¿Cifrado = Privado?

23 de mayo de 2008 Por

Hace poco estuve realizando un curso de Administración y Mantenimiento de Windows Server 2003 para mejorar mis conocimientos sobre este sistema operativo, ya que cuanto más conoces un sistema, más sencillo resulta auditar la seguridad del mismo, que es a lo que me dedico en mi actividad profesional.

Durante la realización de este curso hubo algo que me impactó un poco en relación con el soporte que ofrece Microsoft en sus sistemas para cifrar archivos y carpetas en sistemas de ficheros NTFS. No cabe duda de que en un primer momento puede suponer muy funcional por el hecho de que se cifra la información sin tener que recordar una contraseña adicional, que todo se realiza transparentemente al usuario.

captura.jpgEl problema con las cosas “excesivamente funcionales y transparentes” es que en la mayor parte de los casos implican un decremento en su seguridad. Por poner un ejemplo, algunas de las preguntas que me surgieron al explicarme este método de cifrado:

¿Que pasa si el usuario olvida la clave y es necesario resetearsela? Se pierde la información cifrada sin posibilidad de recuperación. Al haber sido cifrada utilizando la contraseña de usuario.

En realidad no se perdería, lo cual aunque en principio puede parecer algo bueno, comprobareis que el mecanismo empleado vulnera en cierta medida la privacidad de los usuarios de este sistemas de cifrado integrado.

Cuando configuras un fichero o carpeta como cifrado con EFS, además del usuario que lo crea que evidentemente tiene acceso, puedes definir un listado de usuarios que también tendrán acceso a dicho fichero. Dichos usuarios son perfectamente gestionables por el usuario propietario del fichero. El problema radica en lo que podemos apreciar en esa misma ventana un poco más abajo. Existe un “rol” denominado “Agente de recuperación de datos” (que por defecto es el usuario Administrador y que el usuario no puede cambiar) que es capaz de acceder a cualquier información cifrada del sistema.

Como podeis imaginar, el hecho de que un usuario Administrador del sistema pueda acceder a toda esta información cifrada vulnera completamente la privacidad que se pretende alcanzar con el uso de herramientas criptográficas.

Todo esto me ha llevado a la conclusión que el sistema de cifrado EFS proporcionado por Microsoft en sus sistemas operativos no satisface los requisitos mínimos de seguridad, por lo que yo personalmente recomiendo utilizar software de terceros aunque ello implique tener que recordar una contraseña más o llevar con nosotros un token o certificado digital, nuestra privacidad vale esa molestia y mucho más.

Saludos.

Historias para no dormir

21 de mayo de 2008 Por

Mi hermano está en Alemania con una beca Erasmus, y hace unas semanas, aprovechando una visita de unos días, me pidió que le instalase Linux en su portátil HP que había comprado un par de meses antes, ya que lo necesitaba para hacer el proyecto. La idea pues era instalar un Linux y dejarlo preparado en dos días; no tenía mucho más tiempo. Dejemos claro antes de nada que cuando empezó, lo que mi hermano sabía de Linux y nada era casi lo mismo; lo que ha aprendido lo ha hecho a partir de algunos tutoriales y unos cuantos correos míos en plan de “para hacer esto, teclea tal cosa”, o “fíjate en el log este, que te pondrá tal cosa que te puede servir de ayuda”. Les advierto que esta entrada tiene poca relación con la seguridad en sí, pero es un tema que en el trabajo sale a menudo.

[Read more…]

Más Reglamento

21 de mayo de 2008 Por

A través del blog de Paloma Llaneza me entero de que la AEPD ha colgado en su página web el contenido de una jornada sobre el nuevo reglamento llevada a cabo el pasado 22 de abril, hace hoy exactamente un mes menos un día. Los videos, presentaciones y preguntas realizadas por los asistentes pueden encontrarlas en este enlace, y no me pregunten porqué apunta a una dirección IP y no a una url. Ya saben que eso son cosas de la Agencia…

Echelon, ¿para qué? (y dos)

20 de mayo de 2008 Por

Como apuntaban en un comentario anterior, es cierto que las medidas descritas y adoptadas por el gobierno estadounidense son, en cierto modo, la versión extendida del “Derecho de Admisión” de cualquier bar o discoteca: si quieres entrar en mi país, vas a tener que pasar por el aro, porque aquí soy yo quien pone las reglas. Dicho de otra forma, los EEUU tienen todo el derecho a hacerlo, teniendo siempre en cuenta que nosotros no somos ciudadanos estadounidenses (y por tanto sin derecho legítimo a opinar sobre las medidas aplicadas por otro gobierno soberano para la entrada en su territorio); si eso pasase en territorio nacional, otro gallo nos cantaría: al menos tendriamos el derecho a la pataleta.

[Read more…]

Echelon, ¿para qué?

19 de mayo de 2008 Por

Es posible que muchos de ustedes conozcan, hayan firmado e incluso entregado a sus trabajadores todo tipo de políticas sobre la protección de la información, tanto corporativa como datos de carácter personal: política de uso de Internet y email, política de cifrado, política de uso de activos corporativos, política de esto y política de aquello. A lo mejor, si han hecho los deberes, el personal técnico dispone además de procedimientos de borrado seguro y destrucción de soportes. Pero seguramente, lo que no tienen es una política o procedimiento de “ocultación de información”; claro que, ¿para qué querría usted esconder la información? ¿esconder? ¿de quién? ¿es que no es suficiente con cifrarla?

Pues bien, parece que ya no.

Si lo que Bruce Schneier cuenta es cierto —y no tengo ninguna duda de que lo es—, recientemente una corte de los EEUU aprobó el derecho de los agentes de aduanas a inspeccionar, en el sentido más amplio del término, cualquier portátil o dispositivo electrónico que el visitante lleve en su entrada al país. Es decir. Ponerlo en marcha, entrar en su cuenta de usuario, y hurgar, todo lo que les de la gana. Preguntando y todo; como era de esperar, el visitante tiene que colaborar, por lo que no sirve de nada que el disco esté cifrado. Claro que uno puede alegar desconocimiento, ignorancia o negarse a cooperar, pero no quiero ni pensar la cantidad de tiempo que pueden hacerle perder a uno, además de que podrían prohibirle el acceso al país y/o confiscarle el portátil. Y esto al parecer no es exclusivo de los EEUU. Sí, ya sé que probablemente los agentes de aduanas no son expertos informáticos, pero yo no me la jugaría porque probablemente destinen a ello personal especializado, tal y como está el nivel de paranoia hoy en día.

Así que vayan pensando en otro nuevo procedimiento, titulado “Cómo esconder la información”. Y mientras tanto, si piensan viajar a los EEUU por motivos de trabajo, busquen asesoramiento interno o externo, borren de manera segura toda la información que no necesiten, oculten de la mejor manera que puedan y sepan la que necesiten, aprendan a mentir y, por si las moscas, lleven el teléfono del abogado de la empresa en el bolsillo.

Y si viajan por motivos personales… no se lleven el portátil del trabajo.

[Nota: Me apunta rápidamente Toni Villalón que la solución a esto pasa por el uso de sistemas de ficheros esteganográficos, por lo que ya tienen nombre para su política: “Política de uso de esteganografía”. Eso no obstante lo dejaremos para otra entrada.]

Pozo de ciencia, valioso tesoro

14 de mayo de 2008 Por

Todo jefe, director o gestor de proyectos informáticos conoce las fases del ciclo de vida de un proyecto cual patrón de barco conoce la ruta a puerto seguro. Concepción, Organización, Desarrollo y Cierre conforman esa hoja de ruta que conducirá a patrón y marineros hacia el éxito de la aventura. Es sabido que ningún proyecto emprendido está exento de contingencias y desviaciones en la planificación trazada a priori, mapa en mano.

Así pues, a menudo se encuentran escollos y arrecifes que no estaban documentados en los mapas cartográficos y que generan retrasos y costes que en ocasiones pueden ser desmedidos. Esta situaciones son normales, así como es habitual que ese otro capitán que saborea un trago de ron junto a nuestra persona en la taberna te susurre de forma arrogante:

¡Ja ja! ¡Yo estuve navegando el mes pasado por esas aguas y ví los arrecifes que hundieron parte de tu nave esta mañana!
¡Valiente grumete, ¿y no los identificaste en el mapa para que los demás patrones no incidieran en el error?!— contestamos golpeando la mesa y derramando el poco ron que quedaba en el vaso.

[Read more…]

El sorprendente tratamiento accesorio de los datos personales

12 de mayo de 2008 Por

La entrada de hoy, que profundiza en algunos aspectos “oscuros” del nuevo reglamento, es la segunda colaboración de Ana Marzo, habitual colaboradora de S2 Grupo, y a la que ya presentamos en su anterior entrada. Estoy seguro de que les será de interés.

Entre las bondades del nuevo reglamento de la LOPD (en adelante RDLOPD) nos encontramos con la grata sorpresa de la rebaja del nivel de seguridad establecida en el artículo 81.5.b) el cual dispone que:

“En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.”

[Read more…]

¿Me van a investigar?

9 de mayo de 2008 Por

Ayer, mientras volvía de Madrid, recibí una llamada de una amiga en la que me decía algo alarmada que su empresa, con sede social en otra provincia, les había mandado una carta que debían firmar y a través de la cual autorizan a la empresa a investigarles y obtener todo tipo de datos médicos y sindicales sobre ellas. He de reconocer que dicho de esa forma, pensé en cualquier barbaridad, así que le dije que no firmase nada hasta que le echase un vistazo a la carta en cuestión.

Una vez “analizada”, ésta no es en realidad más que el formalismo de informar al trabajador de que se están tratando sus datos; seguramente el clima algo tenso de la oficina y algunas expresiones poco afortunadas ha provocado que su propósito se malinterprete. El texto en cuestión entra en finalidades, ejercicio de derechos ARCO, “cesión” de datos a empresas vinculadas accionarialmente, solicitud de consentimiento y otros. Básicamente, mi impresión es que la empresa de esta chica está abordando un proyecto de adaptación a la LOPD, y éste es un paso más que hay que dar. No obstante, caben varios peros a la comunicación realizada, que deberían servir de ejemplo para todo aquel que esté pensando en realizar una comunicación de tratamiento de datos a sus empleados.

En primer lugar, el lenguaje y las expresiones son en algunos casos muy desafortunadas. Frases como “la empresa recabará a lo largo de la relación laboral todos los datos de carácter personal que sean necesarios” o “el trabajador presta su consentimiento expreso […] para que cualquiera de sus datos de carácter personal, incluidos los sujetos a especial protección, puedan ser almacenados y utilizados por la Empresa” no son tranquilizadoras, y menos para personas que desconocen la LOPD y sus límites. Probablemente la expresión “aquellos datos estrictamente necesarios” hubiese sido igual de válida, y proporciona una mayor seguridad a quien lo ha de firmar. Para que se hagan una idea, el uso de “recabar” y la mención de datos de salud o afiliación sindical de los trabajadores, hacían que ella y sus compañeros pensasen que se estaba autorizando a la empresa a investigar al empleado por todos los medios necesarios.

En segundo lugar, hablar de cesión de datos a empresas vinculadas accionarialmente con la empresa tampoco tranquiliza, aunque sea para las mismas finalidades descritas. Sería deseable especificar qué empresas, o al menos a qué se dedican éstas; en mi opinión, si se trata de un grupo de empresas, lo más probable es que sea para la realización de la nómina y almacenamiento de los datos en los sistemas de la empresa (si fuese así, se trataría de un tratamiento de datos y no una cesión, por lo que tampoco sería necesario informar al empleado, pero puesto que existen otras finalidades, no está de más recabar consentimiento expreso), pero es mejor dejar las cosas claras, porque para personas que no tienen relación con el contenido de la LOPD, puede dar la sensación de que sus datos se van a vender, o a proporcionar a vaya usted a saber quién para vaya usted a saber qué.

Por último, al parecer nadie en la empresa se ha puesto en contacto con ellos para aclarar qué quiere decir exactamente este escrito; ni por qué deben firmarlo, ni qué pasa si no quieren firmarlo, ni qué es la LOPD ni para qué sirve; ni qué quiere decir todo eso de los datos de salud y afiliación sindical. Ni siquiera la persona que gestiona su delegación ha podido obtener explicaciones de la central. Aparte de que es necesario en muchos casos realizar formación sobre la LOPD (tanto para informar al empleado de qué se hace con sus datos, como para formarle en la gestión de datos de terceros a los que tiene acceso), no hubiese estado de más una circular alternativa, o una simple presentación por email, con formación sobre la LOPD. Eso hubiera evitado que mi amiga viese esto como una amenaza, en lugar de una comunicación de derechos y una obligación de la empresa, que es lo que en realidad es.

Resumiendo. Sin prescindir del necesario contenido formal, es muy importante que esa comunicación se realice de la manera adecuada, pero también que transmita las sensaciones e ideas que se pretenden: “Yo soy la empresa, y para poder pagarte la nómina, descontarte la cuota sindical, gestionar tu formación, o prevenir los riesgos laborales, necesito tener acceso a algunos de tus datos personales; datos que tendré que almacenar, y utilizaré para eso y para nada más. Que sepas que me comprometo legalmente a velar por su seguridad y que tienes una serie de derechos que puedes ejercer en todo momento”.

No hay que olvidar que, por muchas medidas de seguridad, normativas, y políticas que queramos implantar, el empleado es al fin y al cabo el eslabón más importante de la cadena: es el que utiliza, accede, modifica y gestiona los datos de clientes, de personal interno, de proveedores, etc. Así que sería muy importante que no fuese el más débil.

Marcas de agua caseras

8 de mayo de 2008 Por

Siempre he sido partidario de compartir el conocimiento con los demás (ojo, el conocimiento, no la información) de una forma abierta y transparente, y por tanto en mi web personal (www.shutdown.es) he ido colgando con el tiempo diferentes trabajos en formato electrónico que consideraba podían ser útiles a los demás: artículos, cursos, referencias…

Como defensor de compartir conocimiento, siempre me han molestado las actitudes de apropiación del mismo por parte de unos cuantos que pretenden adoptar como propios trabajos que no han realizado (lo que se viene a llamar “plagio”); por tanto —deformación profesional— de vez en cuando me da por utilizar alguna triquiñuela (que llamaré “marca de agua casera”, con perdón de los puristas) para ver hasta donde llegan los límites de la capacidad humana para plagiar. Los resultados son siempre asombrosos.

Una errata —intencionada o no— en una imagen o en un fichero PDF tan tonta como incluir una referencia a la norma “ISO 17779” en lugar de a la norma “ISO 17799”, a “ISO 27OO1” en lugar de a “ISO 27001” o un ejemplo de uso de funciones resumen (hash) con un resumen generado por un fichero personal (a priori, una ristra de caracteres irrepetible en el mundo), una ubicación en Internet en la que poner a disposición del público ese trabajo, y un poco de tiempo para que los robots de búsqueda hagan su trabajo y el documento se indexe adecuadamente. Es todo lo que necesitamos para rastrear plagios.

Un buen día, con un café y un par de horas por delante, no tenemos más que utilizar un buscador, introducir esa errata y depurar un poco la información obtenida (alguien puede haberse equivocado también y llamar a una norma ISO 17779 en lugar de ISO 17799). Los resultados son inmediatos: ni se imaginan hasta donde llega la capacidad humana para copiar, pegar, y apropiarse de un trabajo que no han realizado. Hagan la prueba, se sorprenderán.

En fin, que a todos nos halaga que utilicen material que hemos realizado y puesto a disposición de los demás (para eso está, y es señal de que está bien y gusta). Pero una cosa es basarse en dicho material, y otra fusilarlo cambiándole el autor (y encima sin solucionar el “error”); bastaría algo tan tonto como una simple referencia al autor real y asunto solucionado. ¿Qué hay de malo en decir que alguien ha hecho algo bien, aunque trabaje en otra empresa que se dedica a lo mismo que yo?

Como adivinarán, hoy hemos vuelto a encontrar un caso de plagio en las presentaciones de una empresa de la competencia (que obviamente no citamos); ni es la primera ni probablemente será la última. A veces se olvida que (a) en este mundillo nos conocemos todos y (b) somos lo suficientemente paranoicos para hacer el tipo de cosas que describimos en este post. Vayan con cuidado, que al final todo se sabe :)

Por cierto. Adjunto la imagen “apropiada”, con la errata (el ‘7’ que debería ser un ‘9’) indicada en rojo, para que aquellos interesados corrijan el error de cara a presentaciones futuras (sin ironías, palabra). Ah. Nota al margen. En la presentación en la que se incluyó dicho diagrama hay otra errata (de otro diagrama plagiado).

plagio.jpg

P.D. Un compañero de S2 Grupo es un especialista en marcas de agua en las boletas de VISA que firmamos al hacer compras o comer en un restaurante, y detectar así muchas cosas en caso de problemas. Pero esto, para una próxima entrada.

La selectividad no es solo la prueba de acceso a la universidad

5 de mayo de 2008 Por

Aunque la selectividad, como prueba de acceso a la Universidad, sea ya una gran olvidada para muchos de los que la hemos sufrido, la selectividad, como principio básico de diseño de los sistemas de suministro eléctrico de las salas de ordenadores, no debería ni mucho menos serlo.

Para empezar deberemos recordar que una de las dimensiones fundamentales de la seguridad es la disponibilidad, y que si ésta falla nos enfrentamos a un problema de seguridad que, dependiendo del tipo de servicio y del momento del tiempo en el que se produzca, será de mayor o menor gravedad pudiendo llegar a ser CR�?TICO.

Son muchos los factores que inciden en la disponibilidad de los sistemas de información y por tanto en la seguridad de la información, pero sin duda hay un factor básico y trivial y a la vez poco atendido o poco entendido: el suministro eléctrico.

[Read more…]