Malas prácticas, directamente.

23 de junio de 2008 Por

malas_practicas.jpg

Gracias a Patricia por el enlace.

Domótica sí, pero con calma…

20 de junio de 2008 Por

Ayer salió publicada en varios medios electrónicos la noticia de una cafetera que se puede conectar a Internet y que, ¡oh sorpresa!, tiene una vulnerabilidad que permite “hackear” la cafetera, y hacerle maldades como…

– Cambiar la presión del agua para conseguir un café mas fuerte o más “aguachirli”.
– Cambiar la cantidad de agua por taza, para producir “spressos” o tazones.
– Realizar cambios más profundos que hagan que nuestra cafetera tenga que acudir al servicio técnico.

Parece ser que, para colmo, y esto ya puede ser algo más serio (aunque lo del servicio técnico puede ser una broma de mal gusto) también se pueden utilizar alguna de esas vulnerabilidades para atacar máquinas con Windows XP que estén en el mismo segmento de Red.

[Read more…]

Niveles y medidas de seguridad

18 de junio de 2008 Por

Seguimos a vueltas con la LOPD, que es de lo que me gusta hablar. Quizá por eso no tengo amigos… Bueno, pelillos a la mar, nosotros a lo nuestro.

Hoy quería aclarar una confusión que habitualmente existe —o existía— en relación con los niveles de seguridad de los tratamientos que se declaran a la AEPD y las medidas de seguridad que hay que aplicar a los datos que integran dichos ficheros. Aclaremos, aunque no creo que sea necesario, que cuando hablamos de “Fichero” o “Tratamiento” no lo hacemos en un sentido lógico del término, sino en un sentido más bien conceptual; tal y como indica el RD 1720/2007, un “fichero” es, según el artículo 5:

k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Por tanto, un tratamiento denominado “Recursos Humanos” podrá estar formado, por ejemplo, por una base de datos, un par de documentos ofimáticos, y una carpeta de expedientes en soporte papel.

[Read more…]

Alan Turing

14 de junio de 2008 Por

El pasado día 7 fue el aniversario de la muerte de Alan Turing (1912-1954), sin duda uno de los mejores criptógrafos de la historia, y padre de la informática teórica que aún hoy se estudia en las universidades de todo el mundo (¿quién no recuerda la máquina de Turing y las pesadillas que ésta ha generado en muchos estudiantes de Informática, entre los que me incluyo?).

Sin duda, dos bombas marcaron el desarrollo de la Segunda Guerra Mundial: la bomba atómica (obvia y desgraciadamente conocida por todos) y la bombe de Turing, una máquina desarrollada en el famoso Bletchley Park británico, vital para romper los mensajes cifrados alemanes. Esta máquina, desarrollada por Alan Turing y mejorada por Gordon Welchman, permitió a los aliados descifrar el tráfico de las diferentes fuerzas y servicios alemanes (marina, tierra, aire…) sin que éstos fueran conscientes de que la seguridad de sus comunicaciones estaba rota, lo que permitió obtener información decisiva para el desenlace final de la Guerra.

Turing fue procesado por homosexual en 1952; esto, que hoy parece impensable para nosotros, truncó la brillante carrera del británico. Dos años después, moría por ingestión de cianuro: todo indica que Turing se suicidó comiendo una manzana envenenada. De esta forma, finalizaba su vida y comenzaba el mito del gran científico, aunque los homenajes y reconocimientos públicos han sido escasos y en muchas ocasiones tardíos; quizás el más conocido en el “mundillo” en el que nos movemos es el premio Turing —considerado el Nobel de la Informática—, otorgado desde 1.966 por la ACM a quienes hayan contribuido de manera trascendental al campo de las ciencias computacionales.

Sirva este humilde post para recordar al que sin duda fue uno de los mejores científicos del pasado siglo, y quizás uno de los menos conocidos fuera del ámbito de las matemáticas, la informática o la criptografía.

Share this (y dos)

12 de junio de 2008 Por

Hace algo más de un par de semanas les comenté la resolución de la AEPD contra la empresa Iniciativas Virtuales. Aunque pueden leer el texto completo de la entrada, al igual que la resolución [pdf], la idea era que esta empresa ofrecía a sus usuarios registrados la opción de mandar “recomendaciones” a amigos, conocidos, familiares, etc., recomendándoles el servicio. Como suele ser habitual, existía un sistema de puntos que fomentaba las recomendaciones.

Lo primero que diré es que me ha sorprendido, cuando a mí me parece un caso “meridianamente” claro, la defensa que algunas personas hacen de esta iniciativa, argumentándose en aspectos más bien etéreos como que en el correo electrónico no se indica que éste sea publicidad (¿es eso necesario?), o que la voluntad de emitir el correo no procede de la propia empresa sino de un particular (o eso parece ser). Y esa es básicamente toda la defensa que en mi opinión se puede hacer de la actividad denunciada. Sin embargo, creo que es obvio que asumir como válidas cualquiera de estas razones abre la puerta de la impunidad al spam. Como resulta evidente, yo sí estoy de acuerdo con la multa impuesta, por las siguientes razones, ordenadas de manera aleatoria:

1) Tal y como indicó Félix Haro en su entrada sobre la resolución, y como se indica en ésta, la empresa no tiene medio de contactar con el particular que al parecer envía el correo, y que sería en su caso el responsable último (o co-responsable, dado el beneficio económico del “recomendador” y el “recomendado”). Yo no voy a entrar en cuestiones de estrategia comercial (si personalizas los mensajes con los datos que tus usuarios han consentido en darte, es posible que sus amigos se sientan más dispuestos a aceptar sus “invitaciones”), sino en el hecho de que realmente, nadie parece saber quién es dicho usuario (calidad del dato, ¿anyone?). La empresa no lo sabe, el usuario que recibe el correo no lo sabe, y por tanto, es normal que la responsabilidad acaba recayendo sobre la empresa.

De la misma forma que la responsabilidad de que tu coche vaya a 200 km/h un viernes por la noche recae sobre tí si no eres capaz de identificar al conductor. Más allá de leyes y regulaciones concretas, y esto es una opinión completamente personal, me parece una cuestión de sentido común y evitar el “mangoneo”, la picaresca y la impunidad al cometer ciertos delitos.

2) Las infraestructuras y desarrollos los pone la empresa a disposición del usuario “recomendador” con el único propósito de mandar correos comerciales, cuyo texto está ya predefinido: “¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de …Y…, y te manda este mensaje” (de la resolución: “lo único que han de hacer [los usuarios] es reenviar el propio correo comercial de Iniciativas Virtuales utilizando incluso la misma IP de la entidad”). No creo que Gmail o Yahoo, aún pudiendo ser utilizadas para el envío de spam, pudieran ser comparadas con este sistema de propósito único, y no encuentro muchas otras razones que la comercial.

3) El correo que recibe el “amigo” contiene un botón que enlaza con la página de la empresa; sí eso no es un reclamo comercial, no sé lo que es.

4) El correo que recibe el “amigo” incluye la posibilidad de no seguir recibiendo publicidad, lo que a) deja bien claro que se trata de una comunicación de publicidad, y b) hace sospechar que el e-mail de dicha persona está siendo tratado, y que incluso es posible que sea receptor de futuras comunicaciones comerciales. No se me ocurre ninguna otra razón por la que alguien podría ofrecer dicha publicidad.

Imagino que hay más, pero a bote pronto se me ocurren esas. Pensando bien, es muy posible que la empresa no fuese la responsable directa del envío comercial, pero por supuesto es la promotora, responsable indirecta y parte interesada en el proceso, de eso no tengo ninguna duda. Y pensando mal, la empresa está intentando aprovechar una laguna legal (de las que la AEPD tiene unas cuantas, sobre todo en aspectos interpretativos) para sacar un rédito económico y comercial. En ambos casos, hay una razón suficiente para calificar la comunicación como comercial y por tanto, ser susceptible de sanción.

Estirando un poco este caso, ¿qué pasa entonces con los sistemas de recomendación de, por ejemplo, los periódicos digitales y/o blogs (con publicidad en forma de banners o Adwords)? Sin ir más lejos, ElPaís.com permite enviar una noticia cualquiera a un amigo, sin más que proporcionar la dirección de correo electrónico del destinatario, y sin que exista ningún tipo de control sobre éste o la identidad del remitente; afortunadamente no hay signos de que exista algún tipo de tratamiento o almacenamiento de las direcciones proporcionadas. No obstante, también en este caso las infraestructuras son proporcionadas por el periódico digital, y me llama la atención que el correo no incluye la noticia, sino un enlace a la página de ElPaís.com, lo que apunta a una motivación más comercial que informativa (ya que en la página existe visualización de banners o registro de tráfico, por ejemplo). Y sí, aunque dicha motivación sea más difusa que en el caso de Iniciativas Virtuales, existe. ¿Qué opinan ustedes?

ISO/IEC 27005:2008

10 de junio de 2008 Por

Me informa un compañero de que el pasado miércoles se publicó, tras muchas esperas, el que viene a ser el estándar ISO de Gestión de Riesgos de Seguridad de la Información. Esto es, la ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management. Algo que quizá traiga algo de estandarización a un área con tanta metodología dispar, y quizá no, pero que sin duda será un punto a tener en cuenta.

En cualquier caso, como saben las normas ISO son de pago, por lo que si quieren echarle un vistazo, van a tener que soltar algo de dinero. El texto de la norma pueden comprarlo en la página oficial ISO correspondiente.

(Por cierto, tengo pendiente mi opinión personal sobre la entrada del otro día (la resolución de la AEPD sobre los sistemas de “Envía esto a un amigo”, que les traeré en breve. No piensen que se me ha olvidado.)

Violencia de género: nivel alto (aunque no lo parezca)

28 de mayo de 2008 Por

No sé si han visto el telediario de Telecinco de esta mediodía. Si no ha sido así, y a falta de mayores investigaciones por parte de la AEPD y quien corresponda, el tema es para alucinar; ya verán como me dan la razón. Lo que más me ha llamado la atención era lo “normal” que parecía que algo así hubiese sucedido, como si aquello no fuese realmente con nadie (el video no incluye algunas de las entrevistas realizadas). Les anticipio un párrafo de la noticia (que es de ayer):

El equipo de ‘Reporteros’ de Informativos Telecinco ha localizado en las inmediaciones de los juzgados de violencia de género en Madrid seis bolsas con copias de expedientes en perfecto estado de denuncias de maltrato por parte de mujeres. Dichos documentos incluyen nombres de víctimas y agresores, informes médicos y psicológicos, diligencias originales, declaraciones de las víctimas, fotocopias de sus documentos de identidad e, incluso, sus domicilios impresos en solicitudes de órdenes de alejamiento.

En fin, disfruten con el video e intenten calcular qué repercusión económica y reputacional, entre otras, podría tener para una empresa privada algo de semejante magnitud:

Vista Hacked en 2 minutos

28 de mayo de 2008 Por

Un ejemplo de la cantidad de ataques físicos que pueden hacerse contra los sistemas operativos cuando se tiene acceso físico al sistema:

Vista Hack

En este caso, los chicos de Offensive-Security han grabado en video (y con música poco discreta) una pequeña demostración mediante la cual reinician un Windows Vista con una Live-CD y copiando el cmd.exe con otro nombres son capaces de lanzarlo sin realizar autenticación de usuario y hacerse con privilegios de SYSTEM (usuario de máximos privilegios del sistema).

Además, como podeis ver en el video de demostración, la prueba fue realizada en aproximadamente 2 minutos; si a eso le sumamos el tiempo de descargar e instalar algún software tipo backdoor, ponle 3 minutos. Con hacer una rápida visita al baño podriamos encontrarnos con nuestro portátil comprometido.

La solución a este problema pasa por el cifrado completo del equipo, bien sea mediante herramientas de pago, bien mediante algunas herramientas OpenSource que realizan esta función (TrueCrypt).

En un próximo post, alguna información sobre cifrado completo del sistema.

Share this

26 de mayo de 2008 Por

Me gustaría pedirles su opinión sobre una resolución de la AEPD que he visto ya en varias páginas webs [Miguel �?ngel Mata, Félix Haro], la PS/00323/2007, y que puede sentar un bonito precedente en los típicos sistemas de “Envía/recomienda esta página a un amigo”. Ya sé que no es precisamente una novedad, pero creo que es muy interesante. Aunque los detalles concretos están en la resolución indicada, la cuestión es la siguiente:

La empresa Iniciativas Virtuales, dedicada a servicios de publicidad y marketing web, tiene un servicio que pone a disposición de los usuarios previamente registrados un sistema de recomendación a través del que enviar a tus familiares o amigos un correo ya confeccionado por Iniciativas Virtuales, a modo de invitación al servicio:

¡Hola!, este es un mensaje de tu amigo Internauta 123, que está disfrutando de las ventajas de… Y…, y te manda este mensaje.

Básicamente, y aunque esto es ajeno a la resolución, el servicio se basa en la recepción de publicidad y realización de encuestas comerciales por parte de los usuarios registrados, que son remunerados en función del volumen de publicidad recibido y encuestas realizadas. Es significativo indicar que el servicio, como suele ser habitual, dispone de un sistema de puntos que fomenta las recomendaciones: si yo te recomiendo el servicio y tú te apuntas, yo salgo beneficiado, por lo que me interesa “difundir” el servicio lo máximo posible.

Entonces, el usuario YYY (del que la empresa Iniciativas Virtuales sólo posee una dirección de e-mail y no es capaz de identificar) recomienda el servicio al usuario AAA a través de dicho sistema, y éste, al recibir la invitación, decide formular denuncia ante la AEPD por recibir publicidad no solicitada ni consentida. Ésta resuelve el caso con una sanción de 600 euros, entendiendo que efectivamente se trata de una acción comercial no solicitada, a pesar de que, tal y como Iniciativas Virtuales defiende, la iniciativa de enviar dicho e-mail no es suya sino del usuario particular YYY (que, aunque no lo diga, busca crear afiliados para incrementar sus puntos).

¿Qué piensan ustedes de esta resolución? ¿Es correcta?

Mí opinión se la diré en un próximo post, pero es interesante, sea cual sea su decisión, pensar cómo se aplica esta resolución al “Envía a un amigo” que hay en muchos blogs personales que contienen publicidad Adsense, y por tanto se benefician directamente del incremento del número de visitas, además del beneficio que indirectamente recibe el proveedor del blog.

¿Cifrado = Privado?

23 de mayo de 2008 Por

Hace poco estuve realizando un curso de Administración y Mantenimiento de Windows Server 2003 para mejorar mis conocimientos sobre este sistema operativo, ya que cuanto más conoces un sistema, más sencillo resulta auditar la seguridad del mismo, que es a lo que me dedico en mi actividad profesional.

Durante la realización de este curso hubo algo que me impactó un poco en relación con el soporte que ofrece Microsoft en sus sistemas para cifrar archivos y carpetas en sistemas de ficheros NTFS. No cabe duda de que en un primer momento puede suponer muy funcional por el hecho de que se cifra la información sin tener que recordar una contraseña adicional, que todo se realiza transparentemente al usuario.

captura.jpgEl problema con las cosas “excesivamente funcionales y transparentes” es que en la mayor parte de los casos implican un decremento en su seguridad. Por poner un ejemplo, algunas de las preguntas que me surgieron al explicarme este método de cifrado:

¿Que pasa si el usuario olvida la clave y es necesario resetearsela? Se pierde la información cifrada sin posibilidad de recuperación. Al haber sido cifrada utilizando la contraseña de usuario.

En realidad no se perdería, lo cual aunque en principio puede parecer algo bueno, comprobareis que el mecanismo empleado vulnera en cierta medida la privacidad de los usuarios de este sistemas de cifrado integrado.

Cuando configuras un fichero o carpeta como cifrado con EFS, además del usuario que lo crea que evidentemente tiene acceso, puedes definir un listado de usuarios que también tendrán acceso a dicho fichero. Dichos usuarios son perfectamente gestionables por el usuario propietario del fichero. El problema radica en lo que podemos apreciar en esa misma ventana un poco más abajo. Existe un “rol” denominado “Agente de recuperación de datos” (que por defecto es el usuario Administrador y que el usuario no puede cambiar) que es capaz de acceder a cualquier información cifrada del sistema.

Como podeis imaginar, el hecho de que un usuario Administrador del sistema pueda acceder a toda esta información cifrada vulnera completamente la privacidad que se pretende alcanzar con el uso de herramientas criptográficas.

Todo esto me ha llevado a la conclusión que el sistema de cifrado EFS proporcionado por Microsoft en sus sistemas operativos no satisface los requisitos mínimos de seguridad, por lo que yo personalmente recomiendo utilizar software de terceros aunque ello implique tener que recordar una contraseña más o llevar con nosotros un token o certificado digital, nuestra privacidad vale esa molestia y mucho más.

Saludos.