Revisión anual de todo

Seguramente los más técnicos del lugar me dirán de todo por escribir un post tan genérico pero como ya se sabe que “en casa del herrero, cuchillo de palo”, vengo a invitar a todos los lectores del blog a aprovechar los buenos propósitos de año nuevo para cambiar todas esas contraseñas que nunca cambiamos y hacer una puesta a punto de la seguridad domestica: wifi de casa, PIN y código de desbloqueo del móvil, pines de tarjetas de crédito, contraseña y firma digital de banca online, esa cuenta de Ebay con la que hace años que no compramos, contraseña de administrador del equipo del niño, correo personal, contraseñas de foros varios, contraseña del control parental de los canales de pago, etc.

Y es que por norma general cambiamos periódicamente las contraseñas del trabajo pero en el ámbito doméstico la palabra “periódicamente” no existe, así que toca apuntar en el calendario cuando cambiar las contraseñas de casa, o establecer fechas señaladas como año nuevo, cumpleaños, primer fin de semana de liga o cada vez que empiezan a anunciar fascículos coleccionables por televisión.

Ya que nos ponemos manos a la obra ampliemos el ámbito de la revisión. Para ello os dejamos algunas propuestas que en mayor o menor medida tienen que ver con nuestra seguridad online:

  • Revisar cuanto sabe Google de nosotros, qué servicios tenemos activos y sus configuraciones de privacidad: https://www.google.com/dashboard/?hl=es
  • Revisar la configuración de privacidad de Facebook, que tras los últimos cambios puede no ser tan hermética como la dejamos en su día (a mí me ha pasado): https://www.facebook.com/settings/?tab=privacy
  • Revisar las cuentas de correo que tenemos asociadas a las opciones de “enviarme mi nueva contraseña por correo electrónico”, especialmente para el correo electrónico, valga la redundancia.
  • Revisar que no tenemos ninguna “pregunta secreta de seguridad” demasiado poco secreta.
  • Repasar a qué aplicaciones hemos concedido permisos para acceder a nuestros datos en las diferentes redes sociales. Para agilizar el proceso aquí tenéis una web útil a la vez que poco intrusiva: http://mypermissions.org/ (visto hoy en Bitelia). Resulta interesante la opción de recibir un aviso mensual de recordatorio.
  • Hacer limpieza de todas esas aplicaciones, extensiones y plugins que hemos instalado en navegadores, teléfonos móviles o tablets, que pueden ser relativamente intrusivas y que solo instalamos “para probar”.

Por último, totalmente offtopic pero no por ello menos importante, cada uno que reflexione sobre esas otras revisiones anuales y si se descubre que de la siguiente lista hay al menos 3 cosas que no se han revisado en tiempo y forma, plantearse implantar un “Sistema de Gestión del Hogar”: revisar botiquines para reponer cosas utilizadas y caducadas (si, el del coche y el chalet también son botiquines), enviar una copia de seguridad de documentos importantes al pueblo, revisar extintores, cambiar la cerradura de casa si la hemos dejado a albañiles/inquilinos/vecinos/etc, comprobar la rueda de repuesto del coche, DNI y/o carnet de conducir caducado, revisiones médicas, libros y CDs prestados que nunca se nos devolvieron, libros y cds prestados que nunca devolvimos, etc, etc, etc…

¿Nos dejamos alguna? ¡Plantéala!

Cómo sobrevivir a un huracán@USA, un terremoto, un ataque zombie…

Como todos sabréis la ultima semana de agosto el huracán Irene aterrizó en la costa este de Estados Unidos. Por suerte o por desgracia coincidió que un día antes de que el huracán llegase a Nueva York aterricé en aquella misma ciudad dispuesto a disfrutar de mis vacaciones veraniegas por mucho huracán que hubiese. Antes de coger el avión te mentalizas de que seguro que no será para tanto, de que estos americanos no saben lo que es llover de verdad, o que aquello es muy grande y que sería mala suerte que coincidiese en los sitios que vas a visitar.

Cuando cogimos el avión, desde España no tenia muy mala pinta ya que el huracan estaba a dos días de Nueva York, pero una vez allí el nivel de alerta/paranoia era extremo: en cualquier hotel, bar o restaurante con televisión la gente se quedaba mirando las noticias con cara de miedo, y la verdad es que con las imágenes que mostraban no era para menos.

Aquí tenéis el anuncio que no dejaban de repetir una y otra vez:

Viendo el nivel de miedo que había mi opinión sobre el vídeo iba evolucionando cada vez que lo volvían a poner:

— La primera vez que lo ves te sorprende y te parece una exageración.
— La segunda te hace gracia recordando que en The Big Bang Theory tienen en casa kits de supervivencia contra terremotos, ataques zombie e incidentes nucleares.
— Luego te planteas que en películas como Twister el que tenia un refugio a prueba de tornados se salvaba y los demás morían.
— Luego te das cuenta de que familia y amigos saben solo que estas en EEUU, pero que como cada día cambias de ciudad no saben donde buscarte si pasa algo.
— Al final te entra algo de paranoia como a los americanos y te empiezas a preocupar.

A modo de resumen, como estuvimos moviéndonos en coche hacia el norte en dirección contraria al huracán, hasta el tercer día de viaje éste no nos alcanzó ya degradado a tormenta tropical, por lo que fue suficiente con quedarnos todo el día recluidos en el motel.

Según la televisión, unos días antes ya habríamos tenido que activar el plan de contingencia: tapiar ventanas, llevar los coches a lugares elevados, llenar cualquier recipiente y bañera de agua, coger provisiones, cargar el móvil, hacerse con un generador , combustible y medicinas, pero no hicimos nada de eso así que nos encontramos con que se fue la luz, no teníamos comida, los bares y gasolineras estaban cerrados, los semáforos no iban, carreteras cortadas etc. Al final vivimos (obvio), encontramos comida, y nada más volver al hotel hicimos aprovisionamiento de agua por si la cosa iba a peor, que no fue el caso.

Es una situación que nos puede pasar a cualquiera (soy la prueba de ello), por lo que debemos por lo menos tenerlas presentes.

No digo que me vaya a hacer un plan de evacuación para mi casa, ni un kit de supervivencia, pero no está de mas llevar una garrafa de agua, una manta y unas barritas energéticas en el coche, o llevarse una copia de seguridad de fotos, escrituras y documentación al apartamento/pueblo, o explicarles a los pequeños de la casa como funciona el teléfono por si nos pasa algo.

Para quien tenga inquietudes al respecto, el vídeo es de la web www.ready.gov (www.listo.gov/america/index.html en castellano) con material para preparase para futuras catástrofes proponiendo

1.- Preparar un kit de emergencias
2.- Hacer un plan y
3.- Mantenerse informado.

Tiene incluso unas plantillas en pdf para imprimir y rellenar, instrucciones sobre que hacer si la emergencia te sucede en el coche, edificios altos, trabajo, y guías sobre seguridad alimentaria en emergencias.

En el próximo post: Cómo coger un avión desde el JFK el 10º aniversario del 11s :)

Un día de furia…spammer

spamdelbuenoTodos odiamos el spam: es desagradable, molesto, inútil e incluso peligroso (algún incrédulo habrá que compre viagra por Internet pero allá el…). A ninguno nos gusta tener que dedicarle ni dos segundos a marcarlo como spam, o simplemente borrarlo, pero parece que hay que resignarse.

Sin embargo hay ocasiones en que la vida te sonríe y la semana pasada fue una de ellas. Estábamos recibiendo spam de una empresa española en distintas cuentas de correo de un mismo proyecto, y a cada correo que llegaba respondíamos pidiendo la baja de la lista de suscripción (a la cual no nos hemos suscrito); ya sabemos que no hay que hacerlo, pero al ser una empresa española y al estar algo aburridos, nos animamos ;) Tras recibir el enésimo correo y alentado por el día de furia que llevaba a cuestas, cogimos el el teléfono y llamamos al número de contacto para explicarles algunas cosas.

Un gustazo. Debe ser lo que sentía Michael Douglas en Un día de Furia mientras luchaba contra las injusticias cotidianas. Como cambian las cosas cuando el spammer que se siente protegido detrás de su pantalla tiene que dar la cara y tratar con personas… ahí desaparece el sentimiento de anonimato y la tranquilidad de hacer algo que está mal amparado en la distancia. Esto no es aplicable a todos los casos ya que hubiese sido tan fácil como colgar el teléfono, pero la persona al otro lado no lo hizo y nos pudimos despachar a gusto.

No se pude evitar pensar en lo bonito que sería tener a mano la dirección del autor de ese virus que te ha costado horas de trabajo, o de ese desalmado que limpia cuentas bancarias ajenas… Curiosamente, al rato de colgar nos dedicó un correo indignado por acusaciones varias (ojo, en ningún momento se faltó al respeto). Casi entramos en su juego, pero ya sabéis: «don’t feed the troll», así que cordialmente se zanjó el tema. El caso es que evidentemente ni nos registramos en dicha web, ni solicitamos publicidad suya en ningún momento. Tras analizarlo hemos observado que únicamente hemos recibido publicidad en las cuentas de correo que están publicadas en la web, por lo que parece obvio que las han obtenido tirando mano de buscadores, por lo que queremos aprovechar la situación para recordar conceptos importantes sobre LOPD, LSSI y spam.

LSSI, artículo 21.1

«Se prohíbe el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.»

Creo que poco que añadir. Más claro, agua.

RDLOPD, artículo 45:

«Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad,[…] sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando los mismos se encuentren en uno de los siguientes casos:

a) Figuren en alguna de las fuentes accesibles al público a las que se refiere la letra j) del artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre y el artículo 7 de este reglamento […].

b) Hayan sido facilitados por los propios interesados[…]».

Las fuentes accesibles al publico mencionadas son las siguientes:

“Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.”

En este caso es común interpretar que Internet es un “medio de comunicación”, pero no es así, al menos en materia de LOPD. Se trata de un tema ampliamente tratado en diversos foros, y corroborado después por resoluciones de la Agencia Española de Protección de Datos; Internet es un canal de comunicación pero no un medio.

Disponéis de dos interesantes artículos al respecto en las siguientes direcciones:

http://www.carlosucelay.com/index.php?option=com_content&view=article&id=39

http://www.ayudaleyprotecciondatos.es/2010/05/18/fuentes-accesibles-al-publico-en-la-lopd/

Esperamos que os gusten :)

Aventuras y desventuras de una Agencia de Protección de Datos

Hoy tenemos un post sensacionalista, exagerado y poco real que puede herir su sensibilidad, pero que no les dejará indiferentes.

Tras una larga tarde eleopedeando (revisando resoluciones de LOPD) por la web de la Agencia de Protección de Datos he topado con unas cuantas resoluciones reales que dan que pensar…

La LOPD dice así:

“La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

¿Veis donde pone que sirve para resolver envidias vecinales, escaquearse de pagar recibos, y otras cosas por el estilo? ¡Ay no! que no lo pone…

Dicho eso, Comenzamos con el carrusel de ocurrencias y situaciones curiosas que he encontrado en una tarde:

[Read more…]

Privacidad y monitorización de redes

Con relativa frecuencia aparecen en prensa noticias sobre demandas judiciales entre empleados y empresas por violaciones deliberadas de la privacidad en el correo electrónico, pero poco se habla de los posibles problemas de privacidad que surgen fortuitamente durante el análisis que realizan los sistemas de detección de intrusos (IDS).

Para los no familiarizados con el término —aunque imagino que habrá pocos—, un IDS es un equipo que analiza el tráfico de red, generalmente entre Internet y la red corporativa, aunque puede ser ubicado en cualquier otro punto de la estructura de red. Cualquier comunicación sospechosa de ser un ataque, virus, o comunicación ilícita es registrada para ser analizada por técnicos, quienes se encargan de diferenciar los falsos positivos —comunicaciones válidas que parecen ataques— de ataques reales. Puesto que estamos hablando de un sniffer, al monitorizar el tráfico es posible interceptar comunicaciones en texto plano que contengan información sensible, como pueden ser comunicaciones personales, detalles de navegación o contraseñas.

Sin una correcta configuración podemos encontrarnos con los siguientes escenarios:

  • Al enviar un correo electrónico con un adjunto o contenido sospechoso, tanto el adjunto como parte del contenido del correo quedan registrados.
  • Existen páginas de dudosa reputación, por ejemplo de contenidos para adultos, que contienen virus o malware. Al navegar un usuario por ella, además de arriesgarse a ser infectado, se arriesga a que el IDS clasifique la navegación como vírica y que por ello los técnicos encargados de la revisión vean por donde ha navegado.
  • Al utilizar servicios de mensajería instantánea con clientes comprometidos las conversaciones quedan registradas.
  • Al utilizar servicios de IRC sobre servidores configurados en puertos distintos de los estándares, estos son considerados como posibles comunicaciones entre bots y por tanto registradas.
  • Al conectar con servicios de red que utilizan protocolos de autenticación no cifrados, en caso de realizar muchos intentos de conexión simultáneos como es el caso de usuarios lícitos navegando desde un mismo proxy, puede interpretarse como un ataque de fuerza bruta quedando registradas las credenciales.

Con Snort, un IDS muy extendido, estos casos se pueden mitigar en gran medida configurando las variables $HOME_NET, $EXTERNAL_NET, $DNS_SERVERS , $SMTP_SERVERS, $HTTP_SERVERS, $SQL_SERVERS, $TELNET_SERVERS, $FTP_SERVERS y $SNMP_SERVERS, evitando así que conexiones internas a servidores de la DMZ o Internet sean registradas por confundirse con ataques.
Esto se debe a que generalmente se crean las firmas de detección buscando ataques desde la red externa ($EXTERNAL_NET) hacia los servidores definidos en las variables que acaban en “SERVERS”, por lo que las comunicaciones que provienen de la red interna ($HOME_NET), quedan fuera de esté análisis. Puede parecer que esta configuración deja desprotegidos a los usuarios, pero no es así ya que las reglas destinadas a los usuarios apuntan hacia la ($HOME_NET). Además ha de realizarse un análisis de cada red y sus necesidades de monitorización con el fin de eliminar todas las reglas que no sean necesarias, ya que además de aumentar el rendimiento del IDS, podremos eliminar o afinar las reglas que puedan violar la privacidad de los usuarios (y de paso, eliminaremos falsos positivos).

Merecen una mención especial ciertos paquetes de reglas diseñados para monitorizar las actividades de los usuarios en lugar de detectar exclusivamente ataques. Algunos ejemplos son los paquetes policy, porn, p2p, chat o multimedia, todos ellos deshabilitados por defecto. Frente a la posibilidad de que las comunicaciones privadas de los usuarios puedan quedar expuestas a los técnicos que revisan los eventos, en ocasiones se opta por ocultarlo para así evitar el descontento de los empleados, o incluso para no preocupar a clientes ante la posibilidad de que se revele información sensible al contratar un servicio de detección de intrusos. Esta actitud errónea lleva a quedar expuesto innecesariamente a denuncias de los empleados o rupturas de contrato por el simple hecho de no informar debidamente a las partes implicadas.

Por todo esto, en caso de disponer de un servicio de detección de intrusos ya sea propio o para terceros, existen una serie de medidas básicas a adoptar:

  • Si no disponemos de un fichero o tratamiento LOPD que cubra ya esta finalidad, debe darse de alta.
  • Los empleados deben ser informados de que sus comunicaciones pueden ser analizadas, dejando totalmente claro el alcance y objetivo de dicho análisis. Esta información debe constar en la normativa de seguridad, y se ha de tener la certeza de que todos los empleados la leen y aceptan, preferiblemente por escrito.
  • Los clientes deben ser informados de que el IDS puede capturar tráfico legítimo de la organización que será analizado por causas siempre justificadas, y debe firmarse el correspondiente contrato de confidencialidad y contrato de acceso a datos.
  • El personal que gestiona el IDS debe firmar (al igual que cualquier otro empleado) el correspondiente contrato de confidencialidad.
  • La información del IDS, más allá del nivel de los datos de carácter personal que gestiona, debe ser accesible únicamente al personal autorizado, dada la sensibilidad de la información que puede contener desde perspectivas personales o corporativas.

Dicho esto, para el fin de semana quiero dejarles una pregunta: Imaginen que en una revisión del IDS se detectan accesos hacia páginas web de contenido «no apropiado», o el envío de información sensible hacia direcciones de e-mail «sospechosas» ¿hasta qué punto deberíamos informar al cliente sobre las actividades de sus empleados en una red que monitorizamos, si no nos han contratado para dicha tarea?

Esperamos sus respuestas. Pasen un buen fin de semana.