La ética de la seguridad

26 de noviembre de 2009 Por

Corre el año 2006, si no recuerdo mal, y empieza la revolución en las redes domésticas de acceso a internet. La mayoría de las nuevas instalaciones de internet domésticas pasan de utilizar el “obsoleto” cable para “innovar” en la tecnología WIFI. Se acabaron los cables, ya no tocará pelear porque éste tiene que atravesar toda la casa para llegar a una única habitación, y por fin mi portátil será… ¡¡¡portátil!!!

Por supuesto, estas redes supusieron un nuevo eslabón en la cadena de la seguridad informática y un nuevo filón para los atacantes. Su seguridad evolucionó desde redes sin contraseña, a redes con clave WEP, WPA, WPA2 hasta la actualidad en la que la configuración más segura recomendable es WPA2-PSK+AES. No voy a explicar aquí cada una de las siglas, ya que queda claro que para eso está disponible cualquier buscador, aunque voy a poner fácil una de las búsquedas: WEP

¿Les ha sorprendido el resultado de la búsqueda? 10 entradas en la primera página; la wikipedia, siempre disponible, la asociación de internautas y 8 entradas sobre como romper la clave WEP, !con vídeo explicativo incluido! Quizá no les haya sorprendido, pero cuando vi los resultados de la búsqueda por primera vez a mi sí me sorprendió, sobre todo la entrada relacionada con Imagenio y las claves utilizadas por Telefónica ¿Cómo es posible que sabiendo que la protección con clave WEP es altamente insegura lo pongan todavía más fácil utilizando claves que ni siquiera son totalmente aleatorias, y en la que únicamente se deben completar unos pocos caracteres alfanuméricos? ¿No les parece un ejercicio de poco sentido común y dejadez?

Las deficiencias de seguridad de WEP son relativamente antiguas, por lo que seguro que pueden encontrar multitud de entradas explicando cómo romperlo, cómo utilizarlo e incluso cómo mitigar sus defectos en caso de que sean ustedes uno de esos usuarios que dispone de una red inalámbrica de este operador. La cuestión es: ¿existen medidas para mitigar esta situación de forma sencilla por parte de los operadores que ofrecen este tipo de conexiones a los usuarios domésticos, o estamos hablando de un esfuerzo desproporcionado? Creo que ya he respondido anteriormente: no veo mucho problema en modificar la generación de una clave realmente aleatoria basada en unas medidas de seguridad suficientes, ni tampoco consigo encontrar ningún impedimento técnico para incorporar una clave WPA en lugar de una WEP, pero tirando de ironía, quizá esto sea demasiado complicado o induzca a unos costes exagerados que no se pueden abordar…

El problema fundamental es que este tipo de situaciones me hacen plantearme cuestiones que, aunque parecen claras desde mi punto de vista, la experiencia me demuestra que no son compartidas:

1. ¿Sólo es importante la seguridad de nuestros sistemas?
2. ¿No es importante la seguridad de nuestros usuarios o clientes?
3. ¿Le importa realmente la seguridad al mundo en general, o sólo somos unos pocos idealistas intentando hacer al mundo ver lo fundamental de este concepto ahora y en el futuro?
4. ¿Es necesario un código deontológico en el sector relacionado con la seguridad de la información y los sistemas?

Ustedes, ¿qué opinan? ¿Tenemos la batalla ganada, perdida, o seguimos con las espadas en alto?

“Seguridad social”

22 de julio de 2009 Por

oreja— Si al menos me gustase Omaral, me haría gracia la nueva contraseña que le han puesto al servidor de contabilidad.
— Sí, sí, tiene narices que le hayan puesto “Un vuelo eterno a lo kamikaze”; hay que tener ganas.
— Al menos podrían tener haber escogido una canción de El silbido del cuerdo…

John sonrió en su asiento del autobús cuando escuchó la conversación que mantenía el grupo de empleados de Heptatlon Security, correctamente uniformados con el polo corporativo que el nuevo director general había propuesto. “Heptatlon City” —anunció el altavoz del autobús. Uno tras otro fueron bajando todos los trabajadores de la compañía y John se unió a ellos camino de su entrevista de trabajo.

— Menudo día nos espera hoy, intervención esta tarde para el cambio del firewall.
— Pues menudo palo, eso os tendrá toda la noche, ¿no?
— Quita, quita. Hoy cambiamos la cacharrería y mañana con tranquilidad ya definiremos las reglas. Total, por una noche…
— Yo ya no me sorprendo por nada, ni siquiera tenemos el IDS funcionando al 100%…

[Read more…]

Economía en tiempos de guerra

26 de febrero de 2009 Por

Pasamos una época complicada en el tema económico, en la que diversos estudios aseguran que aumentan las depresiones y las visitas al psicólogo, mientras que otros destacan el aumento del dinero destinado a juegos de azar por parte de las familias. Una de las alternativas de estos juegos de azar que muchos de ustedes conocerán son las apuestas por Internet, que quizá algunos incluso hayan probado.

El procedimiento de uso suele ser sencillo: un registro, un depósito monetario mediante tarjeta de crédito o similares y a buscar rentabilidad en las apuestas (no se preocupen, que ya les hablaré de eso otro día). Supongo que convendrán conmigo en que en esta época en la que el tema de la seguridad informática es tan candente, se le debe dar mucha importancia a las compañías que demuestran rigor al menos en la seguridad de sus portales. Al fin y al cabo parte de los ahorros —o no— de los usuarios va estar un tiempo en sus cuentas bancarias, hasta que éstos puedan recuperarlo.

Como medidas de seguridad, estos portales suelen ofrecen páginas cifradas con https, algunas incluso incorporan algún tipo de mecanismo de comprobación de fortaleza de contraseña en el registro, y en general, ofrecen la apariencia de preocuparse por el tema de la seguridad. Sin embargo, lo que para un usuario puede ser la diferencia para gastar o no su dinero, para las compañías parece no tener importancia. Entre otras cosas, no es extraño que los operadores que atienden el chat de ayuda de alguna de estas casas online soliciten la contraseña del usuario, lo que me hace suponer que almacenan las contraseñas en claro. No parece muy seguro, ¿verdad?

Por ejemplo, ¿realizarían algún tipo de transacción económica con una página que muestra el siguiente mensaje cuando se accede a su portal como un simple invitado?

query: DELETE FROM shoppingcart WHERE NOT EXISTS (SELECT 1 FROM session WHERE session.UserAccount_UserAccountID = shoppingcart.UserAccount_UserAccountID) -> Deadlock found when trying to get lock; try restarting transaction

Dejando a un lado estas pequeñas muestras de lo que no se debe hacer si se quiere ganar la confianza del usuario, y relacionado con el punto anterior, si me lo permiten me gustaría plantearles la siguiente cuestión, que será la encuesta de la semana y a la que podrán contestar a lo largo de esta semana:

[poll id=”6″]

* * *

(N.d.E.) En relación con la encuesta de la semana pasada, los resultados se muestran debajo, dando como resultado que una gran parte de las personas tienen una relativa concienciación de la seguridad, pero sin llegar al modo paranoico. En cualquier caso, la muestra no puede considerarse representativa, y no sólo por el número, sino también por el público objetivo de este blog.

[poll id=”5″]

Por lo demás, buen fin de semana a todos. Nos vemos el lunes, más y mejor.