¿La privacidad y la seguridad no se llevan bien?

La polémica está servida con el reciente post publicado por Jesús Oquendo, defensor acérrimo de la privacidad. En él expone que la herramienta contra el malware de Microsoft, que se instala automáticamente con sus actualizaciones y que se anuncia como una excelente solución contra las botnets, podría verse como un backdoor. El programa en cuestión parece ser una herramienta de análisis remoto de los PCs sospechosos de estar infectados. Desde el punto de vista de la seguridad, desde luego, no tiene precio, ya que se accede remotamente al equipo para controlar los movimientos del malware existente en él, pero desde el punto de vista de la privacidad quizá tenga más puntos oscuros de lo que parece...Microsoft no ha detallado aún cómo trabaja exactamente su herramienta, ni a qué datos se tiene acceso, pero si el acceso es total estaríamos hablando de una puerta trasera instalada en cada uno de los equipos que usan Windows actualmente. Nadie puede negar que llegado a cierto punto, y en pro de la lucha antiterrorista, las agencias de seguridad y autoridades mundiales podrían acceder libremente a los contenidos de los usuarios. Todo depende del nivel de paranoia de cada uno, o eso dicen.

El tema de la seguridad contra la privacidad no es nuevo y se ha notado con más fuerza desde el fatídico 11S. Cada uno tiene su propia opinión sobre ello, y no es la primera vez tampoco que este tipo de polémicas saltan a la palestra, como hace unos días cuando a un investigador del protocolo GSM se le requisaron ciertos materiales cuando se dirigía al evento de seguridad HITBSecConf, o cuando a otro investigador se le denegó la entrada a Estados Unidos por razones similares cuando acudía a la BlackHat hace menos de un año. Está claro que es necesario un compromiso entre estos dos términos, aunque la historia reciente dice que la balanza se suele decantar hacia uno de los lados. ¿Es sólo paranoia de unos cuantos o realmente se producen atropellos en este ámbito? ¿seremos protagonistas del siguiente GH sin desearlo?


José Miguel Esparza
S21sec labs

Abarcamos el ciclo completo de la seguridad

Aunque ya se ha podido apreciar en más de una ocasión en este blog, las personas del Departamento de Consultoría de S21sec no sólo estamos inmersos en la asesoría de protección de datos de carácter personal, que es lo que pudiera parecer dado que la mayoría de nuestros "posts" se han centrado en ella, quizás porque es el tema de moda actualmente.

Los consultores de S21sec somos un equipo multidisciplinar especializado en todo aquello que pueda caber en la gestión de la seguridad de la información. No somos sólo personas de perfiles de corte jurídico, sino también técnico y de gestión que además contamos con el inestimable apoyo de las personas de S21sec Labs, nuestros auditores, nuestros integradores, nuestros "partners", nuestros socios,... y, cómo no, hasta de nuestros clientes.

En S21sec abarcamos el ciclo completo de la seguridad como puede verse aquí y además aportamos al mercado nuestros productos.

Por ello particularmente voy a predicar con el ejemplo, y sin abandonar los temas que he venido tratando, espero poder escribir sobre otros temas de gestión de seguridad de la información.

Aprovechando que ayer Antonio abrió fuego, y del cruzado, en relación con las novedades PCI-DSS voy a aprovechar para desligarme (aunque sea tan sólo por un tiempo) de los temas jurídicos que han venido ocupando "posts" anteriores.

Antes de que llegue septiembre podemos ir abriendo boca con algunas publicaciones de PCI-DSS sobre las modificaciones mencionadas y otra que han tenido lugar recientemente y que publicaré en mi próximo "post".

Álvaro Del Hoyo
Departamento de Consultoría

Soporte papel: el gran arrinconado en la seguridad de la información.

En prácticamente todas las empresas actualmente podemos encontrar la aplicación de controles para el acceso a la información en soporte magnético, es decir, a la información que reside en archivos y ficheros informáticos. La funcionalidad relacionada con el control de acceso está `presente en prácticamente todos los sistemas operativos, aplicaciones, programas de gestión de BDD, etc.

La automatización en la gestión de accesos viene facilitada por la existencia de software específico pensado para realizar dicha labor como, por ejemplo, las aplicaciones de gestión de identidades.

En el “mundo físico” no obstante la realidad es bastante distinta: el control de acceso a la documentación es soporte papel debe realizarse mediante la aplicación de controles físicos, lo cual dificulta tanto la aplicación de los controles como la continuidad en el tiempo de la aplicación de las medidas que se apliquen. Otro de los inconvenientes del soporte papel es la dificultad de controlar la trazabilidad de un documento, es decir, el circuito que sigue desde su creación hasta su archivo definitivo y los posteriores accesos para su consulta una vez archivado: un documento que es extraído del archivo y no devuelto o que es fotocopiado, con lo cual se generan múltiples copias en soporte papel sobre las que también se deberá controlar su trazabilidad y circuito de distribución.

El marco legal vigente, en mi modesta opinión, ofrece motivos suficientes que justifican la aplicación de mecanismos de salvaguarda para proteger la información en soporte papel. Dentro de este marco legal podríamos destacar:

• La ley de competencia desleal: dónde se establece que se considera desleal la divulgación o explotación, sin autorización del titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítima o ilegítimamente.
• El propio código penal: en el artículo 197 se establecen penas de prisión al que, con el fin de descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento se apodere de sus papeles, cartas o cualesquiera otros documentos (...).
• El nuevo reglamento de seguridad de la LOPD: que establece las medidas que las empresas deberán aplicar a los datos en soporte papel.

Una vez vistas las dificultades principales veamos las alternativas posibles para superar estos inconvenientes. Veamos, pues, qué controles podemos aplicar sobre el soporte papel:

1. Política específica de tratamiento de documentos confidenciales: No presuponer que el número de personas que acceden a documentos confidenciales en soporte papel es acotado o reducido, siempre existe el riesgo de divulgación no autorizada. Se deberá elaborar, aprobar, difundir e implantar una política dirigida especialmente a establecer las directrices para el tratamiento de los documentos en soporte papel que contenga información confidencial. Esto nos lleva de forma natural al siguiente punto.....
2. Identificación de los documentos con información confidencial: Este punto es bastante más sencillo de los que pueda parecer: Fácilmente podemos intuir los departamentos dónde existen documentos confidenciales (Dirección General, RRHH, área Jurídica). Si no conocemos qué es importante (confidencial), no sabremos qué es lo que tenemos que proteger. Una vez identificada la documentación con requisitos de confidencialidad el siguiente control seria disponer de.....
3. Metodología de clasificación y almacenamiento de los documentos confidenciales: En este punto juega un papel clave una interpretación libre del concepto “oficina sin papeles”: escanear los documentos y almacenarlos digitalmente aprovechando así, por un lado, la automatización de los controles de acceso del “mundo digital” y, por otro, disponiendo de una copia de seguridad.
4. Disponer de contenedores específicos para la destrucción de documentos confidenciales: Dichos contenedores sería recomendable que estuvieran cerrados con llave evitando que queden abierto pues, en ese caso, serían equivalentes a una papelera convencional.
5. Disponer de destructoras de papel (trituradoras) que garanticen la imposibilidad de recuperar la información. Estas destructoras pueden ser personales, departamentales o compartidas por varios departamentos de la empresa.
6. Externalizar el servicio de destrucción de documentos en soporte papel: En este caso es aconsejable que se establezcan cláusulas orientadas a garantizar la confidencialidad durante la recogida y transporte de los documentos, establecer contractualmente el tamaño del residuo una vez destruidos los documentos y, como e todo contrato de externalización de servicios, tener potestad auditora sobre el prestador.
7. Incluir cláusulas de confidencialidad con la empresa de limpieza: El personal de limpieza accede a aquellas áreas o zonas restringidas al resto del personal de la empresa, por ejemplo, el despacho del Director General en cuyo escritorio está el Plan Estratégico de negocio o el acuerdo de fusión con la competencia.....
8. Revisión continua de la aplicación de los controles: El seguimiento continuo es lo que nos dará garantías que las iniciativas anteriores no se afrontan de forma puntual, ayudando así a crear la concienciación necesaria en todo el staff.

Joan Ayerbe
Manager de Consultoría, CISM.

El coleccionista de perfiles

¿No os ha pasado alguna vez que habéis soñado con alguna cosa relacionada a vuestro trabajo? Seguro que sí, desde aventuras increíbles en las que dáis rienda suelta a vuestra imaginación, a finales de infarto donde muchas de vuestros deseos se hacen realidad. Pero también, a veces, en el momento adecuado, aparecen sueños raros.

Todo empezó hace ya bastante tiempo, cuando nos empezamos a dar cuenta de la gran cantidad de información que tienen los buscadores (El Buscador) sobre nosotros: qué queremos encontrar en Internet, qué correos recibimos, qué noticias nos interesan, qué blogs leemos, con quién nos relacionamos, ... Poco a poco se fueron alzando algunas voces intentando concienciarnos del poder que estaban adquiriendo, así como en diferentes partes del mundo se empezaron a tomar iniciativas en formas de leyes y directivas para proteger a sus ciudadanos.

Paralelamente, en nuestra sociedad, apareció paulatinamente la figura del coleccionista de perfiles, rol cuyo principal objetivo es la creación de un perfil personalizado de una persona real. Este comportamiento fue originándose en la clandestinidad, ayudado principalmente por el poco cuidado que tenemos a la hora de dar nuestros datos en Internet, sobre todo en las redes sociales.

Y en tercer lugar estamos nosotros, los ciudadanos, despreocupados por el uso indebido que pudiera realizarse con nuestros datos en Internet, ajenos a la utilización de los mismos ya sea para crear un perfil y ofrecernos ofertas personalizadas, o para robar nuestra identidad.

Pero, ¿cómo trabaja el coleccionista de perfiles? ¿tiene suficiente material para crear los perfiles? Rotundamente sí. Casi todos nosotros estamos inscritos en multitud de redes sociales: MySpace, LinkedIn, FaceBook, eConozco, Orkut, Fotolog, Flickr, Plaxo, Twitter, Bebo, SoulMe, etc., y además, puede que en alguna red pongamos datos falsos para no ser reconocidos, pero también en otros ponemos datos verdaderos, y siempre, hay un nexo de unión, ya sea un nombre de usuario, una fotografía, una frase, un nick, lo que sea, pero siempre hay forma de enlazar la página con datos falsos (pero que puede que tenga algún dato verdadero útil para nuestro coleccionista), y la página con datos verdaderos.

Hagamos una prueba: pidamos a un amigo que intente crear un perfil de nosotros en base a lo que vaya encontrando por Internet y que vayan apuntando en un papel (o en el vim el que prefiera) todos los datos que aparecen sobre lo que creen que somos nosotros:

• Datos personales: nombre, dirección, correo, teléfono, fecha de nacimiento, estudios, trabajo, aficiones, música, deportes, ...
• Fotografías
• ¿A quién conocemos?
• ¿Dónde ponemos comentarios?¿Qué ideas expreso con mis comentarios?
• ¿A qué horas suelo estar conectado en ciertas páginas?
• Etc.

¿Sorprendidos? Ahora pensemos en la figura del coleccionista, que está haciendo lo mismo para cada uno de nosotros. ¿Tiene un poder semejante a la información que dispone un buscador? No tan grande, pero aún así, es algo preocupante. ¿Es muy difícil crear una aplicación que vaya recorriendo todos los portales de redes sociales intentando "casar" todos los perfiles para crear un portal donde exista un perfil más completo de todos nosotros? No, de hecho es la que usa nuestro coleccionista.

En el sueño, con el paso del tiempo (la noche) el coleccionista se hacía con el control total del mundo, manipulando a su antojo todo lo que deseaba y negociando con la información que poseía. ¿Hasta donde somos vulnerables? Menos mal que en algún momento de la noche, quizás abrumado por las consecuencias, desperté con un pequeño sobresalto.

¿Todavía estamos a tiempo de poder prevenir nuestro destino?

Security Issues and Recommendations for Online Social Networks

David Barroso

S21sec labs 

Informe de Criminología Virtual

Hace poco tiempo la compañía McAfee publicó un estudio denominado 'Informe de Criminología Virtual' (Virtual Criminology Report) donde presenta a grandes rasgos los problemas actuales relacionados con los delitos en Internet. Este informe, a diferencia del de 2006, cuenta con la participación de varias personas internacionales, dotando al mismo de un carácter más exacto que el anterior de 2006 (personas como Richard Clayton, Fred Doyle o Eugene Spafford), aunque también se atreven a decir frases como:

“There are signs that intelligence agencies around
the world are constantly probing other governments’
networks looking for strengths and weaknesses and
developing new ways to gather intelligence,”
Peter Sommer, an expert in information systems
and innovation at the London School of Economics."

¿De qué señales habla? Independientemente de que sea verdad o no, frases como la anterior lo único que provocan es una mayor 'desconfianza' entre las agencias de Inteligencia de diferentes países, al igual que el párrafo siguiente:

“Everybody is hacking everybody,” said Johannes
Ullrich, an expert with the SANS Technology Institute,
pointing to Israeli hacks against the United States and
French hacks against European Union partners. But
it is aspects of the Chinese approach that worry him.

Realmente en el aspecto geo-político el informe muestra algunos datos que tendrían que basarse en hechos para no crear ese clima de desconfianza, pero en general el informe presenta una visión bastante exacta sobre la actualidad del crimen en Internet. Pero, ¿qué nos espera en el 2008 según el estudio?

• Países 'paraíso' para los criminales en Internet (algo así como el bullet-proof hosting que ofrecen empresas como RBN (Russian Business Network) pero a nivel de país).
• Los gobiernos meterán presión para proteger a los ciudadanos (aquí es donde realmente hay que hacer espeical hincapié)
• Se aprovecharán los datos de las redes sociales para cometer todo tipo de delitos (hay un paper interesante patrocinado por ENISA llamado 'Security Issues and Recommendations for Online Social Networks')
• Ataques utilizando nuevas tecnologías: P2P, VoIP, ... Movimiento completamente normal, puesto que gracias a términos como BlackBerry, UMTS, iPhone, Wifi, etc casi estamos el 100% de nuestro tiempo conectados utilizando cada tecnología nueva que aparece.
• Perderemos confianza en los servicios online debido a la gran cantidad de riesgos y fraudes que existirán (aún estamos a tiempo de evitarlo)

“Critical in avoiding a run on online
banks will be their public relations
effectiveness in the few hours after
signifi cant and successful attacks are
fi rst publicized. Inept PR combined with
an event that couldn’t be disguised
with victims available to the press
could cause serious problems for an
online bank. UK bank Northern Rock
showed that it is very diffi cult to calm
market panic once it is set in train.”

Totalmente cierto; hoy en día, noticias relacionadas con un ataque corren como la pólvora. Es fundamental disponer de un departamento de Relaciones Públicas que sepa manejar el incidente, informando a los usuarios.

El informe realmente coincide bastante con nuestra visión del crimen existente en Internet, desde aquellos años a finales de los 90 que podríamos considerar la época romántica de los ataques en Internet, hasta actualmente donde la involucración de bandas criminales es tan grande que nos encontramos justo en el momento de decidir si queremos evitar que Internet se convierta en una ciudad sin ley. En palabras del CEO de McAfee:

“Fighting cybercrime is a
24/7 battle, a global battle,
and it is far from over.”
Dave DeWalt, President & CEO, McAfee Inc

David Barroso

S21sec labs

Bruce Schneier

Hace unas semanas se realizó una interesante entrevista en el blog de Freakonomics del New York Times a Bruce Schneier, que como muchos de vosotros sabréis, es un profesional muy respetado en diversos ámbitos que tiene una visión global de la seguridad, y por supuesto, sus propias ideas alrededor de todo lo que tiene que ver con la seguridad: pasado, presente y futuro (hace poco comentamos su visita a España en el ISMS Forum).

Independientemente de reconocer las aportaciones del señor Schneier al escenario de la Seguridad, que son muchas (aunque personalmente no comparto muchas de sus ideas en sus libros donde mezcla negocio+seguridad), durante la entrevista aparecen varios comentarios que merecen la pena reseñar, además de que las ideas que expone en general son muy prácticas y razonables en la mayoría de los casos:

Q: What do you think needs to be done to thwart all of the Internet-based attacks that happen? Why it is that no single company or government agency has yet to come up with a solution?

A: That’s a tall order, and of course the answer to your question is that it can’t be done. Crime has been part of our society since our species invented society, and it’s not going away anytime soon. The real question is, “Why is there so much crime and hacking on the Internet, and why isn’t anyone doing anything about it?”

The answer is in the economics of Internet vulnerabilities and attacks: the organizations that are in the position to mitigate the risks aren’t responsible for the risks. This is an externality, and if you want to fix the problem you need to address it. In this essay (more here), I recommend liabilities; companies need to be liable for the effects of their software flaws. A related problem is that the Internet security market is a lemon’s market (discussed here), but there are strategies for dealing with that, too.

Aunque puede ser una buena idea (y mucho mejor que esta otra, donde Howard Schmidt propone que los responsables sean los programadores de forma individual, ¡quién va a ser programador entonces!), tiene sentido en EEUU, donde los abogados tienen un futuro asegurado, pero dudo que en Europa pueda ser igual. Además, sólo las empresas grandes de software podrían permitirse pagar sus responsabilidades;¿y que pasaría con el software open-source, puesto que también tiene vulnerabilidades? Es una buena idea en la teoría pero muy difícil de llevar a la práctica. La relación entre Seguridad Informática y Economía no es tan fuerte como Schneier comenta:

Computer security isn't a technological problem -- it's an economic problem. Socialists might imagine that companies will improve software security out of the goodness of their hearts, but capitalists know that it needs to be in companies' economic best interest. We'll have fewer vulnerabilities when the entities that have the capability to reduce those vulnerabilities have the economic incentive to do so. And this is why solutions like liability and regulation work.

Personalmente, considero más acertado el otro sentido, premiar a las empresas que no tienen vulnerabilidades en su software, antes que castigar a las que lo tienen.

Q: How worried are you about terrorists or other criminals hacking into the computer systems of dams, power plants, air traffic control towers, etc.?

A: Not very. Of course there is a security risk here, but I think it’s overblown. And I definitely think the risk of cyberterrorism is overblown (for more on this, see here, as well as this essay on cyberwar).

Quizás pueda estar magnificado por los medios de comunicación, pero el riesgo es real, sobre todo después de la incursión de bandas criminales y terroristas en Internet. Más aún, en EEUU es posible que esté todavía más magnificado (han hablado mucho siempre de un "electronic Pearl Harbour"), pero precisamente puede que sea uno de los primeros objetivos de la lista de naciones amenazadas. Schneier divide el riesgo en: 

• Cyberwar: el incidente de Estonia, China, etc.
• Cyberterrorism: cualquier ataque de grupos terrorista a infraestucturas mediante el uso de redes de comunicaciones
• Cybercrime: fraude, DDoS, lo que más se puede apreciar
• Cybervandalism: web defacement, también bastante visible

En el ensayo anterior, además comenta un dato interesante: la cyberwar es una batalla de igualdad, puesto que los dos bandos utilizan el mismo hardware y el mismo software, aunque realmente luego existen ciertas ventajas, puesto que siempre pueden existir vulnerabilidades no públicas en el software utilizado.

Q: Is there any benefit to password protecting your home Wifi network? I have IT friends that say the only real benefit is that multiple users can slow down the connection, but they state that there is no security reason. Is this correct?

A: I run an open wireless network at home. There’s no password, and there’s no encryption. Honestly, I think it’s just polite. Why should I care if someone on the block steals wireless access from me? When my wireless router broke last month, I used a neighbor’s access until I replaced it.

Aunque parece una respuesta inocente y que en un mundo ideal sería perfecta, realmente hay muchos casos demostrados de uso de redes wireless personales para la realización de delitos en Internet. Además, si te interesa mantener tu privacidad y evitar usurpaciones de identidad, es deseable que no compartas tu conexión wireless con gente de poca confianza.

Realmente merece la pena leer la entrevista, puesto que expresa con claridad y sin tapujos muchas de las cuestiones que siempre están rodeadas de una cierta nebulosa, aunque la visión del señor Scheier está fuertemente influenciada por cómo transcurren las cosas en EEUU (por otra parte, totalmente razonable), y muchas veces la realidad no se corresponde al 100% con la visión que se tiene de los hechos.

David Barroso

S21sec labs