viernes, 25 de abril de 2014 1 comentarios

La necesidad de establecer la "infoética" del Big data.

Yo empecé en esto de la seguridad en el año 1999 cuando tuve que hacer un análisis de riesgos en una Administración Publica para un proyecto de investigación de la Universidad de Murcia y justo al finalizar el estudio me topé con una recién publicada Ley Orgánica 15/1999 de Protección de datos de carácter personal y el R.D. 994/1999 de Medidas de seguridad para tratamientos de datos automatizados. Recuerdo que en aquel momento y antes de finalizar la entrega de resultados tuve que reorientar las recomendaciones para incluir los nuevos requisitos legales y leyendo la legislación ya me dí cuenta del "teórico" tremendo impacto que podía tener esa legislación si se aplicaba de forma correcta. La privacidad que en aquel momento estaba enfocada en la protección de información cuando era gestionada mediante sistemas informáticos poco a poco ha ido creciendo como asunto de notable relevancia y he podido constatar en primera persona como se va haciendo cada día más presente la frase de "la información es poder". Ha sido tal la incorporación de la tecnología a todas las actividades del ser humano que actualmente nos encontramos en una fase de sensorización (Que me perdone la RAE por la palabra utilizada) del mundo y de las personas. Los primeros elementos tecnológicos destinados a monitorizar situaciones y estados fueron aplicados por las grandes empresas para el control de los procesos industriales de fabricación y producción. Sin embargo, posteriormente este tipo de elementos informáticos han ido disminuyendo en tamaño y aumentando en potencia hasta llegar a los teléfonos inteligentes y los nuevas computadoras corporables o dispositivos "weareables". Estas nuevas tecnologías son atractivas y una auténtica tentación. Yo mismo llevo una pulsera que monitoriza movimiento y sueño asumiendo que estos datos van a una compañía americana. El problema es que el dispositivo asume que los datos se gestionan fuera y las políticas de privacidad cambian según el interés de las empresas. Lo que hoy es potencialmente inofensivo mañana puede cambiar. Y los "sacrificios" de privacidad que conscientemente asumimos hoy pueden pasarnos una factura cara en el futuro. En mi caso, cambio privacidad por conocimiento personal.
Sin embargo, la principal problemática se produce porque toda esta auténtica revolución plantea ahora la capacidad de medirlo todo, incluidas las personas y por tanto, aplicar teorías matemáticas a cosas que hasta la fecha no eran imaginables por carecer de información en tiempo real sobre lo que estaba sucediendo o no ser capaces de establecer las relaciones o vinculaciones entre individuos. Tenemos ahora lo que se empieza a llamarse la "física social" que trata de establecer modelos predictivos del comportamiento social. En este sentido aparece la necesidad de establecer los límites entre lo que potencialmente la tecnología es capaz de hacer y de lo que desde la ética consideramos adecuado que sea permitido. En el siglo XXI nos hemos acostumbrado a que los avances tecnológicos no sean cuestionados y que el ciberespacio sea algo así como un nuevo "Far West" donde el primero que llega se queda con el territorio. La principal diferencia en esta nueva repetición de la historia es que ésto ocurre ahora sobre un terreno invisible y los países no están siendo capaces de calibrar las ventajas o desventajas competitivas que tiene la conquista de este ciberespacio. El terreno de los datos actualmente evolucionará pronto al mundo del conocimiento y las ventajas competitivas en ese ámbito se traduce en inteligencia de negocio que garantiza la supremacía económica. Europa no ha sido capaz de ver que se ha producido un nuevo colonialismo pero esta vez virtual de la mano de las tecnologías. Los ciudadanos europeos somos presa de servicios como Amazon, Google, Dropbox, Ebay,etc...)
Solo hay que ver el mapa que mantiene Jorge Morell en su web "Terminos y condiciones" para evidenciar que ya estamos bastante colonizados, sobre todo porque los servicios más interesantes son aquellos que recogen información sobre nuestros deseos, pensamientos o intenciones (buscadores o redes sociales). Vivimos justo en estos momentos la incertidumbre sobre una nueva reglamentación europea que está siendo torpedeada por los Lobbys de esta nueva economía y que finalmente si no se aprueba antes de las elecciones europeas posiblemente quede de nuevo parada unos años mas. Durante este tiempo, daremos de nuevo manga ancha a los colonizadores del nuevo oro a seguir explotando sin control estas minas de información.

A raíz de la lectura del artículo The Limits of Social Engineering y de Vigilancia líquida de Bauman-Lyon, creo que se empiezan a plantear potenciales escenarios que desde la perspectiva de la ética deberían ser acotados para evitar desmanes o usos perversos del progreso en tecnologías de la información. Ya he comentado alguna vez que en Ingeniería en Informática estudiamos una asignatura relacionada con "Dinámica de sistemas".. Esta disciplina proporciona técnicas para analizar y modelar el comportamiento temporal en entornos complejos. Se basa en la identificación de los bucles de realimentación entre los elementos, como también en las demoras en la información y materiales dentro del sistema. Lo que hace diferente este enfoque de otros usados para estudiar sistemas complejos es el análisis de los efectos de los bucles o ciclos de realimentación, en términos de flujos y depósitos adyacentes. De esta manera se puede estructurar a través de modelos matemáticos la dinámica del comportamiento de estos sistemas. La simulación de estos modelos actualmente se puede realizar con ayuda de programas computacionales específicos. Hasta la fecha este tipo de enfoques no había sido posible aplicarlo a comportamientos sociales porque no eramos capaces de monitorizar qué estaba pasando.



Sin embargo ya existen estudios en determinadas disciplinas orientadas al poder (Política y marketing) que están utilizando estas nuevas tecnologías para elaborar modelos de comportamiento. Estos modelos matemáticos son simulaciones que son capaces de predecir qué sucedería en el sistema real en base a los valores de ciertas variables y se puede jugar con ellas hasta poder comprobar si se llega a un resultado deseado. Ya sabemos que parte del potencial de Google se basa en su capacidad de "predecir el futuro". Como ejemplo filantrópico para vender la imagen del "Don't evil" Google tiene la iniciativa de vigilar la evolución de la gripe. Tal como indica la propia página, "Hemos descubierto que ciertos términos de búsqueda son buenos indicadores de la actividad de la gripe. Evolución de la gripe en Google utiliza los datos globales de las búsquedas en Google para realizar, casi en tiempo real, cálculos aproximados de la actividad actual de la gripe en todo el mundo".  La gran duda es saber qué otras cosas es capaz de predecir Google y en qué ámbitos pero esta claro que si Internet fuera un tablero de Risk, hay un potencial ganador que tiene ya conquistado medio mundo como muestra la siguiente visualización de las Webs más visitadas por países. Es posible que este tipo de información "privilegiada" basada en el conocimiento de las inquietudes de los internautas en base a los patrones de búsqueda utilizados son un diamante en bruto que si son utilizados como moneda de cambio  podrían justificar algunos saltos a la nube Google.





Además, en psicología está muy estudiado el poder del contexto en la forma de comportarse del ser humano. Si se crea un entorno prediseñado para que ante determinada información de entrada se pueda calcular cual será la difusión de la misma, la generación de influencia y la reacción de los grupos influenciados se podrían establecer estrategias de reacción social. Experimentos de este estilo ya los tenemos presentes con las denominadas "campañas de marketing viral". Sin embargo, en otros escenarios los objetivos podrían ser crear contextos para el empoderamiento o jugar a crear "profecías autocumplidas". Todavía no somos capaces de valorar el gran poder que tienen determinadas herramientas de Internet y su capacidad para crear "burbujas de información" diseñadas más a satisfacer necesidades empresariales que a obtener resultados matemáticamente correctos. La personalización puede esconder un fin perverso que se oriente más a suministrar los datos "diseñados" para que el perfil del usuario no salga de una burbuja y refuerce la categorización que corresponde a su clasificación.

Para terminar, creo interesante comentar las reflexiones finales del artículo de la Universidad de Standford, “Privacy in the Age of Big Data. A Time for Big Decisions”. Creo que llegados este punto seguramente el lector haya podido cambiar la importancia que tiene la protección de datos de carácter personal y lo que va a condicionar en el futuro el poner en valor la necesidad de la defensa de este derecho fundamental que probablemente no hemos ponderado bien cual será su importancia en el futuro. Como vemos, la gestión de información masiva, la correlación de eventos y el conocimiento que se obtenga de ellos sin un criterio de infoética (la ética de la información que es el campo que investiga los asuntos éticos que surgen del desarrollo y aplicación de las tecnologías informáticas) puede ser un caldo de cultivo para situaciones nada deseables. El Big data y sobre todo, el nuevo conocimiento que pueda obtenerse del uso de estas tecnologías tienen un potencial peligro si no hay restricciones éticas porque ciertos tratamientos de datos son una amenaza no solo para la privacidad sino también para la libertad. Cuando las herramientas de los poseedores del Big data sean tendencias, predicciones, patrones de comportamiento las decisiones que tendrán en sus manos serán mucho más relevantes que las que puedan manejar ahora con la clasificación y segmentación de perfiles.

martes, 15 de abril de 2014 0 comentarios

Heartbleed, un toque de atención a la industria del software

Toca tras un periodo de barbecho, retomar la costumbre de publicar pensamientos sobre un análisis técnico del panorama de la seguridad de la información. Y la noticia estrella de la semana y probablemente de estos meses será Heartbleed y las consecuencias de este fallo de seguridad. A colación de estos hechos quiero plantear diferentes cuestiones que han venido a mi mente al analizar qué ha pasado y sobre todo, qué causas están de lo que ha sucedido.

Hace un par de años me atreví a realizar un post titulado El Tsunami tecnológico que no pudimos evitar donde relataba cómo un error informático producía un Pearl Harbour cibernético. En concreto, en aquel relato había un trozo de texto que trataba de hacer reflexionar sobre el proceso de creación de software y sobre la necesidad de empezar a aplicar la cultura de la "seguridad industrial" al proceso de fabricación del software.
 La informática nunca quiso ser vista como una  ingeniería. Aunque en las facultades se formaba a profesionales para que aplicaran metodologías de desarrollo, se validaran los programas, se formalizaran las pruebas, en definitiva, se creara un producto robusto y estable, aquello penalizaba la rentabilidad de las empresas del software y no era la práctica habitual. Solo las grandes ya habían descubierto que esa manera de generar código era la única viable para dar soporte al ciclo de vida del software. La crisis también tuvo bastante que ver porque fue la cazuela perfecta en donde cocinar todos estos ingredientes: excusas por falta de recursos, saltos al vacío para ahorrar costes y mirar a la nube como la panacea de las TI, carencias de normas de regulación tecnológica que al menos forzaran a unos procesos de desarrollo y fabricación de tecnologías más robustos y sobre todo, la extensión general de que las responsabilidades no son aplicables a las tecnologías de la información y que el "error informático" es un ente sin nombres y apellidos que siempre está en todas las consecuencias pero que no tiene un padre que determine cual es la causa y sobre todo el culpable. En todos los productos tecnológicos era una práctica habitual que aparecieran las cláusulas de "irresponsabilidad" que son todas aquellas cláusulas de responsabilidad que empezaban diciendo "este producto se entrega como está y el fabricante no se responsabiliza de nada". 
Por tanto, como primera reflexión creo lo sucedido es un primer toque de atención. Estamos basando nuestra economía en un producto intelectual no tangible que no sufre el mismo proceso de fabricación que todo lo que nos rodea en el mundo físico y además, lo estamos desmaterializando cuando usamos ya términos como "cloud" o "nube" para intentar desvincular el software de los dispositivos electrónicos donde reside y se ejecuta. Sin localización de componentes físicos es más fácil lograr la deslocalización de responsabilidades.

Una segunda reflexión tiene que ver con la seguridad del código abierto. Durante años uno de los principales argumentos para generar confianza en el opensource siempre ha sido la transparencia. Sin embargo, se da la terrible paradoja de pensar que el hecho de que potencialmente haya miles de auditores pueda significar que finalmente no decida intervenir ninguno y que todo el mundo piense que otro hará el trabajo. En el post ¿Por qué tienen éxito el phishing o el scam? Psicología de las víctimas de una estafa referencié el estudio de la Universidad de Cambridge que analizaba la psicología de la estafa desde la perspectiva de la víctima. Y curiosamente en el proceso de timar a alguien se produce la aplicación inconsciente de dos principios que pueden haberse dado en el caso Openssl y que a continuación menciono.

  • El principio de obediencia social: La Sociedad nos educa y entrena para no cuestionar la autoridad. Los estafadores pueden aprovechar este "otorgamiento previo de confianza" o "nuestra anulación de la desconfianza" para hacer con usted lo que quieran. 
  • El principio del rebaño: Las personas más prudentes y desconfianzas bajan la guardia cuando todo el mundo parece asumir o compartir los mismos riesgos. ¿Seguridad en multitudes? No, si todos los que te acompañan están conspirando contra ti.

Si un desarrollador ve que instituciones relevantes están incorporando el proyecto OpenSSL de dos personas que implementan las operaciones criptográficas, por el principio del rebaño, puede que acabe deduciendo que si estas instituciones se fían será porque el producto es robusto. Si entre esas instituciones aparece alguna con reputación y credibilidad en materia de seguridad, entonces se aplica el principio de obediencia social y probablemente demos por hecho que la seguridad del proyecto opensource es incuestionable. Y de esa forma se entra en un bucle de retroalimentación positiva donde cada vez empresas más relevantes confían en los pasos que dan otras antecesoras y extendiendo el uso de forma masiva para transformarlo en un estándar de facto en ciertos entornos. Y cuando aparece el fallo Heartbleed y la gente empieza a preguntarse cómo ha podido ser, resulta que OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Dos personas han compartido su conocimiento y código en Internet para que sea utilizado y el uso se extiende tanto que cuando se da a conocer un agujero de seguridad que afecta a las versiones 1.0.1 y 1.0.1f de éste protocolo, acaba afectando a dos tercios de las comunicaciones seguras que se efectúan en Internet. La noticia OpenSSL pide ayuda también revela que muchos de estos productos software están hechos como están hechos. No voy a criticar lo que ciertos voluntarios deciden subir a Internet de forma altruista. Lo que más sorprende es ver cómo hay parte de la industria de las tecnologías de la información que incorporan esas piezas a sus entornos sin realizar ciertos controles de calidad o al menos, contribuyen a que alguien realice estas revisiones en beneficio de la "comunidad".
"En OpenSSL no se trabaja por dinero. Tampoco por la fama, que casi nunca transciende el mundillo de la tecnología, lo hacen porque creen en ello, lo ven cómo una forma de artesanía. No se concreta el sueldo mensual propuesto, pero sí considera que tendrían que rondar los 250 dólares por hora. “Que puede parecer mucho, pero no lo es tanto para un médico o un abogado. Se trata de que se ganen bien la vida”, subraya."
Creo que todos hemos caído en este bucle de generación de confianza espontánea hasta que algo o alguien nos ha planteado el por qué de la situación. De nuevo las revelaciones Snowden hicieron a todos pensar si algunas de las técnicas de la NSA se basaban en la colocación de puertas traseras en determinados elementos estratégicos que permitieran controlar una determinada tecnología. Yo por ejemplo, decidí confiar en Truecrypt cuando leí a Bruce Schneier recomendando el producto como una solución de cifrado robusta. Tras el caso Snowden se empezó a rumorear quién estaba detras de esta aplicación porque no era fácil identificar a sus autores. Hoy la noticia es que hace pocos meses se ha auditado el código fuente de esta herramienta ante la sospecha de si podía ser la NSA la que estuviera detrás de este proyecto y que hubieran colocado una puerta trasera a un programa que se usa extensamente. El informe está consultable en este enlace "Informe de auditoría a TrueCrypt". Todos los usuarios Truecrypt hemos confiando en un producto sin evidencias de su robustez.

Como reflexión final cabe analizar la siguiente infografía que ilustra de una forma bella la cantidad de líneas de código de los productos software actuales. Como se puede ver, la complejidad va en aumento y es bastante probable que el "susto Heartbleed" no sea el último de este año. Existen aplicaciones y servicios que actualmente están basados en la filosofía Lego. Ellos se construyen en base a piezas ya existentes hechas por otros que se referencian y utilizan. Si el error se produce en una pieza situada muy abajo, el resto de elementos software que emplean esa pieza se ven colateralmente afectados por el problema de seguridad y la torre de naipes se cae de golpe. Heartbleed ha sido un primer buen ejemplo de reflexión.




La solución en parte es la certificación ISO 15408 que se aplica a ciertos elementos software pero también habría que ver si hay productos con Openssl certificados. Para quien quiera saber más de esta norma conocida como "Common Criteria" y que se requiere para ciertos productos software en determinados sectores, puede leer la entrada ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones (Parte I)

Un saludo y esperemos que no pasen 4 meses antes de volver a publicar ;-)

 
;