La comunidad de profesionales de la seguridad de la información en países emergentes merece también un espacio en esta sección. El autor del blog que recomiendo en esta ocasión, wftuzz.com, es de India y se llama Rishi Narang. En Twitter se define como consultor, autor e investigador en ciberpsicología y en ciberinteligencia.
Los primeros artículos datan de 2010. A partir de 2011, Rishi Narang comienza a escribir sobre seguridad al menos en seis ocasiones al año.
Aunque es un blog modesto, es un ejemplo del valor de Internet como medio de comunicación y de marketing de marca personal. Recientemente ha publicado dos artículos con contenido muy detallado y de gran utilidad sobre la inseguridad de algunas “cookies” de sesión de sitios tan conocidos como Outlook, Google, Twitter, LinkedIn, Facebook y Yahoo.
Sendos artículos venían acompañados de un vídeo ilustrativo, un “script” como prueba de concepto para realizar ataques de “fuerza bruta” sobre “cookies” y una tabla explicativa sobre las características de las “cookies” analizadas.
Las tres conclusiones que se sacan de sus dos artículos sobre “cookies” de mantenimiento de sesión son:
1. La necesidad de hacer expirar esas “cookies” en el servidor que las envía, al menos cuando la sesión expira y, preferiblemente, cada cierto intervalo de tiempo.
2. La conveniencia de utilizar HTTPS y no HTTP como protocolo de transporte.
3. El requisito de crear esas “cookies” de sesión de un modo realmente aleatorio.
La renombrada publicación SC magazine se hizo eco, en su sitio web www.scmagazine.com, de las vulnerabilidades que Rishi Narang encontró en las cookies de cuatro de esos grandes nombres y publicó un enlace a su blog.
Con seguridad, el autor de este blog habrá recibido más de una invitación a explicar su trabajo y a mejorar la seguridad de alguna de estas compañías o a integrarse en algún proveedor de seguridad en desarrollo. En definitiva, wtfuzz. com es una excelente tarjeta de presentación de un profesional de la seguridad con inquietud.
Como anécdota, en este blog se puede encontrar un artículo nada técnico, titulado “It’s you and me” y publicado en octubre de 2012, sobre las emociones humanas y las diferencias entre mujeres y hombres. ¿Quizás por eso se autodefina como un investigador en ciberpsicología?.