Trucos para usar ordenadores públicos con seguridad

En la entrada de hoy voy a comentar sobre los ordenadores públicos (p.e.cybercafés) y la seguridad. Básicamente todo se centra en mantener nuestros datos seguros, y no son ni más ni menos que el usuario y las contraseñas que usemos.

Es habitual en estos ordenadores identificarnos para leer el correo o para acceder a la cuenta bancaria. Al ser ordenadores sobre los que no tenemos ninguna confíanza, estos pueden estar con el antivirus desactualizado, con troyanos, o lo que suele ser más habitual: tener un keyloger instalado (software que registra todas las teclas que pulsamos).

La primera regla sería algo evidente: no usar la misma contraseña para dos sitios distintos. Si un hacker nos coge la contraseña del correo, podría acceder a otros sitios.

La segunda regla sería algo también muy obvio: después de haber estado en un ordenador público, cambiar a la mayor brevedad la contraseña cuando estemos en un ordenador seguro.

¿Cómo podemos utilizar un ordenador público con seguridad de que un keylogger no nos supondrá un problema? Para eso ofrezco dos soluciones parciales:

1)      Abrir un notepad y escribir 0123456789abcdefghijklmnopqrstuvwxyz. A continuación con el ratón vamos haciendo copy/paste letra por letra hasta formar la contraseña. Una vez ensamblada, la copiamos/pegamos en el formulario de identificación. Este método es bastante seguro aunque existen algunos keylogers que también registran todo lo que se copia/pega en el portapapeles.

2)      Un gran porcentaje de keylogers no registran la tecla de borrado de carácter. Entonces se puede meter una secuencia que tenga incrustada la propia contraseña. Por ejemplo: suponiendo que el símbolo * representa borrado de carácter, y nuestra contraseña real es FR0luc79, escribimos en el campo de contraseña ui**Fl*Rhygf****0qw**1ujk**c71*9

Ninguno de estos dos métodos es completamente seguro al 100%, pero si ofrecen un grado de confianza aceptable hasta poder cambiar la contraseña en un ordenador seguro. Otros consejos a tener en cuenta serían los siguientes:

• Elegir contraseñas fuertes que no contengan palabras de un diccionario, que combinen letras y números y tengan una longitud entre 8 y 16 carácteres.
• Usar contraseñas únicas para cada sitio.
• Cambiar las contraseñas después de haber utilizado un ordenador público.
• Si usted usa redes wireless cambie la contraseña a menudo.
• Cambiar las contraseñas al menos un vez al año.
• No guardar las contraseñas en programas, incluso si estás estan protegidas con contraseña. Un ordenador comprometido con virus o troyanos podría acceder a ellas.
• Y por supuesto….. no escribir nunca las contraseñas en papeles. Si quiere acordarse, utilize una frase en la que la inicial de cada palabra sea una letra de la contraseña; por ejemplo: Cinco patitos con dos patitas cruzaban el rio de ocho metros de longitud. Contraseña: 5pc2pcerd8mdl

Saludos
Fermín

Políticas de Seguridad

Que me disculpen hoy los lectores ajenos a esta temática,  pero hoy voy a escribir un artículo concerniente a temas relacionados con mi trabajo. Aún así, seguro que algunos considerais el contenio interesante.

Para el que no lo sepa, una política de Seguridad son un conjunto de documentos que marcan la estrategia de la empresa en relación con la seguridad informática. Suelen constar de documentos a distintos niveles:

- Política: Sería como un documento de declaración de intenciones.

- Normativas: Son la descripción de obligaciones para hacer cumplir las políticas. Describen acciones concretas sobre distinos activos. Describen “el qué se hace”.

- Procedimientos: Son las descripciones técnicas que hacen cumplir las normativas. Están adaptadas a según que tecnología. Describen “el cómo se hace”.

(hay más tipos, que no mencionaremos aquí, como guías, buenas prácticas, estándares, etc.)

Lo que cualquiera que se dedique al mundo de la seguridad informática se habrá dado cuenta es que existen estándares sobre buenas practicas de seguridad (como la ISO 17799, 27001, ….) que mencionan las políticas, y “por encima”, que tienen que tener en cuenta.

Pero, ¿os habeis preguntado como se ejecuta un proyecto de desarrollo de un marco normativo en una organización? Yo se que cada empresa consultora tiene su propia manera de abordar este asunto. Entre estos métodos de cada consultora, existen puntos en común, pero en otros aspectos se hacen cosas distintas.

Guiado por la curiosidad, me he preguntado si existe alguna metodología aprobada para el desarrollo de las políticas de seguridad. Lo que me he encontrado ha sido de muy diversa índole. Espero que al lector le sirva de ayuda mis averiguaciones:

- Por regla general, existen Guías para el Desarrollo de Políticas.

- También existe un intento de creación de metodología para crear políticas. Aunque esta última no sabría si considerarla “buenas prácticas” o “metodología”.

- Por otro lado existen libros que tratan este tema y muestran muchos ejemplos de políticas de seguridad. Aunque no conozco el contenido de estos libros a fondo, intuyo que serán también unas guías genéricas e imagino que diferirán ligeramente de un libro a otro. Algunos ejemplos de libros aquí y otro aquí (este último, bastante conocido en el sector, cuesta más de 500€)

En definitiva, no existe nada serio en este campo (salvo desconocimiento mio, que no lo descarto). En este sentido, sería muy interesante que los organismos internacionales de estandarización movieran ficha para crear una metodología o algo consistente al respecto. Cosas a considerar serían:

• ¿qué debe cubrir una política de seguridad?
• ¿cúantas normativas debe tener una organización? ¿qué deben cubrir?
• ¿cómo se establecen los ciclos de vida de los documentos?
• ¿quién y cómo se establecen las responsabilidades?
• ¿que normativas se desarrollan primero? ¿cuales son las dependencias entre normativas?
• Implicaciones legales
• Organización.
• Etc.

Saludos

Fer

El trabajo del consultor en seguridad informática

Muchos de vosotros os preguntais en qué consiste exactamente mi trabajo, y es por ello que me he decidido a publicar una entrada hablando de ello. Pues bien, en mi puesto puedo desarrollar distintos proyectos dependiendo del cliente, el momento y las necesidades. Enumero:

• Realizar Análisis de Riesgos. En este tipo de trabajos, cuando llegamos a un cliente comprobamos qué información es importante y analizamos mediante cálculos complejos, que componentes tienen un mayor riesgo a que haya un incidente o incidencia de seguridad que se traduzca en pérdidas monetarias para la empresa. Así, una vez evaluados los riesgos, podemos recomendar dónde se debe gastar la organización el dinero para disminuir esos riesgos.
• Hacking éticos: Simulamos la actividad de un hacker, para comprobar así los fallos de seguridad de los sistemas y proponer las medidas correctoras asociadas. Esta tarea requiere un alto conocimiento y especialización técnica.
• Desarrollo de políticas: Igual que el Estado tiene el Código Penal, un Código civil y un montón de leyes que regulan la vida cotidiana del país, en una empresa se crean leyes (llamadas normas) para regular la actividad de la empresa. Parte de estas leyes serían las relativas a la seguridad informática. Ejemplos de normativas serían: aquellas que dicen los niveles de clásificación de la información (público, confidencial, secreto,….) y como se debe proteger cada tipo (cifrado, armarios con llave, …), normas que especifican cómo se organiza el departamento de Seguridad, normas que regulan los controles de seguridad física del edificio, etc….
• Planes de formación con respecto a la seguridad.
  
• Adecuaciones a la ley de protección de datos de caracter personal (LOPD): esta ley marca una serie de controles que deben cumplir las empresas. Nosotros, como consultores, ayudamos a que se cumplan.
• Planes de contingencia: elaboramos las políticas de copias de seguridad de servidores.
• Planes de continuidad: desarrollamos planes que ante determinados escenarios (terremoto, inundación, atentado terrorista, ataques de virus, …..) permitirían arrancar un centro de proceso de datos en un lugar distinto al de la empresa, con servidores disponibles y personal de reserva para poder retomar la actividad habitual de la empresa de forma transparente, como si no hubiera pasado nada. Y no solo es importante estos temas, sino también como organizar las actividades y a las personas para acometer todas estas tareas.
• Proyectos de seguridad en desarrollo de aplicaciones: creamos guías para que los desarrolladores programen de forma que se eviten fraudes y otros problemas de seguridad.
• Análisis forense: En determinadas ocasiones, es necesario “aislar” un equipo y obtener de él todas las pistas sobre que actividad ha tenido el usuario, qué documentos tiene o qué acciones ha realizado. Esta información puede ser necesaria en procesos judiciales, por lo que es de suma importancia obtener las pruebas de forma “limpia” (p.e. delante de un notario).
• Otros proyectos: auditorías, fortificación de máquinas, I+D, proyectos de control de acceso y perfilado, etc.

Yo estoy especializado en unos proyectos más que en otros, pero desde un punto de vista profesional, es de suma importancia conocer todas estas actividades, tanto desde el punto de vista técnico como teórico.

Saludos

Fer

Reflexiones sobre Google

Hoy me resultaba dificil que tema elegir para hablar. Con casi 80 visitas al día, y algunos pidiendome hablar sobre música, otros sobre curiosidades…… en fin, paciencia porque pienso, poco a poco, hablar de todo. Hoy toco un tema para dar a algunos que pensar.

Vamos a ello….. Algunos datos sobre estadísticas de uso de Google según el total de internautas por paises que lo usan:

EEUU, 42%; Reino Unido, 75%; Alemania, 91%; España 99%; China 21%; ….

España es el pais con más éxito. En otros paises la tarta se reparte con otros buscadores como Yahoo o MSN.

¿Por qué Google tiene tanto éxito en España? Cuesta entender ese “dominio absoluto”. La respuesta más apropiada sería porque las búsquedas dan respuesta a lo que los españoles esperan de un buscador. Aún así sería interesante un estudio en profundidad, ya que el resto de buscadores ni siquiera suponen más del 1%, y eso es un fenomeno muy muy muy raro. Sociologicamente debe tener alguna explicación.

¿Qué características tienen los algorítmos de búsqueda? Ciertamente sería deseable un algoritmo que fuera público. En este sentido Wikia, un nuevo buscador de Wikipedia que estará disponible en Diciembre, basará sus búsquedas en un algoritmo de código abierto desarrollado por “la comunidad”, donde primarán la valoración que hagan los usuarios sobre las páginas, y no en parámetros de calidad medibles por un algoritmo automático, como hace Google.

Que el algoritmo sea público tiene mucha más importancia de la que puede resultar a simple vista. Por ejemplo, Google es uno de los donates de fondos del partido republicano en EEUU. Dicho esto, ¿quién garantiza que en las búsquedas no se está primando a las webs o blogs que hablan bien de este partido? La transparencia es la mejor de las tarjetas de presentación de una empresa u organismo, por eso que el público conozca el algoritmo sería un punto muy importante.

El tema de la transparencia tiene una gran analogía con la seguriad informática. Allí, la seguridad de los algoritmos que se usan en el cifrado de datos está muy relacionada con que el algoritmo de cifrado sea público o no. Si es público, el algoritmo es puesto a prueba por cientos de personas (criptoanálisis). Cuanto más público, mejor, porque si el algoritmo “no se rompe”, significa que es muy buen algoritmo. Sin embargo, si el algoritmo no es público, no se puede garantizar parte de su seguridad, al no haber estado “sometido a prueba”.

Dejo al lector hacerse algunas preguntas sobre los buscadores, y que piense en ello un poco:

• ¿Debe un algoritmo de búsqueda ser público?
• ¿Debe un buscador solo primar la popularidad de un sitio? ¿Qué pasa con la calidad del contenido? ¿está el segundo relacionado con el primero? ¿o no siempre?
• ¿Debe un buscador primar la accesibilidad, el diseño o las capacidades multimedia?
• ¿puede una web o blog sin recursos monetarios posicionarse mejor que una compañía que puede invertir dinero en ello?

Wikia viene a resolver algunos de estos interrogantes, gracias a la transparencia y la intervención humana en la valoración de los sitios. Evidentemente también hay algunos problemas asociados, parecidos a los que tiene la Wikipedia (bandalismo, disputas “filosóficas” sobre lo apropiado del contenido, etc…..), aunque de eso intentare hablar en otra ocasión. Estaremos atentos al futuro de este buscador….

A….. y mientras tanto estudios nos dicen que Google solo indexa el 0.02% del total de información de Internet. ¿no es sorprendente?

Saludos

Fer

Fuentes usadas para el artículo:

1. "Documental 'Google tras la pantalla' " 

2. Noticia de 'El Mundo'

La NSA

“La NSA es uno de los centros de investigación en criptografía y criptoanálisis más importantes del mundo. De hecho se considera que esta organización es el mayor empleador de matemáticos del mundo, así como uno de los mayores inversores en hardware“(fuente: Enciclopedia de la Seguridad Informática, Alvaro Gómez Vieites, Ra-Ma, 2006)

¿no es de suponer que pueden descifrar muchas comunicaciones? La verdad es que los datos dan para pensar mucho en ello. Las referencias a Echelon,  un sistema lleno de polémica, también le dan a uno señales de que el Gran Hermano nos vigila.

Echelon se supone que es un complejo sistema de escuchas de comunicaciones de datos, voz, email y demás tipos de información. El lector puede consultar la wikipedia al respecto. Allí comprobará que este sistema se sospecha se usa también para espionaje económico, político y diplomático.

Por suerte, los usuarios típicos no tenemos nada que esconder, aunque tampoco deberíamos estar bajo la lupa.

Saludos.

Fraudes con tarjetas de crédito

Hola, hoy vamos con una de seguridad:

Últimamente hay un fraude que se estila mucho en Internet. Cuando un hacker consigue números de tarjetas de crédito robados, no puede hacer compras por Internet, puesto que el poner su dirección postal le delataría. Por eso, estos astutos ladrones, lo que hacen es realizar la estafa por medio de una Web de subastas.

Para ello, cuando quieran conseguir dinero, anuncian la venta de un artículo, digamos p.e. de 600 €. En la Web de subastas subirán fotografías y “pintaran” el artículo muy bien. Cuando un usuario, después de las pujas correspondientes compre el artículo, el hacker le dará un número de cuenta corriente al que ingresar el dinero, y a continuación comprara en Internet el artículo en cuestión, pero poniendo en la dirección de envío la dirección postal del pujador ganador.

De esta forma, el pujador recibe su artículo, el hacker consigue dinero limpio, y al propietario de la tarjeta le han cargado la cantidad.

¿Se puede evitar que alguien se haga con tu número de tarjeta y la use en su provecho? No. Pero se puede minimizar el problema: Para ello, haga compras utilizando números de tarjetas virtuales; si entra en la Web de su banco seguramente los encuentre, y si no pregúnteles. Si su banco no tiene este servicio, use tarjetas de crédito específicas con un límite muy ajustado, para que no tenga este problema.

Si el sitio es una web de mucha confianza, como por ejemplo Amazon, siempre podrá usar su tarjeta ordinaria puesto que sitios como este deben tener muchas medidas de seguridad para evitar que les roben los números de tarjeta, pero en el resto de sitios es conveniente que siga los consejos que le he dado. Eso si, tampoco pretendo ser alarmista, tenga en cuenta que usando su tarjeta en la vida real también corre este riesgo, y no se suelen dar estas situaciones.

Saludos
Fer