Seguridad

Cada vez que pienso en los protocolos de seguridad y la paranoia extrema de algunas organizaciones se me ocurre algo parecido.

 

Clic en la imagen para ver la tira de Dilbert completa.

Anuncios

El Cloud Computing nace herido de muerte

Ya comenté que el pasado fin de semana estuvimos conversando sobre cloud computing en la terraza de un bar (la tecnología posee nuestras vidas). La conversación nació sobre una duda de una amiga abogada sobre las implicaciones legales del Cloud, bien, no pudo ser más oportuno porque este otro artículo le va a encantar.

Microsoft admite que la legislación americana, concretamente la “Patriot Act” permite al gobierno de EEUU acceder a todos los datos almacenados en territorio americano, sabiendo además como las gasta el gobierno de EEUU cuando quiere posiblemente simplemente con que los datos estén bajo control de una empresa americana aunque residan en otro país tengan capacidad para reclamarlos, ya vimos que VISA y MASTERCARD en el caso de Wikileaks prefirieron curarse en salud.

Si el gobierno americano solicita a una empresa acceso a los datos de una empresa española en base a la “Patriot Act”, ¿creen que Google, Amazon o Microsoft resistirán bravamente si los servidores están en Irlanda por ejemplo o los entregaran para quitarse de problemas? La respuesta es obvia, se cubrirán ante las demandas de sus clientes pero entregarán los datos.

No es una situación “probable”, dudo que el gobierno de EEUU solicite acceso a mis datos o los de mi empresa en base a esa ley (aunque encontrar excusas es posible buscando entre tus clientes sabe dios que puede aparecer), tampoco creo que sea preocupante, no quiero que un funcionario de EEUU fisgue entre mis correos, pero si lo hace no me va a pasar nada del otro mundo. No tengo una vida oculta tan interesante.

Pero evidentemente esto es un problema mortal para el “Cloud”, si una empresa no puede garantizar a sus clientes, accionistas o empleados la seguridad de la información cuando utiliza servicios “Cloud” las resistencias internas a usarlo serán elevadas, habiendo opciones que no tienen ese riesgo, ¿justifican los beneficios en costes o servicio asumirlo? No, la verdad es que no.

Evidentemente la legislación siempre está ahí, pero esta situación crea inseguridad jurídica, ya no estas controlado por la legislación de tu país, también por la de EEUU si usas el Cloud de Microsoft, por la de Canadá si usas Blackberry, o por la de cualquier país intermedio por el que transiten o se almacenen aunque sea temporalmente los datos. Creo que algunos países árabes lograron acceso a los datos de Blackberry de los usuarios locales, eso ya era grave, pero al menos tenías que ir allí físicamente, ahora basta conque el sistema Cloud de tu proveedor utilice un servidor en Corea por temas de rendimiento para que el gobierno Coreano tenga acceso a tus datos, inasumible.

Puede que Internet como terreno libre de legislación sea un problema o deba ser controlada, pero al mismo tiempo puede que esto mate algunas ideas.

No se pueden defender los DDoS

Mastercard CaidaNo he querido escribir acerca del tema Wikileaks porque se escapa mucho del objetivo de este blog y está más cerca de la política y el periodismo, aunque tengo en la cabeza un artículo en relación con este tema que si tiene relación con el mundo de la tecnología.

Pero si quiero hablar sobre un error que está cometiendo el mundo de la tecnología, la defensa de ciertos casos de ataques de denegación de servicio (DDoS). Ya dije lo mismo sobre el DDoS a la Sgae.

Como dije en mi anterior artículo:

Y no es para sentirse orgulloso, la comunidad de internautas de España ha demostrado más gamberrismo que madurez.

Independientemente de cuanto se merezcan sufrir daños Mastercard, Visa, Paypal e incluso Amazon por sus decisiones en relación con Wikileaks recurrir a ataques DDoS continuos es un error, por muchas razones:

  1. No es proporcional a los actos de esas empresas, ellos dejaron de prestar servicios a Wikileaks, lo propocional (en todo caso) es dejar de usar sus servicios y si se quiere promover un abandono masivo de esas empresas (como el caso de Paypal). Recurrir al DDoS es una escalada excesiva, sobre todo porque Wikileaks sigue funcionando y seguirá recibiendo fondos en breve.
  2. Se está creando una “cultura” de justificación de ataques a los propios servicios de Internet, de la que un día nos arrepentiremos, no se precisan más que algunos cientos o miles de usuarios que se pongan de acuerdo en el momento para hacer triunfar un DDoS, en general es complicado reunir esa cantidad pero si se crea una moda de participar habrá decenas de miles de candidatos en cada caso sin demasiada justificación más que “hoy por ti mañana por mi”.
  3. Las empresas que he mencionado antes (Visa, Mastercard, Paypal y Amazon) prestan servicios a cientos, miles o millones de empresas y usuarios. Si realmente el ataque tuviera éxito (no ha pasado de momento de “penalidad momentanea”) todos esos millones de usuarios y miles de empresas sufririan las consecuencias. Dudo que exista justificación consciente a esos daños. En cualquier caso, los ataques hasta el momento no han llegado a estos extremos, pero no es por autocontrol de los colectivos que realizan el ataque, una vez activado pararlo es muy complicado.

Yo también estoy a favor de la existencia de Wikileaks, pero no creo que haya que sacar de quicio las cosas. En realidad pretender cometer lo que el gobierno americano considera un delito y apoyarte en empresas americanas para hacerlo es poco realista. Ellos mismos reconocen que esperaban la respuesta de estas compañías.

Del banco suizo no he dicho nada intencionadamente, que un contrabandista pueda tener una cuenta y Assange no pueda es algo que solo un banquero suizo puede comprender.

¿Es culpable el fabricante de armas de los muertos?

facebook

La privacidad, ¿es una prestación de la herramienta o una sensación del usuario?

No estoy de acuerdo con el planteamiento de Enrique Dans sobre el tema, sostiene que la privacidad de los datos en Facebook es una decisión del usuario que los pone allí porque lo desea, hay dos temas muy básicos al respecto que niegan ese punto de vista:

  1. Hay usuarios no conscientes de las posibles consecuencias de los datos que proporcionan. El ejemplo de las aldeas es impreciso, que los ochenta habitantes del pueblo de mi padre me vean desnudo bañándome en el río (por ejemplo) un día no es lo mismo que me vea cualquier persona que busque mi nombre en la red durante los próximos 100 años. El alcance de los errores es descomunalmente mayor, por tanto el propio sistema debe aportar defensas al usuario.
  2. Hay una legislación que limita la difusión de datos personales a las empresas que los custodian, precisamente porque al recibirlos se hacen responsables de los mismos. De modo que hay “alguien” que ya ha dejado definido que el responsable de la privacidad es el depositario de la información y no el propietario como explica Dans.

Estos dos temas son en si mismos motivo suficiente para que Facebook deba responsabilizarse de la privacidad de la información que recoge, pero no son los únicos.

Es cierto que yo puedo prestar mis datos personales a una red social porque me interesa, pero mi interés es para algo concreto, puedo dar mi fecha de nacimiento para que mis amigos sepan cuando cumplo años y me llamen, pero no quiero que una empresa de regalos les inunde a Spam la semana de antes proponiéndoles regalos, que yo quiera prestarle la información a Facebook no es que lo haga “para cualquier cosa”. La red social debe implantar mecanismos que intenten limitar el acceso a los datos de un modo controlado independientemente de que el usuario sea o no consciente de lo que está exponiendo.

Las redes sociales se fundamentan en recibir información de los usuarios, unirla, referenciarla, darles opciones en base a ella, por tanto para existir debemos darles esa información, pero en ningún momento a fondo perdido. Una cosa es que LinkedIn difunda mis datos profesionales y permita contactar conmigo a ex-compañeros de estudios o trabajo, y otra que cualquier persona que estuvo en Tanzania en 2007 pueda enviarme cadenas de poemas por Facebook porque coincidió conmigo en el mismo país el mismo año. LinkedIn además tiene una política de control a los abusos que restringe los malos comportamientos, mejor no hablamos de los usuarios de Facebook o Twitter que se dedican a coleccionar “amigos” o enviar destructores de tiempo.

Facebook debe restringir el uso de la información que proporcionamos y poner toda la vigilancia posible en la privacidad de los datos, son 400 millones de personas, es demasiada gente como para cometer un error estúpido con todos ellos, por el bien de Facebook y de sus usuarios.

Si es el usuario el que debe controlar su privacidad, respecto a Facebook yo solo tengo una recomendación, no tener perfil con datos reales…

Respecto del título, no creo que el fabricante de los Magnum 357 sea responsable de las muertes causadas, pero Facebook por ejemplo es como si Magnum enviase un arma a cada casa del planeta con un “disclaimer” en el sobre que dijera “no lo use si no conoce las consecuencias”. Si una empresa pone armas en las manos de los usuarios de modo indiscriminado es responsable del mal uso que hagan de ellas. Y las redes sociales son armas de destrucción masiva de la privacidad y la reputación de una persona.

Ya saben porque no tengo enlace a mi perfil en Facebook, ¿no? 🙂

Los ciberataques llegan a las PYME

Ahora mismo es un escenario que parece exagerado pero ya podemos empezar a ver comentarios al respecto.

“En 2007 Estonia recibió un ciberataque (ahora alberga la sede del centro de la OTAN de ciberdefensa) y durante 2009 España recibió 40 ataques graves según el CNI… Aunque no son solo la administración estatal la que debe preocuparse, también la autonómica y la local. Al fin y al cabo también ponen cerraduras y alarmas. Pero ¿se están preparando las empresas?

Desde luego el porcentaje de ataques que pueden sufrir ataques informáticos dirigidos específicamente a su compañía es pequeño, al igual que ocurre con las personas individuales, se ven ataques directos a personas concretas y creación de troyanos especialmente diseñados.

¿Por qué ahora es un riesgo? Porque atacar informáticamente a una PYME es ya muy sencillo y barato, puedes “contratar” los servicios de un hacker para que realice un ataque directo que rebase las líneas defensivas (firewall, antivirus, control de accesos). Y el beneficio potencial en una PYME es mucho mayor que atacar a una persona concreta, primero su capital circulante (que es el dinero que puedes sustraer) es mayor, segundo, sus sistemas están mucho más informatizados, es complicado acceder a mis movimientos bancarios desde el exterior de la red de mi domicilio, efectuó pocos movimientos bancarios desde mi casa y el banco me protege de ataques con sus sistemas de claves, pero una PYME es diferente.

Por ejemplo, una PYME con Ms Dynamics o SAP, esta empresa efectúa pagos bancarios desde un programa estandarizado, es posible que si alcanzo el equipo de un usuario del departamento de finanzas pueda generar las entradas manualmente en la aplicación y “ordenar” un pago bancario fraudulento como una supuesta compra o modificar los datos bancarios de un proveedor real, y además este ataque puede que no se detecte de inmediato. Además de esto el robo de información privilegiada es potencialmente valioso para la competencia (aunque no creo que los competidores de las PYME jueguen a este tipo de opciones) o servir como “chantaje” o solicitar un rescate.

¿Qué opciones tiene una PYME? Para mi una estrategia de implantar ISO 27000 es la mejor opción, dotarte de una dinámica de gestión de la seguridad es el único modo de no ser especialmente vulnerable, debes ser más resistente al atacante que otras las víctimas potenciales, al igual que ocurre en la sabana africana la mejor opción para sobrevivir si eres una gacela es estar rodeada de otras gacelas más lentas, cuando ataque un depredador se “interesará” más por la más débil.

Los ataques a empresas son minoritarios, por lo tanto, evita ser parte de la minoría.

Relacionada: http://www.elblogsalmon.com/empresas/estan-preparadas-las-empresas-para-los-ciberataques

La Agencia de protección de datos inspecciona más de 600 centros en España

Según esta nota de prensa la AEPD está realizando una evaluación en hospitales de toda España del cumplimiento de la ley respecto de la protección de los datos, la nota es (en mi opinión) extremadamente dura.

  • Ha requerido a 654 centros sanitarios para que remitan a la AEPD un informe antes del 31 de mayo.
  • La finalidad es comprobar si cumplen con las garantías de protección de datos, especialmente con las medidas de seguridad y confidencialidad de la información sanitaria.
  • Existe una preocupación creciente de la AEPD por el impacto del incumplimiento de la normativa de protección de datos por parte de centros hospitalarios.
  • En los últimos años la AEPD ha detectado alarmantes casos relacionados con la difusión de datos de pacientes a través de redes P2P, como e-Mule, así como datos de salud abandonados en la vía pública.
  • Se analizará asimismo como son atendidos los derechos de acceso de los pacientes a las historia clínica.

En España no hay una clara conciencia respecto de la seguridad de los datos, sobre todo de terceros, y la política de gestión es difusa (o lo que es lo mismo, cada día diferente según el tiempo y recursos disponibles).

Es lógico que se comience por atender este tipo de acciones en áreas como la médica donde la información es muy sensible, pero creo que va siendo hora de que se le de un empujón a este tema desde un organismo o por ley incluso.

Simplemente la exigencia de la ISO 27000 para contratar con el estado (yo añadiría la exigencia al sector financiero y sus proveedores) podría ser suficiente para impulsar estas políticas, al menos exigir que se realice una gestión de las mismas y no se las deje de la mano de dios. Pero me temo que esto solo llegará desde el ámbito de la UE en algún momento.

Hasta el caso de moda, el juicio de Gürtel deja en evidencia la situación, ¿la información sobre cajas B, sobornos, delitos se guarda en un Pen Drive con nombres de ficheros tan descriptivos? No existe una conciencia de la seguridad informática, creemos que nuestros PC están seguros..

¿Estamos preparados para jugar con la localización?

Desde la discusión el foro privado del Insitituto de Empresa he llegado a este artículo de FT.com sobre las intenciones de Facebook de introducir geolocalización a sus aplicaciones.

El boom de la geolocalización proviene del amplio despliegue de terminales móviles que pueden aportar o aportan ya ese dato (iPhone, PDA, móviles última generación, iPad o incluso Kindle con su 3G).

Aunque hablar sobre la conducta de Facebook es una discusión de moda y muy divertida me voy a abstener porque creo que todas las posiciones son juicios de valor de cada cual, y es muy complicado hacer las cosas bien con el crecimiento y tamaño que tiene los señores de Palo Alto.

Centrandome en el caso de la geolocalización, se me ocurren pocos datos más privados que este, con esta información y un registro continuo se puede saber donde vivo, donde trabajo, a donde voy a comer, con quien me relaciono, con quien como (si están a su vez geolocalizados, mi hora de salir de casa, la de volver, donde paro a comprar o echar gasolina e incluso cuantos faltas al código de circulación cometo en cada caso. Hasta el hecho de apagar el terminal para desactivar la geolocalización temporalmente transmite la información de que en ese momento hacia algo que quiero mantener en secreto a alguien . Los ejemplos serían más sencillos una reunión en un competidor de mi cliente o de mis socios o una entrevista de trabajo con la competencia a mi jefe o una supuesta infidelidad a mi pareja. No solo es un problema de privacidad para mi, lo es para mi empresa, el listado de empleados y de sus proyectos estaría publicado en la práctica.

Además de la privacidad personal, el riesgo de ser candidato a un potencial fraude es muy elevado si se tiene acceso a estos datos, puedes conocer cual es mi banco sabiendo la oficina que visito, cuando no estoy en casa, cuando estoy de viaje e incluso sería fácil provocar un “encuentro casual” para comenzar un fraude más directo. El análisis de una cantidad suficiente de candidatos haría sencillo escoger la mejor victima para ser atacado. No es preciso pensar en los casos donde intervienen menores porque es evidente que los riesgos se multiplican.

En este aspecto (como en todos en tecnología) hay que entender que hay usuarios que pueden gestionar el riesgo conociendo las tecnologías y las amenazas perfectamente, pero el problema es que el porcentaje de usuarios que desconocen a que se enfrentan es muy elevado (no voy a entrar en si esun 20% o un 70%, da lo mismo hablamos de millones de personas en España en ambos casos). Por lo tanto para mi esto es un aspecto en el que deben luchar los reguladores y las empresas proveedoras.

Aspectos a regular.

¿Qué deberían hacer las compañías proveedoras y los reguladores?

Yo creo que unas posibles medidas serían las siguientes:

  • No permitir almacenar ni utlilizar los datos históricos de localización, limitar el uso a la ubicación actual. De ese modo se evita que se deduzcan datos de ese registro, la ubicación actual en si misma no es un dato tan facil de utilizar.
  • No se debe proporcionar a terceros, no debe ser utilizado en redes sociales o grupos de usuarios en común de modo general, Facebook puede proponerme algo o resaltar un dato o una invitación, pero no proporcionar a un tercero (otro usuario) mi ubicación para impedir que me identifique si yo no lo deseo.
  • Se debe controlar el uso que cada aplicación hace de este dato (al estilo de Apple con las aplicaciones del iPhone) y que un “certificador” controle que intenta hacer la aplicación. No se debe permitir el trasiego de los datos de ubicación originales sino exclusivamente los resultados de algoritmos de decisión conocidos.
  • Hay que evitar el uso por usuarios menores de edad, es evidente que en el caso de Internet es inviable, pero no es así en los móviles (que es donde de verdad el dato es relevante) de modo que al menos los móviles con capacidad de proporcionar geolocalización deberían venderse como “no apropiados para menores”, no podemos evitar que los padres les den a sus hijos el terminal de todos modos pero si informarles.