Jornada de Seguridad: D. Salvador Soriano (Ley de Impulso de la Sociedad de la Información)

21 de abril de 2008 Por

Siguiendo con la serie de posts sobre las ponencias de la jornada Seguridad 2008 del jueves pasado en Valencia, corresponde a este intrépido reportero dar noticia de las ideas principales de la charla de D. Salvador Soriano, subdirector general de servicios de la sociedad de la información, que habló sobre la Ley de Medidas de Impulso de la Sociedad de la Información o LISI.

Al parecer, una de las barreras principales para la extensión de los servicios de la sociedad de la información es la desconfianza de los ciudadanos. Estamos en las primeras posiciones de la Unión Europea en cuanto a falta de confianza en la seguridad en el uso de las TIC. Además, a pesar de que nuestras administraciones figuran en los primeros puestos en cuanto a servicios telemáticos ofrecidos a los ciudadanos y las empresas, estas últimas están a la cola en cuanto al uso de dichos servicios.

[Read more…]

Jornada de Seguridad: D. Jesús Rubí (comentarios acerca del nuevo RMS)

18 de abril de 2008 Por

Como adelantamos en el anterior post, ayer tuvo lugar la jornada práctica organizada por S2 Grupo y Equipo Marzo, en la que diversos expertos comentaron los cambios legislativos más recientes en materia de Seguridad de la Información: LOPD, LISI y LSSICE. Como no podía ser de otra forma, a lo largo de esta y posteriores entradas comentaremos aquellos aspectos de cada conferencia que nos parecieron más reseñables; les invito a comentar todos aquellos aspectos que les parezcan interesantes o que incluso yo no pude captar. Para información más “oficial”, pueden consultar la web de la jornada en http://www.seguridad2008.es, de donde ya es posible descargar las presentaciones de las ponencias y realizar preguntas a los ponentes.

* * *

Si asistieron ustedes ayer a la charla del Sr. Rubí, Director General Adjunto de la AEPD, o han asistido a alguna en el pasado, sabrán lo difícil que puede resultar resumir una de sus ponencias, por el volumen y densidad de la información que proporciona, y la velocidad a la que lo hace; eso hace que sus conferencias sean extremadamente esclarecedoras en muchos aspectos interpretables de la aplicación de la LOPD y el RMS (¿llamado ahora RLOPD?), pero dificulta enormemente tomar notas; no es el lugar ni el momento para levantar la mano y decir aquello de “¿Por favor, podría ir un poco más despacio?”.

Puesto que como he indicado, no puedo proporcionarles una transcripción exacta de su conferencia, en la que dió un exhaustivo repaso al nuevo reglamento y a algunos de los criterios que se han seguido en su elaboración —dudas planteadas por la Comisión Europea, incorporación de política legislativa como protección de menores o la violencia de género, u omisiones como los ficheros no automatizados, entre otros—, intentaré reseñar algunos de los puntos que personalmente me parecieron más interesantes. Tengan presente que, en la línea de la propia agencia, la información que les proporcionaré a continuación es no vinculante, ha sido elaborada por mí a partir de lo escuchado en la citada conferencia y es por tanto susceptible de —espero que no— contener errores de interpretación o transcripción de lo dicho por el Sr. Rubí, por lo que no me hago responsable de posibles daños o perjuicios que puedan derivarse de su utilización. Sirva eso como disclaimer previo.

[Read more…]

Jornada de seguridad

14 de abril de 2008 Por

Es posible que algunos de nuestros lectores, quizá aquellos que han llegado hasta aquí a través de la web corporativa de S2 Grupo, ya lo sepan, pero para aquellos que no, me gustaría informarles de que el próximo jueves 17 de abril, en la Universidad Politécnica de Valencia, organizamos junto con Equipo Marzo una jornada de seguridad que explorará (o lo intentará, al menos) los principales cambios legislativos que se han dado recientemente en este campo; como pueden imaginar, el título “Seguridad de la Información. Un nuevo marco legislativo; LOPD, LSSICE, y LISI.” no ha sido escogido al azar.

Puesto que no es mi intención repetir aquí el contenido de la página web que sirve de invitación a la jornada, sólo me queda recomendarles —como no podría ser de otra manera— la asistencia al evento; pueden consultar los detalles en la página web creada para el evento, y no olviden que aunque la inscripción es gratuita, es imprescindible para poder controlar el aforo (y por tanto necesaria para la asistencia).

Ya sé que no es un Beers&Blogs, pero estoy seguro de que algo interesante sacarán de todo ello.

Cuidado con lo que dice Google de ti

10 de abril de 2008 Por

La entrada de hoy, en la serie de colaboradores, viene firmada por José Ignacio Ruiz, Director Tecnológico de la Información de ASEVAL, la entidad de banca-seguros de AVIVA y Bancaja. Y con esa referencia profesional, poco más hay que decir para presentar al autor de la siguiente entrada, que va en la línea de uno de los temas que más me interesan: qué pasa con nuestra información en Internet: quién, cómo y dónde. Espero que disfruten con el post.

Leía hace unos días un artículo titulado Cuidado con lo que dice Google de ti, en el que se hablaba de la popularización de las redes sociales personales y de búsqueda de empleo, así como los blogs, que hacen que Internet pueda ofrecer datos que permitan que la balanza en un proceso de selección se pueda decantar en un sentido o en otro.

[Read more…]

¿Comunicación cifrada con KeeLoq? ¡Ojo, ya no!

7 de abril de 2008 Por

Si hace un par de meses se consiguió determinar el sistema de cifrado de las tarjetas Mifare, esta vez le ha tocado el turno a los chicos de microchip en la serie de integrados criptográficos que implementan KeeLoq, dejando en evidencia las deficiencias de seguridad de algunas de las soluciones propietarias criptológicas que pretenden otorgar a sistemas RFID del uso de trasmisiones seguras.

Este tipo de chips son ampliamente utilizados como sistema inmobilizador o de apertura de puertas por compañías del automóvil como Chrysler, Daewoo, Fiat, General Motors, Honda, Toyota, Volvo, Volkswagen y Jaguar, así como en sistemas de acceso a garajes.

Según afirma el investigador y profesor Christof Paar de la “School of Electronics and Information Technology” un individuo situado en un rango de 100 metros al transponder puede capturar el tráfico intercambiado por el sistema para clonar la clave digital y hacerse con el control del coche o incluso denegar el acceso al propio dueño.

El sistema propietario parece que utiliza un algoritmo de encriptación no lineal, que genera la clave de 64 bits a partir de un vector de inicialización de 32 bits y un código aleatorio. Pero el problema reside en una clave maestra que la compañía fabricante introduce en sus integrados y que el profesor Paar ha descubierto mediante el analisis de la señal mediante DPA (Differential Power Analysis) y DEMA (Differential ElectroMagnetic Analysis). De esta forma, una vez determinada la clave maestra tan solo es necesario hacerse con cierto tráfico transmitido por el sistema para conseguir la clave del usuario utilizada. Puede consultar en este enlace los detalles del ataque.

¿Comunicación cifrada en Mifare? ¡Ojo, ya no!

1 de abril de 2008 Por

Mifare es la tecnología de tarjetas inteligente sin contacto más difundida en el mundo. Utilizada como monedero electrónico, en sistemas de ticketing, peajes, parquímetros, cabinas telefónicas, sustituye a los billetes tradicionales o dinero en efectivo. Esta tecnología RFID trabaja en la frecuencia de los 13,56 MHz y presenta capacidad de lectura y escritura mediante comandos simples de incremento decremento.

El pasado mes de diciembre Karsten Nohl, Starbug y Henryk Plötz consiguieron mediante ingeniería inversa romper el sistema de cifrado propietario de esta tecnología, con todo lo que ello implica. Pensemos por un momento las consecuencias del resultado de su investigación: sistemas de control de acceso vulnerados, control de encendido de automóviles burlado, posibles fraudes en monedero electrónico o viajes gratis en transportes públicos. Estas son algunas de las posibles consecuencias de este grupo de trabajo. Más allá de sus consencuencias, lo que más sorprende es la metodología utilizada para llevar a cabo el “asalto”.

A partir de la observación de la circuiteria utilizada por el lector Mifare y capturando el trafico entre el tag y el lector han llegado a reproducir el sistema criptológico, para lo que han identificado y reconstruido a nivel de puertas lógicas (observando el conexionado del reverso del integrado) los modulos del sistema.

Detectando un circuito “desplazamiento LFSR” (Linear Feedback Shift Register, registro de desplazamiento en el cual la entrada es un bit proveniente de aplicar una función de transformación lineal a un estado anterior; más en Wikipedia]) que toma como entrada un generador de números aleatorios de 16 bits cuyo valor esta basado en el tiempo de lectura, y realizando numerosas pruebas de autenticación y observando los números generados por el RNG (Random Number Generator), fueron capaces de conseguir la clave de cifrado en menos de una semana, mediante la implementación de un grid de FPGA’s (Field Programmable Gate Array, dispositivo semiconductor que contiene bloques de lógica cuya interconexión y funcionalidad se puede programar; más en Wikipedia) y la aplicación de fuerza bruta.

Así pues, si esta pensando en implementar cualquier tipo de control que requiera cierto grado de seguridad, debería ir pensando en migrar de tecnología. Es un consejo cortesía de Karsten Nohl, Starbug y Henryk Plötz.

Fuente: RFID News.

Responsabilidad del Buen Gobierno

28 de marzo de 2008 Por

Qué decirles de las claves apuntadas en esos maravillosos POSSITs (cada día tengo mas claro que nacieron principalmente para eso, para apuntar claves de acceso a dónde sea); ya hemos narrado alguna divertida (en tanto que ajena) historia sobre “puesto7” o “puesto8”. Esos pueden considerarse ejemplos de usuarios digamos que poco avezados en menesteres de seguridad. Pero de seguridad básica, todos sabemos que nuestro PIN de la tarjeta no se apunta EN la tarjeta.

Otro ejemplo de falta de decoro con la información me ocurrió hace unas semanas en un centro comercial, conocido donde los haya. Mostrador sin dependiente (raro la verdad) y…. cuatro contratos firmados por sus futuros clientes de telefonía móvil; cantidades, DNI, direcciones, teléfonos y demás datos de carácter personal que toda empresa nos pide cuando financiamos algo, nos subscribimos a algún servicio de pago mensual o similar.

Eso justo fue lo que vi, como digo, en un conocidísimo centro comercial que no mentaré por cuestiones obvias; a medio día, con el centro comercial casi vacío y con los pocos empleados que había liados con otros clientes. Paseando-esperando, paseando-esperando, hasta que mis ojos caen sobre unos folios amontonados sobre un mostrador, el de telefonía móvil, sin personal del centro. Esos folios reclaman mi insaciable curiosidad gatuna, acerco mi careto incrédulo al objetivo y plof, ahí tenemos a un tal Pepe García García que vive en la C/ Mi casa, numero 69 ático sito en Mi Ciudad. Su teléfono de contacto bien visible (útil para cualquier viandante con ganas de gastar una broma a las cuatro de la mañana en el mejor de los casos). Tras un rato de espera observando sin cesar los dichosos papelitos, acompañada ésta de un progresivo desquicie creo ahora que debido a una afortunada deformación profesional, decido buscar a una persona en la planta que no estuviera muy lejos para decirle que por favor retirara esos papeles que estaban sacándome de mis casillas estando donde estaban y conteniendo la información que contenían. Obviamente los retiró, pero fue curioso porque mientras lo hacía y me miraba, sólo porque le aguanté la mirada, terminó diciendo: “Gracias”.

Fue un “gracias” de compromiso, de educación adquirida en los últimos años de una persona madura (que no mayor). Eso, creo yo, se debía a que en realidad el empleado no sabía la implicación de tener esos papeles donde los tenían, conteniendo la información que contenían; solo sabía que eran altas de móviles, y oye, ¡que más da! Por no mencionar el multazo que podría haberles caído encima de caer esos papeles en otras manos.

¿De quién es la culpa? No lo sé, de mucha gente seguro, pero desde luego podemos hablar de la responsabilidad del buen gobierno y de la obligación que tiene ese centro comercial de cuidar nuestra información, así como de formar a sus empleados para que sepan con que están trabajando: con nuestra identidad.

Así que un poquito de por favor…

FFCCSE, delitos y nuevas tecnologías: Cuerpo Nacional de Policía

25 de marzo de 2008 Por

[N.d.E. Como pueden ver, ya hemos vuelto de vacaciones, lo que significa que estamos en período de aclimatación, comúnmente conocido en el mundo de los psicólogos y telediarios estivales como síndrome post-vacacional. Sean considerados y tómenlo con calma.]

Los orígenes de la investigación en Internet dentro del Cuerpo Nacional de Policía se remontan al año 1995, cuando dentro de la Brigada de Delincuencia Económica y Financiera se crea un grupo para investigar los delitos relacionados con este medio, que estaban apareciendo en Estados Unidos pero que aún muy pocos conocían en España. Pero no es hasta el año 2001 cuando, dentro de la Comisaría General de Policía Judicial, y adscrita a la Unidad de Delincuencia Especializada y Violenta (UDEV), nace la Brigada de Investigación Tecnológica (BIT, como se le conoce en el mundo de la seguridad), equivalente al GDT de la Guardia Civil que hemos descrito en un post anterior.

Actualmente la Brigada de Investigación Tecnológica constituye una unidad de más de cuarenta miembros; entre sus funciones, según su página web, destacan:

— Realización directa de las investigaciones especialmente complejas.
— Coordinación de las operaciones que involucren a diversas Jefaturas Superiores.
— Formación del personal del Cuerpo Nacional de Policía y otros cuerpos de Policía extranjeros.
— Representación internacional y la ejecución y/o coordinación de las investigaciones que tengan su origen en otros países.

Además de la Brigada de Investigación Tecnológica, es importante mencionar la labor que desempeñan las Jefaturas Superiores, las cuales desarrollan Grupos especializados en delincuencia tecnológica que son quienes tienen el primer contacto con los denunciantes (algo similar a los EDITEs de la Guardia Civil). A pesar de tratarse de grupos menos especializados técnicamente que la BIT, éstos han conseguido con su trabajo constante llevar a cabo investigaciones relevantes y constituyen un apoyo fundamental para la Brigada, participando en muchas de sus actuaciones.

Para obtener más información, podemos visitar la página web de la BIT.

La cancelación de datos en foros de Internet

17 de marzo de 2008 Por

Aunque la semana pasada les dije que un servidor —editor del blog— estaba de vacaciones, puesto a actualizar mi blog personal, he pensado darme una vuelta por aquí y actualizarlo también. No les puedo prometer que de aquí al 25 de marzo habrán más entradas, dado el abundante número de días festivos, pero en cualquier caso, de momento esto es lo que hay. La entrada de hoy, que estrena la sección de colaboraciones, procede de una colaboradora habitual de S2 Grupo en temas de índole legal: Ana Marzo, de Equipo Marzo.

Como presentación formal, y más allá de lo que puedan encontrar en su página web, e-marzo es una entidad con oficinas en Madrid, Barcelona y Valencia, que se dedica a la prestación de servicios jurídicos, de consultoría y auditoría. Integrada por un equipo de abogados, consultores, auditores y técnicos, presta sus servicios en diversas áreas: protección de datos, contratación informática, seguridad de datos, propiedad intelectual, comercio electrónico y servicios de la sociedad de la información. Y no me enrollo más, así que vamos con la entrada de Ana.

Internet se ha convertido de forma indiscutible y por excelencia en el medio de comunicación social del siglo XXI, donde libremente caben todo tipo de manifestaciones y opiniones en ocasiones difícilmente controlables. A ello se une que no todos los países aplican la misma normativa y regulación a este medio, lo cual permite con cierta impunidad cruzar las fronteras virtuales y utilizar determinados territorios para publicar aquello que en el país de residencia u origen posiblemente estaría sujeto a un férreo control administrativo.

[Read more…]

Informe ENISA

14 de marzo de 2008 Por

A pesar de que hoy ya hemos publicado una entrada bastante extensa e interesante sobre VoIP, que recomiendo que no se pierdan, José Miguel me pasa el enlace a un informe publicado por la European Network and Information Security Agency (ENISA), que no quería dejar pasar. Sus autores son Ross Anderson, Rainer Böhme, Richard Clayton, y Tyler Moore, y el informe en cuestión lleva como título “Security Economics and the Internal Market” [pdf], con una longitud total de 114 páginas. Imaginarán que poco más les puedo contar hasta que tenga tiempo de analizar un poco su contenido, aunque por supuesto pueden echarle un vistazo ustedes mismos (que es la razón de esta entrada).

Por otro lado, y dejando de lado el tema de la seguridad, como probablemente saben, estamos en vísperas de las fallas valencianas, por lo que el próximo 19 de marzo es fiesta en Valencia (festividad de San José), que felizmente continúa con las festividades de Jueves Santo, Viernes Santo y Lunes de Pascua. Eso significa que en la capital del Turia únicamente es laborable el próximo lunes y martes, días en los que un servidor (editor y coordinador del blog, de ahí esta matización) está de vacaciones. Aunque intentaré habilitar un sustituto para la publicación de una entrada a principios de la semana que viene, no les puedo prometer nada ahora que las elecciones han acabado, así que si no lo consigo, pasen unas buenas vacaciones, aquellos que las tengan, y nos vemos aquí el próximo 25 de marzo.

Sean buenos. Ya saben que siempre hay gente mirando.