Archivos de Tags: Concienciación

Día mundial de la privacidad

Vía el blog de Bruce Schneier me he enterado de que hoy jueves es el día mundial de la privacidad.
De ahí puedes saltar a la Declaración de Madrid a favor de la privacidad que, si la lees pues hay de todo, pero no está mal.

Es curioso el tema de los sponsors… quien patrocina esta declaración o este día o esta iniciativa… hay empresas que no se por qué, me cuesta relacionarlas con el término privacidad!!

Bueno, cada uno mete el dinero donde quiere pero lo suyo sería que fuéramos un poco más coherentes ¿no?

Formacion CAM en seguridad

Esto es lo que dice un anuncio de los planes de formación de la CAM: “Entra Carmen, aficionada a Internet, hace un curso y sale Carmen, técnico de seguridad.”

Supongo que es lo que piensan de los técnicos de seguridad.

Un curso y listo 🙁

Es lo que hay… Luego te cruzas con supuestos profesionales que no saben de lo que hablan, que no conocen ni lo más básico, que no entienden los problemas a los que se enfrentan, que toman decisiones sin razonar antes, …

No hace falta que funcione bien, con que parezca que funciona es suficiente.

Es lo que hay, o mejor, lo que no hay: profesionalidad y claro, luego pasa lo que pasa.

Tu sistema está comprometido, asúmelo

Como ya comenté en un apunte de hace tiempo sobre el hecho de que el enemigo puede estar dentro, los profesionales de la Seguridad de la Información empleamos mucho tiempo definiendo medidas, contramedidas, requisitos, métricas, planes, sistemas de seguridad, instalando parches, … con el objetivo de que nuestros activos no se vean comprometidos.

Se emplean cantidades ingentes de dinero (no siempre correctamente) para mantener al malo fuera de nuestros dominios…

El problema es que el atacante no siempre está fuera, puede estar ya dentro.

Se ha dicho mil y una veces… o más.

La siguiente derivada es asumir que el enemigo está dentro, que nuestra red ha sido comprometida.

Aquí es donde entran en juego los detectores de intrusión, configurados para detectar al enemigo dentro, así como análisis de logs y demás pero no pensando en cómo dejar al enemigo fuera… sino pensando qué hacer, una vez que el enemigo está dentro.

Hay muchos tipos de enemigo:

  • Un virus que impide trabajar, ataca a la disponibilidad del sistema.
  • Un virus generalista que busca robar datos personales, financieros, …
  • Un virus específicamente diseñado pensando en tu organización para robar información sensible, diseños nuevos, proyectos, …, enviado a un objetivo muy concreto y orientado.
  • Un atacante, una persona ajena que accede a tus sistemas de forma remota.
  • Un empleado, personal subcontratado que por la razón que sea se dedica a robar, alterar o destruir información, …
  • Otros, …

Las posibilidades son múltiples y como dice el artículo que menciono, destinar una pequeña parte del presupuesto a monitorizar la red y buscar intrusos, asumiendo que están dentro, es una política que los responsables de seguridad de la información de grandes organizaciones deben al menos valorar pues el riesgo es real.

¿Cómo se si mi sistema está o no comprometido? ¿Tengo que hacer una revisión activa de todos mis sistemas, elegir una muestra o simplemente esperar a que los sistemas de análisis de log y monitorización avisen de que se ha detectado una intrusión?

¿Estoy seguro de que todo mi personal es leal? ¿Me fio del 100% del personal subcontratado? ¿Se establecen los mismos controles para todo el tipo de personal?

¿Tenemos un plan de contingencia? ¿Sabemos qué hacer cuando detectemos una intrusión o que nuestro sistema se ha visto comprometido?

Especialmente en grandes redes, con cientos si no miles de servidores y miles o incluso millones de usuarios, accediendo a diferentes servicios, desde diferentes redes o incluso desde Internet, a información de diferentes grados de clasificación, … sistemas de información complejos.

¿El asumir que nuestros sistema están comprometidos es algo sensato o es sólo paranoia?

Cloud computing y seguridad en la nube

Ultimamente se está poniendo muy de moda eso del Cloud computing y mucha gente habla de la nube como si fuera el paradigma de la ciencia de la computación, el futuro más claro y brillante, la solución a nuestros problemas.

El llamado cloud computing sin ser algo absolutamente nuevo (pues llevamos AÑOS usando webmails como los de Yahoo o GMail) está evolucionando y cada vez aparecen más y más servicios basados en “la nube“.

En esto de la computación en la nube hay varios que están apostando fuerte:

Vamos que todos se apuntan al carro pero… ¿Qué es realmente todo esto de la nube y qué puede implicar?

La nube es Internet. La computación en la nube es la computación en Internet y eso quiere decir que todas las aplicaciones y datos que están en la nube, están en Internet, están fuera de nuestras máquinas, en las máquinas del proveedor de servicios y accedemos a ellos desde el navegador. Utilizamos el procesador de textos a través del navegador.

La información está fuera de nuestros sistemas, … está fuera de nuestro control. Así, sin más.

Evidentemente todo esto de la nube tiene cosas buenas.

  • Las empresas que venden “la nube“, venden servicios y eso para ellas es que en vez de venderte un producto, un procesador de textos, por ejemplo, te venden una subscripción a un servicio, el poder usar el procesador de textos por un año.
    Pueden reducir costes, aumentar beneficios, luchar contra la piratería, …
  • Las empresas que compran “la nube” ya no tienen que comprar productos, ahora están comprando servicios… pueden ahorrar costes, ajustar más aun los gastos a sus necesidades, pueden acceder a sus aplicaciones y datos desde cualquier punto del mundo con sólo conectarse a Internet y eso es flexibilidad, comodidad, … se evitan mantener personal de soporte para esas aplicaciones, …
    Menos gastos y más beneficios.
  • Los particulares que usan “la nube” utilizan sus aplicaciones, acceden a sus datos, correo electrónico, aplicaciones desde cualquier punto y de forma (de momento) gratuíta, algunos ahorran dinero al no tener que comprar aplicaciones, otros empiezan a usar aplicaciones sin tener que infringir licencias, …

Pero claro… no es oro todo lo que reluce y no se hasta qué punto las empresas y los particulares conocen los riesgos de “la nube”:

  • La pérdida de la confidencialidad de los datos es evidente. La información ya no está únicamente en nuestro poder sino en servidores de otra organización así que al enviar nuestra información a los servidores de esa organización le estamos dando acceso a los datos.
  • Pérdida del control de la información. Ya no hablamos únicamente de confidencialidad, que para muchas aplicaciones es más que suficiente para no poder aceptar este nuevo concepto, hablamos de pérdida absoluta de control… no podemos controlar si el proveedor de los servicios en “la nube” utiliza nuestra información, la vende, la modifica, la borra… estamos hablando incluso de una posible pérdida de la integridad de la información. Siempre podemos comprobar la integridad con algún sistema de CRC o hash.
  • ¿Cómo se lleva “la nube” con el espionaje industrial? Y… ¿con el espionaje sin más? ¿Permitirán las organizaciones gubernamentales de los países operar a los grandes proveedores de servicios de cloud computing la operación sin acceder a la información? ¿Podrán utilizarse estos servicios en la red con información sensible y/o clasificada? ¿Podrá una empresa asiática o europea utilizar los servicios de una companía (americana, por poner un ejemplo) de servicios de este tipo sin ningún tipo de preocupación porque sus datos puedan ser accedidos para lograr acceso a información sensible?

Es evidente que los proveedores de cloud computing acceden a la información de sus usuarios, no hay más que ver los anuncios contextuales que nos presentan los diferentes proveedores de correo electrónico cuando estamos usando su webmail. No es posible presentar publicidad contextual sin acceder a la información.

¿Existen soluciones?

Pues de momento no las conozco.

Habrá que investigar en temas de privacidad en “la nube” y ver como dotar a esos servicios de una privacidad real y un control de la confidencialidad e integridad del que nos podamos fiar…

Así a bote pronto se me ocurre… una aplicación de software libre que trabaje en local ¿un javascript con algún sistema para validar la integridad de ese mismo javascript en un tercero de confianza? que cifre y envíe los datos a “la nube”, cifrados de forma que el propio proveedor de servicios de la nube no pueda acceder a la información ni modificarla sin que sea detectado… pero…
¿Cómo se come eso en una aplicación web? ¿Cómo se puede implementar, por ejemplo, un procesador de textos de tal forma que el propio procesador de textos no pueda acceder a la información del texto?

No tiene una solución sencilla… así que tendremos que seguir pensando porque el mercado se está orientando hacia allí.

Neutralidad de la red

Hace un par de días, a través de la lista de correo de RedLibre me llegó un mensaje importante.

Es sobre el tema de la neutralidad de la red.

Algunos a lo mejor dicen… ¿y eso qué es?

Pues es sencillo. Básicamente se trata de lo siguiente:

Internet es lo que todos conocemos, una red de redes, una red con contenidos de todo tipo, una red donde cualquier persona puede poner sus contenidos (yo mismo cuando pongo este blog, no tengo que pedir permiso a nadie), cualquier persona puede expresar sus opiniones, decir lo que le venga en gana, … Internet es un lugar libre.

Pues bien, hay gente y organizaciones que no están muy de acuerdo con esto:

  • Algunos operadores de red: que se están dando cuenta de que el negocio no está simplemente en darnos acceso a Internet sino en proveer contenidos. Estos operadores no se quieren quedar sin un trozo de la tarta y pretenden poder decidir a donde nos conectamos y a donde no. Pretenden decidir qué contenidos podemos ver o descargar de lo que está en Internet… Imaginemos que nos ofrecen paquetes de Internet básico, con acceso al Google pero que cuando pulsamos en los enlaces que aparecen tras la búsqueda nos sale una página diciendo que no tenemos contratado el acceso a esa página pero que podemos pagar un suplemento para acceder.
  • Las entidades de gestión de derechos de autor: ¿Qué decir de este tipo de ¿gente? que se gana la vida mintiendodiciendo que están luchando por la cultura y haciéndose millonarios, cobrando por cada CD, DVD, disco duro, … que compramos? ¿Cómo puede ser que yo tenga que pagarle a estos personajes por el dichoso canon cuando grabo un DVD con una distribución de con software que YO mismo he hecho para que los impresentables vivan sin trabajar?
    Estos son en gran parte la causa de que los reguladores se están planteando restringir el acceso a la red. Forman un lobby impresentable para conseguir más dinero, cobrando en galas benéficas en las que los cantantes cantan gratis, cobrando por mi trabajo, cobrando cuando compro un disco duro para mi ordenador, cuando grabo las fotos de mis viajes, sin escrúpulos de ningún tipo, sin vergüenza, … sin perdón.
  • Artistas: Sí, en cursiva. Artistas ricos que pretenden hacerse más ricos mientras se les llena la boca con palabras como “libertad”, “social”, “pueblo”, que acuden a las manifestaciones, que se ponen al lado de los pobres, de los humildes … juas, juas, … me rio yo de los ideales de los artistuchos esos que lo politizan todo con tal de llenarse el bolsillo. Hipocresía..
    Gentuza que dice que el cine español se hunde porque la gente se descarga las películas de Internet… juas, juas, … anda ya que iba yo a desperdiciar mi conexión a Internet para descargarme un bodrio de esos que hacen con el único objetivo de que les den la subvención (que por lo visto no es difícil y además cuentan con el apoyo de nuestra ministra)… bodrios, mierdas, cutreríos varios, … y ya no sólo se creen que me descargo sus películas sino que pretenderán que vaya al cine a gastarme la pasta que vale ir al cine para ver una p*ta mierda de película… ni gratis.
    Cuando hay una película buena no hace falta subvencionarla, no hace falta defenderla… porque las taquillas se llenan y se recauda dinero. El problema es que a nadie le gusta trabajar y estos tienen un chollo…
  • Determinados grupos de presión: Estos los he dejado a parte, no los he metido dentro del grupo anterior de gestores de derechos de autor porque hay gente que prefiere mantenernos aborregados, prefieren que la gente no pueda comunicarse, no pueda acceder a la cultura, no pueda expresarse libremente, no puedan hacer lo que estoy haciendo yo ahora… así es más fácil manejarnos.

Por eso os pongo el enlace a http://xmailer.hacktivistas.net/, para que dediqueis 2 minutos para escribir a los Eurodiputados (ya se han enviado casi 400.000 mensajes) y defendamos nuestros derechos. Los Eurodiputados están para servirnos a nosotros, a los ciudadanos.

Ya, para los que sepais inglés, echadle un vistazo a lo que piensan los noruegos que han publicado un documento que explica perfectamente los principios de la neutralidad de la red.

El hábito no hace al monje pero ayuda a reconocerlo

Acababa de publicar el apunte anterior y estaba esperando la salida de mi avión…

Se acercan 4 ó 5 personas en el típico grupo donde se ve quien manda (uno habla y los demás sonríen, asienten y escuchan.

Casualmente deciden parar cerca de mi…

Que si hablé con fulano, que si tenemos que reunirnos con mengano, que si le dije al Ministro Patatín, que si el plan yo_que_se… Vamos que sin conocer a la persona esa se podían atar algunos cabos.

Una búsqueda en Google con 2 ó 3 términos clave que habían salido en la conversación de ese hombre y… ahí estaba, la foto de Don Fulanito, presidente de una gran empresa española, no diré el nombre porque no aporta nada al apunte.

Lo importante del apunte es la falta de concienciación, de las personas en general y la alta dirección en particular, en temas de seguridad corporativa.

Es el típico ejemplo: un aeropuerto, rodeado de gente a la que ni conoces, hablando, dando detalles, ¿pavoneandose? como si estuviera en su despacho rodeado de sus colaboradores…

A ese directivo y su equipo le hace mucha falta un plan de concienciación para proteger la información, planes y demás activos de la empresa.

¿Cómo puede un departamento de Seguridad de la Información atacar un problema así?

Máster en Software Libre en la URJC: KDE una introducción

A principios de febrero tuve una ponencia en el Máster en Seguridad de la Información y las Comunicaciones de la UAX y en el apunte en el que hablaba de mi participación en dicha ponencia añadía que lo siguiente era una ponencia en el Máster en Software Libre de la URJC.

Pues bien, hace una semana estaba yo charlando con la gente del Máster en Software Libre.
Espero que los alumnos y la gente de la URJC que por allí estaban quedaran contentos con mi participación. Lo que si es seguro es que yo lo pasé MUY bien.

Os dejo aquí las transparencias de la presentación de KDE, una introducción…. Los más puristas, por favor recordad que es sólo una introducción.

Básicamente es eso, una introducción a KDE desde el punto de vista de una desarrollador (de segunda, porque muchas veces tengo la impresión de que los traductores somos desarrolladores de segunda 😉 ) con un perfil no estrictamente técnico ni involucrado en temas de programación, C++ y todas esas cosas.
Hablé de varias cosas, entre otras de la traducción de KDE-ES y de cómo nos organizamos en KDE-ES.

Después de mi ponencia, le tocó el turno a Rodrigo Moya que nos habló de GNOME.

Fue una tarde agradable, charlando con geeks de software libre, de la comunidad, de KDE, de GNOME, … y de otras muchas cosas.

Para repetir. 🙂

¿Qué hacemos cuando nadie mira?

En el mundo real hay muchas personas que se comportan de forma diferente si piensan que nadie les mira. En función de si pensamos que nos miran o no hacemos o dejamos de hacer algunas cosas.

Alguno dirá – “no me importa que me miren, no tengo nada que esconder” – ya que es lo típico, lo que estoy harto de escuchar, pero claro, una cosa es que no tengamos nada que esconder y otra cosa es que no queramos tranquilidad para movernos sin tener a alguien encima, …

Como comenté hace unos días, el hecho es que cada vez es más difícil estar en una situación en la que no mire nadie. Lo sepamos o no, es muy probable que alguien está mirando. La privacidad está infravalorada.

Como experimento, hace unos meses monté PleaseProxy.me, un sistema de proxy anónimo a través del que, supuestamente, se puede navegar sin dejar rastros…
Evidentemente eso no es del todo cierto, cuando navegas dejas rastros, lo quieras o no los dejas en:

  • el ordenador desde el que navegas,
  • el servidor al que te conectas,
  • el proxy de tu proveedor de Internet o de tu oficina, …
  • el trayecto, posiblemente en los routers por los que pasan tus paquetes.

Con PleaseProxy.me limitas un poco el impacto en la privacidad de tu navegación pero como contrapartida (no hay nada gratis) dejas muchos de los rastros de tu navegación en PleaseProxy.me además de que tu proveedor (o en tu empresa si navegas desde la oficina) pensaré que tienes algo que esconder porque usas un proxy anónimo y el servidor al que te conectas puede denegarte el acceso por el mismo motivo.

Además los proxys anónimos no son del todo anónimos y todo depende del administrador del proxy en concreto.

Independientemente del tema del proxy y volviendo al título de este apunte, os dejo una captura de los sitios más visitados en PleaseProxy.me y cada cual que saque sus conclusiones. 🙂

Las redes sociales y el porno, eso es lo que hacemos en Internet cuando creemos que nadie mira.

Paranoia… ¿o no?

En el blog de Bruce Schneier hay una entrada para reflexionar.

No dice nada nuevo… así que debe ser por cómo lo dice pero recomiendo su lectura (aviso, la entrada es en inglés).

Básicamente expone una serie de hechos que pueden llegar a generar paranoia… ¿o no?

En el artículo habla, sin entrar en detalles de que a día de hoy vamos dejando huellas digitales en nuestra vida diaria y todo se graba.

Nuestras compras con tarjetas de débito/crédito se almacenan, nuestras operaciones con tarjetas de programas de cliente se guardan y es posible establecer patrones de compra de cada uno de nosotros, nuestras visitas a distintas tiendas on-line permiten analizar todas y cada una de nuestras búsquedas, … los chips de RFID que se empiezan a integrar en pasaportes, DNI y otras tarjetas y productos, de las cámaras que existen en las ciudades y que es posible que puedan incorporar (si no lo hacen ya, en un futuro próximo) capacidad de reconocimiento facial, reconocimiento automático de las matrículas de los coches en los aparcamientos (supongo que los habreis visto ya porque están puestos en casi todos los aparcamientos públicos), en los coches de la policía, …

Habla también de los códigos de identificación que incluyen las máquinas digitales de fotografías e impresoras que permiten identificar exactamente con qué dispositivo se ha hecho una fotografía o se ha imprimido una hoja en particular, …

No dice nada en el artículo de los teléfonos móviles de los que no nos despegamos ni un minuto a lo largo de las 24h del día y que permiten al menos a las operadoras saber exactamente dónde estamos físicamente, con quien nos comunicamos… y dónde está la persona con la que nos comunicamos.

Tampoco menciona los buscadores de Internet (Google y compañía) que conocen exactamente nuestros intereses mediante las búsquedas que realizamos, el uso de nuestros ordenadores personales queda registrado por cualquiera de las barras de herramientas gratuítas de esas que se instalan y que supuestamente nos ofrecen ayudas de seguridad para la navegación, o … evidentemente que nuestros desplazamientos físicos en el mundo real quedan siempre registrados ya sean por los billetes de avión, tren que compramos o bien cuando respostamos en cualquier gasolinera con sus cámaras de seguridad o los pagos del combustible con tarjeta, …

Las compañías de gas o luz pueden conocer los patrones de ocupación de nuestra vivienda, saber y/o preveer cuando estamos en nuestra casa, las horas, nuestros periodos vacacionales, ausencias largas, …

Las compañías de seguros (médicos y de cualquier otro tipo) conocer y preveer nuestras enfermedades, alergias o cualquier otro problema, …

Todo se graba, es posible hacer un análisis a posteriori de toda esa informacióninteligencia… pero claro ¿dónde queda la privacidad del ciudadano?

A veces me da por pensar que no se si interesa profundizar mucho en todo esto porque la mayoría de las cosas, aunque lo puedan parecer no son exageraciones futuristas y catastrofistas… son el presente y no se habla de cosas que pueden suceder sino de cosas que están sucediendo aquí y ahora.

Todo es paranoia… o no.

Ponencia en el Máster en Seguridad de la Información y las Comunicaciones de la UAX

No había tenido tiempo de comentar que los días 6 y 7 de febrero participé como ponente en el Master Oficial en Ingeniería de Seguridad y las Comunicaciones de la UAX.

La sesión trató sobre seguridad en sistemas UNIX/Linux, recomendaciones generales, buenas prácticas, securización de sistemas, … Vamos un poco de todo.

Creo que los alumnos quedaron contentos, la participación fue buena, hubo buen ambiente y cubrimos lo planificado tanto en contenido como en tiempo. Evidentemente mi presentación no fue perfecta y hay cosas que mejorar y que pulir…
Probablemente los alumnos habrían agradecido tener más tiempo para pegarse con los ordenadores pero el tiempo es limitado y, si los alumnos no tienen conocimientos de administración de sistemas Linux no se puede correr más de la cuenta pues hay que ir a una velocidad a la que todos puedan llegar.

La seguridad en sistemas UNIX y Linux es un tema amplio que es difícil de cubrir en sólo dos sesiones de 4’5h…

Yo lo pasé bien… Espero que los alumnos disfrutaran de la sesión y les resultara interesante.

Mi próxima sesión será sobre KDE en el Máster en Software Libre de la URJC, ya os contaré qué tal.