Cuando se va a realizar un test de intrusión hay que recoger información del objetivo. ¿Qué nos interesa? TODO. Toda información que se pueda conseguir es útil, siento decir esto pero hasta la información sobre las personas que operan y o trabajan en la empresa directa o indirectamente con los sistemas es útil y para ello la primera fase es la que se llama Footprinting o recogida de información pública usando herramientas gratuitas.
Eso en los sistemas informáticos está bien, pero, ¿y si estamos hablando de un ejercito de verdad? Pues parece que igual. El ejercito americano, pionero en decisiones singulares, ha sacado una nueva regulación para las comunicaciones por Internet mediante Blogging, comentarios en foros públicos y correos electrónicos.
“Operations security is more important now than it has ever been. The U.S. faces cunning and ruthless adversaries fighting asymmetrically to avoid our strengths. The first step for them to inflict harm is to gather information about us. They are exploiting the openness and freedoms of our society by aggressively reading and collecting material that is needlessly exposed to them. Good OPSEC practices can prevent these compromises and allow us to maintain essential secrecy about our operations.”
Dentro de un reglamento de 79 páginas de Operations Security (OPSEC) en la página 12 dice:
"g. Consult with their immediate supervisor and their OPSEC Officer for an OPSEC review prior to publishing or posting information in a public forum.
(1) This includes, but is not limited to letters, resumes, articles for publication, electronic mail (e-mail), Web site postings, web log (blog) postings, discussion in Internet information forums, discussion in Internet message boards or other forms of dissemination or documentation.
(2) Supervisors will advise personnel to ensure that sensitive and critical information is not to be disclosed. Each unit or organization’s OPSEC Officer will advise supervisors on means to prevent the disclosure of sensitive and critical information."
Desde luego, con el volumen de posts y correos electrónicos que se escriben diariamente las alternativas van a ser dos: O la oficina tiene leyendo 24x7 a un equipo de oficiales, o alguien va a tener que dejar de postear y tener blogs.
Además se pide limpiar todo la información de Internet de forma rutinaria.
"Conduct routine checks of web sites on the World Wide Web for disclosure of critical and/or sensitive information that is deemed a potential OPSEC compromise. Web sites include, but are not limited to, Family Readiness Group pages, unofficial Army web sites, Soldiers’ web logs (blogs), and personal published or unpublished works related to the Army."
- El nuevo reglamento lo tienes en la siguiente URL: Reglamento
- Lee más sobre esta noticia en Wired.
Hombre, pues tiene sentido. Imagínate:
ResponderEliminarBlog de Nasio pa mata:
"Hoy hemos estado hasiendo unas maniobras para pillar pol solpresa a los moros de perejil. Juas que careto van a ponel cuando desenbarquemos con las metralletas y les disparemos a las rodillas. Si, sel militar me llena"
No pretendo ser ofensivo contra los militares, pero habiendo como hay de todo en la viña del señor...