Gamefication

Saludos a tod@s:

Proxima reunion de Init 6 será:

Fecha: 18 de septiembre de 2014

Hora:     6:00PM: Registration & Networking
6:30PM: We start!

Agenda:

  • The IoT (Internet of Things) and its Security Implications
  • InfoSec Gamification: Develop your skills with CTFs, Simulations, Scavenger Hunts, and Challanges (bring your laptop)

Lugar: Engine 4, Antiguo edificio de Goya, Bayamon PR

Register:
https://www.eventbrite.com/e/init6-meeting-the-iot-internet-of-things-and-its-implications-minictf-demo-tickets-12981964405

Recuerden que es abierto a todos y libre de costo.

 

Soluciones tecnológicas a la crisis de transportación pública

Por Jose L Quiñones (@josequinones)

El día de hoy (4/09/14) me he topado con la noticia que subirán el costo del Tren Urbano y el Metro Bus porque no generan suficientes ingresos para su operación. Esto no es nada nuevo y se veia venir, un sistema que gasta mas de lo que genera no es sostenible. En EEUU, los costos de los sistemas de tren al público suelen ser hasta un 400% mayor que en Puerto Rico, pero sus condiciones ecnómicas y servicios son mucho mejores que las nuestras.

En principio entiendo que un aumento es necesario, pero debió ser paulatino y no de golpe. ¿Recuerdan el cuento de la rana?, si hechas una rana en una olla con agua hirvieniendo, saltará inmediatamente; pero si la hechas con agua templada y subes la temperatura poco a poco terminas con un sabroso estofado de rana (a quien le guste eso).  Un aumento paulatino garatiza que la utilizacion del sistema se mantiene y por consecuencia aumentas los ingresos.  Ademas de que debieron identifcar fuentes de ingreso alterno  como tal vez un (1) centavo a la gasolina, pero antes de que griten piensen; si nos espetaron 5 centavos para pagar la deuda de carreteras y como quiera estan llenas de crateres y está en quierbra .  ¿Que es un (1) centavo para finalmente sacar los autos de la carretera?, ¿No?

Bueno, pero antes de continuar debo decir que:

  1. Soy usuario fiel del Tren Urbano, creo que ha sido de lo mejor que han hecho por este país en los últimos 20 años.
  2. No soy usuario del Metro Bus, AMA u otra transportación pública vehicular (tengo demasiadas malas experiencias de la juventud y lo evito hasta la muerte)

Pero, ¿que alternativas hay?

Olvidándonos del desastre que es el gobierno administrando fondos públicos, todavía hay muchas cosas que se podía hacer antes de ir contra el bolsillo del usuario final. Estas son mis sugerencias:

  1. Energía Solar: En la estación del Deportivo, tiene una granja de paneles solares en el área del estacionamiento. ¿Por que esto no se ha replicado en el resto de las facilidades?  ¿Por que no se instalan placas solares a través de la ruta del tren? Se que la resistencia de las lineas provoca perdida y que la corriente directa es mas susceptible a perdida, pero por lo menos unos 100 pies de paneles en cada estación en ambas direcciones deben generara bastante energía, ya hay paneles de 250 y 300 watts con 20 o 30 paneles en  las vias cercanaas a la estación pueden generar bastante energía.
  2. Energia cinética: En Japón han instalado un sistema en la escaleras de las estaciones para absorber el golpe de los usuarios y convertirlo en energía eléctrica.  También deben eliminar el uso de las escaleras eléctricas, el que no quiera o pueda que use el elevador.  Adicionalmente no se si el mismo tren utiliza la energía cinética cuando frena para generar energía, pero si no lo hacen, deberían.
  3. Comunicación: Mayor comunicación entre sistemas de transportación, si los trenes y los autobuses tiene GPS.  ¿Por que no están sincronizados? ¿Por que hay varias estructuras administrativas para atender el mismo problema? (TU, AMA, MetroBus, etc), esto es solo una barrera de comunicación para lograr una verdadera integración. La propuesta ATI es una sombrilla mas, pero no integra la operación.
  4. Apps: El Sr. Victor Ramirez ha desarrollado un App para el Tren Urbano que es buenísima, hay que desarrollar para MetroBus, AMA, etc. En una era de conectividad es insólito que aun vivimos desconectados de los servicios que el gobierno tiene la responsabilidad de atender. Si tengo la info de cuando llegará el próximo autobús, puedo planificar mejor el viaje.

Como pueden ver había mucho que se podía hacer antes de darnos el tutaso y condenar el sistema de transportación publica a la muerte lenta.

En auto me tardo 20-30 min. en llegar a mi lugar de trabajo y consumo $30 en gasolina semanal. En tren me tardo 45 min. y ahora gastaré un mino de $20 en viajes + $10 de gasolina.  La matemática NO miente así como yo habrá mucha gente que tendrá que reconsiderar el uso del Tren para moverse.

Si ustedes tienen alguna idea mas no duden en comentar …

JQ

 

Comunidades tecnologicas en PR

Por: Jose L. Quiñones (@josequinones)

Saludos,

Hace  un tiempo decidí junto a varios amigos crear una comunidad abierta de seguridad de información para compartir conocimiento y conocer gente con intereses comunes.  De ahí nace el grupo de seguridad “Init6” y la conferencia de seguridad “Security B Sides PR”.  Como consecuencia creamos Obsidis Consortia,  una entidad sin fines de lucro para promover el desarrollo de los profesionales, estudiantes y entusiastas en seguridad de información y concientizar en temas de seguridad y privacidad de información a la gente común.

Así que dos años han pasado, y en ese tiempo he conocido a muchas personas buenas con muchos deseos de promover las comunidades tecnológicas, y creo que esto es algo bueno.  Hoy día hay muchas opciones similares y otras únicas, pero mi mensaje es que no importa a que comunidad o grupo decidas unirte, aporta, produce y mejora.

Desde que estoy trabajando para la comunidad me preocupa que:

  • Hay demasiados consumidores, necesitamos productores.  Gente que decida compartir lo que saben no importa cuan pequeño aparenta ser,  NADIE SABE TODO.
  • Al buscar apoyo de la industria, gobierno o individuos comenzamos a competir entre nosotros y quizás se ha comenzado a diluir el esfuerzo. HAY QUE TRABAJAR JUNTOS.

Pero recientemente he visto que estas preocupaciones tienen solución y hablando con otros lideres, ellos piensan similar a mi así que hay luz al final del túnel.  Como decimos aquí la cosa pinta bien.

Así que les dejo aquí varias comunidades de interes.  Escoje una o varias y participa.

NO podemos olvidar los grupos estudiantiles:

  • MISFI – EDP University
  • Cybersecuirty Special Interest Group (CSIG)- UPR, Rio Piedras
  • HackPR – UPR, Mayaguez
  • Include Girls –  UPR, Rio Piedras

Para cerrar me gustaría compartir con ustedes algunos nombres de gente que he conocido en estos dos años que hacen todo esto por gusto, comparten su conocimiento y apoyan las comunidades locales.  I tip my Hat to them!

Así que los dejo por el momento si estas de acuerdo, en contra o sabes algo que no mencioné  por favor deja un comentario.

JQ

PuertoRico TechSummit 2014 … smoking!

BpYb6s-IIAEmSF5

Por: Jose Quiñones (@josequinones)

Saludos amig@s,

Como tal vez se hayan enterado el pasado 6 de Junio de 2014 se celebró el segundo Puerto Rico TechSummit y estas son mis impresiones …

Primero debo comenzar mi sugerencia global: El Puerto RicoTechSummit debe ser más un evento y menos un espectáculo.  Me refiero a que al ver todo lo que debe haber costado la producción (luces, tarima, A/V staff, etc), tal vez pudo haberse utilizado esos recursos ($$$) en hacer más actividades, traer mas conferenciantes,  swag (stickers, camisas, etc) para los participantes y regalos para los participantes del “Hackers Boot Camp”.

BpVEHr_IgAAU3U0

Pero bueno a vamos a lo importante, el contenido.  Lamentablemente no tengo un clone de mi mismo, ni omnipresencia para estar en más de un lugar a la vez (solo Dios y Pedro Rosello pueden), así que solo podré hablar de las actividades que pude asistir.

Comencé el día por ignorar la presentación de Alberto Bacó, Secretario de Desarrollo Económico (decisión acertada) y me fui a compartir con los “Hackers” durante su orientación para el “Hackers Boot Camp”.  Esta estuvo excelente y refrescante; algunos de los participantes presentaron sus ideas para lo que querían logar o los apps que deseaban desarrollar. Mi impresiono muchisimo que una propuesta de hacer un app que hiciera “tracking” de los precios del Petróleo, Gasolina en la Bomba y Costo de Ajuste por Combustible de la AEE, pero parece que el proyecto era muy ambicioso o recibió una amenaza porque no lo realizó (hubiese sido un hit).

Cuando regresé a la sala principal acababa de comenzar el mensaje de apertura de Giancarlo González, CIO del Gobierno como siempre, estuvo excelente. La visión que este individuo demuestra y proyecta es muy refrescante y alentadora.  Talvez peca de ingenuo o soñador pero creo que son buenas cualidades para poder meterle mano al estado comatoso del este país.

Después le tocó a John Paul Palmer, antiguo assessor de la Casa Blanca. En su mensaje se aseguró de pasarnos la mano hablando de Roberto Clemente y lo grandioso de los Puertorriqueños.

MyIphone4 011

Al seguir pude disfrutar de la presentación de Ben Balter, Evangelista de Github.  Talvez sea mi espíritu libre pero esta fue de la presentación que más disfruté durante la mañana.  Habló del poder de la colaboración, gobierno abierto y como eliminar la redundancia de esfuerzos (obviamente utilizando Github) y presento los logros de muchos proyectos y agencias gubernamentales utilizando estas tecnicas de colaboracion, transparencia y de operaciones abiertas.

MyIphone4 013

Durante el almuerzo presentaron el proyecto de Gigabit de la AAA (Zum!), muy interesante el concepto.  Estarán instalando “Dark Fiber” con robots a través de los alcantarillados (por lo cual le llamaría “Brown Fiber”) en el área de Isla Verde hasta Viejo San Juan para llevar velocidades de Gigabit hasta los hogares y negocios del área para el 2016.  Debo indicar que días antes me enteré que la compañía Critical Hub (Caribe.net) está ofreciendo el servicio de Gigabit Ethernet en Santurce y Hato Rey para los que le interese y tengan la dicha de vivir en esa área.

El Gobernador Alejandro García Padilla se retrasó y aproveché para hacer algo más útil que escucharlo; visitar el “Hacker Boot Camp”.  Allí el ambiente estuvo super, pero debo decir que lo vi mas vacio que el año anterior.  Si los organizadores estan leyendo esto les recomiendo que busquen premios sea en cash o productos de los auspiciadores para darle a los “hackers” como agradecimiento por su esfuerzo.

Tampoco vi al presidente del Senado Eduardo Bathia  pero no lo extrañé (detesto los políticos) y comoquiera me tocaba participar de una actividad a las 3:00 en el Track 3 el cual se extendió a casi dos horas por lo cual me perdí varios presentadores que quería ver como: Dave Troy, CEO y Product Architech de Mailstorm en 410 Labs, pero me cuentan que estuvo “mind blowing” así que lo sufro aún más.  También me perdí la presentación y panel de “Code for America” la cual también deseaba ver, así que solo les puedo decir: me quede con la ganas.

Finalmente estuve a tiempo para ver la presentación del nuevo portal de participacion ciudadana de la Cámara de Representantes por Jaime Perelló. ¿Les he mencionado que detesto los políticos?, ¿No?, pues sí; pero debo reconocer el logro del presidente de la Cámara y más aún el equipo de trabajo que desarrolló tremenda plataforma para participación ciudadana.  Espero que este señor continue innovando y abriendo las puertas a la comunicacion y la participacion del cuidadano en lo que pasa en este pais.  depues de ver como funciona, NADIE tiene excusas para decir que no tuvieron oportunidad de opinar sobre X proyecto.

TODOS DEBEN VISITAR: http://www.tucamarapr.org

Para cerrar con broche de oro, llegó el momento del “Show and Tell” para ver los resultados del “Hacker Boot Camp”. Antes de comenzar se presentó el App de Tu Tren Urbano (que utilizo muchisimo) creado en el Hackathon del año pasado por Víctor Ramirez del equipo de Softtek. Todos los proyectos utilizaron como fuente de datos https://data.pr.gov pero para mí los mejores proyectos fueron: Exígelo: Por Kevin Shokey, Froilán Irizarry y José Padilla; y ama.js: Por Richard B. Kaufman-López.  

 

MyIphone4 017

Finalmente a la terraza a compartir con los compañeros de Obsidis Consortia (de izquierda a derecha ) Jose Quinones (Yo), Jorge Berrios y Ricardo Robles y despues para mi casita.  Espero que el proximo año sea aun mejor …

JQ

Development Board Specs

By Jose Quinones (@josequinones)

Hello all,

Recently I posted a link on social media about the release of the ODroid U3 Community Edition by Hardware Kernel and a colleague  (@soynerdito)  brought a point about power consumption and a very important point in deed, so that got me thinking, what are the specs for some of these dev boards?

Personally I have a couple of Pi’s,  a Cubieboard rev1, an Arduino Uno and an Odroid U3 on the way.  But I did not have a clear understanding of the differences and similarities of these boards I am just a hardware/gadget junkie. So I decided to do a comparative table to have clearer picture of what each board could do.

I did a side-by-side and a printer friendly version of the table.

Here’s a preview:

dev_borads

Here are the PDF’s:

I would like to acknowledge that there are a lot of dev boards out there but these seem to have the most community support.  I personally would like to play with boards like the new Raspberry Pi Compute Module, the intel Galileo Arduino board and the new Intel Minnow. (google them up)

Finally I find the hardware/maker scene awesome I would love to have more time to “play” with my “toys”, but I would like to encourage everyone to start playing around, these dev boards are cheap, accessible and easy to work on.  We need more creative and analytical minds, and if you have kids PLEASE support them and geek out!

I really hope you find this usefull.

JQ

WarWalking — Plaza Las Americas

Para los que fueron a #BsidesPR 2014 y participaron de la charla de Carlos Perez y este servidor (mas Carlos que Yo) recordaran que mencioné que se podía identificar los AP y a través de las asociaciones de cliente y AP se podía rastrear a la persona.

Pues hoy estuve jugando con los datos e hice este mapa para demostrar el concepto de identificar los AP’s:

http://codefidelio.org/plaza-map.html

–Update

Esta data la saque a través de sacarle fotos a los AP, y extraer la metadata de las mismas.

Este es el commando que utilize:

–/Update

Seguiré trabajando para hacer algo un poco mas detallado, pero por el momento recuerden que la privacidad esta en peligro de extinción.

JQ

Configurando Python en Windows

Por: Jose Quiñones (@josequinones)

Saludos,

Esta guia es para ayudar a aquellos que necesitan consejos de como configurar su sistema de Python en Windows. Hay mucho material disponible en el Internet pero de esta forma tengo mi propia guía para el futuro y como buen n00b la comparto con ustedes.

Lo primero que deben hacer es bajar las versiones de python que estaran utilizados.  Eso es facil, lo pueden hacer de la página de Python.org:

Ahí encontrarán versiones de 32 y 64 bits y adicionalmente podran bajar versiones anteriores.  Como soy un “n00b” estoy en las ultimas versiones: 3.3 y 2.7.6, pero pueden bajar e instalar todas las versiones que deseen y correrlas lado-a-lado en carpetas separadas. Ej, c:\python27, c:\python33, etc. Una vez bajen la version que desean necesitarán un editor o un Integrated Development Environment (IDE); la gran ventaja del IDE es que podrá detectar errores en la sintaxis y los ayudará a completar fácilmente sus declaraciones y código. Utilizar Notepad es para masoquistas, asi que lo menos que les recomiendo es NotePad++ si son simplistas pero si desean mas poder deben utilizar PyScripter o Eclipse Standard.  Los pueden bajar aqui:

Para Notepad++ y PyScripter no hay que realizar ninguna configuración mayor mas allá de sus gustos personales. Para Eclipse Standard si necesitamos hacer algo adicional.  Necesitamos instalar Java,  PyDev y configurarlo. No voy a cubrir como instalar Java pero recuerden su plataforma si es 32 o 64 bits. Una vez bajen y descompriman el archivo en un lugar de su predilección por ejemplo c:\eclipse, ejecuta el binario eclipse.exe para activar el programado.

Una vez arranque te preguntará donde pondrás los archivos de trabajo.  Puede ser  C:\Users\%username%\Documents\Workspace

Una vez suba procedemos a instalar PyDev a traves de del menu Help –> Install New Software …

Clickeas el botón de Add y llenas los blancos:

  • Name: PyDev
  • Location: http://pydev.org/updates

Marcas PyDev y pulsas el botón de Next

Pulsas nuevamente el botón Next, aceptas los términos de uso y finalmente pulsas el botón Finish. Acepto el certificado:

Aceptas nuevamente los parámetros por defecto y al final preguntará si deseas reiniciar Eclipse, pulsa el botón Yes. OK, ahora la configuración “final” de Eclipse.

En le Menu escoje Window –> Preferences, ve a la sección de PyDev, expande y busca la sección Interpreters –> Python Interpreter.

Pulsa el botón de New …y completa la información

  • Interpreter Name: Python27
  • Interpreter Executable: c:\python27\python.exe

Pulsas el botón OK, y OK nuevamente.

** Este proceso lo repites para todas las versiones de Python que tengas instaladas.

Depues vas a la Crear un proyecto

Recuerda escoger el interpretador correcto para el proyecto.

new-project-2

 

Ahora creas una carpeta nueva para tus archivos.  Puedes utilizar tu carpeta de Github y asi es mas facil manejar el código.

new-folder-1

new-folder-2

 

Ahora creas tu primer script

new-file-1

 

new-file-2

 

new-file-3

 

Corre tu script y prueba si el interpretador está funcionando correctamente.

run-file-1

 

run-file-2

 

Y este es el output a pantalla.

run-file-4

 

 

 

 

Si tiene algun consejo para mejorar esta guía, los comentarios son bienvenidos.

JQ

 

Proximos eventos de seguridad TI en PR

Saludos a tod@s,

Deseo invitarles a los proximos eventos relacionados a seguridad de la informacion en PR:
1. Init6 Meeting: “Build your own MAVS”
Este será el proximo jueves 27 de febrero de 2014 en las facilidades del PR Sciences Trust (Antiguo OsoBlanco) de 6-9pm.  Sin costo alguno como siempre ha sido nuestras reuniones del grupo.
2. “./hack BSidesPR” Hackathon
Este será el proximo 8 de marzo de 2014 de 8am – 8pm, estará enfocado a desarrolladores para que produzcan herramientas, aplicaciones y servicios relacionados a la seguridad de la Información.  Los ganadores podrán presentar su creación en BSidesPR a todos los participantes y auspiciadores.  Sin costo alguno.
3. ISSA PR Chaprter – Conferencia Anual
La reunion anual del capitulo de PR de  ISSA es un must para todos.  Esta será el proximo 14 de marzo de 2014.  Los costos de este evento varían.
4. Security BSidesPR 2014
La unica conferencia de segiridad “hacdcore” en Puerto Rico y el Caribe.  Esta será los dias 4-5 de abril de 2014 en el centro de convenciones de PR.
Aprovechen el registro temprano por solo $75 tendrán dos días de charlas y talleres completamente educativas (nada de ventas durante las charlas)
Espero verlos allí.
JQ

Mi impresión del CIO & IT Leadership Conference

Por: Jose L Quiñones (@josequinones)

Ayer (7 de febrero de 2014) estuve en el “CIO & IT Leadership Conference” ( #PRisIT ) y me gustaria compartir con ustedes  mi impresion de la misma.  Aclaro que aunque mencione algunas cosas negativas en esta reseña  les digo que este es un evento que debemos estar pendientes como se desarrolla en el futuro; así que vamos al grano.

#TheGood

  1. La organización – Debo decir que me sorprendió la cantidad de personas y auspiciadores que fueron.  Aparentemente hicieron un trabajo espectacular con la promoción del evento y el apoyo a la misma se dejó ver de inmediato. La agenda se llevó sin demasiado retraso y en general los auspiciadores estaban bien localizados.
  2. La gente – De verdad que hubo muchísima gente buena en los pasillos.  Estoy seguro que muchos en los pasillos estaban mejor cualificados y preparados para ser parte de alguno de los paneles.  El networking profesional fue excelente.  Habia mas gente en los pasillos que en las conferencias y el ambiente era extremadamente amigable.
  3. Giancarlo Gonzalez (@giangonz) – El CIO del gobierno de Puerto Rico abrió la actividad y habló de muchas cosas importantes pero me encantó que reconociera la importancia de la seguridad  cibernética y recomendó a todos el asistir a Security BSidesPR (http://bsidespr.org).  Definitivamente Giancarlos fue un upgrade  #OverClocked al gobierno en el momento que lo nombraron, … en hora buena!
  4. Lcda. Heidie Calero – Esta señora habló de la perspectiva económica del sector TI en Puerto Rico, estuvo espectacular. THE FACTS, NO BULLSHIT, esta mujer tiene mas “pantalones” que cualquiera de los hombres que habló allí.  Pero mas importante habló de posibles soluciones y cómo atacar nuestra situación actual sin pendejerias políticas.  Deberíamos llamarle la “Iron Maiden” boricua.  … espero que la gente del gobierno de PR que estuvo allí,  haya tomado notas.
  5. David Bernier – Muy buena presentación, excepto por una cosita que menciono mas adelante estuvo centrado en el tema, limitó los comentarios politicos y me dio muy buena vibra en su honestidad de los asuntos que discutió. Lo felicito por su balance y evitar la politiquería en la tarima.   Es muy positivo tener alguien como él en el gobierno.
  6. El panel en Educación – aunque fue usurpado por una chica muy bonita que hablaba demasiado, los panelistas de verdad hicieron muy buen trabajo. Me encantó la línea del Prof. Rafael Arce de la UPR-RP sobre atacar el desarrollo tecnológico en PR  a niveles de escuela intermedia/superior y por ejemplo no esperar a que lleguen a la universidad para aprender a codificar.

#TheBad

  1. El audio estuvo fatal.  Creo que la compañía de audiovisual que hizo el evento debería reembolsar parte del dinero a los organizadores.  La cagaron pero “big time”, no se escuchaba nada a la parte de atrás y vinieron a tratar de hacer algo despues del medio dia. “Too little to late, the damage was done”
  2. Los Paneles – Excepto por los que mencioné en la sección #TheGood (educación), el resto no hizo el mejor trabajo posible.  Tal vez no fue culpa de ellos, tal vez las preguntas no fueron las mejores, tal vez el moderador debió haber hecho un mejor trabajo, pero definitivamente esto puede mejorar.  La peor parte de los paneles fue que no hubo participación del público, no nos dieron la oportunidad para hacer preguntas y participar de la discusión.
  3. Algunos panelistas – Las promociones sin verguenza (shameless plugs) de los panelistas promocionando sus servicios estuvo demas, para eso estaba el area de los auspiciadores.  Que quede claro, “al Papa lo del Papa” si alguna compañía local tiene un logro soy el primero en reconocerlo pero hubo panelistas que se olvidaron que su participación era para orientar a los presentes de como lograr éxito y no alardear de sus productos o servicios.
  4. Alberto Bacó – nada personal pero si no hubiese hablado nadie lo hubiera extrañado, no dijo nada interesante, nada que no supieramos ya, y tenía cara de “que carajo hago aquí” y de “esto ya se jodio y no me importa”. Para la proxima utilicen ese tiempo para dar mas participación al público o menos batatas de gobierno.

#TheUngly

  1. La política – entiendo que el gobierno a través de sus mecanismos apoyó esta actividad, pero COÑO!,  hubo instantes donde pensé que era un “Pep Rally” del gobierno y no una conferencia de TI.  A mis amigos de Technology Cluster les pido que para el futuro por favor eviten llevar politicos a los eventos, es su naturaleza colorear los hechos y no lo pueden evitarlo.
  2. La comparación de David Bernier de la desgracia de 9/11 con el anuncio de la degradación de los bonos de PR.  Entiendo la analogía pero por alguna razón me sentí ofendido pero entiendo que fue en error honesto.
  3. La fulana  que usurpó el panel de Educación. No me acuerdo ni del nombre porque no estaba en la agenda. Pero le gritaba al micrófono (asumo que tratando de compensar por los problemas de audio) pero se veía fuera de lugar.  Nada personal en contra de ella, pero simplemente se veía fuera de su elemento.
  4. Eduardo Bhatia – aunque habló muy bonito “se trepó en tribuna” consumió demasiado tiempo y la realidad es que NO hacía falta allí. Está como Santini no se pierde un “photo-op” por nada.

En resumen deben mejorar pero si repiten las cosas buenas y arreglan las cosas malas y no se atreven a repetir las cosas feas el próximo año es una conferencia de todos en TI deben asistir.

… y esta es mi humilde opinión.

JQ

Cuidan de nuestra salud pero no de sus/nuestros datos

Por: Jose Quiñones (@josequinones)

Recientemente el Colegio de Médicos Cirujanos de PR (CMCPR), anunció públicamente que fue víctima de un escape de información la cual afectó a todos sus miembros.  No voy a entrar en todos los peligros que esto crea para las víctimas de este robo porque ya los medios discutieron esa parte y sabemos la amalgama de problemas que esto les creará.

Pero me preocupa que después del revuelto y de mucha especulación el CMCPR declaró que el robo de información fue cometido por un ente interno (“previa administración”).

Primero que todo hay que ser escéptico y no creer todo lo que nos dicen ya que ellos tienen que hacer “damage control” y hacer que sus miembros se sientan tranquilos. Cuando sospecharon que había problemas con sus bases de datos contrataron un bufete de abogados para crear “un informe de 220 páginas” en vez de contratar un experto forense digital  para realizar una verdadera investigación. Adicionalmente según los reportes indican que el FBI NO está investigando el caso lo que significa que una, varias o todas de estas posibilidades son ciertas:

#1 La investigación de parte del bufete de abogados contaminó tanto la evidencia que es imposible para el FBI investigarlo.

#2 Las medidas de seguridad de información tomadas previo al evento no fueron suficiente para levantar evidencia significativa y apoyar una investigación.

#3 La agencia (FBI) no ve méritos en la investigación y por tanto no la realiza.

Adicionalmente el hecho de referir la investigación de este incidente a las autoridades locales es un acto fútil ya que las agencias de ley y orden estatales NO cuentan con los recursos para realizar dicha investigación.  Eso lo vemos constantemente cuando se reportan casos a la Policía de PR, Justicia o Ética y la expresión en la cara de los investigadores a cargo te lo dice todo.

Pero esto esto prueba una vez más que la seguridad de información vas mucho más allá de instalar un antivirus  y ponerle contraseña a las computadoras.

Aquí vemos fallas en varios frentes:

Seguridad Física: Las probabilidades son que cualquier empleado y tal vez cualquier persona podía simplemente copiar la información en un disco USB, subirla a la nube (ej.Dropbox), enviar por correo electrónico o cualquier otro medio utilizado para filtrar los datos. O, como he visto en muchisimas ocaciones el servidor de los datos és la computadora de la secretaria u otro funcionario de la organización.

Clasificación de Datos: Pocas entidades toman la molestia de clasificar sus datos. La clasificación de datos facilita y permite definir quién tiene acceso a que, para así establecer medidas de seguridad efectivas para proteger lo mas importante de una organización, su información.

Seguridad en procesos: Si hubieran establecido controles y  procesos para el acceso a la información donde ésta fuera auditada constantemente, al menos hubieran podido dar con la filtración de forma mas rápida e identificar específicamente quien lo hizo.  

El CMCPR y los vendedores de software hablan de data cifrada pero la realidad es que no he visto muchos sistemas (y he visto muchos) que cifren los datos en descanso o sea en la base de datos o los archivos en el disco del equipo.  También utilizan protocol inseguros como FTP, HTTP o SMB para compartir los datos.  Lamentablemente los desarrolladores de software resuelven todos los problemas de acceso a la data dándole a los usuario privilegios de “Everyone – Full Control” y para los que no lo saben “Everyone” significa acceso anónimo sin autenticación y “Full Control” se explica solo.  Asi que imaginen “tanta seguridad”, pero al final del día los datos estan listos para ser tomados por cualquiera con dos dedos de frente y que sepa utilizar Google y Youtube para buscar como hacerlo.

Ahora vamos a lo que nos preocupa a nosotros … los mortales

Los que no somos víctima de este robo de datos también debemos preocuparnos.  Si la seguridad de información para su propia información es tan mala, como será la seguridad de la información nuestra que ellos (medicos) mantienen en sus bases de datos de facturación, archivo medico electronico o información contacto de los pacientes.  

Estoy cansado de ir a oficinas privadas de médicos y encontrar acceso inalámbrico abierto a las redes de sus oficinas, con equipos vulnerables a ataques conocidos o mal configurados.  Lo que permite que cualquiera pueda desde la comodidad de un auto, un pasillo u otro edificio penetrar sus redes y robar los datos sin forma de prevenirlo o de enterarse.

Si le preguntas al medico quien le da mantenimiento a su red usualmente lo hace:

#1. La compañía que le vende el software que contrata al tecnico mas económico que puede y su interes no es la seguridad si no que el software funcione y el cliente no los moleste con llamadas de servicio.

#2. El vecinito, sobrino, hijo u otro allegado con “conocimiento” en computadoras.  Estas personas no estan capacitados, no conocen las regulaciones o importancia de la seguridad de la información de estos sistemas.

#3 Un consultor independiente, GeekSquad u otra compañía de servicio.  Y de esto tambien muy pocos tienen el conocimiento en seguridad de informacion para hacer el trabajo de la forma correcta.

En instituciones más grandes como clínicas u hospitales vemos los puertos de red activos al descubierto constantemente y carritos medicos por los pasillos totalmente accesibles.  Cualquiera con malas intenciones puede acceder sus sistemas y robar los datos con facilidad.

Estas instituciones más grandes usualmente tiene personal mejor cualificado y mejores medidas de seguridad pero:

1# La gerencia o el supervisor NO promueven que el empleado se desarrolle estudiando temas de seguridad o se actualize en nuevas tecnologías.

#2 Cuando el empleado asume la responsabilidad de autodesarrollarse y necesita un día libre o tiempo para ir a un adiestramiento o estudiar NO se lo permiten.

#3 Contratan al empleado mas económico posible para realizar la tarea inmediata y no necesariamente al mejor preparado para apoyar el desarrollo de la organización.

#4 Nunca hay dinero para adquirir los equipos o software necesarios para apoyar al administrador de sistemas o tecnicos en su trabajo de proteger la información.

Yo espero que la clase médica aprenda de esto y tomen las medidas para proteger sus datos y los nuestros.  Que le pregunten a sus técnicos, consultores, proveedores de software  y administradores de redes/sistemas:

¿Los datos están cifrados? ¿En transito y en descanso?

¿La red inalámbrica está bien asegurada? ¿Es realmente necesario el uso de la misma? ¿Los equipos son vulnerables a ataques?

¿El acceso a los datos esta propiamente configurado? ¿Quién puede acceder que? ¿Bajo que condiciones?

¿Hay resguardo de los datos? ¿Como se hacen? ¿Donde se guardan? ¿Quien tiene acceso?

¿Tengo datos en la nube? ¿Quien puede accederlos?

Tambien hay que atender el lado tecnico del asunto y a las universidades con sus currículos y facultad obsoleta que no preparan a los estudiantes para atender temas tan importantes como lo es la seguridad de la información.

A los tecnicos, administradores, estudiantes, etc les digo:

… no permitan que las circunstancias los invaliden.

A los gerentes y supervisores le imploro:

… es mejor tener un empleado bien preparado y que se mantenga hábil en los temas de interes para la empresa que uno que sea un inepto.

Ustedes diran:  Que mal se ve esto!

Pero tengo que terminar con una nota positiva, en el último año en las reuniones de la comunidad de seguridad #init6 y en la convencion de hackers http://bsidespr.org he conocido muchas personas que si les interesa la seguridad de la información y espero que esto siga aumentando porque la realidad es que en PR NO hay suficientes profesionales preparados en el tema de seguridad de informacion y necesitamos mejorar.

 

JQ