martes, 30 de mayo de 2006 0 comentarios

Las obligaciones de los prestadores de servicios de certificación

No quiero ser muy pesado con el tema de los prestadores de servicios pero creo que la gravedad del asunto merece dedicarle la atención debida. El presente post tan sólo pretende aclarar por qué es ta importante cumplir con los requisitos establecidos por la Ley de Firma Digital cuando se están generando certificados, ya sean de usuario o de autenticación de servidor.

La Ley 59/2003, de Firma Digital se supone que establece el marco jurídico para que el uso de certificados digitales y la firma electrónica dentro de los nuevos procesos telemáticos se encuentre garantizado y se realize de forma segura para no tener problemas con la autenticación, integridad, confidencialidad y no repudio de datos y actores.

Tras comprobar cómo existen muchas PKI "de bolsillo" (o por decirlo jurídicamente en terminos adecuados, que se pasan los artículos 18, 19 y 30 por el forro) voy a tratar de mostrar qué es eso tan complejo a lo que estas PKI's tienen miedo.

"Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.
Los prestadores de servicios de certificación que expidan certificados electrónicos deberán cumplir las siguientes obligaciones:
-No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.
- Proporcionar al solicitante antes de la expedición del certificado la siguiente información mínima, que deberá transmitirse de forma gratuita, por escrito o por vía electrónica:
> Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos y determinados dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.
> Los mecanismos para garantizar la fiabilidad de la firma electrónica de un documento a lo largo del tiempo.
> El método utilizado por el prestador para comprobar la identidad del firmante u otros datos que figuren en el certificado.
> Las condiciones precisas de utilización del certificado, sus posibles límites de uso y la forma en que el prestador garantiza su responsabilidad patrimonial.
> Las certificaciones que haya obtenido, en su caso, el prestador de servicios de certificación y los procedimientos aplicables para la resolución extrajudicial de los conflictos que pudieran surgir por el ejercicio de su actividad.
> Las demás informaciones contenidas en la declaración de prácticas de certificación.

La información citada anteriormente que sea relevante para terceros afectados por los certificados deberá estar disponible a instancia de éstos.

Mantener un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados.

Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro."


A eso le llamo yo montar una PKI digna de confianza.

Para las de bolsillo, (esas que nos estamos acostumbrando a ver y que se presentan con una advertencia de seguridad del navegador dudando de la validez del candado) si hemos de suponer que no pueden demostrar lo anteriormente dicho, pudieramos pensar también que:

- Podrían almacenar o copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.
-Podrían no tener un método para comprobar la identidad del firmante u otros datos que figuren en el certificado.
- Pudieran no tener registro de las certificaciones que haya obtenido, en su caso, el prestador de servicios de certificación y los procedimientos aplicables para la resolución extrajudicial de los conflictos que pudieran surgir por el ejercicio de su actividad.
- Pudieran disponer de un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida así como alterar la integridad del directorio cuando les plazca para cambiar los datos de los certificados que les interesen.
- O no garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro, con lo que un certificado digital y una fotocopia de DNI tendrían la misma validez respecto a la comprobación y verificación de la identidad.



¿Asustados? No se vayan todavía aun hay mas.


Artículo 19. Declaración de prácticas de certificación.
1. Todos los prestadores de servicios de certificación formularán una declaración de prácticas de certificación en la que detallarán, en el marco de esta Ley y de sus disposiciones de desarrollo, las obligaciones que se comprometen a cumplir en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos, las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados las medidas de seguridad técnicas y organizativas, los perfiles y los mecanismos de información sobre la vigencia de los certificados y, en su caso la existencia de procedimientos de coordinación con los Registros públicos correspondientes que permitan el intercambio de información de manera inmediata sobre la vigencia de los poderes indicados en los certificados y que deban figurar preceptivamente inscritos en dichos registros.

2. La declaración de prácticas de certificación de cada prestador estará disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita.

3. La declaración de prácticas de certificación tendrá la consideración de documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal y deberá contener todos los requisitos exigidos para dicho documento en la mencionada legislación."


O sea, ¡EXISTEN UNOS REQUISITOS MÍNIMOS DE SEGURIDAD para poder generar certificados digitales!

(Pensamientos de un informático que dispone de su PKI de bolsillo)

- Pues me han jodío el kiosko. Con lo apañado que estoy yo con mi servidor que hace certificados como churros a todos mis usuarios y los beneficios que eso me reporta. Ahora resulta que este mecanismo tan fiable necesita de seguridad y encima tengo que decirle a la gente qué y cómo protego su certificado. Además ¡tengo que cumplir la dichosa LOPD que está por todas partes!
Pero si lo tengo yo todo bajo control, ¿por qué tengo que darle cuentas a nadie?
¿Es que el juez dudará de mi cuando de presente las pruebas electrónicas de lo que hacen mis usuarios? Pero si soy de fiar, coño. Fijese cuánto que tengo las contraseñas de todos los usuarios porque yo las genero y las guardo. Además soy incorruptible. Jamás se me pasará por la cabeza apuntarle a un enemigo un correo difamatorio o falsificar un documento y firmarlo para que me ingresen en cuenta algunos eurillos, que va... soy lo más honrado que existe.

¡Burrocracia, como complican la vida estos jueces!

(Fin de los pensamientos)

Y lo último por comentar. El Titulo en donde el Estado, como buen padre que vela por el cumplimiento de las leyes se reserva la potestad de revisar y controlar el buen uso de este revolucionario mecanismo de seguridad.


TÍTULO V.SUPERVISIÓN Y CONTROL.

Artículo 30. Deber de información y colaboración.


1. Los prestadores de servicios de certificación, la entidad independiente de acreditación y los organismos de certificación tienen la obligación de facilitar al Ministerio de Ciencia y Tecnología toda la información y colaboración precisas para el ejercicio de sus funciones.

En particular, deberán permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquéllas.

2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Ciencia y Tecnología el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

3. Cuando, como consecuencia de una actuación inspectora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.



En fin, documentado el tema y explicados los motivos que llevan a garantizar juridicamente el uso y generación de certificados y firmas digitales solo queda llorar ante la triste realidad.

Nos encontramos todos los días con:

- La indisponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro. Tengo configurado el navegador para que SIEMPRE consulte la lista de certificados revocados (CRL) y estoy cansado del mensaje diciendome que no es posible acceder.

- Certificados RAIZ del árbol de confianza en donde no te indican cuales son las prácticas de certificación

- Certificados donde uno no tiene claro quién es la organización asociada al certificado y datos fiables para creer que ese certificado es realmente suyo.

- Certificados de servidor para autenticar una URL y que luego no coincide la que aparece en la página con la que se autentica en el certificado.

Visto todo esto, ¿qué confianza en la Firma Digital esperamos generar? ¿Es confianza poder pintar el dichoso candado en el navegador? ¿Vamos a tener que esperar a las primeras sentencias donde se invalide un trámite administrativo por no cumplir con lo citado en este post para empezar a tomarnos en serio el uso de los certificados digitales?

Parece que este tema lleva el mismo y triste camino que la protección de datos de carácter personal y su reglamento de medidas de seguridad. En cualquier caso, como ya puse en otro post, "El desconocimiento de una ley no exime de su cumplimiento".
domingo, 28 de mayo de 2006 8 comentarios

Esto de la e-Administración es todavía para cogerlo con pinzas...

Acabo de sufrir mi primera experiencia telemática de trato con la e-Administración. Como buen ciudadano acabo hace unos minutos de enviar mi declaración de la renta a través del programa PADRE. Estoy impresionado y aqui agarrado a la silla. Simplemente acojonado.

Acabo de firmar digitalmente la declaración de la renta y para mi sorpresa en ningún momento me ha solicitado eso que "yo solo se y que da acceso a mi clave privada" para firmar. ¿Quién es entonces el enanito escondido en mi PC que ha sido capaz de acceder a mi clave privada sin mi permiso?

Por que lo que si se es que jurídicamente soy responsable de todo aquello que esté firmado con el dichoso certificado. En fin, creo que voy a eliminar el certificado en fichero y hasta que no tenga la dichosa tarjeta y el lector, no voy a arriesgarme a dejar mi certificado en mano de las aplicaciones.

Mal empezamos y mal nos estamos acostumbrando. Esto de firmar digitalmente, si tiene identica repercusión con la firma manuscrita debe ser algo más transparente para el usuario final no entendido en la materia. Debe dar la sensación de control absoluto sobre la potestad de firmar porque en papel cuando uno coge el boli sabe lo que está haciendo (aunque no sea consciente del contenido de lo firmado). Aqui cuando uno instala un certificado no tiene claro qué hacen con "el boli" las aplicaciones y cuando se estampa una firma digital y cuando no. Al menos, cuando el certificado esté en un dispositivo físico si tendremos esa sensación de "boli en la mano".
sábado, 27 de mayo de 2006 0 comentarios

La e-Administración dando mal ejemplo

Esta semana he tenido la suerte de asistir a unas jornadas entorno a la e-Administración celebradas dentro del marco del SICARM que es la feria de las tecnologías de la información de la Comunidad Autónoma de Murcia. Las charlas están grabadas y todas pueden ser consultadas en
esta dirección. Recomiendo sobre todo las del jueves por la tarde.

Quizás por mi deformación profesional que está orientada sobre todo al análisis y la gestión del riesgo, cuando pienso en seguridad no busco que fronteras establecer sino cual es el agujero más probable por el que se puede entrar.

Desde que me dedico a esto, se habla del cambio de paradigma en la forma de hacer las cosas, pasando de lo tangible a lo intangible y de lo físico a lo digital, con la liberación de restricciones que eso supone respecto a espacio y tiempo.

Este cambio sobre todo cultural, debe forzar a trabajar con rigor y seriedad y en este nuevo mundo que estamos construyendo, dos gremios que no han convivido mucho están llamados a trabajar de la mano para establecer las reglas juridico-tecnológicas de este cambio de paradigma.

Hace años se habla de un mecanismo de seguridad que puede (tecnicamente tiene el potencial suficiente) proporcionar garantías sobre la autenticidad, integridad y confidencialidad llamado FIRMA DIGITAL. Pero este Aquiles de la seguridad tiene
también su talón y en el caso de la Firma digital y su uso en forma de certificados la debilidad es no cumplir escrupulosamente con las reglas que hacen que el mecanismo sea digno de confianza.
Además, precisamente para garantizar que esto no ocurra lo primero que se hizo fue definir un marco jurídico robusto que estableciera unas reglas MINIMAS sobre su uso, creación y utilización en la Ley 59/2003 de Firma Digital.


Pues creo que el ser una ley de ámbito tecnológico lleva a que el superman de turno en la organización (el informático) tenga que meterse en donde no nos llaman sin saber la trascendencia de sus actos. Un principio básico de la ley es que su desconocimiento no exime de su cumplimiento. Eso creo que lo sabemos todos.

Sin ánimo de convertir este blog en un foro de denuncia, hay cosas que me preocupan porque precisamente en estos momentos de transición es cuando no podemos hacer mal las cosas y que acostumbremos al usuario a ver como normal la ausencia de medidas de seguridad tales como la no validez de certificados en sitios importantes y mucho más si son de la Administración que es quien regula. Por tanto, he decidido que voy a REGISTRAR los eventos relacionados con la E-Admin en donde NO SE PREDICA CON EL EJEMPLO.

Lo que voy a postear a continuación trae cola...
Primer caso: Ministerio de Ciencia y Tecnología

En esta Web, sección asociada a la Prestación de Servicios de Certificación ocurre la situación (a día 27-05-2006) que a continuación he podido capturar.


Compruebelo usted mismo aquí.

La Web en donde todo usuario debe consultar para saber si una entidad prestadora de servicios de certificación es LEGAL tiene un certificado de servidor que no autentica la url del navegador. O sea, dibuja un candado pero el navegador comienza avisándote que no puede verificar la validez del certificado. Si desconfiamos y no seguimos navegando NO podemos consultar quienes son los prestadores legales en vigor. La primera en la frente. El motivo técnico es simplemente porque han modificado la ubicación del web y se han pasado por alto que la url no se corresponde con la asignada en el certificado. En la captura puede verse como el certificado fue expedido a www10.micyt.es y la url se encuentra situada en www11.micyt.es/prestadores/. Un desliz técnico menor pero de trascendencia grave para el significado del certificado que lo hace carente de valor.

Segundo caso: Real Observatorio de la Armada

El Real Observatorio de la Armada tiene como misión principal el mantenimiento de la unidad básica de Tiempo, declarado a efectos legales como Patrón Nacional de dicha unidad, así como el mantenimiento y difusión oficial de la escala "Tiempo Universal Coordinado" (UTC(ROA)), considerada a todos los efectos como la base de la hora legal en todo el territorio nacional (R. D. 23 octubre 1992, núm. 1308/1992).



Compruebelo usted mismo aquí.

En esta Web (a día 27-05-2006) , en la sección Acceso ROA se proporciona un acceso https con un certificado de servidor "casero", sin registrar. Tal como dice la web anterior del Ministerio de Industria, Turismo y Comercio, la Ley 59/2003, de 19 de diciembre, de firma electrónica establece en su artículo 30, y disposición transitoria segunda, que los prestadores de servicios de certificación deberán comunicar al Ministerio de Industria, Turismo y Comercio, sus datos de identificación, los datos que permitan establecer comunicación con el prestador, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores de servicios de certificación y será objeto de publicación en la dirección de Internet del citado Ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

Tercer caso: Dirección General de la Policía
El acceso a la web segura de la Policía, en la url https://www.policia.es también presenta en el navegador un aviso respecto a que el certificado raíz es de una entidad emisora de confianza. Como conocedor de estas tecnologías, uno se va entonces al Registro de prestadores y tras aceptar que este certificado tampoco es válido por lo comentado anteriormente, consulta la lista de prestadores de servicios de certificación autorizada por el Ministerio.

Pues bien, la Dirección General de la Policía se encuentra en trámite pero no sale en la consulta de los prestadores ya autorizados (a día 27-05-2006).


Compruebelo usted mismo aquí.


La misión y objetivo de este blog es simplemente mostrar y concienciar respecto a la seguridad de la información. El post de hoy evidencia el acceso a tres sitios de la e-Administración en donde antes de poder acceder, el navegador me indica que la validez del certificado con la que se inicia la sesión https no puede ser comprobada o no reúne los requisitos.

¿Vamos a acostumbrar ya al usuario a usar "siguiente-siguiente-siguiente" sobre los avisos respecto a la validez del certificado cuando por otro lado desde el CATA se indica que toda la seguridad de la navegación está en la comprobación de dicho certificado?

Más rigurosidad y responsabilidad cuando manejemos la seguridad porque la confianza es un activo muy fragil. No la destruyan tan pronto.

Fuente:Web del Ministerio de Industria, Comercio y Turismo

"El desarrollo de la Sociedad de la Información y la difusión de los efectos positivos en términos de competitividad que de ella se derivan exige la generalización de la confianza de los ciudadanos, empresas y Administraciones en las comunicaciones telemáticas.

La firma electrónica es una herramienta fundamental para la mejora de la seguridad de la información y la generación de confianza, dado que permite efectuar una comprobación de la identidad del origen y de la integridad de los mensajes intercambiados en Internet."



Pues que así sea.
jueves, 25 de mayo de 2006 3 comentarios

Aqui hay tomate

La verdad es que no podía imaginarme escribiendo en un blog de seguridad de la información sobre un tema rosa, pero como he sido espectador en vivo y en directo, no me puedo reprimir.

Hoy el susodicho programa titulaba en su cabecera una noticia relacionada con una lista de bodas y el titular sensacionalista reclamaba la atención prometiendo que en breves momentos nos dirían la clave de acceso al portal de gestión de lista de bodas de la Señora Carmen Martínez Bordiu.

Pues bien, dicho y hecho. Minutos despues, en una pantalla en negro indicaban a los espectadores cual es la contraseña de acceso al portal de "El Corte Ingles" para ver la lista de bodas y su estado.

¡Ay, ya, ya, ya, yay!

Respecto a este asunto que tiene con la seguridad de la información y su trascendencia jurídica, llevo todo el día preguntandome sobre si es lícito o no (aparte de informativo) comunicar una contraseña encontrada (o comprometida o filtrada) en un medio de comunicación con semejante difusión. Y es que haciendo un simil con el mundo físico y equiparando una contraseña a una llave,
¿Es lícito que entren en tu casa a ver que tienes porque se encuentren la llave en la calle? ¿Quien ha sido el responsable del compromiso de la llave?

La cosa da mucho que pensar y es que si la clave se ha comprometido por negligencia de los dueños, la llave se encontraba en la calle pero si no es así ¿Acaso la contraseña no es única y confidencial? ¿Es que se guarda en texto claro y cualquiera empleado del Corte Ingles puede saber lo que le regalan a cualquiera de los clientes que tiene una lista de bodas?

Dado que yo ya he realizado el trámite de poner la lista de bodas en El Corte Ingles, otro día postearé lo que haya observado respecto al contrato y las responsabilidades en materia de custodia de contraseña. Si recuerdo que en el momento en que nos dieron la contraseña, esta venía como los pines de las tarjetas de las entidades de crédito, en un sobre con papel y copia calco impreso. Además, en este caso (pendiente de comprobar dado que como usuario no he accedido al servicio) me parece que aquí puede haber materia para que la Agencia de Protección de Datos intervenga de oficio dado que aqui hay una invasión de la esfera privada con conocimiento de causa por parte del que infringe la norma.
Si existe una contraseña, existe una voluntad de restringir el acceso a personal autorizado debidamente y por tanto, un tercero aun siendo poseedor de esa información no debería poder utilizarla o al menos, debería ser objeto de sanción por saltar conscientemente una valla de una propiedad privada conociéndose no autorizado.
Por descontado que también debe revisar la Agencia de Protección de Datos al Corte Ingles por no haber sabido garantizar la "seguridad de los datos" si puede demostrarse que la contraseña no es confidencial porque se almacena en las bases de datos en texto claro.

Por referenciar la noticia de la que me hago eco, aqui dejo en enlace al tema en cuestión Aquí hay tomate - Web oficial de Telecinco - Noticias - ¿Quieres regalar algo a Carmen Martinez Bordiú?
lunes, 22 de mayo de 2006 2 comentarios

Recomendaciones de la AEPD sobre seguridad para internautas

Leo vía el blog de seguridad Gaonasec la publicación por parte de la Agencia Española de Protección de Datos de una guía para internautas sobre seguridad y protección de datos de carácter personal. Me parece que este tipo de iniciativas concienciadoras por parte de la Agencia de Protección de Datos son siempre de agradecer, dado que una de las funciones de este organismo, además de velar por los derechos de los afectados respecto al uso o abuso del tratamiento de datos de carácter personal debe ser informar de los riesgos existentes en materia de seguridad de la información.

Lo que me resulta paradojico como comenta astutamente mi compi Gaona, (por aquello de la coherencia y la cohexión) es ver cómo esta guía ha sido colocada en una máquina fuera del dominio de la propia agencia utilizando el certificado de servidor SSL asociado al dominio www.agpd.es.

Entre las recomendaciones de la AEPD se dice textualmente:

"Verifique que el certificado del sitio web con el que se ha establecido la conexión segura ha sido emitido para la entidad a la que nos conectamos y por una Autoridad de Certificación que nos ofrezca confianza." aunque en esta captura podemos ver como esto no se cumple.


Como usuario, el navegador al llegar al documento me ha avisado de que el certificado de servidor no coincide con la dirección de dominio que en este caso es https://212.170.242.148/upload/Recomendaciones%20Internet%20_16%20mayo_%20v2.pdf.

¿Para qué me sirve la autenticación de servidor si no verifica el dominio? Que el certificado es bueno el navegador no lo pone en duda, puesto que ha sido generada por una Autoridad de Certificación de credito como es Verisign pero que sirva para garantizar la identidad del dominio ya es menos razonable.

Imagino que más que cosa de la Agencia Española de Protección de Datos será cosa del proveedor de hosting que en este caso es Telefonica, pero señores, "un poquito de por favor".

No publiquen un documento con recomendaciones de seguridad y luego se salten algunas de ellas, porque como me han dicho siempre de pequeño "Se educa con el ejemplo". Este ya es el segundo ejemplo de organismos relacionados con la seguridad que dan "mal" ejemplo.

Además, revelar la dirección IP directamente en el dominio como que tampoco es algo muy recomendable por seguridad de la información.

(26/05/2006)-NOTA ACTUALIZADA:
A día 26, la deficiencia aqui comentada ha sido CORREGIDA por parte de la AEPD. Felicidades por detectar y arreglar los errores, porque como bien he dicho, se predica con el ejemplo.
miércoles, 17 de mayo de 2006 0 comentarios

Almacenamiento seguro con acceso biométrico

Como continuación de un post anterior, hoy me llega la noticia de que el fabricante de dispositivos de almacenamiento externo LACIE acaba de lanzar al mercado un nuevo disco usb de gran capacidad con autenticación biométrica.
Este producto será seguro más popular que los comentados en el post anterior dado que el fabricante es mucho más conocido y dispone de mejores medios de distribución.El precio de los productos con esta tecnología biométrica son:
40 GB - 180 $
120 GB - 400$

Esta solución para ciertos intercambios de información entre organizaciones con un metodo de autenticación mucho mas seguro respecto a la suplantación. Dado que los datos permanecen cifrados en el soporte y el acceso se encuentra autenticado, esta medida de seguridad permite definir claramente las responsabilidades respecto a la custodia de la información.

Más información sobre el producto en: LaCie - SAFE Mobile Hard Drive with Encryption - Fingerprint Access Control
domingo, 14 de mayo de 2006 0 comentarios

Morenas, anguilas y otros bichos...

Leo vía Sergio Hernando un post del blog de la gente de Hispasec relacionado con las técnicas de ingeniería social para camelarse al ingenuo usuario y hacer que ejecute código malicioso. En concreto, lo que se viene a comentar es que el sexo es uno de los anzuelos que más facilmente hace picar al usuario final.

El motivo del post es que en el blog hay una captura de video
de la demo realizada por el equipo de Microsoft (Padre Parada y Chema Alonso) para ese Security Days de Microsoft que utilizaba una foto de una "morena" impresionante para colar un troyano que permite hacer phishing de bancos brasileños.



El vídeo es curioso de ver para tener un ejemplo real de en qué consisten estas técnicas y qué efectos producen.
También quiero comentar lo interesante que son estos Security Days en el plan en que lo está haciendo Microsoft. Dado que saben que la seguridad a día de hoy es publicidad negativa para la compañía, creo que con buen acierto tratan de hacer ver que gran parte del problema reside en el factor humano y el desconocimiento técnico de las opciones de configuración que en materia de seguridad tienen los productos de Microsoft.
Fuera de la polémica sobre si es más o menos seguro Windows que Linux, evidentemente lo que si está claro es que un producto mal configurado o medio configurado es menos seguro que un producto correctamente parametrizado ya sea sobre plataforma Linux o sobre plataforma Microsoft.

Estos Techdays son eventos entretenidos, técnicamente interesantes y sobre todo muy prácticos, haciendo demostraciones reales y en vivo de las vulnerabilidades existentes, aunque ya no se si los asistentes van porque quieren proteger mejor sus sistemas o aprender a atacar a sus vecinos. En cualquier caso, la dinámica poli bueno-niño malo que desarrollan Padre Parada y Chema Alonso funciona muy bien, y los comentarios y la soltura de Chema Alonso a la hora de explicar y desmenuzar la complejidad técnica de algunos de estos experimentos hacen que la gente vea donde están los problemas y cuales son las correctas configuraciones. En cualquier caso, cualquier esfuerzo por motivar y concienciar al personal siempre es bienvenido. Creo que Microsoft da un paso muy certero con esta iniciativa y con todas las relacionadas con explicar y documentar cuales son las claves a la hora de instalar y configurar sus sistemas.
miércoles, 10 de mayo de 2006 0 comentarios

Guía para el desarrollo de métricas en seguridad de la información

En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección".

El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security


Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.

Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.

Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.
jueves, 4 de mayo de 2006 0 comentarios

Microsoft Shared Computer Toolkit

Microsoft ha anunciado la versión 1.1 de Microsoft Shared Computer Toolkit.


Aunque este producto existe desde hace tiempo, esta versión tiene importantes mejoras. Este software está destinado a equipos que:

• Son utilizados por gran variedad de personas que, por lo general, no se conocen ni confían entre sí.
• Se utilizan en espacios públicos en los que la seguridad y la privacidad personal tienen gran importancia.
• Sufren mayor desgaste por el uso frecuente y la disponibilidad pública.

Esta solución puede ser ideal para la gestión de salas de formación, de prácticas, cibercafés o un PC de casa en donde mucha gente mete mano. Una de las cosas más interesantes, de cara a la administración y mantenimiento de este tipo de equipos es la protección del disco de sistema.

• Ayuda a proteger los archivos del sistema operativo.
• Elimina los cambios efectuados en el disco cada vez que se reinicia el equipo.
• Automatiza las actualizaciones críticas y de antivirus.
• Posibilidad de poder elegir si se guardan cambios en el disco.

Los cambios no autorizados en el disco duro disminuyen la seguridad de los equipos compartidos. La Herramienta protección de discos en Windows lleva registro de los cambios que los usuarios o los programas efectúen en el disco duro (incluso los realizados por virus o spyware). Cada vez que se reinicia el equipo, se eliminan los cambios, y se restablece el disco duro a su estado original. Es diferente a la gestión que puede hacerse de los puntos de restauración de XP. En combinación con Active Directory y las plantillas administrativas, puede conseguirse una funcionalidad interesante para la gestión de PC de perfil de usuario o situados en ubicaciones físicas remotas o en PC de acceso no controlado.

Más la información en la faq en ingles.
miércoles, 3 de mayo de 2006 0 comentarios

Consultoria artesana en la red: El oficio de consultor/a: por que y para que

No suelo escribir muchos post que no estén directamente relacionados con el blog, pero hoy toca uno de esos. Y es que uno que se dedica a esto de la consultoría de la seguridad de la información a menudo no entiende en qué consiste el correcto desempeño de su trabajo y el por qué hasta que no se realiza un diagnóstico desde fuera no se ponen remedio a las cosas.

He encontrado en el blog Artesaniaenred muchas de las cuestiones que siempre me hago y que su autor ha contestado muy interesantemente. El post original podéis leerlo en "Consultoría artesana en la red: El oficio de consultor/a: por qué y para qué" y yo a continuación voy a seleccionar los trozos más interesantes:

"Fue hace ya un tiempo cuando Virginia preguntó qué es la consultoría. Esta es de esas preguntas que, por su sencillez, es de lo más excitante para responder. Creo que junto a las putas, es de los más antiguos del mundo. Matizo que me centro en la consultoría que aborda temas de gestión (management, que solemos apalabrar).

¿Por qué y para qué nos contratan las organizaciones?

El consultor existe porque hay trabajos para los que una organización (empresa privada, pública, ONG, administración o lo que sea) necesita apoyo del exterior. Suele haber tres razones oficiales: no saben, saben pero no quieren, saben y quieren pero quizás no puedan. Y existe una cuarta razón, que es la más deseada: contratan al consultor porque confían en él, al margen de lo que sepan, quieran y puedan hacer. Vamos a repasar cada escenario.

Primer caso: No saben.
Puede existir complejidad técnica (o tecnológica) o de gestión y la organización no cuenta con especialistas que sepan llevar a cabo determinadas actividades. En una organización pequeña pueden ser temas básicos administrativos o que no formen parte de las actividades primarias de valor añadido, según el amigo Michael Porter. En empresas más grandes pueden ser asuntos específicos que requieren un conocimiento profundo de determinada materia. En este caso rondan por la escena los centros tecnológicos, muy cerca del terreno de la consultoría, o las mismas universidades. Pero de esto hablaremos en el capítulo 5.

Un ejemplo claro para contratar consultores es el desarrollo o implantación de determinadas aplicaciones informáticas. Pero también lo es el diseño y puesta en marcha de una nueva organización, o la entrada en un nuevo mercado desconocido hasta la fecha para la empresa en cuestión y que requiere un análisis de cierta profundidad...

Cuando una organización no sabe, hay que pactar cómo va a ser la tranmisión de conocimiento. Es decir, hay que hablar de si el objetivo es sólo hacer lo que ellos no saben, o si, además, se trata de hacer... y hacer que aprendan a través del proceso mismo de la consultoría. En este segundo caso necesitamos una persona o un equipo del cliente muy pegado a nuestra actividad y capaz de asimilar y comprender lo que allí está pasando.

Segundo caso: Saben, pero no quieren.
Hay ocasiones en que las organizaciones saben realizar determinadas actividades pero no quieren llevarlas a cabo. Puede ser porque no quieren invertir una cierta cantidad de horas o porque prefieren la opinión de un tercero aséptico (que nunca lo acaba siendo). También puede ocurrir que quieran probar con servicios externos para dotarse de mayor flexibilidad: en vez de hacer lo que ya saben, usan servicios externos cuando hagan falta, dedicando recursos internos a otras actividades que puedan considerar de mayor valor añadido en un momento dado.

Cuando una organización sabe pero no quiere hacer es muy importante, valga la redundancia, saber por qué no quiere hacer. Conocer estas razones es básico para enfocar el proyecto de una u otra manera. Al principio hay que esforzarse por comprender las expectativas del cliente. No todos valoran lo mismo y el consultor que quiera un cliente satisfecho debe tener en cuenta las manías y particularidades de cada cliente. Y raros, como en todas partes, los hay.

Tercer caso: saben y quieren pero quizás no puedan.

Estamos ante una consultoría más enriquecedora. El cliente sabe tanto o más que tú, quiere hacer, pero ha considerado dificultades para implantar y quiere contar con tu ayuda. Probablemente vas a aprender con el cliente (siempre sucede, aunque quizá aquí más que en los otros casos). Entramos en el terreno de la táctica, de la mano izquierda, de la visión sistémica de una organización, de "no es cuestión de serlo sino parecerlo". Estas actividades requieren compenetración con el cliente, compartir aproximaciones a los problemas, dibujar rutas alternativas y cosas por el estilo.

Cuando el cliente cree que no puede hay que consumir cierto tiempo en "fase 0". Llamo "fase 0" a la que tiene que ver con anticipar ciertas resistencias, pero también a detectar palancas para el éxito. Tenemos que identificar "quién corta el bacalao allí adentro" o cómo son sus hábitos en la toma de decisiones. Más vale prevenir que lamentar.

El consultor embarcado en un proyecto de este tipo sabe que la ruta tiene su riesgo. Las carreteras no están dibujadas en el mapa por mucho que otras organizaciones hayan llegado al final de viaje con cierto éxito. El camino que a uno le servió -es importante conocerlo- puede que a otro le resulte intransitable. Si el proyecto sale bien, el consultor lo anota para contar a los nietos cuando llegue el momento.

Cuarto caso: contratan al consultor porque confían en él, al margen de lo que sepan, quieran y puedan hacer.

Es el trabajo de consultor al que llegas con algunos clientes y al de cierto tiempo de repetir éxitos. Estos éxitos no tienen por qué tener una traducción obligatoria a resultados cuantificables. Te das cuenta de que estás ante un cliente así cuando te propone trabajar a jornada completa o parcial para él o cuando te propone montar un nuevo negocio conjuntamente. En este estadio las horas pasan deprisa y reconoces que no es mal curro éste de consultor."

Personalmente, estos dos últimos casos suelen ser los que más me encuentro en mi vida profesional y son también los dos más gratificantes en la realización de nuestro trabajo. Uno siente que es capaz de generar inercia y de solucionar problemas, y por tanto, los resultados de la consultoría son hechos, acciones y la mejora del cliente que nos llena siempre de satisfacción profesional. Por otro lado (no iba a ser todo tan positivo), nos obliga a mantenernos actualizados y al día respecto al área técnica de la que somos consultores, teniendo que estar a la última y estudiando constantemente nuevas tendencias o ideas que puedan aportar valor para nuestros clientes actuales o futuros.
 
;