Seguridad diseñada por idiotas (profundos)

Hace unos meses, después de la contratación de un servicio de “privacidad” para mi dominio personal (ya hablé de ello aquí), tuve un pequeño problema con el usuario y clave que me había sido asignado para la gestión del servicio, que imposibilitaba cualquier tipo de gestión, valga la redundancia. Después de obtener varias respuestas cíclicas y estériles, que sin duda estaban sacadas de algún procedimiento diseñado por idiotas (profundos), la empresa en cuestión me pide que mande un fax con mi fotografía sacada de algún documento oficial. Así que ante la falta de alternativas, ni corto ni perezoso, les mando una fotografía en blanco y negro, a lo que me contestan con lo siguiente:

Hello,

We are not able to distinguish the identity of the person pictured on the photo id we received. Our legal department requires a clear, readable copy of government-issued photo identification in order for us to make any changes to an account.

[…]

[Read more…]

Nuevos “horizontes” para la seguridad… ¿?

¿Se imaginan ustedes una empresa virtual de seguridad física que cobrase por proteger… a su avatar y sus posesiones en Second Life? ¿O en un plano más de gestión, se imaginan contratar a una consultora virtual para la adaptación a la LOPD… de su negocio virtual como mutua aseguradora en Second Life?

Ya sé que suena raro, pero cosas más raras se han visto

(La parte que más me gusta es el argumento del allanamiento de morada…)

www.agpd.es …

La verdad es que, si tuviese uno que valorar la importancia que el Gobierno le concede a la Agencia Española de Protección de Datos en función de los recursos de que ésta dispone, y teniendo en cuenta la terrible —por pequeña— velocidad e incluso inaccesibilidad de su página web www.agpd.es en ocasiones, podría estar uno tentado a pensar que en realidad, todo esto de la protección de datos no importa un comino.

Claro que todos sabemos que la importancia de un organismo no se debe medir por la cantidad de recursos que tiene, ¿verdad?

(Having fun with) Internet Explorer & PDF

Desde hace unos meses se están publicando una serie de vulnerabilidades que afectan a los navegadores web más utilizados, Internet Explorer, Firefox, etc., convirtiéndose en un vector de ataque nuevo de gran peligrosidad para cualquier usuario u organización. En el siguiente video pueden ver un ejemplo donde se explota una vulnerabilidad que afecta a Internet Explorer y Adobe Acrobat Reader:

[Vía raffon.net. Versión de mayor calidad (wmv) aquí]

Después de ver el video, ¿no se les ponen los pelos de punta? Espero que sí, porque si es así han comprendido la peligrosidad de este tipo de vulnerabilidades. ¿Cuántas veces hemos descargado un pdf de alguna página web y lo hemos ejecutado (abierto) en nuestra máquina? Cientas, miles, millones (quizá no tantas)…

Con esta acción tan corriente podrá alojarse en nuestra máquina un troyano, virus, malware, spyware, keylogger, o cualquier otro especímen de esta variada fauna. ¿Se imaginan lo fácil que podría ser para un atacante enviarse a una cuenta de correo todas las contraseñas tecleadas por usted mediante un simple keylogger y obtener acceso a datos privilegiados? Y todo eso simplemente consiguiendo que se baje un pdf y lo abra en su máquina…

Si al llegar a este punto, tienen una leve sensación de inseguridad, no se preocupen, no es cuestión de ser alarmistas, sólo prudentes; con unas pautas sencillas es posible reducir (que no eliminar) sensiblemente el riesgo que corremos debido a este tipo concreto de vulnerabilidades (claro que todo depende de la aversión al riesgo que cada uno tenga):

1.- Tener el sistema operativo actualizado, con los últimos parches de seguridad que ofrezca el fabricante aplicados. A causa de que suele existir cierto retraso en la publicación de parches oficiales por parte de los fabricantes desde que una vulnerabilidad se hace pública hasta que ésta se “consuma”, este punto no es garantía “de estar a salvo” al 100%. En el caso concreto de Microsoft Windows la latencia en publicar parches suele ser considerable, por lo que pueden haber periodos en los que que pese a disponer de todas las actualizaciones seguimos siendo vulnerables.

2.- Tener las aplicaciones actualizadas (Adobe Reader, Máquina Virtual de Java, etc), haciendo especial énfasis en aquellas aplicaciones integradas en los navegadores.

3.- Asegurarnos de que las fuentes desde donde nos descargamos contenidos sean lo más fiables posibles.

4.- Tener el antivirus instalado y actualizado.

Todas estas medidas son preventivas, pero siempre puede escaparse a nuestro control por distintos motivos, por lo que les aconsejo que tengan mucho cuidado y hagan especial hincapié en la tercera medida, ya que como en muchas otras cosas, el factor humano es el más importante. Nada más. Ya saben, “naveguen con libertad, y precaución”

“Habida cuenta del estado de la tecnología”

Probando, probando….

Hay una frase en el artículo 9 de la LOPD que a los que nos dedicamos a esto de la seguridad nos hace mucha gracia. Es aquella que dice que “el responsable del fichero […] deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos […] habida cuenta del estado de la tecnología […]”.

Extrapolemos esto al ámbito de la seguridad en general, y no sólo restringida a los datos de carácter personal: el estado actual de la tecnología hace que, por ejemplo, tengamos a nuestro alcance dispositivos del tamaño de un paquete de tabaco (me parece que esta comparación está pasada de moda) que nos permiten hacer fotografías, grabar imagen, voz, hacer fotocopias y un café descafeinado de máquina.

Esto hace que, por ejemplo, en la revisión que llevamos a cabo en las auditorías de la ISO 27002 del grado de cumplimiento de los controles del dominio de Seguridad Física, estemos valorando la existencia de controles que impidan la entrada de este tipo de dispositivos a áreas de acceso limitado y restringido de las organizaciones.

El otro día hice una prueba: mientras manteniamos una apasionante reunión del Comité de Calidad de mi empresa estuve haciendo fotos con el móvil a los integrantes del Comité que estaban sentados en la mesa. Nadie se dio cuenta. Comprenderán que no ponga las fotos…

To be or not to be… evil? (II)

No se si recuerdan que hace unos días lanzamos al aire una serie de reflexiones sobre Google y la gestión de datos personales. Pues bien, hoy aparecía en las noticias que el Defensor del Pueblo había solicitado a la Fiscalía que exigiese a YouTube la retirada de un video en el que unas personas se burlan de un discapacitado [ElPais.com, elmundo.es] y al parecer, la AEPD ha entrado en el asunto realizando una investigación de oficio. Sin entrar en demasiados detalles, y dejando al lector el ejercicio de quién es en este caso el Responsable del Tratamiento y quién el Encargado del Tratamiento, no deja de ser interesante, al menos como punto de partida, que la AEPD haya abierto una investigación de oficio, porque como suele decirse, eso indica al menos que cuando el rio suena, agua lleva…

Del dicho al hecho no hay un trecho… hay cuatro años luz.

Durante los últimos meses he tenido la suerte o la desgracia de leer varios informes sobre el estado del arte de las empresas en materias de seguridad de la informacion. De hecho, algun compañero de blog ya lanzó comentarios sobre estos estudios hace algún tiempo. Creo que vengo a complementar o más bien corroborar sus apreciaciones.

Estos estudios, como menciono, tratan de determinar el estado estadístico de las empresas en relación a la seguridad de la información. Obviamente, dependiendo de quién realiza el estudio, centra sus puntos de control en unos aspectos u otros de la seguridad (me refiero a seguridad legal, organizativa, logica, física, partes de alguna de las anteriores, o todas ellas en global, depende).

star.jpgLas conclusiones sacadas de estos estudios (que no explicito de forma premeditada, disculpen los lectores la falta de pulcritud científica) otorgan unos niveles de seguridad en grandes, medianas y pequeñas empresas que, no es que disten de lo percibido en el dia a dia, es que parece que vengan de ese planeta con vida extraterrestre que aún siguen buscando los astrofísicos (y que gracias a estos estudios, ya sabemos que existe y dispone de un nivel tecnológico muy superior al nuestro).

Bromas aparte (el tema no es para partirse de risa), creo que existe una coincidencia en la apreciación que los profesionales del ramo tenemos del estado del arte de las empresas en este tipo de materias y las conclusiones cuasicomunes de este tipo de estudios. Básicamente nos preguntamos: ¿Qué población utilizan para sus estudios? ¿Cómo controlan las posibles mentiras o al menos adornos de realidades lanzadas por los Directores TIC de las empresas? (porque es lógico que siendo un Director TIC no voy a ir publicitando mi falta de seguridad por varios motivos: no conozco las posibilidades, por mi empleo y por mi empresa).

Desde mi punto de vista, estamos tan sólo comenzando a preocuparnos de forma adecuada de los temas relativos a la seguridad de la información. Una gran mayoría de organizaciones públicas y privadas (PyME incluida) está simplemente en pañales y “los malos” (incluidos los malos que no saben que son malos) llevan varios pueblos de ventaja respecto al estado de la seguridad en estas organizaciones, aunque estadísticamente tampoco muchos, tal vez tres o cuatro pueblos, no más; insisto, estadísticamente.

Entonces me pregunto: ¿De dónde sacan estos estudios sus datos? ¿Por qué distan tanto de la realidad percibida en el día a día?

Y aunque ustedes no acostumbren a opinar, sólo por cortesía me siento obligado a preguntarles: ¿ustedes qué opinan?

(Imagen © European Organisation for Astronomical Research in the Southern Hemisphere)

Información versus inteligencia

En su página de preguntas frecuentes, el CNI nos ilustra acerca de la diferencia entre información e inteligencia:

«El término información debe diferenciarse del de inteligencia. Información equivale a noticia de un hecho en su sentido más amplio. El concepto información debe entenderse, por tanto, como el elemento de partida para la elaboración de inteligencia, considerada ésta como el resultado de valorar, analizar, integrar e interpretar la información.»

Actualización (a 5 de octubre): casualmente (o no), ni el enlace original ni la versión cacheada por Google funcionan ya… ¡Pero no todo está perdido!

Actualización (a 31 de octubre): Ahora sí, todo está ya perdido.

Bichos et al. (II): ¿Malware indetectable?

(Después de algún tiempo de ausencia, y aprovechando que está de vacaciones, José Selvi nos trae la segunda parte de “Bichos et al” que tuvo su primera parte en una fecha tan lejana como el 13 de junio.)

En la anterior entrega de esta serie de artículos relacionados con el software malicioso hablabamos de las dificultades que tenían los sistemas antivirus para detectar software malicioso desconocido, es decir, aquel sobre el cual no han podido trabajar y por tanto extraer las firmas adecuadas para su detección. Para solventar estas deficiencias, comentábamos que los desarrolladores de sistemas antivirus dotaban a sus producto de capacidades heurísticas de detección, con el fin de identificar virus desconocidos a partir de partes de su código o de su comportamiento.

Etimológicamente, la palabra “Heurística” es derivada de la palabra Eureka (¡Lo encontré!), por lo que la palabra Heurística significa, ni más ni menos, encontrar una solución a algo. Con un significado tan amplio como este, como se pueden imaginar, es lógico pensar que cada fabricante de sistemas antivirus puede haber optado por soluciones muy diferentes a la hora de implementar sus sistema heurístico, de ahí los diferentes resultados que muestran cada uno de ellos a la hora de realizar pruebas sobre dicho sistema.

bichos2.jpgEn general, podemos aproximar la problemática de detección heurística de software malicioso a un sistema de reconocimiento automático de patrones, similar al empleado por los sistemas antispam. De esta manera, dado un elemento a analizar, se extraerían N características a considerar, con sus valores correspondientes, definiendo por tanto para este elemento un punto en un espacio N-dimensional de elementos analizados. Si la heurística seleccionada fuera lo suficientemente adecuada, observariamos agrupaciones de elementos en este espacio, tal y como se puede apreciar en la gráfica.

Por lo tanto, una heurística que nos ofreciera un resultado como el aquí mostrado, nos permitiría una detección heurística de software malicioso de una alta efectividad. La efectividad viene determinada, por tanto, por la adecuidad o no de las características seleccionadas y los pesos otorgadas a cada una de ellas, siendo fundamentalmente éste el punto diferencial en las diferentes opciones de implementación de los métodos heurísticos.

¿Es sencilla la selección de características? La respuesta es no, y de hecho en la mayoría de los casos, la gráfica muestra un solapamiento importante entre muestras de software malicioso y muestras de software legítimo, lo que dificulta su detección.

Como contramedida a esta deficiencia, algunos fabricantes ofrecen información al usuario para que sea él mismo quien valore la categorización que darle a un software que se encuentre en una zona de incertidumbre heurística, pero no suele resultar muy efectivo, dado que los usuarios tienden a aceptar sistemáticamente, sin apenas leer la información que se les proporciona, todos los mensajes que se les muestran por pantalla, y aunque decidieran leerlos, la gran mayoría de ellos no dispondrían de los conocimientos técnicos necesarios para valorar el tratamiento que se le debe dar al software.

Ahora, tras toda esta introducción teórica sobre reconocimiento de patrones, tomemos un ejemplo: ¿Qué efectividad tendría un sistema antispam para discriminar el correo electrónico no deseado de un directivo de una empresa de productos farmaceuticos que comercializa fármacos que potencian el apetito sexual (sin citar una marca concreta)? ¿Serían realmente lo suficientemente diferentes los correos legítimos de cierto tipo de correos no deseados como para que estos fueran distinguidos de forma automática?

Ahora traslademos esto a la detección de software malicioso: ¿Qué efectividad tendrá un sistema antivirus para detectar un software malicioso no documentado y que está especialmente diseñado para camuflarse como software legítimo? ¿Sería posible diseñar un software malicioso que resultase indetectable de forma automática?.

Para la última de las entregas de esta serie de artículos se planteará un escenario de ataque en el cual podría utilizarse una prueba de concepto de software maliciso especialmente diseñado para no ser detectado por los sistemas antivirus. Mediante el uso de esta prueba de concepto descubriremos que tal responden diversos productos antivirus a un ataque dirigido como el que aquí se plantea. Mientras tanto, que nadie desinstale todavía sus antivirus, esperen a ver la conclusión final…

To be or not to be… evil?

google_tanga.jpgReconozco que soy “de la vieja escuela”, que me gusta “tocar papel” cuando tengo que revisar un informe o leer un documento mínimamente extenso (y tengo que reconocer que esto me provoca un conflicto con mi conciencia medioambiental, pero eso es otro tema…). Ese gusto por el papel hace que periódicamente —siguiendo la política de mesas limpias implantada en mi organización— tenga que hacer limpieza, y destruir adecuadamente la documentación obsoleta.

Revisando papeles, y teniendo reciente un “correo-sugerencia” que me recordaba que hacía tiempo que no escribía nada para el blog (N.d.E: “hacía tiempo” es una estimación algo optimista, teniendo en cuenta que la anterior aportación es del 25 de mayo) me descubrí a mi mismo ojeando una noticia en ElPais.com sobre el apasionante mundo de “los buscadores y los datos personales”. Y me dije: de hoy no pasa.

Tan sólo quiero lanzar al aire una serie de reflexiones:

1) Si uno visita el sitio www.google.es, tras buscar la política de privacidad de la web, la misma resulta ser realmente vaga (política que ha sido denunciada recientemente por Privacy International como una de las peores que se pueden encontrar por Internet), por ningún lado se le va a dar el derecho de información que exige la legislación sobre protección de datos personales, y tampoco he visto información que responda al cumplimiento de la LSSICE (es un dominio .es, ¿no?)

2) En 2006, según una nota de prensa [PDF] publicada por la AEPD (de la disponibilidad de cuyo servidor hablaremos en otra entrada), un portavoz de ésta comentaba en relación a Google que era una situación complicada, pero aseguraba que “los responsables del buscador saben que tienen que aplicar la legislación y lo tienen en la cabeza”. Recuerdo que es una nota de prensa de 2006.

3) Si uno busca en el Registro General de la AEPD tratamientos de datos personales cuyo responsable contenga la palabra “Google”, aparecen 9 tratamientos, pero ninguno corresponde a datos de navegación, clientes, usuarios, o información similar.

4) Curiosamente en el registro figuran tres tratamientos a nombre de Google Ireland Ltd., con sede en Dublín, y en el detalle de la inscripción de esos tratamientos consta que se hacen una transferencia internacional de datos a sí mismos (¿?).

5) Curiosamente también, la sede europea (que no oficina de venta, ver http://www.google.es/intl/es/corporate/address.html) de Google reside en Irlanda, país afectado por el cumplimiento de la Directiva 46/95 de la CEE. ¿Porque creen ustedes que nuestros datos de navegación residen exclusivamente en la sede central de Google en California?

6) Y no voy a entrar en la polémica de si Google Desktop Search es o no es spyware, o de si Google Maps vulnera la privacidad de las personas que pueden aparecen en sus fotos (tal y como muestra la imagen superior), o de si Gmail vulnera o no la privacidad de sus usuarios…

Repito: sólo son unas reflexiones escritas “sin pensar demasiado”. No soy abogado, y reconozco que el tema me supera pero… ¿a que da qué pensar?