ISO/IEC 27005:2008

Me informa un compañero de que el pasado miércoles se publicó, tras muchas esperas, el que viene a ser el estándar ISO de Gestión de Riesgos de Seguridad de la Información. Esto es, la ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management. Algo que quizá traiga algo de estandarización a un área con tanta metodología dispar, y quizá no, pero que sin duda será un punto a tener en cuenta.

En cualquier caso, como saben las normas ISO son de pago, por lo que si quieren echarle un vistazo, van a tener que soltar algo de dinero. El texto de la norma pueden comprarlo en la página oficial ISO correspondiente.

(Por cierto, tengo pendiente mi opinión personal sobre la entrada del otro día (la resolución de la AEPD sobre los sistemas de “Envía esto a un amigo”, que les traeré en breve. No piensen que se me ha olvidado.)

Violencia de género: nivel alto (aunque no lo parezca)

No sé si han visto el telediario de Telecinco de esta mediodía. Si no ha sido así, y a falta de mayores investigaciones por parte de la AEPD y quien corresponda, el tema es para alucinar; ya verán como me dan la razón. Lo que más me ha llamado la atención era lo “normal” que parecía que algo así hubiese sucedido, como si aquello no fuese realmente con nadie (el video no incluye algunas de las entrevistas realizadas). Les anticipio un párrafo de la noticia (que es de ayer):

El equipo de ‘Reporteros’ de Informativos Telecinco ha localizado en las inmediaciones de los juzgados de violencia de género en Madrid seis bolsas con copias de expedientes en perfecto estado de denuncias de maltrato por parte de mujeres. Dichos documentos incluyen nombres de víctimas y agresores, informes médicos y psicológicos, diligencias originales, declaraciones de las víctimas, fotocopias de sus documentos de identidad e, incluso, sus domicilios impresos en solicitudes de órdenes de alejamiento.

En fin, disfruten con el video e intenten calcular qué repercusión económica y reputacional, entre otras, podría tener para una empresa privada algo de semejante magnitud:

Vista Hacked en 2 minutos

Un ejemplo de la cantidad de ataques físicos que pueden hacerse contra los sistemas operativos cuando se tiene acceso físico al sistema:

Vista Hack

En este caso, los chicos de Offensive-Security han grabado en video (y con música poco discreta) una pequeña demostración mediante la cual reinician un Windows Vista con una Live-CD y copiando el cmd.exe con otro nombres son capaces de lanzarlo sin realizar autenticación de usuario y hacerse con privilegios de SYSTEM (usuario de máximos privilegios del sistema).

Además, como podeis ver en el video de demostración, la prueba fue realizada en aproximadamente 2 minutos; si a eso le sumamos el tiempo de descargar e instalar algún software tipo backdoor, ponle 3 minutos. Con hacer una rápida visita al baño podriamos encontrarnos con nuestro portátil comprometido.

La solución a este problema pasa por el cifrado completo del equipo, bien sea mediante herramientas de pago, bien mediante algunas herramientas OpenSource que realizan esta función (TrueCrypt).

En un próximo post, alguna información sobre cifrado completo del sistema.

Share this

Me gustaría pedirles su opinión sobre una resolución de la AEPD que he visto ya en varias páginas webs [Miguel ?ngel Mata, Félix Haro], la PS/00323/2007, y que puede sentar un bonito precedente en los típicos sistemas de “Envía/recomienda esta página a un amigo”. Ya sé que no es precisamente una novedad, pero creo que es muy interesante. Aunque los detalles concretos están en la resolución indicada, la cuestión es la siguiente:

La empresa Iniciativas Virtuales, dedicada a servicios de publicidad y marketing web, tiene un servicio que pone a disposición de los usuarios previamente registrados un sistema de recomendación a través del que enviar a tus familiares o amigos un correo ya confeccionado por Iniciativas Virtuales, a modo de invitación al servicio:

¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de… Y…, y te manda este mensaje.

Básicamente, y aunque esto es ajeno a la resolución, el servicio se basa en la recepción de publicidad y realización de encuestas comerciales por parte de los usuarios registrados, que son remunerados en función del volumen de publicidad recibido y encuestas realizadas. Es significativo indicar que el servicio, como suele ser habitual, dispone de un sistema de puntos que fomenta las recomendaciones: si yo te recomiendo el servicio y tú te apuntas, yo salgo beneficiado, por lo que me interesa “difundir” el servicio lo máximo posible.

Entonces, el usuario YYY (del que la empresa Iniciativas Virtuales sólo posee una dirección de e-mail y no es capaz de identificar) recomienda el servicio al usuario AAA a través de dicho sistema, y éste, al recibir la invitación, decide formular denuncia ante la AEPD por recibir publicidad no solicitada ni consentida. Ésta resuelve el caso con una sanción de 600 euros, entendiendo que efectivamente se trata de una acción comercial no solicitada, a pesar de que, tal y como Iniciativas Virtuales defiende, la iniciativa de enviar dicho e-mail no es suya sino del usuario particular YYY (que, aunque no lo diga, busca crear afiliados para incrementar sus puntos).

¿Qué piensan ustedes de esta resolución? ¿Es correcta?

Mí opinión se la diré en un próximo post, pero es interesante, sea cual sea su decisión, pensar cómo se aplica esta resolución al “Envía a un amigo” que hay en muchos blogs personales que contienen publicidad Adsense, y por tanto se benefician directamente del incremento del número de visitas, además del beneficio que indirectamente recibe el proveedor del blog.

¿Cifrado = Privado?

Hace poco estuve realizando un curso de Administración y Mantenimiento de Windows Server 2003 para mejorar mis conocimientos sobre este sistema operativo, ya que cuanto más conoces un sistema, más sencillo resulta auditar la seguridad del mismo, que es a lo que me dedico en mi actividad profesional.

Durante la realización de este curso hubo algo que me impactó un poco en relación con el soporte que ofrece Microsoft en sus sistemas para cifrar archivos y carpetas en sistemas de ficheros NTFS. No cabe duda de que en un primer momento puede suponer muy funcional por el hecho de que se cifra la información sin tener que recordar una contraseña adicional, que todo se realiza transparentemente al usuario.

captura.jpgEl problema con las cosas “excesivamente funcionales y transparentes” es que en la mayor parte de los casos implican un decremento en su seguridad. Por poner un ejemplo, algunas de las preguntas que me surgieron al explicarme este método de cifrado:

¿Que pasa si el usuario olvida la clave y es necesario resetearsela? Se pierde la información cifrada sin posibilidad de recuperación. Al haber sido cifrada utilizando la contraseña de usuario.

En realidad no se perdería, lo cual aunque en principio puede parecer algo bueno, comprobareis que el mecanismo empleado vulnera en cierta medida la privacidad de los usuarios de este sistemas de cifrado integrado.

Cuando configuras un fichero o carpeta como cifrado con EFS, además del usuario que lo crea que evidentemente tiene acceso, puedes definir un listado de usuarios que también tendrán acceso a dicho fichero. Dichos usuarios son perfectamente gestionables por el usuario propietario del fichero. El problema radica en lo que podemos apreciar en esa misma ventana un poco más abajo. Existe un “rol” denominado “Agente de recuperación de datos” (que por defecto es el usuario Administrador y que el usuario no puede cambiar) que es capaz de acceder a cualquier información cifrada del sistema.

Como podeis imaginar, el hecho de que un usuario Administrador del sistema pueda acceder a toda esta información cifrada vulnera completamente la privacidad que se pretende alcanzar con el uso de herramientas criptográficas.

Todo esto me ha llevado a la conclusión que el sistema de cifrado EFS proporcionado por Microsoft en sus sistemas operativos no satisface los requisitos mínimos de seguridad, por lo que yo personalmente recomiendo utilizar software de terceros aunque ello implique tener que recordar una contraseña más o llevar con nosotros un token o certificado digital, nuestra privacidad vale esa molestia y mucho más.

Saludos.

Historias para no dormir

Mi hermano está en Alemania con una beca Erasmus, y hace unas semanas, aprovechando una visita de unos días, me pidió que le instalase Linux en su portátil HP que había comprado un par de meses antes, ya que lo necesitaba para hacer el proyecto. La idea pues era instalar un Linux y dejarlo preparado en dos días; no tenía mucho más tiempo. Dejemos claro antes de nada que cuando empezó, lo que mi hermano sabía de Linux y nada era casi lo mismo; lo que ha aprendido lo ha hecho a partir de algunos tutoriales y unos cuantos correos míos en plan de “para hacer esto, teclea tal cosa”, o “fíjate en el log este, que te pondrá tal cosa que te puede servir de ayuda”. Les advierto que esta entrada tiene poca relación con la seguridad en sí, pero es un tema que en el trabajo sale a menudo.

[Read more…]

Más Reglamento

A través del blog de Paloma Llaneza me entero de que la AEPD ha colgado en su página web el contenido de una jornada sobre el nuevo reglamento llevada a cabo el pasado 22 de abril, hace hoy exactamente un mes menos un día. Los videos, presentaciones y preguntas realizadas por los asistentes pueden encontrarlas en este enlace, y no me pregunten porqué apunta a una dirección IP y no a una url. Ya saben que eso son cosas de la Agencia…

Echelon, ¿para qué? (y dos)

Como apuntaban en un comentario anterior, es cierto que las medidas descritas y adoptadas por el gobierno estadounidense son, en cierto modo, la versión extendida del “Derecho de Admisión” de cualquier bar o discoteca: si quieres entrar en mi país, vas a tener que pasar por el aro, porque aquí soy yo quien pone las reglas. Dicho de otra forma, los EEUU tienen todo el derecho a hacerlo, teniendo siempre en cuenta que nosotros no somos ciudadanos estadounidenses (y por tanto sin derecho legítimo a opinar sobre las medidas aplicadas por otro gobierno soberano para la entrada en su territorio); si eso pasase en territorio nacional, otro gallo nos cantaría: al menos tendriamos el derecho a la pataleta.

[Read more…]

Echelon, ¿para qué?

Es posible que muchos de ustedes conozcan, hayan firmado e incluso entregado a sus trabajadores todo tipo de políticas sobre la protección de la información, tanto corporativa como datos de carácter personal: política de uso de Internet y email, política de cifrado, política de uso de activos corporativos, política de esto y política de aquello. A lo mejor, si han hecho los deberes, el personal técnico dispone además de procedimientos de borrado seguro y destrucción de soportes. Pero seguramente, lo que no tienen es una política o procedimiento de “ocultación de información”; claro que, ¿para qué querría usted esconder la información? ¿esconder? ¿de quién? ¿es que no es suficiente con cifrarla?

Pues bien, parece que ya no.

Si lo que Bruce Schneier cuenta es cierto —y no tengo ninguna duda de que lo es—, recientemente una corte de los EEUU aprobó el derecho de los agentes de aduanas a inspeccionar, en el sentido más amplio del término, cualquier portátil o dispositivo electrónico que el visitante lleve en su entrada al país. Es decir. Ponerlo en marcha, entrar en su cuenta de usuario, y hurgar, todo lo que les de la gana. Preguntando y todo; como era de esperar, el visitante tiene que colaborar, por lo que no sirve de nada que el disco esté cifrado. Claro que uno puede alegar desconocimiento, ignorancia o negarse a cooperar, pero no quiero ni pensar la cantidad de tiempo que pueden hacerle perder a uno, además de que podrían prohibirle el acceso al país y/o confiscarle el portátil. Y esto al parecer no es exclusivo de los EEUU. Sí, ya sé que probablemente los agentes de aduanas no son expertos informáticos, pero yo no me la jugaría porque probablemente destinen a ello personal especializado, tal y como está el nivel de paranoia hoy en día.

Así que vayan pensando en otro nuevo procedimiento, titulado “Cómo esconder la información”. Y mientras tanto, si piensan viajar a los EEUU por motivos de trabajo, busquen asesoramiento interno o externo, borren de manera segura toda la información que no necesiten, oculten de la mejor manera que puedan y sepan la que necesiten, aprendan a mentir y, por si las moscas, lleven el teléfono del abogado de la empresa en el bolsillo.

Y si viajan por motivos personales… no se lleven el portátil del trabajo.

[Nota: Me apunta rápidamente Toni Villalón que la solución a esto pasa por el uso de sistemas de ficheros esteganográficos, por lo que ya tienen nombre para su política: “Política de uso de esteganografía”. Eso no obstante lo dejaremos para otra entrada.]

Pozo de ciencia, valioso tesoro

Todo jefe, director o gestor de proyectos informáticos conoce las fases del ciclo de vida de un proyecto cual patrón de barco conoce la ruta a puerto seguro. Concepción, Organización, Desarrollo y Cierre conforman esa hoja de ruta que conducirá a patrón y marineros hacia el éxito de la aventura. Es sabido que ningún proyecto emprendido está exento de contingencias y desviaciones en la planificación trazada a priori, mapa en mano.

Así pues, a menudo se encuentran escollos y arrecifes que no estaban documentados en los mapas cartográficos y que generan retrasos y costes que en ocasiones pueden ser desmedidos. Esta situaciones son normales, así como es habitual que ese otro capitán que saborea un trago de ron junto a nuestra persona en la taberna te susurre de forma arrogante:

¡Ja ja! ¡Yo estuve navegando el mes pasado por esas aguas y ví los arrecifes que hundieron parte de tu nave esta mañana!
¡Valiente grumete, ¿y no los identificaste en el mapa para que los demás patrones no incidieran en el error?!— contestamos golpeando la mesa y derramando el poco ron que quedaba en el vaso.

[Read more…]