Proyectos LOPD basura

En los últimos tiempos estamos inmersos en la fiebre de las X-Basura. Hablamos de Tele-Basura que ninguno vemos, comemos comida-basura, firmamos contratos basura y ahora nos ponemos a hacer proyectos basura. No me malinterpreten; es evidente que cada uno puede hacer lo que estime oportuno, siempre y cuando respete los derechos de los demás. Pero aquí, no obstante, es donde radica el problema que analizo a continuación.

En la actualidad, y a raíz del auge y la importancia que va adquiriendo tanto la LOPD como la concienciación en torno a los derechos de privacidad de las personas, patente por la publicidad que adquieren a menudo las sentencias de la AEPD, se ha creado un negocio de grandes proporciones relacionado con la seguridad de la información en la que despachos de abogados, grandes consultoras, empresas de seguridad y hasta las tiendas de informática de la esquina intentan coger lo que les pueda corresponder a pesar, a veces, de no hacer un trabajo de calidad que cubra lo que el espíritu de la Ley pretende mínimamente.

Y es que como les decía, hasta la tienda de informática de la esquina, cuyo negocio se centra en la venta de PCs, mp3, y demás artilugios para el uso y disfrute personal, hace proyectos de adaptación a la LOPD sin ser consciente de los riesgos que por ello está asumiendo y el flaco favor que le está haciendo a su cliente. Vaya por delante que no tengo nada en contra de ningún tipo de negocio y que muchas veces es mucho mejor trabajar con la tienda de informática de la esquina que con una gran consultora de las que se comen el mundo, pero quede claro que, sobre todo y ante todo, creo en la profesionalidad de las personas que forman el equipo de trabajo de una organización sea ésta grande o pequeña.

En este sentido, debo decir que muchas de las adaptaciones a la LOPD que pueden observarse en el mercado dejan mucho que desear en la mayor parte de las ocasiones, aunque estoy convencido de que en muchas ocasiones no son fruto de la mala fe de sus autores sino de un profundo desconocimiento de los aspectos técnico-legales relacionados con el cumplimiento de la misma. No hay que olvidar en ningún momento el carácter legislativo de la Ley Orgánica de Protección de Datos, y que por tanto, abordar la adaptación de una empresa a ésta requiere siempre el trabajo de un equipo mixto técnico-legal que sea capaz de cubrir todos los aspectos de la misma. No sé realmente si las personas que abordan este tipo de proyectos de una forma tan inconsciente son conocedoras de los riesgos indirectos a los que se enfrentan por una demanda interpuesta por un cliente con una sanción de la AEPD.

Por último, además del riesgo implícito que asumen como compañías y en algunos casos incluso como autónomos -esto ya es para nota-, me gustaría destacar el hecho de que la Ley Orgánica de Protección de Datos es una ley cuyo fin es la protección de los derechos de las personas, y como tal defiende los principios básicos en los que se basa la convivencia de la sociedad en la que vivimos. Es por ello que, dejando al margen consideraciones profesionales, pienso que en algunos de los casos se está jugando con un derecho fundamental de las personas, y les aseguro que por lo que he podido ver, en ocasiones se atraviesa esa frontera que nuestro sentido común marca como frontera límite.

Esperando lo inesperado

Un día cualquiera, te levantas, te lavas la cara y te dispones, como todas las mañanas, a ir al “tajo». Cuando llegas observas que tu bonita oficina, está en llamas. Dios, te preguntas: ¿Sigo dormido? ¿O de verdad ha funcionado ese deseo estúpido que pedí en San Juan mientras como un cangurito saltaba las olas?

Pero señores, como de algún sitio hemos de sacar ese dinerillo para hacernos con esos objetos tan indispensables en nuestras vidas como PowerBalls, Gadgets lanzamisiles o tazas USB, es necesario que las contingencias o situaciones de emergencia estén previstas, si no se quiere sufrir pérdidas importantes en el negocio. Desastres naturales, operacionales, o humanos son sólo algunos de los aspectos que un buen gestor de continuidad debe prever. Es por eso que surge la necesidad de planificar, en cierta manera, una solución que nos aporte un mínimo nivel de operatividad en nuestros negocios. De esta necesidad surge el concepto de Continuidad de Negocio y Recuperación ante desastres. Ambos conceptos pueden parecer similares pero detrás de ellos se esconden propósitos muy diferentes. Mientras que el primero estaría orientado a los procesos de negocio que la empresa maneja, el otro estaría dirigido a la recuperación de los servicios de TI. Ambos conceptos podrían ser cubiertos mediante lo que sería un plan de contingencias. Pero, ¿de qué consta este plan? Pues bien, básicamente de un fabuloso Plan de Continuidad de Negocio (PCN) y de un magnífico Plan de Recuperación ante Desastres (PRD). Aunque ambos proyectos pueden ser emprendidos de forma independiente, en la mayoría de los casos se opta por una solución integral.

Muy bien pues, ya estamos motivados, sabemos lo que queremos y vamos comenzar con el plan, pero… ¿Qué ocurre con el jefe? Es fundamental que obtengamos apoyo total por parte de la gerencia de la empresa o en otro caso todo el proyecto no servirá más que de falca en la mesa de reuniones.

Obtenido el beneplácito del todopoderoso, debemos comenzar a estudiar al paciente. El análisis y comprensión del negocio es el primer escalón de la larga escalera de la continuidad. Empleados clave, logística utilizada, unidades de negocio que se manejan, herramientas de trabajo utilizadas, conforman el comienzo del PCN. Por otra parte, condiciones del entorno, equipos, servidores, herramientas de respaldo y backup, elementos de comunicación y estaciones de trabajo, formarían la estructura del PRD. Muy bien, ya hemos realizado una cantidad de trabajo considerable, y ahora le toca el turno a analizar el impacto que una contingencia tendría en nuestro negocio. Criticidad de operaciones (estableciendo tiempos máximos de recuperación o RTO’s), equipos y servicios, así como una identificación de los posibles riesgos a tener en cuenta.

El siguiente paso es pues, el Análisis de Riesgos. Es entonces cuando nos preocupamos de cómo administrar estos riesgos y su posible mitigación si una eliminación total no es posible. Superado con éxito lo realizado hasta el momento, estamos dispuestos a evaluar las diferentes estrategias a seguir para ofrecer una garantía de continuidad y recuperación. No cabe decir que todo lo dicho hasta el momento debe estar claramente documentado.

Estamos dispuestos en este momento a generar un plan que se ciña a la estrategia elegida. Personal responsable de aplicar el plan, procedimientos a seguir. Cabe destacar el hecho de que existan varios planes, dependiendo de la magnitud del negocio, donde se recojan soluciones a las diferentes líneas de negocio.

Es fundamental que tanto el PRD como el PCN sean probados como mínimo una vez al año. Así pues, estas pruebas conceden al personal la asimilación de un aspecto clave en el éxito del BCM, la conciencia de BCM. Hemos hecho las maletas, puesto en marcha el plan estratégicamente preparado, todo ha funcionado a la perfección (menos ese cd de Windows que no lee), pero ahora ¿cómo volvemos a casa? Efectivamente necesitamos un nuevo plan que nos estructure como realizamos ese proceso de vuelta a casa.

En fin, como mi buen amigo Charly decía, “Las llonganas no son lombrices» es por eso que no hay que confundir Plan de Continuidad de Negocio, con Plan de Recuperación ante Desastres.

(Para mucha más información, ver PAS56, BS 25999, Revista Hackin9 edición Marzo 2007, y The Business Continuity Institute)

¿Podemos dormir tranquilos?

Planta nuclearHace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde «China», podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.

Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como este?, ¿pánico? …

Los sistemas SCADA (Supervisory Control and Data Adquisition), protagonistas de los anteriores escenarios son, para que nos entendamos, sistemas de control de instalaciones industriales. Con este tipo de sistemas se controla el funcionamiento de una línea de producción cerámica, la producción de detergente en Procter&Gamble, una central nuclear o eléctrica e incluso el funcionamiento de un barco o los sistemas de seguridad de grandes centros de pública concurrencia. Hasta hace algunos años estos sistemas de control industrial (SCADAs) y los sistemas de control TIC vivían desconectados, en redes separadas e incluso incompatibles por las peculiaridades de cada entorno, pero hoy en día, esa «convergencia y globalización» de la que tanto hablamos ha eliminado las fronteras.

Esto ha llevado a su popularización, y que cada vez controlen un mayor número de instalaciones, dejando al mismo tiempo de ser sistemas propietarios y «opacos», y convirtiéndose en sistemas vulnerables montados sobre sistemas Windows con el Internet Information Server sirviendo el interfaz de administración. Esta ampliación de las posibilidades de acceso al sistema de control, y por consiguiente a los sensores y actuadores de la red de control industrial a través de aplicaciones web comunes hacen vulnerables estos sistemas frente a un atacante interno o externo, de igual modo que cualquier otro aplicativo web, pero con la sutil diferencia de conllevar consecuencias en el «mundo real». Hay que tener en cuenta que en estos primeros tiempos de convergencia -estamos aún en el principio, pero no tardarán en ver cómo las fronteras que les comentaba se desvanecen- todos los trabajos de desarrollo se centrarán en la obtención de funcionalidad olvidando en algunos casos las facetas relacionadas con la seguridad.

Todo esto en si mismo no tendría por qué preocuparnos salvo por el hecho de que no parece, y se lo digo a ustedes desde la experiencia, que casi nadie se esté preocupando por este tipo de asuntos en nuestro país. Por mi parte, pienso que desde luego es un tema que tiene que dar mucho que hablar en general y del que estoy seguro que hablaremos en el futuro.

¿Es Windows Vista un XP tuneado?

Hace unos días, ví en Computing (nº 514, 9 de mayo) una viñeta en la que un tipo pensaba: «¿Pero el Windows Vista es totalmente nuevo, o han tuneado el XP?». Eso me recordó la primera impresión que me produjo ver (hace ya algunos meses) el nuevo sistema operativo de Microsoft cuando instalé la beta en el PC de casa. Desde luego parece un XP tuneado, empezando por el diseño más llamativo y el hecho de incluir características de la versión Windows XP Media Center (era la versión Ultimate).

Sin embargo, desde el punto de vista de la seguridad, ¿qué había de nuevo? Evidentemente, puedes pasarte horas dando palos de ciego tocando aquí y allá. Así es que con la Windows Vista Security Guide en mano me puse a explorar.

Como parte del Centro de Seguridad, Windows Vista incorpora varias herramientas de serie (descargables para XP) que se centran en la lucha contra el malware.

  • Windows Defender: con el objetivo de combatir el spyware.
  • Malicious Software Removal Tool: como respaldo al sistema antivirus.
  • Mejoras de seguridad en IE7: que ayuda a neutralizar actividades como el Phising.

Por otro lado, en el ámbito de la protección de los datos, presenta la herramienta BitLocker Drive Encryption, en las versiones Enterprise y Ultimate (pero no en la Business, una lástima). BitLocker es la forma que nos ofrece Vista de proteger una estación de trabajo mediante un PIN o con una clave en una memoria USB, por lo que parece un mecanismo interesante para los usuarios móviles, más vulnerables a sufrir sustracciones.

Además de lo enumerado anteriormente, existen otras herramientas mejoradas en el ámbito de la seguridad, como el hecho de soporte para IPSEC en el Windows Firewall, etc.

Evidentemente, a efectos estéticos el Vista ha quedado más tuneado que el XP, pero a efectos de seguridad, se ve que el esfuerzo realizado para proteger el sistema es mayor y que hace adquirir una mayor conciencia al usuario y administrador del sistema de la importancia de mantener un sistema protegido y actualizado.

Contraseñas: fortaleza y confidencialidad

politica.jpg

¿Se acuerdan ustedes de aquello que decía que «El 96% de las empresas tiene implantados aspectos relacionados con la política de contraseñas»?

(…)

Las cosas como son. Al menos, caducar, caducan: antes era ‘Registro8’.

Fotografía tomada el miércoles 23 en una organización real.

Cuestión de privacidad

ICANNHace un par de semanas, contraté para mi dominio personal («.org») un nuevo servicio que me ofrecía GoDaddy.com cuya finalidad es ocultar los datos de carácter personal que aparecen en una consulta Whois. Como saben, ICANN exige que los datos que aparecen en las consultas Whois a un determinado dominio sean verdaderos [ICANN Whois Data Reminder Policy], so pena de la cancelación de éste. Aunque este es un tema que presumiblemente va a cambiar en un futuro cercano, actualmente esa es la política actual.

Por supuesto, y aunque estoy adivinando, con cerca de sesenta millones de dominios «.com» (más los «.net» y «.org») en el mundo, esto es con toda probabilidad una formalidad que se aplicará cuando haya por medio un litigio por algún dominio, un delito, o alguna situación similar. No obstante, en última instancia, esto significa que su nombre y apellidos, teléfono, fax, y dirección personal, aunque no sean requeridos activamente por ninguna entidad oficial, están disponibles al público; todo muy en la línea de la aproximación a la protección de los datos de carácter personal que existe al otro lado del charco.

La cuestión es que no me siento especialmente cómodo exponiendo mi teléfono y dirección personal a unos cuantos millones de personas (ya saben, manías mías), así que, aunque tenía la posibilidad de poner la dirección de S2 Grupo en los diferentes contactos, decidí contratar este servicio. Ni que decir tiene que tampoco me resulta del todo agradable cederles mis datos a una empresa extranjera que no está sometida a ninguna ley análoga a la LOPD, pero al parecer esta es la única y mejor alternativa de momento. Bien, aunque el servicio que les comento es ofrecido por GoDaddy.com, lo hacen a través de una segunda empresa, DomainsByProxy.com (DBP), «propiedad» -permítanme ser laxo en términos de propiedad- de GoDaddy. Brevemente, el servicio funciona como una especie de «delegación de registro», por lo que al hacer una consulta Whois, en lugar de tus datos aparecen los de DBP, y ellos actúan de proxy de correo electrónico en caso de que alguien desee ponerse en contacto con el propietario del dominio. Para la gestión y modificación de los datos reales del dominio y otros parámetros básicos, el servicio dispone de una interfaz web a la que se accede -lógicamente- mediante usuario y contraseña.

Al parecer, GoDaddy no es el único registrador que proporciona esta funcionalidad [de pago], por lo que si no desean ustedes estar expuestos a la fauna de Internet -que es mucha y de variadas intenciones, y no es por meter miedo- de una manera que en mi opinión es excesiva y carece de sentido, y no disponen de algún tipo de alternativa, les recomiendo personalmente moverse al «.es» (algo que estoy valorando seriamente), que *en teoría* debería aportar mucha mayor protección, o contratar un servicio de este tipo.

Y por si alguien es tan desconfiado como yo, les aseguro que por nada de esto cobramos comisión.

De firmas y garabatos afines

tarjeta.gifHace un par de días recibí una carta del banco donde tengo domiciliada la hipoteca, ofreciéndome un nuevo servicio. No sé que harán ustedes, pero les confieso que yo no suelo hacer mucho caso a estas ofertas. Bueno, en realidad, ni mucho ni poco; van directamente a la papelera, como virtualmente el resto de la publicidad que recibo. Sin embargo en este caso una cosa me llamó la atención: la firma del director al final de la carta. Sí, ya sé que esto es también habitual y no supone ninguna novedad, pero déjenme explicarles.

¿Saben ustedes lo que pone detrás de mi tarjeta de crédito, debajo de la banda magnética?

AUTHORIZED SIGNATURE · NOT VALID UNLESS SIGNED

Puede apostar a que pone algo parecido detrás de la suya. Al parecer, esa firma sirve para dos cosas. La primera, y más obvia, para que el vendedor pueda comprobar que la firma del recibo es la misma que la que hay detrás de la tarjeta de crédito (Quick steps to Visa Card acceptance: 6. Check the signature. Be sure that the signature on the card matches the one the transaction receipt. [usa.visa.com]). La segunda, según indica Museum of Hoaxes (no he podido localizar una fuente oficial), para indicar que estás de acuerdo con los términos de uso de la tarjeta. Respecto a esta última, tengo serias dudas, aunque luego se las cuento.

[Read more…]

¿Un gusano en la manzana?

AppleSegún leo en Enrique Dans, ayer hubo una pequeña conmoción en la blogosfera -y sectores más tangibles, como verán- a causa de una información falsa distribuida por Engadget [más, aquí]. Para aquellos que no lo conozcan, Engadget, bitácora dedicada a los «chismes» [gadgets], es uno de los primeros blogs mundiales en volumen de tráfico, levemente inferior al que recibe elmundo.es [OJDInteractiva y Engadget]. No obstante, si tenemos en cuenta la cantidad de contenidos servidos por ambos sitios, Engadget llega a asustar.

Brevemente, ayer alguien hizo llegar a los empleados de Apple un correo electrónico fraudulento que aparentemente parecía proceder de fuentes oficiales de la compañía; en éste se anunciaba que el esperado iPhone y el sistema operativo Mac OS X Leopard se iban a retrasar… un año más. Este correo fue filtrado a Engadget y poco después de su publicación, la cotización de Apple cayó un 4%, lo que es, en los niveles en los que se mueve esta empresa, mucho, muchísimo dinero. Si quieren más información, pueden visitar algunos de los enlaces arriba incluídos, que la cuentan de primera mano. El caso es que muchos medios de la blogosfera, fieles a su ombliguismo, debatían hoy en torno a la fiabilidad de los blogs y la necesidad de contrastar las opiniones.

Personalmente, por muy de acuerdo que esté con la necesidad de contrastar las noticias, tanto en prensa escrita como en prensa digital, este enfoque es incorrecto; es narcisista y egocéntrico, típico de los blogs. Porque el hecho es que Engadget recibió el «chivatazo» de una fuente totalmente fiable, que era un colaborador interno -un empleado- de Apple. No había absolutamente ninguna duda de que la filtración procedía de Apple, así que en realidad a quién se la colaron no fue a Engadget, fue a Apple. Sí, a Apple. Una empresa que sabe jugar como nadie con la ansiedad y expectación que producen sus productos, que dosifica de manera calculada cada detalle que publica, dejó que una información falsa le afectase de esta forma.

Apple StockEsto no es un problema de fiabilidad o credibilidad de los blogs. No. Más bien, es un ataque de seguridad semántica en toda regla («(…) acciones que implican la adulteración de la información en cuanto a su interpretación por parte de sus destinatarios (…)»). Y que nadie se equivoque; no se trata de una acción casual e inocente, sino más al contrario, intencionada y -no me cabe duda- perfectamente calculada. Alguien ha ganado dinero con esto (y alguien lo ha perdido).

Para acabar, lo que se puede aprender de este incidente es la inmediatez, fuerza e influencia que pueden llegar a tener tanto los medios online como Internet en su conjunto, y la necesidad de contar con herramientas que eviten problemas similares y los detecten cuando se producen, tales como una adecuada formación del personal, sistemas de autenticación de material interno, sensores/escáners de contenido online, y como apunta Enrique Dans, un blog corporativo -convenientemente publicitado y actualizado- donde desmentir -o confirmar silenciosamente- rumores.

0day exploits

En estos últimos tiempos están muy de moda los «0day exploits», esto es, exploits existentes y en uso, para los cuales aun no ha sido publicada la vulnerabilidad y por supuesto no existe parche al respecto.

Un administrador de sistemas puede pensar que las vulnerabilidades de seguridad siguen el siguiente patrón:

Un grupo de hackers descubren una vulnerabilidad
(pasan días)
El fabricante proporciona el parche de seguridad
(pasan meses)
El administrador de sistemas parchea sus servidores
(pasan meses)
Aparece el exploit y es explotado por gusanos y hackers
(pasan meses)
El administrador *que no ha parcheado* sufre una intrusión
y tiene un incidente de seguridad

Cuando en realidad, la secuencia que se sigue estos días con este tipo de exploits es la siguiente:

Aparece el exploit y es explotado por gusanos y hackers
(pasan días)
El administrador sufre una intrusión y tiene un incidente de seguridad

Así pues, no queda mas remedio que prepararse para el incidente, y para la segunda de las posibilidades en el ciclo de vida de las vulnerabilidades. Y en todo caso, tener presente que cualquier software de los que tenemos instalados en estos momentos puede ser vulnerable. La conclusión es que hay que tener siempre el menor número de servicios y servidores expuestos, de modo que la definición de «RED DMZ» sea la de «red en la que se ubican servidores que en algun momento van a ser hackeados«.

No por nada, la siguiente frase contradictoria tiene mucho sentido «Expect the unexpected!«.

Casa de Juegos

El pasado fin de semana estuve viendo por tercera o cuarta vez Casa de Juegos, de David Mamet; confieso que la recordaba mejor. Supongo que en cierto sentido, por eso el poeta cubano decía aquello de No vuelvas a los lugares donde fuiste feliz; nuestra memoria no siempre es fiel a la realidad. La película en cuestión es de hace ya veinte años, en la que Mike (Joe Mantegna) es un timador dispuesto a desvelarle los trucos y entresijos de su «oficio» a una psicóloga (Lindsay Crouse) demasiado curiosa.

En una de las escenas, ambos se acercan a una «tienda» de envío de dinero, se sientan y esperan al siguiente cliente. A los pocos segundos, un marine que tiene que volver a la base entra en el establecimiento. Justo en ese momento, Mike se acerca al dependiente y ostensiblemente se queja de que no hay noticias de su dinero, mientras el recién llegado observa la escena; en realidad, él no sabe que ese dinero no existe. Los siguientes minutos transcurren viendo cómo en una breve conversación el timador se gana la confianza de su víctima, lamentándose de su situación y comprometiéndose a que si su dinero llega antes que el del marine, le pagará el autobús para que pueda volver a la base. Finalmente, como era de esperar, el dinero del chico llega y éste se ofrece a darle parte de éste a Mike. Dinero a un desconocido a cambio de nada. ¿Qué hemos aprendido hoy?, le pregunta él a ella cuando salen del establecimiento (rechazando la oferta). A no fiarse de nadie, contesta él mismo.

No, no teman, no nos hemos convertido en un blog cinematográfico. Pero me pareció que esa escena es una buena forma de mostrar qué y cómo actúa a menudo la Ingeniería Social. Según Melissa Guenther, ésta puede definirse como «la adquisición de información sensible o accesos privilegiados por parte de terceros, a partir de la creación de falsas relaciones de confianza con personal interno de la organización», o en otras palabras, ¿porqué intentar forzar la puerta de atrás cuando pueden abrirte la principal desde dentro? Según esta autora, y para acabar, la ingeniería social se rige por los tres siguientes principios:

(1) El deseo de ser de ayuda,
(2) la tendencia a confiar en la gente, y
(3) el miedo a meterse en problemas (Le entiendo, pero si no me ayuda, voy a tener que dar parte a…).

No vamos a llegar hasta el punto de aconsejarles que, como suele decirse, no se fíen ni de su padre, ni es nuestra intención extender un estado de desconfianza entre las personas, pero por lo general, cuando se trate de temas de seguridad, desconfíen. Esa suele ser una buena política.