La dichosa tubería del agua

Hay que ver lo que nos esforzamos por no ver las cosas que tenemos delante de las narices. Creo que a veces, por evidentes, resultan complicadas de identificar. Nos gastamos una cantidad de dinero, a veces indecente, aunque por supuesto necesario, en proteger los activos de nuestras organizaciones adquiriendo sofisticados robots para las copias de seguridad, sistemas de detección de intrusos o el último sniffer para el análisis del tráfico de red, y cuando llega la hora de la verdad resulta que no tengo copias porque ha reventado una tubería bajante de aguas grises o negras que, casualidades de la vida, estaba en el falso techo justo encima del rack en donde se sitúa el robot de cintas. ¿Es mala suerte? Evidentemente no. Es muy importante tener en cuenta, a la hora de planificar la ubicación y las protecciones de nuestra sala técnica, considerar que no solo máquinas y sistemas garantizan la disponibilidad de nuestra infraestructura. Intervienen elementos diversos que tenemos que tener en cuenta

Hace algún tiempo recuerdo que fuimos a ver un local que nos interesaba. El local estaba muy bien situado, con una fachada estupenda. Una planta baja con una entrada espectacular y un entresuelo con mucha luz. El local estaba en perfectas condiciones, había sido una clínica privada y estaba muy cuidado. Los muebles prácticamente nuevos, la instalación de red muy correcta -aunque escasa- la instalación de aire acondicionado perfecta y la extracción de aire haciendo plenum en falso techo también muy bien, y de repente empezamos a sentir un olor extraño, una sensación de humedad inexplicable. Nos dirigimos, guiados por las personas que nos estaban enseñando el inmueble, hacia la zona donde estaba la pequeña sala de ordenadores y empezamos a sentir el ruido de un chapoteo a nuestros pies. La zona estaba completamente llena de agua. Había un par de centímetros de agua. Nos acercamos para identificar el punto exacto de la fuga de agua y la imagen fue espectacular, parecía sacada de un libro de “Seguridad Informática”. Era una de esas imágenes que te gustaría tener a mano cuando das una charla o cuando defiendes la necesidad de planificar el espacio para situar los equipos y proyectar las medidas de control y monitorización que deben tener.

Abriendo la puerta de la sala de ordenadores, una sala cerrada con llave -control de acceso- y con un equipo de aire acondicionado independiente, aparecía al fondo un rack con los equipos de comunicaciones que aún estaban en el mismo, los paneles de parcheo y algún equipo de electrónica de red. La sala estaba completamente llena de agua, y un chorro de agua caía de forma continua justo encima del rack con todo los elementos de comunicaciones y donde seguro se ubicaba no hace mucho tiempo los recursos corporativos de la clínica privada. Todos nos quedamos quietos en un primer instante. La imagen era curiosa. De los 700 metros cuadrados que tenía el local se había roto la tubería que pasaba justo por encima del rack que tenía los equipos. Finalmente una de las personas que nos estaban enseñando el local rompió el silencio y dijo lo que todos estábamos pensando: ¡¡Vaya casualidad!! Es la Ley de Murphy.

Y yo les pregunto a ustedes, ¿de verdad creen que es casualidad?

Microsoft y la Seguridad (esa gran desconocida)

Siendo éste un blog semi corporativo, entendiendo como tal un blog que representa a una empresa -S2 Grupo- pero que no es escrito por un departamento de marketing dedicado a ello, uno duda a veces sobre la forma de enfocar las cosas; ya saben que como decía Aristóteles, el punto medio es siempre una buena cosa, y a menudo no resulta conveniente abandonarse a los instintos y dejar que el lector se las apañe buenamente como pueda con ellos. Antes de acabar entenderán a qué me refiero.

El pasado 10 de mayo aparecía en ElPais.com la noticia de que «Microsoft quiere proteger a las empresas», cuyo primer párrafo comenzaba con esta ilustrativa, gratuita y subjetiva sentencia: «Las empresas de seguridad deben estar temblando al conocer la noticia de que Microsoft se ha marcado la meta de conquistar el mercado de las soluciones de seguridad para la empresa». Ni que decir tiene que me encantaría conocer la experiencia informática y conocimientos del sector del redactor de la noticia.

No tengo dudas, ninguna en absoluto, del poder que tiene el departamento de publicidad de Microsoft. Tampoco las tengo de los problemas que iniciativas como esta puedan traer para fabricantes de antivirus, cortafuegos o software anti spyware. Ya les digo que sobre eso no me cabe ninguna duda. Pero si me pusiese a hablar de todo lo demás, que es mucho teniendo en cuenta la imagen que da Microsoft en esto de la seguridad, acabaríamos aquí todos muertos de risa, y como les dije al principio, es mejor que me modere y mantenga la seriedad, y sean ustedes los que den rienda suelta a sus instintos, ahora que estamos en el esperado descanso semanal.

Así pues, buen -resto de- fin de semana a todos.

Programa Santiago

Supuestamente, el próximo año estará plenamente operativo el Programa Santiago (Ministerio de Defensa), cuyo objetivo principal es la captación de emisiones electromagnéticas y de imágenes en las zonas definidas como de interés estratégico para la seguridad nacional (Ingeniería de Sistemas Aplicada, capítulo 5: Análisis de riesgos durante la evaluación de ofertas en el programa Santiago). Poco sabemos de este programa, iniciado en 1986, clasificado secreto y del que apenas podemos encontrar información oficial (con excepción de los presupuestos que cada año se asignan al mismo), pero todo apunta a que se trata de la versión española de ECHELON.

Uno de los -presuntos- pilares de este programa es la estación de seguimiento de satélites Fresnedillas-Navalagamella (con un acceso físico fuertemente controlado por personal que impide incluso la toma de fotografías, doble valla y cámaras de seguridad); este centro -se pueden ver sus imágenes en Google Earth- dispone de al menos cinco antenas de unos 18 metros orientadas al sur. Si a estos datos unimos una de las conclusiones del informe final elaborado por la comisión europea que estudió ECHELON, que en su apartado 5.2.3 indica explícitamente que «si en una ubicación se encuentran dos o más antenas de recepción de satélites con un diámetro superior a 18 metros, una de sus tareas es la interceptación de comunicaciones civiles», parece obvio a qué puede dedicarse la estación mencionada.

¿Existe realmente un nivel de confidencialidad aceptable en nuestras comunicaciones? A priori, ni a los militares ni a los servicios de inteligencia les interesan de forma especial nuestras comunicaciones electrónicas (espero que dediquen su tiempo a interceptar comunicaciones que realmente puedan afectar a nuestros intereses globales, como las de grupos terroristas, las de países “poco amigos” o las de países “amigos”), pero si esos datos cayeran en otras manos estaríamos ante un grave problema. ¿Cómo se garantiza la seguridad en este caso? ¿Quién vigila al vigilante? Sin duda, es algo que deberíamos empezar a plantearnos…

Para saber más de este y otros temas, es muy recomendable el libro “Libertad Vigilada”, de Nacho García Mostazo (Ed. B), que aunque data de 2002 -una eternidad en nuestra era informática- sigue siendo de lo poquito publicado al respecto en nuestro país.

[Actualización 18/05/2007. Para los escépticos ávidos de fuentes “fiables”, aquí va un enlace al programa Santiago en la web del Ministerio de Defensa]

Boletín de seguridad Microsoft para Mayo 2007

El pasado 8 de mayo, Microsoft publicó su boletín de seguridad para el mes de Mayo. Las actualizaciones, que pasamos a referir a continuación, corrigen problemas de ejecución de código remoto.

Tres de las actualizaciones publicadas solucionan vulnerabilidades de la suite Office MS07-025 (934873) y de dos de sus aplicaciones, en concreto Word MS07-024 (934232) y Excel MS07-023 (934233). El software afectado es el de la versión 2000 y superior.

En los entornos de servidor tenemos tres vulnerabilidades, nuevamente, de Ejecución de Código, una para la plataforma Exchange MS07-026 (931832), otra para servidores de DNS MS07-029 (935966), y por último para el producto BizTalk MS07-028 (931906).

Por último, y como no podía ser menos, la joya de la corona: Internet Explorer. Actualización que se aplica en todas las plataformas, desde 2000 a Vista, y todas sus versiones, desde la 5.01 hasta la 7, MS07-027 (931768).

Como es habitual, antes de aplicar ningún parche debemos cerciorarnos de tener instalado en nuestro sistema el último Service Pack para el software que vamos a actualizar, y determinar que la actualización es necesaria en nuestro sistema. Una buena forma de comprobación es el uso de Windows Update o la herramienta MBSA.

La aplicación de actualizaciones acompañadas de sistemas de detección de software dañino, junto con unas pocas prácticas seguras, ayudarán a mantener la seguridad de nuestro sistema.

“Intención de voto”

¿Conocen ustedes estos “estudios” previos a las elecciones en los que se intenta averiguar la intención de voto de los, valga la redundancia, votantes? Imagino que sí. Y sí los conocen, entonces conocerán también su fiabilidad.

Hoy, al ver un estudio que el fin de semana pasado traía el Suplemento de Negocios de El País sobre la situación de la Seguridad Informática en las empresas me he acordado de ellos, y en breve van a ver por qué. Desgraciadamente no he podido localizar una copia en formato digital al que dirigirles, así que tendrán que ustedes que fiarse de mi palabra, o como suele decirse, consultar a su “hemeroteco” habitual. Déjenme que se lo resuma en unos cuantos datos:

» El 75% de las empresas cuenta con al menos una persona especializada y dedicada a tareas de seguridad informática.
» El 100% de las empresas realiza copias de seguridad; es decir, todas.
» El 96% tiene implantados aspectos relacionados con la política de contraseñas, el control de accesos y la protección de comunicaciones.
» El 92% tiene documentadas las medidas de seguridad sobre los datos.
» El 88% tiene algún tipo de gestión de continuidad y recuperación ante desastres.
» El 84% tiene identificados los activos de la empresa.
» El 81% de las empresas ha realizado alguna auditoría de la LOPD en los últimos años, mediante consultor interno o externo.

No es que yo dude de la representatividad del estudio llevado a cabo en El País -ese 100% ya da más de una pista-, pero sin querer ser irónico, o cuestiono aunque sea ligeramente los resultados, o me planteo en qué universo paralelo ha estado un servidor trabajando todos estos años, y no me negarán que esa es una interesante elección. Bueno, vale, admitamos que dudo; me gusta este universo.

En cualquier caso, ignórenme, ¿qué piensan ustedes acerca de cómo está “el patio” de la seguridad, en función de su propia experiencia?

10 consejos de seguridad personal

Si no sigues estos consejos, incrementas la probabilidad de perder información o de que te la roben. Siguiendo una cierta tradición de los decaloguistas, pondremos 11.

1. Haz copias de seguridad… y comprueba de vez en cuando que funcionan.

2. Elige contraseñas que no sea trivial suponer (no uses fechas personales, ni tu nombre ni el de tus allegados). Cambia las contraseñas por defecto o las que te den los administradores o los sitios al darte de alta. Cambia las contraseñas regularmente. Usa letras y números combinados.

3. Utiliza un antivirus. Los hay gratuitos y muy buenos. Mantenlo actualizado. Se puede hacer de manera automática diariamente. Instala una aplicación de detección de spyware.

4. Actualiza tu sistema operativo. Aplica los parches de seguridad.

5. No uses Internet Explorer. Usa Opera o Firefox. Deshabilita ejecución automática de cualquier anexo en el correo electrónico.

6. Usa un cortafuegos personal. No dejes conectarse a nadie por defecto. No dejes puertos abiertos sin saber para qué se usan.

7. Deshabilita servicios que no utilices, como el acceso remoto.

8. Si tienes red WiFi, habilita protección WPA. No te conectes a redes que no usen WPA. Cambia la contraseña del router y desactiva el broadcast del SSID.

9. No abras correos con anexos de gente desconocida. Ni de gente conocida que “no entienden de esto” y puede que te pasen algo que les han pasado…

10. No respondas al correo basura. NO les digas que no quieres más correo basura, porque es la manera de que sepan que tu dirección es buena y lees los mensajes.

11. Haz el equivalente digital de lo que harías en el mundo real: no te metas en callejones oscuros, no llames la atención de los delincuentes, cierra la puerta con llave al salir de casa, aunque vayas a pedir sal al vecino, no dejes una copia de la llave en el buzón, etc.

El doble juego de las entidades de certificación

Hay una cosa que no he acabado de entender nunca y tal vez tenga una explicación mejor que la que yo le encuentro.

Hace ya mucho tiempo -los años no pasan en balde-, cuando me enfrenté por primera vez a un Sistema de Gestión de Calidad me llevé una grata sorpresa porque vi en ellos una forma de racionalizar el trabajo que se desarrolla en una organización sin perder ese punto de intuición y el espíritu creativo que el ser humano lleva dentro. Un sistema formal y estricto con un punto de escape para la creatividad y la innovación a través del concepto de mejora continua implantado mediante el Ciclo de Deming que preside, desde un lugar de honor, el funcionamiento de estos sistemas de gestión.

La verdad es que no es oro todo lo que reluce y, en este tiempo, ya he tenido tiempo de ver de todo. He visto sistemas de gestión de calidad colgados en lo alto de una pared, adornando algún despacho, y también he visto -no muchos desgraciadamente- sistemas de gestión que aportan valor y mucho a las organizaciones que hacen de ellos su forma de trabajo. Como se desprende de las palabras anteriores soy un convencido de los Sistemas de Gestión en general, aunque creo que deberíamos empezar a hablar de UN solo modelo de gestión con procesos certificados por distintos referenciasles: ISO9001, ISO27001, ISO14001, OSHAS18001, etc.

Lo que aun no he acabado de entender, en todo este tiempo, es el papel exacto que juegan o deben jugar las entidades de certificación en este escenario. Hay entidades de certificación que hacen de la certificación y de la normalización su trabajo y hay entidades de certificación que además de certificar sistemas de gestión, trabajan en la implantación de los sistemas de gestión. Creo francamente que se pueden compatibilizar los trabajos de auditoría y los de consultoría, pero me cuesta entender cómo se puede compatibilizar la función de entidad de certificación con la labor de consultoría.

En este contexto siempre me he preguntado por qué en un sistema de gestión como el de Calidad, el incumplimiento de una ley que es de aplicación en todas las empresas, como es el caso de la LOPD, se observa -cuando se hace- como una salvedad menor y no como un impedimento para la obtención de la certificación. Evidentemente, si hablamos de la certificación del SGSI según la ISO 27001:2005, las leyes que tienen una relación directa o indirecta con la seguridad de la información o de los sistemas de información cobran un protagonismo especial. Es en este caso donde el auditor de la entidad de certificación debe estar realmente preparado para identificar la diligencia de la organización en el cumplimiento de las mismas y obrar en consecuencia. En este sentido yo les pregunto: ¿son todas las entidades certificadas dignas de merecer tan preciado galardón?

En definitiva, en general, supongo que las entidades de certificación, como cualquier otra organización, deben cuidar su actividad y/o negocio y por este motivo la explicación que yo le encuentro al doble juego que a veces practican, entre la exigencia y la permisividad, es una explicación comercial, y esta, hablando de certificaciones, no me parece, a priori, una buena razón.

The Cuckoo’s Egg (o la secuencia de Morris)

No sé si conocen ustedes el libro The Cuckoo’s Egg, de Cliff Stoll. Teniendo en cuenta que el subtítulo de la obra es Tracking a Spy Through The Maze of Computer Espionage, pueden ustedes imaginarse cual es su argumento; una historia verídica de hackers y espías en la siempre bonita ambientación de finales de la Guerra Fría. Si lo han leído y tienen algo de memoria, seguramente sabrán la solución al pequeño acertijo que les plantearé hoy. Si no lo han leído, sólo puedo recomendarles fervientemente que lo hagan; aunque tristemente el libro no se encuentra traducido al castellano según mis últimas noticias, déjenme asumir, for the sake of this entry [por el bien de esta entrada], que dominan ustedes el que se ha dado en llamar el idioma de los negocios (y de tantas otras cosas).

Les aseguro por otra parte que Amazon no nos da comisión por esta entrada.

Lo que sigue a continuación es una serie numérica que Robert Morris le plantea en cierto momento al protagonista y autor del libro, Cliff Stoll; no por nada se llama la secuencia de Morris. Ésta no tiene en realidad ningún papel en la historia más que como pura anécdota. Confieso que yo fui incapaz de adivinarla y sucumbí a la tentación de Google. así que ya saben por tanto dónde buscar si desisten en su empeño; no será necesario que les desvele la solución. Así pues…

1   11   21   1211   111221   …

¿Qué número sigue a continuación?

What makes a system insecure?

Con una cita que generalmente se le atribuye, Gene Spafford viene al rescate:

The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards. Even then, I wouldn’t stake my life on it.

Ni que decir tiene que en la práctica, y perdónenme la redundancia, se suele ser un poco más práctico…

Open Source y seguridad

No se puede basar la seguridad de un programa en el secreto de los algoritmos utilizados o de su implementación (el secreto se debe aplicar a las claves privadas). Aunque parezca paradójico, es más seguro poner a disposición pública el código fuente de un programa que mantenerlo en secreto. Abrir el código supone exponer sus vulnerabilidades y parecería que es mejor que los delincuentes no puedan verlas, que no les demos esa ventaja.

Sin embargo, hay que tener en cuenta que los delincuentes buscan vulnerabilidades de dos formas: (a) ejecutando el programa, proporcionándole datos “problemáticos” y analizando los resultados o (b) buscando patrones en el código fuente. En el primer caso no se requiere los fuentes y en el segundo se pueden obtener mediante un des-compilador (suficiente para buscar vulnerabilidades, aunque no para entender y modificar la funcionalidad de un programa).

Una vulnerabilidad no conocida es una espada de Damocles. Puede que alguien la descubra y no lo divulgue, con objeto de sacarle partido en su propio provecho. Por eso es positivo difundir información sobre las vulnerabilidades en los canales públicos, porque los delincuentes ya disponen de la información y la distribuyen por sus canales. De esta manera, al menos los defensores tienen igualdad de oportunidades.

Cuando el código está a la vista, los desarrolladores tienden a escribir código más cuidado y elegante (la comunidad puede ser muy cruel) y a utilizar estándares, lo que elimina en gran medida el riesgo de introducir errores. De hecho, cuando un programa pasa de cerrado a abierto, durante un tiempo, las vulnerabilidades antes ocultas quedan expuestas. Pero, poco después, se corrigen, dando como resultado un programa más seguro.

Una organización realmente preocupada por su seguridad, debería tener acceso al código de sus programas críticos para poderlos auditar.