Saturday, July 3rd, 2010
Hace unos días que pasaba a portada de Barrapunto una pregunta, titulada “Aeropuertos y cifrado de disco“, en el que un usuario del portal preguntaba lo siguiente:
Dentro de dos meses me iré a vivir a Noruega, y como es de esperar, deberé llevar la mayor parte de mi información digital. No es que tenga secretos de estado, pero preferiría que la información vaya cifrada, de tal forma que las autoridades de los diferentes países (haré escala en Alemania) no tengan acceso a la información. Claro que podrían pedirme las claves y si no se las proporcionara me podrían confiscar los medios. ¿Cuál es vuestra experiencia al respecto? ¿Qué alternativas sugerís? Tengo acceso a una VPN cifrada, ¿debería pasar por los controles sin la información y recuperarla luego a través de Internet? Desde ya muchas gracias.
Particularmente no tengo nada tan importante en ninguno de mis equipos como para tratar de ocultarlo en una revisión en un aeropuerto. Si me piden que encienda el ordenador, lo arranco, me autentifico y dejo que revisen lo que quieran. Ya se cansarán de ver fotografías, vídeos, películas,… Pero cada uno es libre de protegerlos como quiera.
Las respuestas que dieron los comentaristas fueron varias, pero centradas en:
- usar sistemas de cifrado (TrueCrypt, BitLocker,…).
- llevar el portátil vacío y conectarse mediante una VPN al equipo donde tiene la información, lo que implica tener el equipo continuamente encendido en tu casa, en la de un familiar,… no demasiada buena idea si te vas a vivir permanentemente a otro país.
Otros comentarios rozaron lo paranoico (situación habitual por Barrapunto) y los divertidos, como éste:
Yo vivo en Noruega. Desde hace 2 años y hago unos 14 viajes de ida y vuelta al año y te puedo decir que podrías llevar una camiseta de “illegal content in my laptop” que no pasaría nada.
Algo que sí me resultó interesante fue un comentario de un “pobrecito hablador”:
Estuve trabajando en una compañía global donde se nos obligaba a cifrar todo el disco duro de los portátiles corporativos. Eso sí, teníamos una lista de países con las prohibiciones en temas de cifrado en cada uno de ellos.
En algunos lugares es ilegal entrar con material cifrado (y también depende de la fuerza del mismo) pero no salir o es diferente la dureza de ese cifrado permitida para ambos casos. Si consigo dicha lista, se la enviaré a los editores por si les interesa.
Como sugerencia, lleva lo mínimo sin cifrar y descarga (o lleva en una tarjeta SD de tu cámara de fotos) después lo que necesites.
Este tipo de comentarios, a pesar de considerarlos interesantes, siempre me suenan a comentarios de bar, a alguien que tiene un primo que un día escuchó que en no sé qué país no puedes entrar con el disco cifrado. Algo como lo de Ricky Martin, el perro y la mermelada, que nadie ha visto, pero que tiene un primo que tiene un vecino que sí que lo vio en directo. Por eso le pedí referencias (enlaces) en el post, a lo que contestó otro usuario con el siguiente comentario:
No se cuánto habrá que creerle, pero en el sitio web de PuTTY [greenend.org.uk] dicen que puede que la criptografía sea ilegal en determinados países. Y enlazan a este sitio [rechten.uvt.nl], que incluye este listado [rechten.uvt.nl] de información clasificada por país, según parece.
No lo leí demasiado, ni se cuán actualizado/cierto sea, pero puede ser un comienzo.
La primera de las direcciones nos lleva a un enlace interesante, en el que, de manera gráfica, a través de tres mapamundi, podemos ver los:
que imponen los distintos Estados sobre la información cifrada. Incluyo enlaces a las imágenes y no las imágenes porque el autor no lo permite (“No permission is granted for electronic distribution or publication on another website.”)
Podemos decir, con las excepciones correspondientes, que:
- los Estados occidentales no imponen restricciones para la entrada y para el uso doméstico de información cifrada, mientras que sí la imponen para su salida del Estado.
- Los Estados de los antiguos bloques comunistas imponen restricciones en los tres apartados.
- Respecto al uso doméstico, ciertos Estados, como Reino Unido, Australia u Holanda obligan, bajo ciertas situaciones, a facilitar las claves de acceso a la información cifrada (como no sea mediante un ataque por fuerza bruta a la capa 8 de OSI: mediante unas ostias…, no se me ocurre cómo pueden hacerlo).
Así que ya sabéis, si sois unos auténticos paranoicos (o manejáis secretos de Estado) y vais a viajar a alguno de estos países, echadle un vistazo al anterior enlace para no tener ningún problema en la frontera. Y recordad, siempre os quedará la VPN.
Fotografía: http://www.flickr.com/photos/anvica/2947233762/ bajo licencia Reconocimiento-NoComercial-SinObraDerivada 2.0 Genérica.
Thursday, May 20th, 2010
Siguiendo su política de formación en asuntos relacionados con TIC y seguridad, Inteco acaba de presentar un curso de “Introducción al Documento Nacional de Identidad Electrónico”, tanto para identificación como para firma electrónica. Su duración es de 8 horas, es gratuito y no requiere formación previa.
Puedes inscribirte en esta web.
Friday, May 7th, 2010
Interesante informe de OWASP (Open Web Application Security Project), referente a problemas de seguridad Web en el año 2010, en el que, de forma sencilla (para principiantes en temas de seguridad) se describe cada uno de ellos, se detallan escenarios de ataque y se explica como prevenirlos. Un “must read” para cualquier persona que se dedique a dirigir o programar proyectos Web.
Tuesday, April 20th, 2010
Parece que Firefox y los complementos de Java no se llevan demasiado bien.
Thursday, March 25th, 2010
Parece que Oracle acaba de cortar el acceso público a las descargas de los Service Packs para Solaris, de tal forma que los clientes que quieran estar actualizados tendrán que adquirir un contrato de soporte. Nada nuevo en la industria del software, si no fuera porque tampoco pueden acceder de forma gratuita a las actualizaciones de seguridad. Una política difícil de calificar, ya que, o pagas al fabricante para que te facilite los parches que solucionan fallos de seguridad de su producto o tienes un producto inseguro, debido a los fallos de programación debidos al mismo fabricante que trata de venderte la actualización.
Thursday, March 11th, 2010
Inteco publica un documento introductorio (PDF, 15 páginas) sobre esteganografía, o lo que es lo mismo, la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto.
Es un documento de fácil lectura, rápida (son 15 hojas que se leen de una tacada) y muy intructivo, ya que introduce al lector en la esteganografía, sus orígenes e historia, sus fundamentos teóricos, muestra ejemplos de cómo funciona el sistema en imágenes (y como se detecta) y muestra aplicaciones curiosas de la esteganografía, que van desde su uso mediante cabeceras del protocolo TCP/IP hasta control del malware, pasando por las marcas de agua digitales.
Es interesante saber que no siempre se aplican a imágenes, ya que cualquier medio es válido (audio, video, ejecutables, etc.) y que su uso no siempre está relacionado con fines poco éticos, ya que puede ayudar en campos como la medicina, la protección de menores,…
Por último, resaltar que suele ir combinado con el uso de criptografía, con el fin de alcanzar un nivel de seguridad razonable: la esteganografía oculta que la conversación se está manteniendo, mientras que la criptografía garantiza la confidencialidad de la conversación.
Un documento interesante y de lectura recomendada.
Tuesday, March 9th, 2010
Interesante aportación, como de costumbre, de fernand0 en su blog más técnico, en el que habla sobre una recopilación de aplicaciones web vulnerables destinadas al aprendizaje y a la práctica con las principales vulnerabilidades en entorno web.
Monday, March 8th, 2010
Un par de semanas atrás comentaba en un artículo las razones por las que creía que el sistema de protección “antipirateo” del juego Assassin’s Creed 2 funcionaría. Pronto aparecerían noticias del supuesto compromiso de este sistema, desmentidos, parece ser, por la propia gente de Ubisoft:
La gente de Ubisoft se ha puesto en contacto con nosotros y nos ha comentado que estos rumores son falsos y que las versiones crackeadas que circulan por la red no están completas y el juego no puede acabarse con ellas. Esto me recuerda a lo ocurrido con Batman: AA y lo que pasaba con las versiones de Jack Sparrow. Así que tildamos esta noticia como rumor y, aunque nos alegra que parece ser que no se ha podido piratear el juego, seguimos sin apoyar la política antipirateria de la que ya os hemos hablado anteriormente.
Finalizaba mi artículo con una pregunta vital:
Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.
Pues mi suposición parece ser que no era del todo correcta, ya que leo que los servidores de autentificación han estado caídos el 7 de marzo. Queda claro que, excepto que respaldes la infraestuctura crítica con una empresa con gran capacidad, del estilo de Akamai, Amazon,…no puedes arriesgar la viabilidad de un servicio cuyo uso impones a tus clienes, en este caso, a los compradores de una copia de tu juego.
Actualización: Parece ser que la caída fue fruto de un ataque.
Wednesday, March 3rd, 2010
Acabo de ver una sección que desconocía, pero que me parece interesante, por lo que la comparto aquí. En la web del “Instituto Nacional de Tecnologías de la Comunicación” disponen de un portal de formación online gratuita, con cursos cuya duración va desde 1 hasta 2o horas.
Las áreas temáticas se dividen en 3:
- Área de Seguridad TIC/eConfianza
- Centro de Excelencia XBRL
- Laboratorio Nacional de Calidad del Software
Para inscribirse en algún curso simplemente hay que registrarse en la plataforma de INTECO.
Wednesday, March 3rd, 2010
Interesante post, en el que RafalLos, del equipo de seguridad de HP, detalla paso a paso cómo un grupo de clientes pasan de ser totalmente excépticos con los ataques por inyección SQL, una de las principales técnicas de compromiso de aplicaciones web, a ser conscientes del peligro que entraña. Buena técnica comercial.
Vía Slashdot.
