Entrevista a Jorge Ramió (2/2)

18 de mayo de 2011 Por

Continuamos hoy con la segunda y última parte de la extensa entrevista a Jorge Ramió que iniciamos ayer; confiamos en que sea de su agrado.

5. Como experto en Criptología, una pregunta que no puede faltar. ¿Son seguras nuestras comunicaciones habituales frente a los delincuentes? ¿Podemos estar tranquilos al hablar por el móvil, al enviar un correo electrónico cifrado con PGP o al utilizar la banca online?

Sí, son seguras. La inseguridad es más nuestra, de los humanos, que de los sistemas. Es obvio que incluso el sistema más protegido siempre puede ser vulnerado, que existe malware zero-day y todo eso, la historia nos ha dado muchos ejemplos, pero lo cierto es que el eslabón humano es el más débil de toda la cadena de seguridad, una frase repetida miles de veces pero no por ello menos cierta.

Sin caer en paranoias y hablando siempre de un usuario final que es por donde va tu pregunta, un poco de sentido común y tener el sistema operativo y un antivirus siempre actualizado, debería ser suficiente para no pasar malos momentos. Como usuarios y personas comunes, en el sentido de que no somos un alto cargo del Ministerio de Defensa, ni en la OTAN, ni los directivos de una gran multinacional me refiero, es muy poco probable que suframos ataques directos. En todo caso, serían ataques masivos como por ejemplo un phising de banca online al haberse instalado malware en nuestro PC. Si ese malware está ahí, lo más probable es que no hayamos cumplido la premisa indicada anteriormente: sentido común + S.O. actualizado + antivirus actualizado.

[Read more…]

Entrevista a Jorge Ramió (1/2)

16 de mayo de 2011 Por
JorgeRamioPara los más viejos del lugar no es necesaria ninguna presentación de Jorge Ramió; por si hay alguien que no lo conozca, Jorge es —aparte de un amigo— Doctor Ingeniero de Telecomunicación, profesor de la Universidad Politécnica de Madrid y desde hace más de dieciséis años imparte docencia en el ámbito de la seguridad, tanto en España como en Latinoamérica.

Criptólogo de referencia a nivel nacional, lidera además iniciativas como Criptored, red temática de criptografía y seguridad de la información, es ponente habitual en congresos de todo el mundo y por falta de espacio no podríamos citar ni una milésima parte de sus publicaciones y trabajos en la materia :)

1. Jorge, en primer lugar agradecerte tu colaboración en esta entrevista; es un lujo contar con tu opinión en este blog. La primera pregunta que nos gustaría hacerte es casi obligada. Eres una persona que lleva muchos años en el mundo de la seguridad y podemos considerarte uno de los principales referentes en Criptología a nivel nacional. ¿Cómo has visto la evolución en seguridad en nuestro país durante estos años? ¿Vamos a mejor? ¿Vamos a peor? ¿Seguimos igual?

Hola Toni, es un verdadero placer que de vez en cuando se acuerden de ti y haya gente que se interese por lo que algunos estamos haciendo, o al menos intentamos hacer, en este mundillo de la seguridad de la información. No obstante, primero que nada una aclaración necesaria: suena muy hermoso eso de criptólogo y referente a nivel nacional, pero no llegamos a tanto ni mucho menos. Es más que suficiente indicar que soy un estudioso y trabajador de la seguridad y de la criptografía y que, efectivamente y eso es verdad, llevo más de 15 años dedicado a la seguridad.

[Read more…]

¿Una TIP para peritos?

12 de mayo de 2011 Por

Recientemente he estado otra vez en un juicio por lo penal como perito; como ya comentamos hace unos días, los juicios siempre son desagradables, pero los penales aún más si cabe, tanto por el “público” que te rodea antes de entrar a declarar -o en ocasiones incluso dentro- como por lo que sabes que se están jugando los acusados: penas de cárcel.

Esta vez, en las largas horas de espera antes de declarar, estaba de nuevo dándole vueltas a una idea que cada vez que voy a los juzgados de lo penal me vuelve a la cabeza: la necesidad de identificar al perito en los informes que firma. Cuando llaman a declarar a un Policía Nacional o un Guardia Civil lo hacen por su TIP (Tarjeta de Identidad Profesional), y lo mismo sucede cuando estas personas firman un informe: jamás se indica nombre o apellidos, domicilio o ningún dato que identifique de forma directa a la persona, por motivos obvios de seguridad; así, nadie identifica a Pepito Pérez, policía, sino al funcionario del CNP con TIP XXXXX. Algo parecido sucede con el personal de seguridad privada: si actúo como Director de Seguridad, dejo de ser Toni Villalón para ser el Director de Seguridad con TIP YYYY.

Esto parece obvio en algunos casos pero, ¿qué sucede si firmo un informe como perito informático? El acusado tiene, a través de su abogado, todos mis datos: nombre y apellidos, domicilio para notificaciones, teléfono de contacto, número de colegiado, correo electrónico y un sinfín de información más. Esto me preocupa especialmente si voy por parte de la acusación o soy perito judicial y estoy haciendo un informe que perjudica al acusado, que podría incluso emprender cualquier acción que considere contra mí. Y creedme que en algunos casos (gente que se juega cárcel o sanciones económicas importantes) no te quedas muy tranquilo :(

Todo esto se solucionaría -al menos en parte- si como peritos tuviéramos algún tipo de identificación aséptica, cuya asociación a una persona física conozca únicamente el juzgado, la Policía o quien corresponda, pero que obviamente no sea de dominio público; algo como tienen las FFCCSE o el personal de seguridad privada. En primera instancia podríamos pensar en utilizar algo tan sencillo como el número de colegiado de un determinado Colegio Profesional, pero la cruda realidad es que esta información es pública por la Ley 25/2009, con lo que nuestro gozo en un pozo. Creo que necesitamos una TIP -o una TAP, llamémosle como queramos- para peritos que garantice cierto anonimato para las partes involucradas en un proceso judicial y que nos identifique de forma unívoca, ¿no?

Sé que esto es fácil decirlo en un blog pero luego no es inmediato implantarlo; de entrada, ¿quién mantiene ese registro de peritos? ¿Quién expide las tarjetas de identidad? ¿Tendrían valor identificativo, al menos en los juzgados? ¿Se complicaría mucho la burocracia judicial, ya de por sí compleja? ¿Nos harían descuento en el súper?… :) Muchos problemas para una preocupación de unos pocos, así que imagino que a corto plazo las cosas se mantendrán igual en este sentido… tampoco sé si hay impedimentos legales para ello o si se ha intentado en alguna ocasión y no ha funcionado (ni por qué). Imagino -más que imagino, quiero creer- que en casos de alto riesgo (para el perito) como terrorismo o narcotráfico a gran escala, existirán formas de preservar cierto anonimato no sólo de testigos o policías, sino también de peritos… ¿no?

¿Nadie más se ha planteado esto? ¿Soy el único que a veces está intranquilo? ¿Alguien conoce alguna iniciativa en este sentido? ¿Alguna forma de identificación menos indiscreta que todos tus datos expuestos en la primera hoja del informe? Cualquier información que podais aportar será bienvenida… La verdad es que por ahora no considero que peligre ni haya peligrado seriamente mi integridad física… pero me empiezo a plantear, para próximos informes periciales, firmar con la TIP de Director de Seguridad, a ver si me dejan :)

Cosas que escucho en el juzgado

20 de abril de 2011 Por

Con el presente post nos despedimos hasta el martes próximo; pasen ustedes una feliz Semana Santa y cuidado en la carretera, que no nos sobra ningún lector ;)

Hace ya algún tiempo -bastante- publicamos en Security Art Work una entrada relativa a cosas que escucho en el bus; muchas veces me acuerdo de este post -obviamente porque sigo escuchando cosas interesantes por aquí y por allí- pero hace unos días ya llegué a un extremo que no me había pasado hasta el momento; fue durante un juicio al que acudía como perito. Aparte de lo desagradables que son los juicios, sobre todo los de lo penal y los juzgados de familia, y las horas de espera con poco o nada que hacer hasta que te llaman a declarar -los peritos vamos al final-, siempre me ha llamado la atención la “alegría” con que los abogados dejan a la vista de desconocidos documentación o comentan aspectos del juicio y la estrategia que van a seguir sin ningún pudor, delante de quien sea. Pero este caso ya se llevó la palma; por circunstancias que no vienen al caso, al entrar en el juzgado -que no en el juicio- y comenzar esas apasionantes horas de espera que comentaba, me senté relativamente lejos de nuestro cliente y sus testigos, solo en un banco. Tras unos minutos leyendo el correo electrónico y contestando a algún mail atrasado, llegaron unas personas y se sentaron a mi lado. Por supuesto, enseguida me dí cuenta de que se trataba de la parte contraria, con su abogado a la cabeza, así que no pude por menos que prestar atención a lo que decían :)

Obviamente, su tema de conversación era el juicio al que se enfrentaban, y sin darse cuenta de que estaban ante un desconocido -yo en este caso- comenzaron a hablar de la parte contraria, de la que yo era perito, de su estrategia, de lo malo que era mi cliente y de una serie de temas que afectaban directamente al proceso judicial. Ojo, todos ellos sin excepción: desde el abogado al acusado, pasando por los testigos y amigos, familiares o lo que fueran que le habían acompañado al juzgado…

Que esto lo haga un ciudadano de a pie lo puedo hasta entender; que esto lo haga un abogado, un profesional que debe saber lo que está haciendo y qué se juega por hacerlo, ya es algo que no concibo. Señores, ustedes manejan información confidencial, clasificada, secreta o como le quieran llamar. Empezando por datos de carácter personal y acabando por información más que sensible -estrategias de defensa o acusación, datos de otros casos…- e incluyendo además comentarios del tipo “pues este juez es muy malo” o similares. Además, ustedes están trabajando con personas que se juegan mucho dinero, penas de cárcel o simplemente su honor y eso debe ser motivo más que suficiente para no “publicar” cierta información alegremente. No pueden dejar a la vista esas enormes carpetas de documentación en cuya portada se puede leer quién demanda a quién y por qué; no pueden hablar con total tranquilidad de ciertos aspectos de un juicio delante de perfectos desconocidos; cuando hablan por el teléfono móvil no tiene por qué enterarse toda la planta, y mil cosas más. En definitiva, no se trata de aplicar unas medidas de seguridad militar para ciertos casos -para otros, como terrorismo o narcotráfico espero que sí-, sino simplemente de utilizar la lógica y pensar que el resto del mundo tiene ojos y oidos, y nuestra conversación puede interesarles muchísimo.

Muchas veces, al hablar de protección de la información nos perdemos en macroprocedimientos, modelos de clasificación y marcado, auditorías de cumplimiento… y no nos damos cuenta de que situaciones como las comentadas son un claro peligro cotidiano de fuga de información; sin DLP, sin escuchas ilegales, sin intervención de las comunicaciones… sin nada más que un poco de atención. Si algún abogado nos lee, que espero que sí, por favor, remita esta entrada a alguno de sus colegas :) Quizás esto pasa en otros colectivos -miedo me da pensar en las conversaciones de médicos en la cafetería de un hospital-, pero afortunadamente piso más los juzgados que los hospitales -y créanme que ningún juicio es agradable, pero menos lo suele ser la visita al hospital- y en el caso de los abogados clama al cielo poder oir ciertas conversaciones.

Para finalizar, decir que antes de escuchar cualquier cosa -más- que no quería oir me levanté de mi sitio y me fui a tomar un café a la cafetería del juzgado. Otro gran sitio donde la confidencialidad de la información brilla por su ausencia y que, cuando tenga un rato, será motivo para otra entrada en este blog.

UNE 197001:2011

14 de abril de 2011 Por

El pasado mes de marzo AENOR publicó la norma UNE 197001:2011, Criterios generales para la elaboración de informes y dictámenes periciales; se trata de una norma muy sencilla y escueta -ocho hojas en total, de las cuales únicamente cuatro son “de contenido”-, cuyo objetivo es establecer una garantía para asegurar que las actuaciones periciales son adecuadas al uso al que se destinan. Obviamente una norma de este tipo no entra al detalle de métodos o procesos específicos para la elaboración de informes en campos concretos, sino que únicamente establece consideraciones generales y requisitos formales para las pericias (aprovechamos para pedir alguna norma específica bajo el marco de UNE 197001 relativa a las pericias informáticas, o tecnológicas en general, que seguro que da para mucho más que un post ;).

Lo que esta norma viene a establecer, como decimos, es tan escueto como la estructura deseable en un informe pericial ajustado a la norma: identificación, índice, cuerpo -compuesto por objeto, alcance, antecedentes, consideraciones preliminares , documentos de referencia, terminología, análisis y conclusiones- y anejos si corresponde; un espacio para el juramento o promesa y unas características para la identificación correcta del informe pericial; poco más, porque desde luego lo que no es de aplicación en UNE, ISO u otros estándares, al menos por el momento -ójala algún día lo sean-, son metodologías técnicas propias (análisis forense, preservación de evidencias, gestión de incidentes -desde el punto de vista pericial-…). En este campo ya jugamos con estándares de facto -además con varios, para poder elegir el que más nos guste- y queda a disposición del buen hacer del perito el aplicar uno, otro o ninguno: seguramente al juez o al abogado le va a dar igual.

Ya hemos hablado en este mismo blog del tema de los peritajes informáticos y de algunos problemas habituales con los que nos encontramos los peritos cuando tratamos de defender aspectos tecnológicos frente a un juez o un abogado; por supuesto, ni esta norma ni ninguna otra parece que vaya a arreglar esta situación, así que tendremos que seguir capeándola. Lo que sí creo que va a aportar UNE 197001:2011 -espero- si trabajamos en base a ella es homogeneidad en los informes, al menos en estructura y formalismos, y siendo optimista, si se desarrolla en un futuro una norma específica de peritajes informáticos -¿alguien de AENOR que nos lea y quiera aportar datos?-, más homogeneidad si cabe en este tipo de informes, algo que a día de hoy no existe: hay quien presenta un informe pericial lleno de referencias legales pero sin contenido técnico, hay quien presenta un informe que parece más una oferta o un informe de proyecto que una pericia, hay quien se mete en jardines legales -y luego le estallan en la cara-… vamos, que hay de todo, y si el perito hace mucho caso al abogado, más todavía :)

En definitiva, como perito me ha alegrado mucho la publicación de la norma UNE 197001:2011; aunque sea bastante vaga y generalista, creo que es un buen punto de partida y, si se continua en esta línea y se pueden publicar normas más específicas, será una buena señal… o mala, según como se mire, porque habrá más juicios en los que interviene la tecnología y eso significa que el delito con tecnología de por medio va en aumento… Ahora toca que peritos y Colegios Profesionales nos empecemos a poner las pilas, apliquemos la norma, la discutamos, la mejoremos y, en definitiva, que esto sirva para hacer un mejor trabajo en el ámbito del peritaje -muy importante cuando tenemos delante gente que se juega sanciones duras o incluso la cárcel-. Y de los problemas de la pericia tecnológica para los juristas podremos seguir hablando largo y tendido, porque mucho me temo que eso no habrá norma que lo cambie :)

Convergencia. Only available for PPT…

8 de abril de 2011 Por

Hace unas semanas estuve en las X Jornadas SID, organizadas desde el Ministerio de Defensa; aparte de charlas más o menos curiosas -la valoración global de las jornadas para mí fue bastante positiva-, tenía un especial interés por una mesa redonda que cerraba -justo antes de la clausura oficial- las jornadas y cuyo título era “Convergencia de las seguridades”.

Para ser sincero, quedé un poco defraudado con esta mesa. Hace ya unos cuantos añitos que empezamos a hablar de convergencia por estos lares, tanto en proyectos en los que estuvimos trabajando como incluso en este mismo blog, pero mi impresión a nivel general es que hemos avanzado poco o nada en la materia (viendo la mesa redonda, podría haberse celebrado casi de forma idéntica en 2006 o 2007). Seguimos teniendo, con algunas excepciones, muchos casos de una convergencia only available for Powerpoint: queda muy bien para escribir un libro o para hablar con los amigos, pero en la práctica cada seguridad se la guisa y se la come, como se suele decir, un grupo diferente con poca o ninguna relación establecida formalmente. Ojo, no quiero decir que las empresas que participaban en la mesa redonda estén en dicha situación -no las conozco a ese nivel-, sino simplemente que de la teoría a la práctica suele haber un mundo.

¿Por qué seguimos, años después, todavía así? La comunidad de seguridad en España parece que poco a poco va adoptando posturas convergentes (sin ir más lejos, recientemente el capítulo ISACA de la Comunidad Valenciana ha firmado un acuerdo de colaboración con AVADISE, la Asociación Valenciana de Directores de Seguridad), aunque deberíamos plantearnos la velocidad de estas iniciativas. La formación del personal de seguridad sigue siendo un punto débil, con un peso poco representativo de la protección de la información y de la gestión unificada en los cursos de Dirección de Seguridad (aunque esto también parece cambiar poco a poco), y también con un peso insignificante de seguridad física u organizativa en muchos cursos focalizdos en Seguridad de la Información. Nuestros gobernantes y legisladores también parecen “converger” a su ritmo (este es tema para otro post), y la Ley de Protección de Infraestructuras críticas puede ser un buen ejemplo de ello…

Avanzamos poco a poco. Demasiado poco a poco. Una lentitud que a veces desespera. Pero si hay algo que desespera más que la lentitud ajena es la lentitud propia: los directores de seguridad, responsables de seguridad, CSO, CISO o como narices nos llamen en cada caso avanzamos también a paso de tortuga. Porque tenemos mucho trabajo y nos limitamos al run the business, no al change the business (vamos, que nos contentamos con sobrevivir -lo urgente-, nada de mejorar -lo importante-). Porque nos pueden quitar una parcelita de poder que nos viene muy bien y en la que estamos muy cómodos. Porque para qué voy a buscarme trabajo extra que encima me puede hasta perjudicar. Por el motivo que sea, eso de la convergencia queda muy bien para decirlo pero no tanto para llevarlo a la práctica: como algunos médicos, damos excelentes consejos a los que nos escuchan (“no fumes”) pero nos quitamos la bata y hacemos lo que nos viene en gana (“¿tienes fuego?”).

Sinceramente, creo que esto es pan para hoy y hambre para mañana (es más, ni siquiera pan para hoy, sólo hambre para mañana). Si pensamos que porque nosotros estemos mirándonos el ombligo nada va a cambiar a nuestro alrededor, mal vamos. Especialmente en seguridad. Si no tomamos la iniciativa pueden suceder dos cosas: o la tomará otro en nuestro lugar (y eso no nos gusta, ¿verdad? :) o todo lo que nos rodea -proveedores, competencia, legislación- acabará arrastrándonos, para mal o para bien. Los que trabajamos en esto debemos liderar la convergencia de la seguridad en este país, cada uno a su nivel, o mal nos va a ir antes o después. Si alguien cree que en estos tiempos se puede ofrecer seguridad aislado en un bunker y sin contacto alguno con el exterior, creo que se equivoca… Si no colaboramos, compartimos experiencias prácticas (para teorías ya tenemos muchos libros), intercambiamos información, etc. difícilmente mejoraremos, y eso a la larga -o a la corta- nos perjudica a todos.

Para acabar, me llamó mucho la atención una pregunta de los amigos de SIC a los participantes en la mesa: ¿cuál es el perfil ideal para “liderar” la convergencia en una organización, el asociado a la seguridad clásica o el asociado a la seguridad más tecnológica? Ninguno de los participantes contestó de forma clara -algo que también me llamó la atención, para qué negarlo-, e incluso miembros del público hicieron alusión a la idoneidad del perfil militar, tanto por el foro en el que nos encontrábamos como porque en algunas de las empresas grandes en las que se habla de convergencia los Directores de Seguridad provienen de este ámbito: MAPFRE, ONO

En mi cartera llevo el carné del Colegio de Ingenieros en Informática de la Comunidad Valenciana y la tarjeta de Director de Seguridad expedida por el Ministerio del Interior; obviamente no voy a romper ninguno de estos documentos. Creo, y por supuesto esto es mi opinión, obviamente discutible, que no existe un perfil tipo para gestionar de forma unificada la seguridad de una organización; no se trata de una guerra en la que ganen los Directores de Seguridad “clásicos”, con sus 3G, ni los Directores de Seguridad de la Información, focalizados sólo en la protección de esta última. No estamos ante un CSO vs. CISO, ni nada parecido: se trata más bien de personas capaces de liderar la convergencia, con una visión amplia de la seguridad y con una formación adecuada. Que provengan de la seguridad clásica o de la seguridad tecnológica es puramente anecdótico: conozco compañeros en ambos grupos perfectamente capaces de gestionar ambas seguridades -y las que se pongan por delante-, y lamentablemente conozco también compañeros en ambos grupos incapaces de ver más allá de la seguridad lógica o de la porra y la pistola. Son las personas las que deben hacer el trabajo, no los colectivos a los que pertenecen.

GOTO X: Periodistas

22 de marzo de 2011 Por

Llevaba alguna semana queriendo escribir un post de la serie GOTO dedicado a los periodistas, tal y como adelanté hace cosa de un mes en la entrada relativa a los ciberataques sufridos por la GVA. He intentado resistirme un poco -más por falta de tiempo que otra cosa-, pero leyendo las últimas noticias sobre el peligro nuclear en Japón que todos los medios generalistas están lanzando no he podido aguantarme… Y es que tenemos periodistas -no todos, obviamente- que no distinguen asterisco de asteroide, pero no contentos con ello transmiten al público general su vasto conocimiento sobre cualquier materia y se quedan tan panchos, satisfechos del trabajo realizado.

Con el tema de los ciberataques contra GVA ya dimos unas pinceladas del saber hacer de estos periodistas; ahora con el debate que se está abriendo sobre la seguridad nuclear siguen cubriéndose de gloria, y encima lo mezclan con la entrada en Cofrentes de unos activistas de Greenpeace hace unas semanas, poniendo este acto como ejemplo de “inseguridad” en las centrales nucleares españolas. Por favor, no mezclemos churras con merinas. Que las centrales nucleares -y otras infraestructuras críticas- de nuestro país sean o no vulnerables no depende de que unos ecologistas capaces de evitar -con presunta violencia- a los vigilantes de seguridad (o a la Guardia Civil si se diera el caso) se cuelen tras la verja de una central. ¿Qué pretenden los periodistas, que disparen con armas de fuego a estos activistas para demostrar lo seguros y fuertes que somos? Venga, hombre… la que se habría montado, y con razón.

Un conocido mío comentaba hace unos años que España hay dos cosas de las que todo el mundo sabe: medicina y seguridad. ¿Que te duele la cabeza? Tómate cualquiercosaqueacabeenina, que a mí me ha ido muy bien, mírame, además lo he leído en Google y en el curso por fascículos de “El neurocirujano en casa”… ¿Que el accidente de Spanair fue culpa del piloto? No hombre, fue el relé XJ45, que no desplegó los flaps y por eso no se alcanzó la velocidad de despegue adecuada para un aparato de esas características, que en función del viento de costado y del puerto USB puede ser de hasta 738,3 kilómetros por hora… ¿Que la central de Fukushima va a explotar? El problema está en el núcleo del reactor, que no se puede enfriar lo suficiente debido al proceso de fisión nuclear y a las valencias del elemento, que ya se sabe lo que pasa en fallas con tanto calor… Toma ya. Esto lo pongo en un periódico de tirada nacional, lo mezclo con “declaraciones de un responsable de nosequé experto en nosecuantos” y a vivir. Acabo de dar un curso acelerado de medicina, ingeniería aeronáutica o física nuclear a mis lectores, que sabrán aprovecharlo a la perfección en el parque o en la cola de la panadería ayudándome así a difundir mi conocimiento.

Señores, seamos serios. Ya sé que no se puede saber -y por tanto escribir- de todo, pero un mínimo de rigor sería más que aconsejable. Un defacement no tiene nada que ver con un DDoS, unos ecologistas que entran en Cofrentes no tienen por qué ser ejemplo de ninguna inseguridad y mil cosas por el estilo. Cuando una persona que no conoce una materia concreta trata de hablar de ella ex cathedra hace, cuanto menos, el ridículo, cuando no algo peor. Informémonos antes de escribir y, en caso de dudas, estoy seguro de que existen centros de investigación, universidades, empresas, personas… expertos en muchos temas que nos pueden dar su opinión con respecto a los mismos o al menos orientarnos correctamente para que no metamos la pata. Se trata simplemente de preguntar y escuchar lo que nos dicen. Si de seguridad, que creo que algo sé, veo esas barbaridades escritas en los medios…¿qué habrá de verdad en los artículos de materias que no conozco? ¿seguirán la misma tónica? ¿qué puedo creerme de lo que leo en un periódico o veo en la televisión? Miedo me da pensar qué dirán de economía, política y mil materias más de las que sé poco o nada…

Ojo, no quiero decir con este post que todos los periodistas estén mal informados -voluntaria o involuntariamente- y por tanto informen mal de lo que sucede a nuestro alrededor; simplemente, creo que en los medios generalistas estamos llegando en ocasiones a la política del “todo vale”, por desconocimiento o no, dejando así al periodismo presuntamente serio a la altura de “La Noria”. Y para ciertos temas, como la economía o la seguridad, entre otros, esto puede ser peligroso: transmitimos un mensaje erróneo a miles de personas que lo interpretan como verdadero, con las consecuencias que esta información negativa puede llegar a tener en la población.

Por suerte, y para no ver solo la botella medio vacía, quiero recalcar que IMHO existen periodistas bien documentados y que hacen correctamente su trabajo, sobre todo si nos vamos a medios especializados; en el caso de seguridad, algunos buenos ejemplos pueden ser SIC, Seguritecnia o Security Management por citar unos cuantos -hay más, por supuesto-. Ójala cunda el ejemplo y podamos llegar a fiarnos de lo que leemos en medios generalistas… al menos más que ahora.

Ciberataques contra la Comunidad Valenciana

21 de febrero de 2011 Por

Durante el pasado viernes 18 de febrero se organizó, principalmente a través de Twitter, un ataque DDoS contra la página web principal de la Generalitat Valenciana, debido al cese de las emisiones de TV3 en la Comunidad Valenciana. Creo necesario un post dedicado a este ataque, primero porque se ha materializado en nuestra Comunidad y segundo porque es un buen ejemplo (más) del uso de redes sociales -o Internet en general- para organizar este tipo de acciones de forma rápida, sin ningún tipo de coste y sin un respaldo considerable detrás; vamos, que se demuestra una vez más que con una conexión a Internet, un pequeño grupo -o grande, quién sabe- pone en jaque, o al menos en alerta, a todo un gobierno autonómico…

El ataque en cuestión consistía en utilizar la herramienta LOIC (y Mobile LOIC, desde páginas de PasteHTML) para generar tráfico masivo contra la web de GVA, proporcionando instrucciones detalladas de cómo utilizar el programa. Todo esto a una hora concreta: las 19:30 del viernes, aunque finalmente hubo algo de jaleo con la hora y parece ser que el ataque se adelantó -al menos parcialmente- a las 18:30… Además de Twitter, se utilizaron canales de IRC web para coordinar el ataque, así como grupos de Facebook y otras redes sociales. Los organizadores de la convocatoria utilizaron el nombre y la imagen de Anonymous, aunque posteriormente este grupo se desmarcó de la acción contra GVA en un comunicado en su propio blog.

Bajo mi punto de vista es necesario destacar algunos aspectos de esta acción; el primero, por supuesto, la ética (o falta de) de la organización: señores, podemos estar de acuerdo o en contra de una ley, de una decisión, de un decreto… y, si no nos gusta, protestar. Pero protestar con los instrumentos que tenemos en un pais civilizado, como quiero creer que es España, para hacerlo, no tumbando webs, acto que con la modificación del Código Penal operada por la Ley Orgánica 5/2010, de 22 de junio, se considera ilegal (IMHO, no soy abogado, claro está). Y sobre todo, no tumbando webs cuya degradación afecta a los ciudadanos de a pie mucho más que al gobierno al que se quiere atacar.

Otra cosa que me sigue llamando mucho la atención de casos como este, a pesar de los años, es la falsa sensación de impunidad y anonimato que transmite Internet; como estoy tranquilamente en mi casa y nadie me ve, puedo decir y hacer lo que quiera, incluso llamar a cometer delitos a través de Twitter… Aparte de que con las debidas órdenes las direcciones IP son trazables -otra cosa es lo que luego determine un juez sobre la culpabilidad o inocencia de un acusado-, analizando con cariño alguno de los perfiles que incitaban el viernes a atacar a GVA podemos obtener casi el DNI y el teléfono de la persona en cuestión (exagerando un poco, claro está). No puedo hacer un llamamiento con un perfil en el que tengo mis fotos, mis contactos, los lugares frecuentados… si quiero que luego no me pillen. Algo un poco surrealista, pero que sigue sucediendo en este y otros ataques.

Finalmente, desde el punto de vista técnico, el ataque tuvo poco o ningún éxito; la página web principal de GVA -a pesar de lo que muchos dicen por ahí- tuvo pequeños problemas intermitentes a lo largo del día, problemas que de no haber sido por la publicidad de la convocatoria apenas se habrían notado. Tampoco se registró en ningún momento un downtime de tres o cuatro horas, como he llegado a leer en algunos medios. El ataque no aporta nada nuevo: intento de saturación de un servidor por conexiones de red y poco más, al menos por ahora; ataque burdo cuyo único éxito depende de la cantidad de atacantes, no de la complejidad técnica del mismo o del aprovechamiento ingenioso de una vulnerabilidad… Me atrevo a decir que de momento no ha sucedido nada grave; este es quizás el equivalente, en el terreno virtual, al asalto a la central nuclear de Cofrentes esta misma semana, por parte de activistas de Greenpeace: un ataque que apenas compromete nada y que tiene más repercusión mediática que otra cosa. Quizás sea eso lo que buscaban los organizadores, a saber…

Para acabar, al margen de todo, hay que destacar la “rigurosa” cobertura por parte de los medios de comunicación: Levante-EMV hablaba de la página “hackeada”, Las Provincias o El Pais del PP como próximo objetivo y de Anonymous como el grupo organizador, El Mundo de “ataques hacker”… en fin, periodistas. Sin comentarios. Este colectivo, o parte de él, merece un post propio en este mismo blog, por supuesto dentro de la serie GOTO :)

¿Seguridad nacional?

24 de enero de 2011 Por

Hace unas semanas, mientras comía con unos auditores -y amigos- de AENOR, les lancé la siguiente pregunta: ¿qué opinais acerca de las infraestructuras críticas -o estratégicas- españolas que son auditadas (en materia de seguridad, pero podríamos hacerlo extensible a tantas otras cosas..) por organizaciones extranjeras? A fin de cuentas, cuando llega el auditor a certificar nuestro SGSI le enseñamos buena parte de las tripas de nuestra seguridad, por no decir todas… Por supuesto, la respuesta de los auditores fue la esperada: es cuanto menos curioso que se produzca esta situación, y no es lo deseable; claro, tanto AENOR como S2 Grupo, son empresas españolas, por lo que era fácil estar de acuerdo :)

Con lo que nos gusta hablar de protección de infraestructuras críticas, seguridad nacional, ataques terroristas de terceros países y demás (a los que trabajamos en seguridad y desde hace un tiempo parece que también a los políticos), no parecen muy coherentes situaciones en las que aspectos relevantes de la seguridad de estas infraestructuras son accedidas sin reparos por terceros paises -algunos de ellos “amigos”, por ahora, y otros menos amigos, también por ahora-. Tampoco parece muy coherente que buena parte de la tecnología utilizada, por no decir toda, no sea nacional (¿algún fabricante de SCADA español? Yo no conozco…).

Muchos equipos de usuario son Dell, tienen instalado Microsoft Windows con un bonito Office encima, nuestros datos viajan a través de routers Cisco, nos enviamos correos con IBM Lotus Notes y por supuesto, si queremos contratar una auditoría o la puesta en marcha de algo importante, nos vamos a consultoras americanas con nombres difíciles de pronunciar, que molan más (luego nos mandan a un becario de Alcorcón, pero la empresa es americana); ahí estamos los españolitos, apoyando el producto nacional… es más, ni siquiera apoyamos al software open source, que es de todos y no es de nadie, más que con cuatro iniciativas políticas que aportan poco o nada… Ojo, no tengo nada contra ninguna de las empresas citadas, pero es que Spain is different.

Consumir “producto” nacional (léase producto por servicio, proyecto, empresa…) no es sólo una cuestión económica, sino que en muchas ocasiones también es un tema de seguridad. En este sentido, iniciativas como el Consejo Nacional Consultivo sobre Ciberseguridad (CNCCS) son muy claras en sus requisitos de adhesión: el primero, ser una compañía española, cuya empresa matriz o central resida en nuestro país; sin ir tan lejos como algún político, que trataba de defender que los datos de los españoles estén en servidores de España (algo muy interesante pero poco factible, bajo mi punto de vista), sí que creo necesario defender más el producto nacional, como decía, tanto por una cuestión económica como por una cuestión de seguridad. Y también porque en términos generales los profesionales, empresas, productos… españoles creo que tienen (tenemos) poco o nada que envidiar a sus equivalentes de otros paises; y si en algún caso tienen (tenemos) algo que envidiar, es porque no nos hemos esforzado -aún- lo suficiente: estaríamos ocupados viendo algún Madrid-Barça o legislando sobre temas importantísimos para superar la crisis, como las descargas en Internet ;)

Estaría muy bien que, en especial en infraestructuras críticas, pero también en todo lo demás, se diera preferencia al uso de software de seguridad español (desde un antivirus a programas de control), se intentara que las auditorías -y la consultoría- las ejecutaran empresas españolas, se evitara introducir a empresas extranjeras en centros de seguridad relevantes y, por qué no, se potenciara el uso de software abierto, por poner unos ejemplos; ojo, siempre que los españoles estemos en igualdad de condiciones que otras alternativas: es complicado plantearse instalar un sistema que no cumpla con unas especificaciones dadas o contratar un servicio más pobre simplemente por ser nacional.

Por supuesto, no quiero plantear ni que dejemos de usar todo lo que no sea nacional (mañana estaríamos volviendo al trueque en lugar de conectarnos a Internet, y si una empresa nacional fabrica electrónica de red con la capacidad de Cisco que venga y me lo cuente… ¡ójala!). Simplemente opino que a condiciones equivalentes debemos optar por lo nacional: creo que mejorará nuestra economía (salir de la crisis sería optimista) y también nuestra seguridad. Sin tapujos, el CNI tiene más fácil el control de empresas nacionales que americanas y la ayuda que recibirá ante un problema en un producto nacional o en un servicio mal prestado por una empresa española creo que será mayor… o al menos diferente y, sobre todo, amiga (al menos a priori). Y este es un tema que debe ser potenciado desde las administraciones públicas, en especial desde las que tienen responsabilidades en materia de seguridad, y también en especial en lo que respecta a I+D+i: sembrar hoy para recoger mañana, le llaman. Y con las administraciones públicas a la cabeza, detrás de ellas iremos los demás.

Aprendiendo del vecino

21 de enero de 2011 Por

Imagino que a todos nosotros nos han enseñado que cuando tenemos que abordar un nuevo proyecto por primera vez, cuando tenemos que hacer algo que no hemos hecho nunca o cuando queremos mejorar un proceso -o lo que sea- debemos fijarnos y aprender de otros que lo hayan hecho antes. Y si nadie lo ha hecho antes, debemos aprender de los que han hecho cosas parecidas en otros ámbitos que no tengan nada que ver con el nuestro. Y si esto tampoco existe, pues ya nos vamos a I+D+i.

Particularizando para el campo de la seguridad lógica, a mí personalmente me gusta mucho fijarme en los compañeros de la seguridad física -con sus pros y sus contras- a la hora de abordar proyectos que no he hecho jamás. Desde luego, en campos como los modelos de negocio de seguridad gestionada o la gestión de incidentes nos llevan años de ventaja (a otro nivel y con otros problemas, pero años de ventaja), así como en temas legislativos, relación con FFCCSE y mil cosas más. Entonces, ¿por qué no tratamos de aprender de los profesionales que trabajan en este campo?

Sin querer generalizar, a los tecnólogos nos cuesta mucho darnos cuenta de que podemos aprender algo de gente que no sabe informática o telecomunicaciones más alla del nivel usuario (de hecho, para los técnicos la palabra “usuario” tiene connotaciones negativas ;). Por tanto, es impensable que nos planteemos los puntos que tienen en común la gestión de incidentes tecnológicos y la protección de personas -que los tienen, y muchos- o que nos fijemos en los modelos de colaboración o la regulación existentes en seguridad privada y los apliquemos en protección de la información, por poner unos ejemplos. Si lo hiciéramos, cada uno en su ámbito, podríamos aprender de los demás y mejorar nuestro trabajo… pero claro, ¿qué nos puede enseñar alguien que no sabe hablar en ensamblador? :)

Fijémonos en los que saben de nuestro campo de trabajo o en los que hacen cosas parecidas y apliquémoslas en nuestro día a día; seguramente de Bruce Schneier podremos aprender mucho, pero también podemos hacerlo de un policía que apatrulla la ciudad, de un guardia civil destinado en cualquier puesto de Cuenca o del vigilante de seguridad de un banco, aunque no tengan ni idea de tecnología. A fin de cuentas, nos cansamos de repetir que los delitos tecnológicos, sin ir más lejos, son equivalentes a los delitos tradicionales pero ejecutados con otros medios… y los ejemplos que he puesto antes sin duda saben mucho de delitos, aparte de ser probablemente más accesibles que Schneier. Y también nos cansamos de repetir todo aquello de la convergencia de la seguridad, la protección integral y demás…

Por supuesto, no todo lo que viene del ámbito de la seguridad física es bueno ni aprovechable; el mayor problema (IMHO) es el inmovilismo de muchos profesionales, desde personal de seguridad a FFCCSE pasando por legisladores, que una vez han logrado algo se dedican a defenderlo a toda cosa durante años -muchos- pensando que el mundo se paró en el instante en que ellos escribieron la Biblia. Señores, las cosas cambian y, sobre todo, se mejoran; no pueden ustedes dedicarse a argumentar -al menos fuera de El Club de la Comedia- que el phishing no es un problema de seguridad o que algo que no se proteja con una pistola no merece ser protegido, y tampoco pueden aferrarse con uñas y dientes a leyes de hace dos décadas sin plantearse si pueden cambiarse. Hay vida después de los ochenta :)