Open Source y seguridad

No se puede basar la seguridad de un programa en el secreto de los algoritmos utilizados o de su implementación (el secreto se debe aplicar a las claves privadas). Aunque parezca paradójico, es más seguro poner a disposición pública el código fuente de un programa que mantenerlo en secreto. Abrir el código supone exponer sus vulnerabilidades y parecería que es mejor que los delincuentes no puedan verlas, que no les demos esa ventaja.

Sin embargo, hay que tener en cuenta que los delincuentes buscan vulnerabilidades de dos formas: (a) ejecutando el programa, proporcionándole datos «problemáticos» y analizando los resultados o (b) buscando patrones en el código fuente. En el primer caso no se requiere los fuentes y en el segundo se pueden obtener mediante un des-compilador (suficiente para buscar vulnerabilidades, aunque no para entender y modificar la funcionalidad de un programa).

Una vulnerabilidad no conocida es una espada de Damocles. Puede que alguien la descubra y no lo divulgue, con objeto de sacarle partido en su propio provecho. Por eso es positivo difundir información sobre las vulnerabilidades en los canales públicos, porque los delincuentes ya disponen de la información y la distribuyen por sus canales. De esta manera, al menos los defensores tienen igualdad de oportunidades.

Cuando el código está a la vista, los desarrolladores tienden a escribir código más cuidado y elegante (la comunidad puede ser muy cruel) y a utilizar estándares, lo que elimina en gran medida el riesgo de introducir errores. De hecho, cuando un programa pasa de cerrado a abierto, durante un tiempo, las vulnerabilidades antes ocultas quedan expuestas. Pero, poco después, se corrigen, dando como resultado un programa más seguro.

Una organización realmente preocupada por su seguridad, debería tener acceso al código de sus programas críticos para poderlos auditar.

Google Ad Hacking

Vayan ustedes a Google y busquen alguna palabra que sepan que tiene enlaces patrocinados, de éstos que suelen visualizarse a la derecha de los resultados y en la parte superior, con fondo amarillo. Por mi parte, he escogido «Canon».

Ahora pasen el ratón sobre estos enlaces y miren la barra de estado del navegador. Ahí debería aparecer la dirección destino del enlace, pero, ¿ven ustedes alguna dirección? No, ¿verdad?

Tengan cuidado, al parecer esta extraña feature de Google está siendo explotada por más de uno in the wild para dirigir tráfico a webs no precisamente bienintencionadas…

[Más detalles en Computer World y silicon.com]

Lucha contra el spam

Hace ya algunos meses, una compañía israelí llamada Blue Security dedicada a luchar contra el spam puso en marcha, o intentó poner en marcha, un servicio anti-spam que desde cierto punto de vista, podría considerarse un ataque de denegación de servicio en toda regla. Básicamente, la idea que no hay que olvidar es que detrás de cada correo basura que llega al buzón, hay alguien que intenta vendernos algo. Por lo tanto, debe de existir un medio de contactar con éste para hacerle llegar el hipotético pedido, y en conclusión, acaba siendo también vulnerable al spam, lo cual no deja de resultar paradójico. En este caso en concreto, el servicio de Blue Security mandaba al vendedor un correo en el que solicitaba el borrado de la dirección de correo de su cliente -el suscriptor del servicio- de la lista empleada para mandar el spam. Con una lista de medio millón de suscriptores, el vendedor acababa colapsado y con ello sus actividades de «promoción» a través del mailing indiscriminado. Por supuesto, la historia no quedó ahí, pero como tiene casi un año, pueden ustedes leerla en Wired. Les prometo que les gustará, parece sacada de una novela de John Le Carré. Por otra parte, no intenten utilizar la misma táctica a título personal; todo lo que conseguirán es recibir, si cabe, mucho más correo basura del que ya reciben.

El caso es que al parecer, Blue Security no han sido los únicos en darse cuenta de que hay más formas de actuar contra el spam que yendo únicamente contra la fuente de los correos. Según leo en Computer World, una empresa dedicada a luchar contra el correo basura, Unspam Technologies Inc., ha puesto una demanda de mil millones de dólares contra los «recolectores» de direcciones que alimentan a los spammers y contra éstos mismos. Mientras que la recolección de direcciones de correo electrónico no es ilegal, la compañía espera poder llegar a los emisores de spam -actividad ilegal, esta sí, en los Estados Unidos- a través de ellos. Para desvelar las identidades de los demandados, Unspam Technologies ha desarrollado el Proyecto Honey Pot, a través del cual espera obtener un volumen de datos suficiente para que la mayoría de estos individuos salgan del anonimato. Aunque es posible que aún teniendo éxito en la identificación de las fuentes, el objetivo final se vea frustrado por cuestiones internacionales, de soberanía nacional y disparidad de legislaciones, es como mínimo un buen comienzo para acabar con una de las lacras actuales de Internet.

Tira cómica

Vía Get Fuzzy, una divertida aproximación gráfica a varios problemas actuales que tiene la seguridad en muchas organizaciones: a) olvidar que un incidente de seguridad puede proceder -y a menudo lo hace- tanto de fuera como de dentro de la organización, b) obviar el necesario análisis previo que sea capaz de identificar todos los riesgos, c) la presencia de lo que en términos anglosajones se ha dado en llamar Security Theater, es decir, la presencia habitual de medidas de seguridad que aportan poca o nula protección pero por contra son publicitadas ostensiblemente dando una falsa sensación de seguridad, y d) la falta de control sobre las medidas de seguridad implantadas (fíjense en que estos supuestos «controles de seguridad» están conectados *fuera* de la habitación).

[Visto en Bruce Schneier]

Falsa seguridad

El artículo 26 del actual Reglamento de Medidas de Seguridad (RMS), dentro del Capítulo IV, y en relación a las medidas de seguridad de nivel alto, dice lo siguiente:

Artículo 26. Telecomunicaciones

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Como es obvio, uno de esos medios es el correo electrónico, y es común que en departamentos clave en la gestión de datos especialmente protegidos se haga un uso intensivo de esta herramienta para la comunicación con terceros. Mutuas o gestorías, entre otros, suelen ser receptores habituales de este tipo de información, en el papel de Encargados del Tratamiento. Hasta aquí, nada que objetar al respecto.

[Read more…]

Seguridad de la Información

Leía hoy en Paloma Llaneza [Times Online] que los japoneses y coreanos están empezando a abordar el tema de la seguridad en relación con la robótica, y no me refiero a los que pueden encontrar ustedes en cualquier cadena de montaje de una fábrica de automóviles. No, en realidad, la noticia ronda más los textos de Asimov, aunque no se lo crean; ya saben, en la línea de aquellas tres leyes de la robótica del escritor ruso.

Lo cierto es que a pesar de que la noticia suene más a curiosidad geek que otra cosa -y de eso los japoneses saben mucho-, y aunque probablemente no pueda tomarse dicha iniciativa como un ejemplo de la concienciación global en temas de seguridad más que de modo muy tangencial, sí que es cierto que la seguridad en sus diversos niveles va adquiriendo poco a poco mayor importancia, y sin duda queda aún mucho por ver; empezando por los robots.

Como ejemplo de esto, en un ámbito más local y menos futurista -lo cual no deja de ser lógico, porque aparte de alguna Termomix, no demasiada gente tiene robots pululando por casa, y perdónenme la generalización-, recientemente se ha creado en España el CCN-CERT [ElPaís.com], tercer centro nacional de respuesta rápida frente a emergencias informáticas (Computer Emergency Response Team), al amparo del Centro Criptológico Nacional, con el objeto de proteger a las administraciones públicas de los ataques informáticos. Les prometo que no será el último.

Por lo demás, ya sé que se tercia una presentación algo más formal, pero no sean impacientes, habrá tiempo para ello. Nada más por el momento; bienvenidos.