Un ejemplo de la cantidad de ataques físicos que pueden hacerse contra los sistemas operativos cuando se tiene acceso físico al sistema:

En este caso, los chicos de Offensive-Security han grabado en video (y con música poco discreta) una pequeña demostración mediante la cual reinician un Windows Vista con una Live-CD y copiando el cmd.exe con otro nombres son capaces de lanzarlo sin realizar autenticación de usuario y hacerse con privilegios de SYSTEM (usuario de máximos privilegios del sistema).

Además, como podeis ver en el video de demostración, la prueba fue realizada en aproximadamente 2 minutos; si a eso le sumamos el tiempo de descargar e instalar algún software tipo backdoor, ponle 3 minutos. Con hacer una rápida visita al baño podriamos encontrarnos con nuestro portátil comprometido.

La solución a este problema pasa por el cifrado completo del equipo, bien sea mediante herramientas de pago, bien mediante algunas herramientas OpenSource que realizan esta función (TrueCrypt).

En un próximo post, alguna información sobre cifrado completo del sistema.

Me gustaría pedirles su opinión sobre una resolución de la AEPD que he visto ya en varias páginas webs [Miguel Ã?ngel Mata, Félix Haro], la PS/00323/2007, y que puede sentar un bonito precedente en los típicos sistemas de “Envía/recomienda esta página a un amigo”. Ya sé que no es precisamente una novedad, pero creo que es muy interesante. Aunque los detalles concretos están en la resolución indicada, la cuestión es la siguiente:

La empresa Iniciativas Virtuales, dedicada a servicios de publicidad y marketing web, tiene un servicio que pone a disposición de los usuarios previamente registrados un sistema de recomendación a través del que enviar a tus familiares o amigos un correo ya confeccionado por Iniciativas Virtuales, a modo de invitación al servicio:

Hace poco estuve realizando un curso de Administración y Mantenimiento de Windows Server 2003 para mejorar mis conocimientos sobre este sistema operativo, ya que cuanto más conoces un sistema, más sencillo resulta auditar la seguridad del mismo, que es a lo que me dedico en mi actividad profesional.

Durante la realización de este curso hubo algo que me impactó un poco en relación con el soporte que ofrece Microsoft en sus sistemas para cifrar archivos y carpetas en sistemas de ficheros NTFS. No cabe duda de que en un primer momento puede suponer muy funcional por el hecho de que se cifra la información sin tener que recordar una contraseña adicional, que todo se realiza transparentemente al usuario.

Mi hermano está en Alemania con una beca Erasmus, y hace unas semanas, aprovechando una visita de unos días, me pidió que le instalase Linux en su portátil HP que había comprado un par de meses antes, ya que lo necesitaba para hacer el proyecto. La idea pues era instalar un Linux y dejarlo preparado en dos días; no tenía mucho más tiempo. Dejemos claro antes de nada que cuando empezó, lo que mi hermano sabía de Linux y nada era casi lo mismo; lo que ha aprendido lo ha hecho a partir de algunos tutoriales y unos cuantos correos míos en plan de “para hacer esto, teclea tal cosa”, o “fíjate en el log este, que te pondrá tal cosa que te puede servir de ayuda”. Les advierto que esta entrada tiene poca relación con la seguridad en sí, pero es un tema que en el trabajo sale a menudo.

A través del blog de Paloma Llaneza me entero de que la AEPD ha colgado en su página web el contenido de una jornada sobre el nuevo reglamento llevada a cabo el pasado 22 de abril, hace hoy exactamente un mes menos un día. Los videos, presentaciones y preguntas realizadas por los asistentes pueden encontrarlas en este enlace, y no me pregunten porqué apunta a una dirección IP y no a una url. Ya saben que eso son cosas de la Agencia…

Como apuntaban en un comentario anterior, es cierto que las medidas descritas y adoptadas por el gobierno estadounidense son, en cierto modo, la versión extendida del “Derecho de Admisión” de cualquier bar o discoteca: si quieres entrar en mi país, vas a tener que pasar por el aro, porque aquí soy yo quien pone las reglas. Dicho de otra forma, los EEUU tienen todo el derecho a hacerlo, teniendo siempre en cuenta que nosotros no somos ciudadanos estadounidenses (y por tanto sin derecho legítimo a opinar sobre las medidas aplicadas por otro gobierno soberano para la entrada en su territorio); si eso pasase en territorio nacional, otro gallo nos cantaría: al menos tendriamos el derecho a la pataleta.

Es posible que muchos de ustedes conozcan, hayan firmado e incluso entregado a sus trabajadores todo tipo de políticas sobre la protección de la información, tanto corporativa como datos de carácter personal: política de uso de Internet y email, política de cifrado, política de uso de activos corporativos, política de esto y política de aquello. A lo mejor, si han hecho los deberes, el personal técnico dispone además de procedimientos de borrado seguro y destrucción de soportes. Pero seguramente, lo que no tienen es una política o procedimiento de “ocultación de información”; claro que, ¿para qué querría usted esconder la información? ¿esconder? ¿de quién? ¿es que no es suficiente con cifrarla?

Pues bien, parece que ya no.

Todo jefe, director o gestor de proyectos informáticos conoce las fases del ciclo de vida de un proyecto cual patrón de barco conoce la ruta a puerto seguro. Concepción, Organización, Desarrollo y Cierre conforman esa hoja de ruta que conducirá a patrón y marineros hacia el éxito de la aventura. Es sabido que ningún proyecto emprendido está exento de contingencias y desviaciones en la planificación trazada a priori, mapa en mano.

Así pues, a menudo se encuentran escollos y arrecifes que no estaban documentados en los mapas cartográficos y que generan retrasos y costes que en ocasiones pueden ser desmedidos. Esta situaciones son normales, así como es habitual que ese otro capitán que saborea un trago de ron junto a nuestra persona en la taberna te susurre de forma arrogante:

—¡Ja ja! ¡Yo estuve navegando el mes pasado por esas aguas y ví los arrecifes que hundieron parte de tu nave esta mañana!
—¡Valiente grumete, ¿y no los identificaste en el mapa para que los demás patrones no incidieran en el error?!— contestamos golpeando la mesa y derramando el poco ron que quedaba en el vaso.

La entrada de hoy, que profundiza en algunos aspectos “oscuros” del nuevo reglamento, es la segunda colaboración de Ana Marzo, habitual colaboradora de S2 Grupo, y a la que ya presentamos en su anterior entrada. Estoy seguro de que les será de interés.

Entre las bondades del nuevo reglamento de la LOPD (en adelante RDLOPD) nos encontramos con la grata sorpresa de la rebaja del nivel de seguridad establecida en el artículo 81.5.b) el cual dispone que: