martes, 24 de febrero de 2009

Reflexiones sobre la falta de concienciación: las contraseñas.

En estas últimas semanas vienen recogiéndose diferentes noticias y post que son síntomas similares de una misma causa, la absoluta falta de concienciación que existe en el tema de la seguridad de la información tanto a nivel usuarios como a nivel de directivos de empresas.

Bernardo Quintero en su post del lunes titulado Momento Déjà vu pone de manifiesto cómo cuatro años después se repite una situación de la que ya había dado cuenta en año 2005. Y no es moco de pavo el tema dado que se trata de un PC de acceso a un entorno informático de un hospital, o sea, sometido a la LOPD casi seguro por tratarse de información de nivel alto sobre la que hay que garantizar el secreto del paciente. Seguro que tendrán que pasar algunas sentencias más como la del médico de Mallorca que ha sido condenado a 3 años de cárcel por acceder a la historia de un compañero para que entre cierto miedo en el cuerpo y así se tomen algo más en serio el cumplimiento de las medidas de seguridad.



La semana pasada Joseba Enjuto comentaba la noticia publicada en algunos foros respecto al estudio realizado para averiguar la fortaleza de las contraseñas que tiene como conclusión que "1234" sigue siendo la clave más utilizada.

Es curioso cómo este método de autenticación que demuestra a diario que no es eficaz sigue siendo el más utilizado por todos los sistemas de control de acceso. ¿Por qué?

Creo que quizás la única explicación que se puede dar a esta situación es simplemente que la autenticación basada en contraseñas es lo más barato y sencillo de implementar. Paradójicamente el método no se elige por la seguridad que proporciona sino porque es "lo más fácil" para quien vende el producto. Se podrían haber planteado métodos más robustos y originales de autenticación, algunos ya descritos en este blog, que mejorarían notablemente los resultados, la fiabilidad del proceso y garantizarían el cumplimiento del objetivo por el cual se plantea la medida.

Las contraseñas basadas en caracteres se enfrentan cada día más al aumento de la velocidad de cómputo que establece la frontera de lo "computacionalmente averiguable" más cerca. En este post se describe cuánto se tarda en averiguar las contraseñas de diferentes longitudes mediante ataques de fuerza bruta (probando todas las combinaciones posibles de caracteres). La siguiente tabla resume los resultados.


Aunque son bastantes los esfuerzos que se siguen haciendo por cambiar esta situación algo ocurre que los profesionales de la seguridad no estamos sabiendo identificar. Seleccionar una buena contraseña no es complicado pero hemos saturado y desbordado a los usuarios con controles de acceso para cada aplicación convirtiendo este método poco "humano" en algo engorroso y pesado que ha complicado la vida al usuario. Hemos trasladado el problema del que controla el acceso a quién debe ser controlado y encima queremos que sea eficiente en su ejecución, que se complique buscando contraseñas robustas y además ¡qué las recuerde!.

Muchos administradores de sistemas, conscientes de esta situación, son más cuidadosos y son ellos mismos los que generan las contraseñas y luego se las comunican al usuario. Estos super protectores de la información guardan evidentemente las password de todo el mundo por si algún día éstos las olvidan, poder volver a comunicarle la contraseña. Sin embargo, esto que se hace "por seguridad" destruye todo el objetivo por el cual se impone el control: la identificación y autenticación. Si una contraseña es conocida por más de una persona, se genera el repudio dado que siempre se puede alegar que no existe una única persona vinculada a una contraseña, la relación no es biunívoca.
Unos por defecto y otros por exceso no consiguen garantizar el objetivo por el cual se implanta el control de acceso. Hacemos cosas supuestamente por "seguridad" que para nada se justifican desde la perspectiva de "la seguridad" dado que no garantizan control. Y esta situación se extiende a otros usos de la información.

Sorprende mucho ver que ni siquiera por intuición, la gente no es capaz de hacer un básico "análisis de riesgos" ni en el ámbito doméstico ni en el ámbito profesional para plantearse qué tiene que hacer y por qué .

En el ámbito del usuario doméstico, cuando amigos y conocidos me preguntan por qué aplicaciones de seguridad elegir o utilizar, siempre intento hacer ver que el esfuerzo depende básicamente de la importancia de lo que haya que proteger. Lo primero que suelo preguntar tiene que ver con las medidas de recuperación como son las copias de seguridad y la respuesta es siempre la misma:
- "Si, tienes razón, las tengo que hacer. A ver si un día de estos me pongo."

Pero ese día no llega nunca. Ni siquiera en aquellos que ya han tenido algún disgusto y han perdido fotos de cosas importantes, documentos de trabajo, etc. Cuando no se piensa ni siquiera en tener un plan de emergencia, no merece la pena plantear las acciones preventivas que son necesarias y menos los temas de mantenimiento preventivo. Todo aquello que el sistema no hace solo, el usuario ni se molesta.

Otras veces sorprende que el consejo sea la no protección. Recuerdo por ejemplo que se montó cierto revuelo cuando Bruce Schneier recomendó dejar la wifi abierta. Pues ya tenemos un caso donde su estrategia se ha demostrado altamente eficaz, como recoge la noticia "La Agencia de Protección de Datos absuelve a un usuario por tener la WiFi abierta"


Pero, ¿qué falla? ¿No percibe el usuario el valor de la información?
Creo que en general, no nos gusta plantearnos situaciones desagradables y por miedo preferimos suponer que "eso no me puede pasar a mi" aunque a veces la suerte no nos sonríe: se formatean discos con tesis doctorales, se pierden fotos y recuerdos de mucho tiempo, se destruyen documentos de trabajo de años por un accidente, se averían los soportes o discos y se pierde todo. Y normalmente no existe un plan B o cuando se intenta tirar de las copias te llevas la sorpresa de que hace demasiado tiempo que no se ha realizado una copia o de que el método de recuperación tampoco ha estado funcionando porque no se ha probado.

Este comportamiento doméstico es también extrapolable a las pequeñas y medianas empresas. Últimamente ando moviéndome entre Pymes intentando lograr que construyan sus pequeños y modestos SGSI pero es francamente desmoralizador. Y más cuando toca auditar el funcionamiento de lo más básico (antivirus, actualizaciones automáticas, control de acceso basado en privilegios) y ves que no funciona nada o no se configura nada. Toda la estrategia de seguridad está basada en solucionar el problema aunque hay veces que cuando se detecta ya no tiene solución. Es una filosofía apagafuegos que a menudo no dispone de un plan B, un plan de contingencias, para si algo falla al menos tener la garantía de volver a la normalidad o que el daño no sea muy alto. Y lo peor de todo es que parece no importar.

No puedo entender cómo en una pequeña empresa hay aparcados en la puerta varios audis, bmws, mercedes y luego, todo el soporte al sistema de información de esa mina de oro que genera tantos beneficios no deja de ser mas que un triste PC clónico situado en el suelo en zonas de paso donde lo mejor que puede pasar es que funcione.

De nuevo, se produce la misma situación que ya he planteado en el entorno doméstico. Preguntamos la valoración de la información para diferentes tipos de incidentes atendiendo a diferentes criterios (impacto económico, de imagen, legal, operacional, de daños a terceros, etc.) y siempre toda respuesta introduce la coletilla de "pero eso no puede pasar".
Esas afirmaciones no dejan de ser nada más que verdades de fe, porque nadie comprueba nada y porque no hay suficientes mecanismos preventivos de seguridad como para estar tranquilos al saber que las espaldas están bien cubiertas. Ni siquiera cosas tan básicas como la monitorización, los chequeos rutinarios, la actualización a cada fallo comunicado por el fabricante, nada de nada. Las únicas tareas de seguridad que se entienden son las de reparación o las de resolución de incidencias, el "apagar fuegos de toda la vida".

Y luego la vida nos demuestra que es muy frecuente que la ocurrencia de catástrofes siempre vengan generadas por una cadena de fallos pequeños y poco trascendentes que aliñados con un poco de mala suerte generan una bola de nieve que acaba devastándolo todo. Es la relación incidencia->incidente->accidente->catástrofe.

Es triste pero es lo que hay. Parece que sólo aprendemos a base de tropezar siempre en la misma piedra. Sin embargo, abundan las frases celebres que insisten en lo contrario.
  • "Cada fracaso enseña al hombre algo que necesitaba aprender". Charles Dickens

  • "La inteligencia consiste no sólo en el conocimiento, sino también en la destreza de aplicar los conocimientos en la práctica." Aristóteles.

  • "No basta saber, se debe también aplicar. No es suficiente querer, se debe también hacer".Wolfgang Goethe

  • "La mejor estructura no garantizará los resultados ni el rendimiento. Pero la estructura equivocada es una garantía de fracaso". Peter Drucker

3 comentarios:

Anónimo dijo...

En esta otra web tienes un análisis mas detallado en función del tipo de máquina, conjuntos escogidos, etc...

Anónimo dijo...

La verdad es que el tema de la Wifi es curioso, aunque yo no me basaría en una única resolución para dejarla abierta así como así.

Ahora bien, lo que es cierto es que Telefónica la instala por defecto con cifrado WEP, y de hecho, para modificarla hay que tener conocimientos de informática, lo que muchos usuarios de Imagenio y/o ADSL no tienen, por lo que sí es posible que se pudiera alegar desconocimiento y culpabilizar a Telefónica.

des dijo...

Me encantó aquella reflexión de Schneier, creo que tiene razón: usar el wifi del sitio en que estás debería ser tan normal como ir al cuarto de baño del sitio en que estás.

También me ha gustado mucho tu reflexión. Un saludo :)

 
;