Entrevista a Lourdes Herrero (2/2)

(Continuamos hoy con la entrevista realizada a Lourdes Herrero, cuya primera parte publicamos ayer)

7. Sobre la concienciación y el aprendizaje en el tema de la seguridad, además de los mencionados cursos formativos ¿CSIRT-cv desarrolla alguna otra labor en éste ámbito?

Si, desde octubre de 2010 CSIRT-cv se une a la red social Twitter (http://twitter.com/csirtcv) en la que diariamente informamos sobre algunas de las noticias y avisos más relevantes en cuanto a seguridad. También estamos en Facebook a través de http://www.facebook.com/csirtcv donde además de lanzar mensajes informativos o alertas apostamos por realizar campañas de concienciación en las que durante un periodo corto de tiempo, diariamente aconsejamos sobre algún tema en concreto. Así, nuestra primera campaña de concienciación “Seguridad en Dispositivos móviles” versó sobre recomendaciones y buenas prácticas a seguir en el uso de dispositivos móviles. En Navidad lanzamos otra que trataba de alertar sobre los peligros más comunes en la red en esas fechas. Y la última que se ha lanzado recomienda diversas herramientas básicas para prevenir ataques o infecciones, reparar daños o simplemente facilitar una navegación más segura en Internet.

Con ello, pretendemos llegar a un público más amplio y que no tiene porqué contar con demasiados conocimientos técnicos. No queremos llegar sólo a profesionales del mundo de la seguridad de la información sino a cualquier internauta. Nuestro objetivo es ayudar a que la Seguridad de la Información forme parte de la cultura del ciudadano, de la misma forma que el concepto de Seguridad Vial o Seguridad Física.

[Read more…]

Entrevista a Lourdes Herrero (1/2)

Para hoy miércoles tenemos la primera parte de la entrevista a Lourdes Herrero, Directora del Centro de Seguridad TIC de la Comunitat Valenciana, CSIRT-cv, que se ha prestado amablemente a responder algunas preguntas relacionadas con el centro.

Lourdes Herrero es Ingeniero Informático, por la Universidad Politécnica de Valencia. Tras sus inicios laborales en varias empresas del sector TIC, el grueso de su actividad profesional se ha desarrollado en la Generalitat, donde ha dirigido diversos proyectos de implantación de las Tecnologías de la información en los Ayuntamientos de la Comunidad Valenciana. Actualmente es Directora del CSIRT-cv, desde su inauguración en Junio de 2007.

Este centro depende de la Consellería de Justicia y Administraciones Públicas y fue el primer centro de respuesta a incidentes de seguridad de ámbito autonómico en España.

1. Lourdes, para ponernos en antecedentes, ¿podrías explicarnos brevemente qué es un CSIRT?

Un CSIRT, (o un CERT) es el acrónimo de Equipo de Respuesta ante Incidentes de Seguridad Informática (Computer Security Incident Response Team).

El objetivo que persigue todo Centro de Respuesta es la prevención, detección, asesoramiento, seguimiento y coordinación necesarios para hacer frente a incidentes de seguridad informática que ocurran en su ámbito, y que pueden ser muy diversos. Desde la detección de virus, gusanos, troyanos, phishing, spam… pasando por la aparición de intrusiones y actos malintencionados, hasta la detección de actividades realizadas por colectivos organizados de ciberdelincuentes.

[Read more…]

Seguridad a través de Nanoetiquetas

Recientemente charlando con un investigador del Centro de Tecnología Nanofotónica de Valencia (NTC) me comentó que uno de los proyectos que estaban llevando a cabo versaba sobre un sistema de nanoetiquetas de seguridad óptica utilizando metamateriales fotónicos, con la finalidad de que éstas fuesen insertadas en cualquier tipo de objeto para garantizar su autenticidad y con el respaldo de que prácticamente sería imposible falsificar el susodicho objeto. El caso es que el asunto me llamó la atención y decidí concertar una cita en el NTC con el grupo de investigadores que formaban parte de este proyecto para que me contaran con más detalle en que consistía y en que punto estaba éste sistema de etiquetado óptico.

La inserción de hologramas o de hilos de seguridad son algunas de las técnicas que se suelen usar para autenticar documentos, billetes, cheques bancarios, tickets, pasaportes o licencias entre otros tipos de objetos. Sin embargo dichas técnicas, bien sea por el material utilizado, o por su modo de fabricación, no garantizan que no existan falsificaciones. Desde el NTC nos comentan que la incorporación de los metamateriales fotónicos en el proceso de autenticación de un objeto evitaría posibles falsificaciones o al menos estarían muy controladas.

Los metamateriales son compuestos artificiales —normalmente metales nanoestructurados— capaces de ser diseñados para obtener una respuesta electromagnética que sería imposible de obtener a través de medios naturales, cómo la obtención de un índice de refracción negativo —con sorprendentes aplicaciones como la creación de ‘lentes perfectas’— o la Transmisión Óptica Extraordinaria, que posibilita la transmisión de luz a través de una lámina metálica con un patrón periódico de agujeros más pequeños que la longitud de onda de la luz, por poner un par de ejemplos. En concreto, sería posible que los metamateriales presentaran una respuesta magnética no nula (permeabilidad magnética efectiva distinta de 1) a frecuencias ópticas (longitudes de onda muy pequeñas entre aproximadamente 380 y 780 nanómetros) donde los medios naturales son magnéticamente inertes. Para fabricar un metamaterial con estas características se requieren técnicas de nanofabricación muy avanzadas, y dado que apenas hay fundiciones en el mundo con capacidad para fabricar algo así, sería muy complicado que se pudiera falsificar dicho metamaterial. Afortunadamente, los falsificadores tendrían que hacer una gran inversión de millones y millores de euros para montar un laboratorio de estas características. Además, necesitarían cierta instrumentación cuya venta también está muy controlada y limitada.

El grupo de investigadores del NTC ha demostrado que es posible crear una etiqueta de seguridad óptica formada por una o varias capas de metamateriales de forma que presente una permeabilidad magnética distinta de 1 (en concreto, una permeabilidad negativa). Dicho valor de permeabilidad magnética se puede medir a partir de la firma espectral del metamaterial en cuestión, la cual constituiría su código identificador. Así, la única forma para producir la respuesta deseada sería a partir del mencionado fingerprint de ese material. No se puede falsificar la respuesta por otros medios.

En éste punto de la investigación se encuentran, entre otras cosas, diseñando el sistema de lectura que identificará este fingerprint y verificará la autenticidad del objeto. Me aseguran que, a pesar de que se requiere un proceso de fabricación muy avanzado, de un elevado nivel tecnológico, al poder fabricarse las nanoetiquetas de forma masiva, el coste final para el cliente que lo utilice puede ser muy competitivo. Así, distintas empresas y organismos se han mostrado interesadas por esta idea y están siguiendo de cerca éste proyecto.

Como podrán ver, aunque se hayan perdido en la explicación técnica, las aplicaciones son numerosas, no solo en seguridad documental sino también en autenticación de objetos de arte, antigüedades, etc. Nosotros también seguiremos de cerca los avances de ésta interesante iniciativa.

Me gustaría agradecer a los investigadores del NTC: Carlos Garcia-Meca, Francisco J. Rodriguez-Fortuño, Rubén Ortuño y Joaquín Matres su amabilidad al atenderme y explicarme in-situ —recorriendo todo el NTC— el proceso de elaboración/investigación que están llevando a cabo en éste proyecto de etiquetas de seguridad óptica.

Por lo demás, ya estamos casi en fin de semana. Intenten no agobiarse, son sólo dos días el lunes está a la vuelta de la esquina.

Twitter

A estas alturas, muchos de ustedes sabrán (y pudieron comprobar en tiempo real) que el pasado martes a eso del mediodía Twitter era colapsado por un bug en su propia página web que permitía, explotando una vulnerabilidad XSS en la gestión del evento “onmouseover”, la ejecución de código javascript a través de tweets diseñados para ese objetivo. El código inyectado en el tweet sería del tipo:

onmouseover=javascript:<Código Javascript>

El ataque provocaba desde un pop-up “inofensivo” con un comando javascript tipo “onmouseover=”javascript:alert(‘Hola!’);” que generaba una ventana emergente con el mensaje “Hola” a todos los followers en cuyo “timeline” estuviera el tweet manipulado, hasta la aparición de cuadros en negro donde debería estar el texto del tweet, pasando por letras gigantes ocupando toda la pantalla, o la redirección del perfil del usuario a cualquier otra web. Por ejemplo, un tweet del tipo:

[Read more…]

Introducción a RFID (II)

Como pudimos observar en la primera parte de esta introducción publicada hace un par de días, la tecnología RFID plantea nuevas oportunidades de mejorar la eficiencia de los sistemas de uso diario además de añadir comodidad. Pero dichas mejoras conllevan nuevos riesgos para la seguridad por ataques o caídas del servicio, riesgos para la privacidad como acceso ilegitimo a información sensible, y otros riesgos derivados de la exposición a las radiaciones. Dichos riesgos se comentarán un poco mas en profundidad a continuación. Todos los participantes de esta tecnología tienen la responsabilidad de prevenir estos riesgos, desde los responsables de desplegar la tecnología hasta los organismos o los propios usuarios.

Los riesgos para la seguridad son los derivados de acciones que pueden deteriorar, interrumpir o sacar provecho de forma maliciosa del servicio. Podemos citar diversos ataques:

  • La forma mas sencilla de ataque a un sistema RFID es evitar la comunicación entre lector y etiqueta, lo que se consigue introduciendo la etiqueta en una “jaula de Faraday” (en este blog se explicó el efecto Faraday en este post) creando un campo electromagnético que interfiera con el que ha creado el lector. Este ataque puede ser considerando, en otro entorno completamente diferente, como un sistema de protección. Por ejemplo, existen fundas especiales para el pasaporte electrónico que crean una “jaula de Faraday” evitando lecturas no autorizadas de su información.
  • Otro tipo de ataque sería la suplantación, que consiste en enviar información falsa que parece ser válida. De esta manera se podrían obtener productos caros con etiquetas suplantadas de productos mas económicos.
  • Un tercer ataque detectado es la inserción de comandos ejecutables en la memoria de datos de la etiqueta, que podrían inhabilitar lectores y otros elementos permitiendo algún tipo de fraude o una DoS.
  • Por otro lado, si saturamos el sistema enviándole de forma masiva mas datos de los que es capaz de procesar, o somos capaces de anular la comunicación de radiofrecuencia emitiendo ruido potente estaríamos frente a un ataque de denegación de servicio.

Aparte de éstos, también se pueden dar ataques como inyectar código SQL hacia el soporte físico que lee la tarjeta, ataques por inyección de malware o ataques Man in the Middle capaz de vulnerar la confianza mutua en los procesos de comunicación y reemplazar una de las entidades. También se pueden inutilizar las etiquetas sometiéndolas a un fuerte campo electromagnético si disponemos por ejemplo de una antena altamente direccional. Todos estos ataques pueden ser parcial o totalmente mitigados aumentando la capacidad de memoria y procesamiento de las etiquetas, permitiendo de esta manera implementar mecanismos avanzados de seguridad y cifrado.

Para evitar estos riesgos, se recomienda usar etiquetas de sólo lectura o no escribir los datos directamente en ellas, incluir únicamente un código en la etiqueta y el resto de información en una BBDD con mas seguridad, e incluir métodos de autenticación previos al borrado o desactivación de las etiquetas, y para realizar la comunicación entre lector y etiqueta.

Hablemos ahora de los riesgos para la privacidad de los usuarios. En éstos, se usan ataques con técnicas similares a las anteriormente mencionadas pero en los que se accede a la información personal. Este tipo de ataques van desde accesos no permitidos a las etiquetas con datos personales, hasta el rastreo de las acciones o gustos de las personas: accesos a recintos, hábitos, transportes…etc.

Las medidas para evitar los riesgos para la privacidad son una tarea primordial para las organizaciones, y requieren de una adecuada planificación del sistema de información. Al respecto, la Comisión Europea ha aprobado una Recomendación sobre Privacidad en Comunicaciones RFID denominada “On the implementation of privacy and data protection principles in applications supported by radio-frequency identification SEC (2009) 3200 final“, en la que se establecen recomendaciones y buenas practicas para implementar comunicaciones RFID.

Decir también que la Ley orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) es directamente aplicable a la tecnología RFID y con ello cada uno de los principios, derechos y obligaciones que regula. Por tanto los desarrolladores de este tipo de productos tiene que tener en cuenta entre otras cosas que:

  • Debe realizarse un juicio previo sobre si realmente es necesario usar tecnología RFID, definir las funcionalidades claramente y adoptarse revisiones en relación con la cancelación posterior de los datos personales recopilados cuando no sean necesarios.
  • Los usuarios deberán ser informados de la existencia del tratamiento que se le da a sus datos personales.
  • Debe garantizarse la seguridad de todos los recursos relacionados con los tratamientos de datos personales vinculados a la tecnología RFID (hardware, software, organizativos…). La implantación de este tipo de tecnologías en territorio español debe respetar las normas del Real decreto 1720/2007.

Por último y no menos importante, deberá tenerse en cuenta el futuro desarrollo de la Directiva 2009/136/CE7 que indica la necesidad de velar por la protección de los derechos fundamentales, y en particular del derecho fundamental a la protección de datos, cuando las etiquetas RFID estén conectadas a redes públicas de comunicaciones electrónicas o usen servicios de comunicaciones electrónicas como infraestructura básica. En este caso, deberán aplicarse las disposiciones pertinentes de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas), incluidas las relativas a seguridad, datos de tráfico y de localización, y a la confidencialidad.

Cómo recomendaciones finales para los usuarios, para evitar este acceso indeseado a la información existen diversos sistemas:

  • Utilización de etiquetas watchdog. Estas etiquetas informan de intentos de lectura y escritura que se hagan en su área de actuación.
  • Aislamiento. Evitando la lectura de las etiquetas salvo en los momentos que se desee. Para ello, sólo hay que introducir la etiqueta en una funda de material metálico o plástico, que haga la función de “jaula de Faraday” comentada anteriormente.
  • Firewall RFID. Estos dispositivos crean una zona segura alrededor del usuario mediante la emisión de ondas que anulan la efectividad de RFID. Se denominan también inhibidores de radio- frecuencia. Esta solución es aplicable a entornos de máxima seguridad, no compatible con situaciones en las que ciertas lecturas deben ser permitidas y otras no.
  • La inutilización de las etiquetas una vez se haya realizado la transacción, destruyéndola físicamente, o mediante el comando KILL.

Con esto, finaliza la breve y básica introducción a RFID; si quieren indagar más en el tema, pueden seguir con la Guía sobre seguridad y privacidad de la tecnología RFID que ha publicado INTECO, y con los múltiples recursos que ofrece la red sobre esta tecnología tan interesante como potencialmente peligrosa.

Introducción a RFID

La tecnología RFID (Radio Frequency Identification) permite identificar de manera unívoca automáticamente un objeto gracias a una onda emisora incorporada en el mismo, que transmite por radiofrecuencia los datos identificativos del objeto. Actualmente estamos acostumbrados a encontrar esta tecnología en forma de etiquetas adhesivas, de forma que un objeto con una de estas etiquetas puede ser localizado a una distancia que va desde unos pocos centímetros hasta varios kilómetros, dependiendo de la fiabilidad de varias características de estas etiquetas, como pueden ser la frecuencia de la emisión, la antena o el tipo de chip que se use. En la etiqueta se graban los datos identificativos del objeto al que ésta está pegada, y dicha etiqueta genera una señal de radio que un lector físico se encargaría de recibir, transformar en datos y transmitir dicha información a la aplicación informática especifica (middleware).

La tecnología RFID va dirigida principalmente al sector logístico y al sector de la defensa y seguridad, pero sus beneficios son aplicables a otros ámbitos ya que dispone de múltiples ventajas. Entre otras, podemos citar que permite el almacenamiento de un gran volumen de datos mediante un mecanismo de diminutas dimensiones, automatiza los procesos para mantener la trazabilidad y permite incluir una mayor información a la etiqueta reduciendo así los errores humanos, evita su visibilidad en caso de intento de robo y permite mayor facilidad de retirada de un determinado producto del mercado en caso de que se manifieste un peligro para la seguridad.

Actualmente podemos encontrar dicha tecnología en tiendas de artículos, para identificar los productos y sus precios o como medida de seguridad, en transportes públicos para el control de acceso o de equipajes, en identificación de mascotas implantando un chip subcutáneo, en pago automático de peajes, en bibliotecas, eventos deportivos tipo maratones para identificar corredores, en el ámbito sanitario para control de medicamentos, identificación de muestras, etc.

Basándonos en lo anterior podemos hablar de cuatro componentes básicos en ésta tecnología:

  • Las etiquetas: también conocidas como tags o transpondedores (transmisor+responder). Están compuestas por una antena que se encarga de transmitir la información, un transductor radio que convierte la información que transmite la antena y un microchip capaz de almacenar el numero de identificación y otros datos. Dichas etiquetas tienen un coste de apenas unos céntimos de euro y sus dimensiones son de hasta 0.4 mm². Según la fuente de energía que usen podemos encontrar:
    • Etiquetas pasivas: no necesitan fuente de alimentación interna, son circuitos resonantes. Alcanzan distancias entre unos pocos milímetros y 7 metros. Son de un tamaño menor que el habitual. Se suelen insertar en pegatinas y son las mas baratas del mercado.
    • Etiquetas activas: poseen una batería interna, por lo que su cobertura (cientos de metros) y capacidad de almacenamiento es mayor. Se puede usar en zonas de agua, o con mucha presencia de metales y siguen siendo válidas. Son más fiables y seguras, por lo tanto más caras y de mayor tamaño.
    • Etiquetas semi-pasivas: mezcla de las dos anteriores.

    Según la frecuencia a la que trabajen, las etiquetas se pueden clasificar en baja (125kHz – 134kHz), alta (13,553 MHz – 13,567 MHz ), ultra alta (400 MHz – 1000 MHz ) y microondas (2,45 GHz – 5,4 GHz ). Dicha frecuencia está ligada a diferentes características, como la capacidad de trasmisión de datos, velocidad, radio de cobertura, coste…

  • Lector de RFID: recibe la información emitida por las etiquetas y la transfiere al middleware. Está formado por una antena, un transceptor y un decodificador. Si la etiqueta permite escritura también incorporaría un módulo programador.
  • Middleware: software instalado en un servidor y que hace de intermediario entre el lector y las aplicaciones. Filtra los datos que recibe, para que a las aplicaciones sólo les llegue la información útil.
  • Programadores RFID: dispositivos que realizan la escritura sobre la etiqueta. Codifican la información en un microchip ubicado dentro de la etiqueta RFID.

Además de las aplicaciones citadas anteriormente, se están estudiando otras nuevas aplicaciones de esta tecnología:

  • Pagos electrónicos con móviles a través de la tecnología NFC (Near Field Communication), que permite que un teléfono móvil recupere los datos de una etiqueta RFID. Esto, combinado con medios de pago electrónicos para móviles (Mobipay, Paybox, etc.), permite comprar productos con tal solo acercar el teléfono al punto de información del producto de donde RFID extrae los datos.
  • Pasaportes electrónicos que almacenan la información del titular, fotografía, huella dactilar, etc.
  • Activación de vehículos y maquinaria. La etiqueta actúa en este caso como control de verificación personal.

Como hemos podido observar, la tecnología RFID plantea múltiples e interesantes nuevas oportunidades de mejorar la eficiencia de los sistemas de uso diario además de añadir comodidad, pero dichas mejoras plantean nuevos riesgos, algunos de los cuales veremos en la siguiente entrada de la serie.

(Más información en la Guía sobre seguridad y privacidad de la tecnología RFID que ha publicado INTECO)

Asegur@IT… y OpenBTS

El pasado día 9 tuvieron lugar en Valencia las conferencias Asegur@IT en su octava edición, evento que contó con la participación de empresas como Microsoft, Wintercore, Informatica64, Taddong e Hispasec, además de representantes del blog Security By Default. Y varios representantes de S2 Grupo estuvimos presentes.

En general, las charlas fueron de un gran interés; desde Chema Alonso presentando La Foquetta hasta Sergio de los Santos hablando de malware, pasando por Rubén Santamarta hablándonos sobre Bindiffing Patches y Alejandro Ramos sobre seguridad en archivos PDF, entre otros. Pero la charla que mas llamó mi atención fue la que impartieron David Pérez y José Picó, de Taddong, sobre “Nuevas amenazas en dispositivos móviles”, en la que nos mostraban a través de pruebas reales que los dispositivos móviles, elementos críticos de acceso a información sensible, cada vez más son acechados por nuevas amenazas, y que si no se protegen adecuadamente dentro de poco serán una de las vías de ataque favoritas por los delincuentes.

El experimento en cuestión trataba sobre la creación una falsa estación base de Telefonía móvil mediante el uso de OpenBTS. Pudimos ver mediante varios vídeos cómo suplantar la identidad de una estación base Movistar dentro de un entorno creado expresamente para dicho experimento, el cual consistía en una jaula de Faraday “autoconstruida”. El efecto jaula de Faraday provoca que el campo electromagnético en el interior de un conductor en equilibrio sea nulo, anulando el efecto de los campos externos (se pone de manifiesto por ejemplo al meternos con nuestro teléfono móvil en los ascensores o en edificios con estructura de rejilla de acero). Con una simple tela especial -de tipo mosquitera de alambre- podemos fabricarnos de forma casera una caja y simular una jaula de Faraday. En el caso, claro está, que no se disponga de una cámara anecoica en condiciones, que eso es un pelín mas complicado de conseguir :)

Dentro de la jaula, evitando señales externas provenientes de la legítima estación base, se introdujo la falsa estación de telefonía, que se configuró para emitir en la frecuencia deseada (imaginamos que en la banda de frecuencias de uso, 900/1800 Mhz) y con los parámetros adecuados, de forma que el teléfono móvil “víctima” acabó reconociendo esta falsa estación base como auténtica y se registró contra ella. De ésta forma el control del teléfono lo tiene la estación falsa, permitiendo control de llamadas entrantes y salientes, modificación de mensajes, etc. Podríamos plantearnos que si en nuestro radio de búsqueda de cobertura, nuestro teléfono encuentra antes una estación falsa (porque emita con más potencia, por ejemplo) se podría registrar contra ella y no contra la auténtica. Me quedé bastante impresionada con esta charla y la relativa facilidad a la hora de suplantar una legitima estación base de telefonía por una falsa, dejando bastantes preguntas abiertas sobre este tema, además de plantearnos una línea más de investigación sobre la seguridad en éste ámbito y, en general, sobre las comunicaciones móviles.

Dejando un poco a un lado el tema de la seguridad me empecé a plantear el hecho de la posibilidad de construcción de mi propia red móvil e indagué un poco sobre OpenBTS y los proyectos que había relacionados, encontrando bastante información (un link y otro, a modo de ejemplo).

OpenBTS propone un sistema de comunicación móvil con un coste menor, ideal para zonas rurales, o apartadas (como por ejemplo las plataformas petrolíferas). OpenBTS es una aplicación Unix de código abierto que usa el Universal Software Radio Peripheral (USRP), que presenta una interfaz de aire GSM para teléfonos GSM estándar y que usa el software Asterisk para conectar llamadas entre los conmutadores o PBX. La combinación de la interfaz de aire GSM con una distribución de voz sobre el protocolo VoIP sería la base de un nuevo tipo de red celular que podría implantarse y operarse con un coste mucho menor que las tecnologías existentes. Hasta ahora la construcción de semejante red móvil es tan sólo una promesa, y está abierta a iniciativas y colaboraciones. Sin embargo ya se probó su funcionamiento en el festival Burning Man en Black Rock Deserte de Nevada (USA) y en la isla de Niue, en el Pacifico Sur. Los usuarios de teléfonos móviles dentro de este tipo de red pueden hacer llamadas entre sí y, si la red está conectada a Internet, también a personas en cualquier parte del mundo; para ello se necesitaría un periférico de radio de software universal (pieza de hardware barata y fácil de comprar por Internet que se puede ajustar para proporcionar varios tipos de señales de radio; se usaría para enviar y recibir transmisiones de radio entre la estación base y el teléfono de un usuario móvil), el software Asterisk (ya que OpenBTS corre sobre él), una conexión IP (los usuarios de teléfonos móviles en un red OpenBTS pueden comunicarse entre ellos incluso si el sistema no está conectado a Internet, aunque para comunicarte con alguien fuera de la red se requiere obviamente conexión a Internet), una fuente de alimentación (se han hecho diversos experimentos y los resultados obtenidos han demostrado que la alimentación que se consume es muy baja, por lo que una estación base podría funcionar con energía eólica o solar), un teléfono GSM y una antena de acuerdo al rango que el operador de red quiera alcanzar. Como vemos, material muy asequible económicamente y fácil de conseguir…

Por si a alguno se le pasa por la cabeza probar todo esto… RECORDAD que el espectro radioeléctrico se trata de un bien de dominio público cuya TITULARIDAD, GESTIÓN, PLANIFICACIÓN, ADMINISTRACIÓN Y CONTROL CORRESPONDE AL ESTADO. O sea, que es ilegal emitir en el espectro radioeléctrico a no ser que se realice en un entorno concreto y controlado. En la ETSIT de la UPV disponíamos de una cámara anecoica que quizá, bajo un proyecto interesante y justificado, nos dejarían usar para pruebas, pero es sólo una idea… :)

DNI electrónico (2 de 2): Seguridad

Cerramos con este post, segundo y último, el primer acercamiento al DNI-e, ahora ya hablando no de generalidades sino de la seguridad que posee y de las posibilidades que ofrece al ciudadano o la administración; para empezar, teniendo en cuenta los objetivos principales del documento (acreditar la identidad de su titular electrónicamente y posibilitar la firma electrónica), la información electrónica que almacena el chip del DNI es la siguiente:

  1. Certificado electrónico de componente, que no contiene ninguna información del titular del DNIe.
  2. Certificado electrónico de identificación / autenticación que permite que el titular del DNIe pueda acreditar su identidad electrónicamente.
  3. Certificado electrónico reconocido para firma electrónica, que permite al titular realizar la firma electrónica de documentos.
  4. Datos del titular que aparecen en la superficie de la tarjeta.
  5. Huella dactilar digitalizada, una fotografía también digitalizada y el IDESP.

[Read more…]

DNI electrónico (1 de 2): Introducción

Recientemente he realizado un curso de formación online de INTECO acerca del DNI electrónico, curso que me ha animado a plantear un post sobre dicho DNI-e “para toda la familia” (esto es, sin entrar en profundidad en el detalle técnico); la información planteada aquí está obviamente extraída de este curso. Y para comenzar, vamos a recordar dos cuestiones fundamentales que se desarrollan dentro de nuestro entorno diario en cualquier parte y en cualquier lugar.

La primera cuestión es el concepto de Identidad, derecho fundamental de todos los ciudadanos y por el cual los gobiernos deben poner a nuestro alcance los medios necesarios para poder demostrar nuestra identidad tal y como declara el Art. 6 de la Declaración Universal de Derechos Humanos: “Todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad jurídica“. La segunda de estas cuestiones hace referencia al gran avance tecnológico que hemos vivido y vivimos y por el que se han impulsado grandes cambios en diversos ámbitos como el legislativo, el social, o el económico. Gracias a las nuevas tecnologías han aparecido nuevos servicios, los usuarios cada vez más demandan un mayor acceso a la información a través de Internet, a la tramitación de cualquier tipo, mejores y más servicios tanto a nivel público como en el sector privado y así, con todo esto, surgió la necesidad de comenzar una integración completa por parte de las tecnologías de la información (TI) en todos los procesos de negocio y actividades en las organizaciones, incluida la administración pública, dando como resultado la administración electrónica (eAdministracion). Poco a poco la tramitación electrónica está tomando el relevo de la tradicional, con las ventajas que conlleva, modernizando los servicios empresariales y acercándonos cada vez más a la llamada Sociedad de la Información.

La llegada de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, supuso un gran impulso para el desarrollo de la eAdministracion; las administraciones comenzaron un proceso por el cual tratan de adecuar sus servicios a los requerimientos de la ley y de los usuarios. Para que la tramitación electrónica se hiciera posible, han sido necesarios nuevos desarrollos y normativas, como es el caso de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, una herramienta necesaria para la realización de cualquier trámite electrónico con las debidas garantías legales y de seguridad. Pero uno de los mayores avances, y que ha supuesto un acercamiento de las tecnologías de la información a los ciudadanos, ha sido el Documento Nacional de Identidad electrónico, que en España ya está totalmente operativo y su uso cada vez está más extendido a pesar de las largas colas que se forman para obtenerlo :D

El DNI electrónico es fundamental desde el punto de vista de la tramitación electrónica, ya que dota al ciudadano de un conjunto de herramientas y mecanismos para ayudarle a realizar de forma segura y cómoda sus trámites en la Red. Al igual que el DNI convencional, el electrónico es un documento emitido por una entidad reconocida, avalada, acreditada, certificada y apoyada por una legislación, incorporando a su vez un certificado electrónico que debe estar emitido por una entidad acreditada como emisora de certificados electrónicos o CA (Certification Authority) de identificación, de forma que podemos identificarnos tanto el mundo físico como en el electrónico. La CA es la responsable de emitir y revocar los certificados utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública.

El DNI electrónico tiene todas las características que el DNI convencional (acredita de forma inequívoca la identidad del titular, su número figura en el 97% de las BBDD de entidades y organizaciones, es obligatorio para la expedición de otros documentos, etc.) y muchas más, puesto que tiene cabida en todo tipo de transacciones y trámites electrónicos. Por supuesto se apoya en un conjunto de leyes determinado, y la Dirección General de la Policía es la encargada de la gestión y mantenimiento de dicho documento (al igual que lo es del DNI convencional). Existe un conjunto de normativas relativas al DNI electrónico, de las que la principal es el Real Decreto 1553/2005, de 23 de diciembre, que regula el Documento Nacional de Identidad, así como sus certificados y otros aspectos.

En lo relativo al soporte físico, el DNI electrónico tiene las siguientes características:

  1. Está fabricado en policarbonato, lo que le confiere una gran durabilidad y resistencia, estimada en 10 años. Como curiosidad cabe decir que el policarbonato podemos encontrarlo en lentes, se usa como materia prima para CD, DVD, cristales antibalas o escudos anti-disturbios.
  2. Incorpora un chip electrónico que en su interior alberga un microprocesador, capaz de realizar operaciones y memoria, donde se almacenan los datos que contiene el DNI.
  3. Dispone de todas las medidas de seguridad disponibles para este tipo de dispositivos.
  4. El soporte físico incorpora un número que lo identifica de forma única, conocido como IDESP, gracias al cual cada DNI electrónico es único.

Por su parte, el chip electrónico que incorpora el DNIe presenta las siguientes características:

  1. Es un chip electrónico de la familia ST19, crypto-processor de STMicroelectronics.
  2. El modelo específico es el ST19WL34, incluye 34 Kbytes de EEPROM segura para almacenamiento de datos personales y 224 Kbytes de ROM de usuario para el sistema operativo y el código de programa. Los 6 Kbytes de RAM de usuario, combinados con la potencia de procesos del microcontrolador securizado de 8 bits, permiten un preprocesamiento rápido de datos y ofrece una retención de datos de al menos diez años.
  3. Este chip incorpora un Procesador Aritmético Modular (MAP) de 1088 bit para criptografía de clave publica, y un motor de hardware DES.
  4. Está certificado EAL4+ según el perfil de protección CEN CWA14169 por el Centro Criptológico Nacional (CNI).
  5. Es un dispositivo seguro de creación de firma electrónica, de acuerdo con el artículo 24.3 de la Ley 59/2003 de Firma Electrónica.

Con esta descripción, creo que cualquiera puede hacerse una idea general (para toda la familia :) de qué es realmente su DNIe. En el próximo —y último de momento— post sobre el DNI electrónico entraremos ya en sus capacidades de seguridad, la información que contiene y el uso que se le puede dar… en breve, en este mismo blog :)

Ataques contra usuarios de Twitter

Kaspersky Lab ha alertado a los usuarios de Twitter sobre una herramienta que están usando los criminales cibernéticos para crear botnets que se controlan a través de Twitter. Según ciertas publicaciones (TechnologyReview, FaqMac y otros), miles de cuentas de Twitter hackeadas a la venta en foros forman un nuevo mercado negro dentro de la ciberdelincuencia. Las cuentas se ofrecen por lotes a menos de 200 dólares, dependiendo del número de seguidores que tengan.

El principal objetivo de los compradores, en la mayoría de casos, es vender falsos antivirus (Rogueware) a través de los tweets enviados por estas cuentas; el hecho de hacer clic en en enlace de un tweet hackeado infecta al equipo del usuario con la publicidad de un producto de antivirus falso. La infección provoca una notificación emergente que anuncia que el equipo está infectado y ofrece una versión completa del falso antivirus por unos 50 dólares (o más) que te asegura que desinfectará el equipo en cuestión, y se estima que 1 de cada 100 personas probablemente paguen esa cantidad. Con que sólo un tweet hackeado tenga éxito, podría tener graves repercusiones si procede de un usuario de confianza (generalmente, entre el 10-20% de los usuarios hacen clic sobre un enlace enviado por una fuente de confianza). Twitter tiene más de 75 millones de usuarios, de los cuales entre unos 10-15 millones envían tweets regularmente. Si por ejemplo simplemente sólo un 1% de esos 75 millones de miembros se infectara, y que de ese 1% de usuarios infectados, un 1% creyera en el falso antivirus y pagara por su adquisición, supondría un fraude de unos 7500 dólares. Este tipo de botnets también se usa para distribuir spam o realizar ataques de denegación de servicio, entre otras cosas.

La técnica de robar credenciales de cuentas y la publicación de enlaces maliciosos en Twitter es cada vez mas popular. (…) Los criminales cibernéticos están dándose cuenta de que se puede abusar de los sitios de redes sociales de manera muy eficiente y acorde con sus necesidades.”, afirma Costin Raiu, director de Kaspersky Lab.

La herramienta en cuestión es TwitterNET Builder, de la cual actualmente existen dos variantes conocidas. La primera, la original, utiliza órdenes maliciosas con nombres estáticos que pueden ejecutar funciones como descargar y ejecutar ficheros, realizar ataques de denegación de servicio, redirigir a otras páginas web o controlar la comunicación entre el equipo infectado y Twitter (http://sunbeltblog.blogspot.com/2010/05/diy-twitter-botnet-creator.html)). El equipo de http://sunbeltblog.blogspot.com notificó en su momento a Twitter, y curiosamente comentan en su blog que Twitter tardó sólo 13 minutos en contestarles (impresionante). La segunda, descubierta por Kaspersky Lab, es una ligera variación de la primera variante que permite al atacante especificar los nombres del comando, lo que hace más difícil identificar qué cuentas de Twitter se están utilizando para controlar las botnets.

Este código malicioso no incluye ningún mecanismo de distribución y debe instalarse de forma manual en el ordenador del usuario víctima, pero puede ejecutarse cuando se combina con un ataque drive-by o con un gusano que se distribuye a través de una nueva vulnerabilidad”, afirma David Jacoby de Kaspersky Lab. Las cuentas se comprometen usando dos métodos: troyanos que roban las credenciales de Twitter directamente del usuario y estafas de phising que utilizan falsas peticiones de autorizaciones en sitios fraudulentos que imitan la página original. Una vez los atacantes tienen acceso a una cuenta, pueden comenzar un mailing malicioso, que aparentemente envía el legítimo dueño de la cuenta, o simplemente pueden vender la cuenta a otros para propósitos similares.

Para protegernos, dado que esta herramienta no tiene sus mecanismos de distribución propia y necesita ser descargada y ejecutada manualmente (por ejemplo, nos podría llegar como archivo adjunto en un correo electrónico, o como un archivo enviado a través de un cliente de mensajería instantánea), es importante estar atentos a la hora de ejecutar este tipo de archivos. También hay que tener cuidado de no infectarse a través de un ataque drive-by, que pueda explotar por ejemplo una vulnerabilidad en el navegador y es aconsejable (sobre todo si eres de los que no te fijas mucho donde haces clic :) que tengamos el antivirus actualizado y tengamos también instalados todos los parches de seguridad de los diferentes proveedores.