miércoles, 25 de marzo de 2009

Conficker y los Password Débiles

Es mucho lo que se ha escrito sobre conficker, también conocido como confick o downadup, y no quería dejar pasar la oportunidad de hacer un comentario acerca de la forma de propagación que emplea una de sus variantes.

Amen de copias a los dispositivos móviles utilizando el archivo autorun.inf, Conficker intenta contactar con el recurso compartido $Admin. Mediante este recurso, el gusano obtiene acceso a las unidades de sistema del ordenador remoto. Para acceder a este recurso, Conficker consigue una lista de usuarios del equipo remoto e intenta entrar probando los password que figuran en una lista de 200.

Si examinamos esta lista podemos ver donde está el problema realmente; en el factor humano. A pesar de que estamos cansados de ver recomendaciones sobre cómo fortalecer nuestros passwords, seguimos empleando passwords sencillos fruto de nombres personales, usar el mismo password que el nombre de usuario, passwords formados sólo por letras minúsculas o números, la palabra 'password' como password (de hecho, hay un estudio del que se desprende que el password mas usado es password1) y el usuario admin como administrador.

Hay quien se pregunta cómo es posible que los administradores de sistemas sigan utilizanso passwords fáciles de adivinar pero lo cierto es que esta historia se volverá a repetir una y otra vez porque nuestra naturaleza es la que es y ciertos aspectos de la seguridad informática son cuestión de números.

martes, 17 de marzo de 2009

Las copias... de tus passwords

Cada día, cuando encemos nuestro PC en la empresa encontramos una pantalla de bienvenida en la que se nos solicita que introduzcamos nuestro usuario y nuestro password, si no es así y no hay otro tipo de mecanismo de autenticación, basado en biométría o en tarjeta inteligente, o en cualquier otro método, mal vamos.

Lo cierto es que nos hemos acostumbrado a este método de autenticación y se nos ha hecho tan familiar que lo tenemos presente en nuestro DNI-electrónico, en las tarjetas de los bancos, en los portales de trasnferencias bancarias, en el acceso a páginas web con contenidos restringidos a usuarios registrados, en el correo electrónico, etc, etc, etc.

Tanto nombre de usuario y password ha dado lugar a que estas cuentas de usuario deban ser administradas, necesidad que así recoge la ISO 27001 en los 3 primeros controles pertenecientes al objetivo de control 11.5 "Prevenir el acceso no autorizado a los sitemas operativos". Si bien, lo que me gustaría recalcar en este post es la inmensa cantidad de passwords y cuentas de usuario que tenemos repartidas por internet y los problemas que esto puede generar, entre los que podemos encontrar:

- Pérdida de password: "aquí me registré, pero no me acuerdo ni del nombre de usuario y mucho menos del password".
- Mismo password y nombre de usuario en todos sitios: "estoy harto de tener que registrarme, voy a poner usuairo 'otrah' y password '1234' y además lo voy a emplear en todas partes.
- Password débiles: "cada vez que tengo que acceder a cualquier parte tengo que estar metiendo el password, voy a poner uno facilito y así me acuerdo, por ejemplo, 'Miguel'.

A todo lo anterior hay que unirle que cada vez son más los sitios en los que necesitamos realizar un registro. ¿Cual es el resutlado? como comentábamos anteriormente, acabamos utilizando el mismo nombre de usuario y password en todos sitios, nuestras cuentas de correo, el foro al que accedemos de vez en cuando y la página a la que acudimos una vez en busca de la solución a nuestro problema, en algunos casos incluso la misma que tenemos para acceder a nuestro sistema. Las últimas cifras hablan del 33%. Para prevenir esto podemos hacer uso de la herramienta keepass.

Esta herramienta es un gestor de contraseñas que nos permite almacenar en una base de datos de forma cifrada todas nuestras cuentas de usuario (nombre de usuario y password). Para poder acceder a esta información se utiliza un password maestro o un fichero clave.

Cada vez que accedemos a un sitio podemos introducir una nueva entrada en la aplicación con la URL en donde se encuentra nuestra cuenta, nuestro usuario y nuestro password, incluso podemos pedirle que nos genere uno con determinada fortaleza de forma que garantizamos que el password es robusto y posteriormente lo introducimos en la página de registro en el momento de creación de la cuenta. Las entradas quedan ahí almacenadas y cuando al cabo del tiempo entras a una página en al que tienes una cuenta, keepass te avisa de que allí tienes ya una cuenta creada ;).

Keepass es una solución opensource y muy práctica para gestionar los numerosos passwords que tenemos repartidos por el mundo.

En un post futuro ahondaremos desde el punto de vista organizacional en cómo resulta de imprescindible una buena administración de contraseñas.

PD: Lamento la tardanza en actualizar pero he tenido algún que otro problema (leve eso si).

miércoles, 11 de marzo de 2009

do you practice social networking?

Hace ya algunos años que aparecieron plataformas web que permiten a través de su funcionalidad crear lo que se conocen como redes sociales, grupos de amigos o conocidos que comparten algo en común o que simplemente desean mantenerse localizados y localizables sea cual sea su nuevo trabajo, teléfono de contacto o dirección de casa. Ahora basta con agregarlo a mi lista de contactos y ya podré mandarle mensajes privados, disponer de sus datos personales, su perfil profesional, y toda la información que haya introducido y se encuentre pública.

Hasta aquí todo parece ir bien, ¡Puedo tener a todos mis amigos localizables estén donde estén!, y visto desde la prespectiva empresarial, ¡Puedo establecer nuevos contactos beneficiosos para mi negocio!. Sin embargo, estas redes sociales no están exentas de polémica, fruto principalmente de algunas cláusulas que figuran en las condiciones de uso y por las cuales cualquier cosa que se comparta en ellas pasa a otorgarles a los creadores de la plataforma una gran cantidad de derechos sobre lo que se conoce como el contenido del usuario.

Tres de estas plataformas son Facebook, LinkedIn y Tuenti.

Lo que viene a continuación es un examen de algunas de las cláusulas más llamativas de las condiciones de uso de cada uno de los servicios, cómo éstos nos las presentan y algunos consejos para utilizar estas redes sociales de forma que se prevengan sucesos no deseados.

Facebook

Esta red es una de las más conocidas, estando enfocada a todo tipo de personas y principalmente para redes de amigos que quieren compartir entre si archivos, fotografías, etc.

Tanto en la versión en Inglés como en la de castellano que he tenido acceso a día 12/03/09, la situación es la que se presenta en la siguiente figura:

Se puede encontrar en un lugar medianamente visible y accesible si bien el acceso a los términos no es ni mucho menos imprescindible para llevar a cabo el registro.

Me gustaría apuntar que la lectura de la traducción al castellano de estos términos de uso se hace bastante difícil, más parece propia de un traductor automático, con lo cual nos aclara más la versión en inglés de estos términos y una traducción desde la misma. A continuación tenemos un fragmento de esos términos.

"publicando contenido de usuario en cualquier parte de este sitio, automáticamente otorgas permiso, y expones y garantizas que tienes tal derecho a otorgar permiso, a Facebook a una irrevocable, perpetua, no exclusiva, transferible, completamente pagada, licencia mundial para usar, copiar, explotar públicamente, mostrar públicamente, reformatear, traducir, extraer (en todo o en parte) y distribuir tal contenido de usuario para cualquier propósito, comercial, publicitario, o cualquier otro, sobre o en conexión con Facebook o la promoción del mismo, a producir trabajos derivados de, o incorporar dentro de otros trabajos, tal contenido de usuario, y a otorgar permiso y autorizar sublicencias de lo anteriormente mencionado"

Aquí teneis un análisis más en profundidad de Manuel Benet sobre las cláusulas de Facebook.

linkedIn

Quizá no tan conocida entre quienes no se mueven en el ámbito empresarial esta red está diseñada con un público objetivo que se mueve entorno al mundo empresarial y organizacional.

En LinkedIn la situación de las condiciones de uso es si cabe aún peor, tenemos una ubicación en el pie de página y poco visible. Al igual que ocurría con facebook, no resulta necesario ni se interponen medios para que estas condiciones de uso sean leidas por el usuario previo registro al servicio.

En esta ocasión la traducción al castellano es de una calidad bastante buena y podemos exponerla directamente como se encuentra en el sitio. Una de las cláusulas contempla lo siguiente:

"Licencia y garantía respecto del material que entregues: No tienes que entregar ningún material a LinkedIn, pero si lo haces (incluyendo contenidos, ideas, conceptos, técnicas e información generados por el Usuario) nos otorgas, tal como lo haces al suscribir este Contrato, el derecho no exclusivo, irrevocable, perpetuo, a nivel muncial, ilimitado, sujeto a cesión o sublicencia, totalmente pagado y libre de derechos de regalías (cesión) para copiar, mejorar, distribuir, publicar, eliminar, retener, agregar, utilizar, comercializar dicho material, mediante cualquier forma conocida o que pueda ser descubierta en el futuro, sin que sea necesario otro consentimiento, notificación y/o compensación de ninguna índole. Al entregarnos informaicón, manifiestas y garantizas, según tu leal saber y entender, que esa información es cierta, que no es confiedencial y que no viola ninguna restricción contractual ni otros drechos de terceros. Asimismo, aceptas invormar a LinkedIn en el caso de que tal información haya sufrido alguna modificación desde el momento en que te registraste en LinkedIn y, si corresponde, aceptas realizar esas modificaciones en tu perfil."

Tuenti

Con una clara tendencia hacia la gente más joven, de origen español y habiendo permanecido mucho tiempo como la red preferida en españa, actualmente ha sido sobrepasada por facebook (diciembre de 2008)

La situación de las condiciones de uso es la que aparece en la siguiente imagen.

Sencillamente no existe. No en el proceso de Login y si deseas registrarte en la siguiente pantalla tampoco, solo solicita tu mail para después ver que amigos tuyos se encuentran dentro de la red social y solicitarles una invitaicón, nada de términos de uso por ninguna parte, al menos no antes del registro.

Realizando una búsqueda en google sí que localizamos tales términos de uso, que curiosamente corresponden a la versión mobile de dicho servicio y en la que sí se encuentran en un lugar visible.

Al igual que en los casos anteriores, en estas condiciones de uso figura el siguiente texto:

"El usuario cede en exclusiva a TUENTI y para todo el mundo los derechos de reproducción, distribución, comunicación pública sobre los contenidos que suministre a través del sitio web, así como el de modificación para adaptarlos a las necesidades editoriales de TUENTI, y garantiza además la legítima titularidad o facultad de disposición sobre dichos derechos."

En éste último caso hay incluso una huelga programada no por esta cláusula sino por esta otra:

“PROPIEDAD INTELECTUAL E INDUSTRIAL: TUENTI, como autor de la obra colectiva en que consiste el Sitio Web, es el titular de todos los derechos de propiedad industrial e intelectual sobre la misma. Está prohibida cualquier forma de reproducción, distribución, comunicación pública, modificación y, en general, cualquier acto de explotación de la totalidad o parte de los contenidos (imágenes, textos, diseño, índices, formas, etc.) que integran el Sitio Web, así como de las bases de datos y del software necesario para la visualización o el funcionamiento del mismo, que no cuente con la expresa y previa autorización escrita de TUENTI. El Usuario no podrá en ningún caso explotar o servirse comercialmente, de forma directa o indirecta, total o parcial, ninguno de los contenidos (imágenes, textos, diseño, índices, formas, etc.) que conformen el Sitio Web sin la autorización previa y por escrito de TUENTI.”

Conclusiones

Algunas de las conclusiones que se pueden extraer de los aspectos y servicios examinados son las siguientes:
  • La lectura de las condiciones de uso del servicio no es un paso más dentro del registro sino que es responsabilidad de quien lo usa localizarlas y leerlas previa utilización del mismo.
  • Cuando se usa cualquier servicio de estas características se debe tener en cuenta que se puede hacer uso del mismo bajo unas condiciones y que el hacer uso del mismo implica la aceptacion de las condiciones que en su debida sección, más o menos localizable, se exponen.
  • La percepción de lo importante que resulta la aceptación de dichas condiciones nos vuelve a jugar una mala pasada en este caso fruto de una subestimación de qué es lo que está ocurriendo realmente, básicamente por su desconocimiento, estamos firmando un contrato.
  • Estos servicios contienen ciertas cláusulas por las cuales aquel que lo usa no cede pero si comparte muchos derechos sobre el material que allí se publique.
Algunos Consejos

A buen seguro podeis encontrar otras recomendaciones mucho más extensas y extensibles a todas las plataformas. Sin embargo a mi me gustaría hacer algunas de forma muy breve:
  • No usar estas redes sociales para compartir archivos que puedan tener la más mínima importancia.
  • No exponer más información de la estrictamente necesaria para el objetivo que nos haya llevado a usar dicha plataforma.
  • No aceptar en tu red gente que no conozcas directamente o de quien no se tengan referencias claras y fiables.
  • De forma más general, es conveniente leer las condiciones de uso antes de usar ningún servicio, hay que tener conciencia de que se está firmando un contrato.
Por útimo me gustaría hacer hincapié: "Tened siempre en cuenta que cualquier archivo que se suba a estos servicios puede ser usado con propósitos publicitarios, cedido, distribuido y/o modificada sin que sea puesto en el conocimiento de quien lo subió, ya que cuando se usa el servicio así se consiente, incluidas las fotos. Y no solo eso, incluso después de eliminada vuestra cuenta no está claro en algunos casos si vuestro contenido persistirá".

lunes, 9 de marzo de 2009

El Incidente del IRA

Este fin de semana, Irlanda ha sufrido una gran conmoción por un incidente que le ha costado la vida a dos soldados.

Las diferentes fuentes dan versiones aparentemente iguales pero con diferentes matices sobre los hechos que causaron el desgraciado suceso.

En primera instancia la información apuntaba a que los terroristas habían conseguido entrar en el recinto protegido haciéndose pasar por repartidores de pizza. Sin embargo, esta versión fue rápidamente corregida por los medios para reflejar una diferente en la que los soldados salían fuera de las instalaciones a recoger la pizza que los repartidores traían en dos coches (un repartidor en cada coche) y en ese momento dos terroristas que se encontraban en un tercer coche dispararon a los soldados causando la muerte a dos de ellos, heridas de consideración a otros dos y dejando a los repartidores de pizza con heridas de diferente consideración.

Lo que ocurrió realmente sólo lo sabrán unos pocos pero la realidad es que la primera versión hubiera supuesto un gravísimo fallo en el proceso de identificación y autenticación que sucumbió a un ataque por suplantación (impersonation) mientras que la segunda supondría uno poco menos grave por el hecho de no haber valorado adecuadamente los posibles riesgos derivados de lo que en principio era una simple entrega de unas pizzas y 4 soldados que salían a recogerlas. A esto hay que añadirle que si había, como se supone, un control, éste no funcionó. Resulta muy escandaloso que en una base militar no haya nadie en el puesto de control que se encargue de la identificación y autenticación de los visitantes y continuo examen del exterior y que esta persona no vea a otras dos en un coche con ángulo de disparo sobre la puerta de forma que pueda realizar varios disparos certeros provocando tal desgracia.

Cada cual que extraiga sus conclusiones, yo ya tengo las mias.

jueves, 5 de marzo de 2009

Reutilización del Hardware en la empresa

La tecnología y el software han ido de la mano desde el primer sistema de información. Cuando surge una nueva tecnología, nuevas capacidades de procesamiento, nuevas formas de comunicación, etc, no tarda en aparecer un software capaz de sacar rendimiento a las recién descubiertas características de dicha tecnología.

Ya sea por motivos de un incremento en el volumen de datos procesados fruto de un crecimiento de la empresa, por una mejora en la comunicación o por una simple cuestión de eficiencia que lleve a los trabajadores a unos tiempos de espera más reducidos, en las organizaciones se produce un cambio generacional del hardware cada cierto tiempo. En ocasiones, el hardware antiguo no se destruye, sino que se reutiliza dentro de la empresa para actividades que requieren una menor carga computacional o una interacción ocasional. Esto provoca un movimiento de sistemas que pasan de unos departamentos a otros y que exige el debido cuidado con la información que en ellos se guarda.

Suele ser bastante frecuente en la pequeña y mediana empresa el disponer de documentos de carácter confidencial en el ordenador personal de los altos cargos de la organización así como en los departamentos de contabilidad donde podemos encontrar información de facturación, márgenes de beneficio, listados de proveedores, y un largo etcétera. Estos no son los únicos casos sino los que a bote pronto resultan más significativos.

Cuando se produce una reutilización del hardware dentro de la empresa se ha de llevar el debido cuidado de que la información sea completamente destruida. En un gran número de casos, el ordenador antiguo simplemente se pasa al departamento de destino habiendo borrado el usuario antiguo y habiéndose creado uno nuevo, en mejores casos el ordenador es formateado, lo que dificulta pero no imposibilita ni mucho menos, la recuperación de la información. Existen multitud de programas que permiten recuperar información pasada del ordenador, entre los que puedo destacar tras probar varios de ellos Photorec.


Con el objetivo de eliminar esta y otras problemáticas surgen las aplicaciones de borrado seguro de datos, entre las que podemos destacar Eraser. Esta herramienta nos permite realizar un borrado del espacio libre de un disco duro realizando una sobreescritura del mismo en 35 ocasiones consecutivas (aplicando el algoritmo de Gutmann) y de forma aleatoria e imposibilitando la recuperación de la información. De esta forma, una posible opción pasa por hacer un rastreo intensivo de los directorios que contienen información del usuario y un borrado seguro mediante dicha aplicación, si bien esta acción deja margen al error y no es la más recomendable.


Ante la situación descrita, una medida razonable es realizar un formateo a bajo nivel del dispositivo, si bien esto tampoco garantiza la destrucción total de los datos, incluso después de sobreescritos, para los escépticos este artículo es increíblemente clarificador. Sin embargo dicho método de formateo da unas garantías razonables con una inversión de tiempo no muy elevada. En ese mismo artículo, cuya lectura recomiendo encarecidamente, se da una alternativa que puede o no ser viable en el caso que nos ocupa dependiendo de los requerimientos de tiempo y disponibilidad del sistema antiguo. Tras dicho formateo o sobreescritura según sea el caso se debe restaurar el sistema y las aplicaciones desde sus discos originales, realizar la oportuna configuración y ya podemos pasar el sistema a su nuevo entorno de producción.

Si el sistema es directamente retirado, las medidas deben ser incluso más drásticas, pero ese es otro tema...