La prensa y sus tonterías

Llevo un tiempo sin escribir, un cambio de puesto de trabajo de por medio me tiene bastante desconectado.

Lo de hoy es una entrada rápida a raíz de este artículo sobre cómo Snowden consiguió sacar la información que posteriormente filtró. En verdad, lo que hace el ¿periodista? es preguntarse cómo lo hizo, porque no da absolutamente nada de información. Nada que deba sorprendernos en estas horas tan bajas para esa profesión. Lo que me llamó la atención fue la cantidad de mitos, clichés y tonterías que hay alrededor de los informáticos en general y los que se dedican a la seguridad en particular (buenos y malos) y que estos ¿profesionales? no ayudan en nada a desmitificar. Esta frase es antológica:

“La afición más comúnmente atribuida a esta tribu es la obsesión con ‘Star Trek’, así que, en la patria del surf, un ‘geek’ pinta tanto como Cicciolina en Arabia Saudí”

De verdad, impresionante trabajo. Será que en EEUU esto es así, y a lo mejor estoy metiendo la pata hasta dentro, pero creo que este hombre ha visto demasiado The big Bang Theory.

Hasta la próxima.

La seguridad debe ser transparente al usuario

Hace un tiempo leí el siguiente artículo en que el autor se pregunta donde está el Steve Jobs del mundo de la seguridad, desde entonces tengo pendiente escribir sobre esto. Cada vez se avanza más en las soluciones de seguridad en general, haciéndolas amigables y, a veces, transparentes para el usuario, pero habrá que seguir trabajando en ello, porque creo que la clave está ahí, en que él no sepa que es lo que se hace por debajo. Queda bien eso de implementar productos simples, fáciles de usar, con unas características que lo hacen muy seguro, pero la clave está en la transparencia. Hay que hacer que para el usuario la palabra cifrado, actualizaciones de seguridad (especifico seguridad porque para añadir nuevas pantallas a un juego y cosas de ese tipo no tienen problema en aprenderlo), bastionado de equipos, firewall, apertura de puertos… Sigan siendo conceptos que no entiendan, pero sí que sean tecnologías que usan a diario sin saberlo.

Las actualizaciones automáticas de los SSOO fueron un primer paso, los AV, casi todos los navegadores dan la opción de hacerlo en la actualidad, sus plugins también empiezan a hacerlo, y así nuevos programas se van uniendo, todo sin que el usuario tenga que hacer nada. Cuando hay un parche o nueva funcionalidad, la aplicación lo baja y en el siguiente reinicio lo aplica y listo. La activación por defecto del firewall de Windows XP SP2 fue un gran acierto. El que quería abrir puertos para juegos u otras aplicaciones se molestaba en averiguar como, pero la mayoría de la gente estaba más protegida sin saberlo, y ni falta que hizo.

Está la opción se seguir con la concienciación del usuario, pero no parece que los resultados sean los esperados. Ya lo comentó hace poco David Barroso en su blog y los comentarios de Juan Garrido o José Selvi, entre otros, son de obligada lectura. Como es lógico, no se puede eliminar al usuario de la ecuación, pero sí delegar lo menos posible en él, siempre que pueda haber una solución técnica que lo proteja, aunque no lo sepa.

Saludos

Cifrado de información

Esta semana a un amigo le han robado el portátil con el que trabaja. En el momento del incidente, estaba trabajando en un proyecto internacional. Afortunadamente, no fue nada violento y no hubo pérdidas más allá del equipo… ¿Seguro? Esto es lo que dice él pero ¿Tenía cifrada la información? La respuesta es NO. Ahora hay varias posibilidades, que haya alguien disfrutando de un portátil, lo formatee y lo use para lo que crea conveniente, otra es que se ponga a revisar qué tipo de información hay y vea diseños, código fuente de aplicaciones de la empresa, esquemas de direccionamiento, planes de negocio, BBDD de clientes, documentos de gestión (lo que sea con lo que trabaje) o bien que simplemente vea cuando navegue que mi amiguete tenía la opción de guardar contraseñas en el navegador, pudiendo acceder a su correo, perfil en diferentes redes sociales, los servicios online… O varias de las opciones a la vez… Vamos, un auténtico desastre. Pero lo curioso, es que él sólo ve la pérdida del equipo (afortunadamente, tenía copia de lo que el considera importante, a saber qué será).

Ya lo dije aquí en su momento, la herramienta para estos menesteres que uso es TrueCrypt, sobretodo a nivel particular, en el plano profesional hay una solución corporativa. Creo que toda empresa que tenga a empleados trabajando fuera de las oficinas (ya sea viajando por necesidades de proyecto, o por estar en cliente), debería tener un procedimiento claro y sencillo de cómo trabajar con volúmenes o discos cifrados. Hay pocas excusas para no hacerlo, los SSOO suelen llevar opciones nativas (Bitlocker, Filevault, LUKS…). En el caso de empresas, que seguramente trabajen con Windows, su solución se puede gestionar a través del directorio activo, con lo que la tarea se simplifica. Está claro que es una capa más a tener en cuenta pero por este tipo de incidentes creo que compensa.

De cuando en cuando sale alguna noticia que un portátil con información sensible se ha “extraviado” y la información queda expuesta o peor, no expuesta pero sí en manos de la competencia. Hasta que no haya un incidente grave seguramente no se tome conciencia de ello (que se lo digan a la NASA) mientras tanto, se seguirá asumiento un riesgo que cada uno tendrá que valorar.

Saludos

¿Dónde guardar las copias de seguridad?

Seguimos un poco con los temas de backup y recuperación de información. En el anterior artículo, nos centrábamos sobretodo en la ordenación de la información, cómo hacerlo, qué criterio seguir y demás. Ahora vamos a mirar un poco al sitio donde se almacena la información.

Es creencia popular, preguntad sino a cualquiera de vuestros familiares/amigos, que tener la información en un dispositivo externo (suele ser un disco duro) ya es una copia de seguridad. Muchas veces ese dispositivo es el que centraliza el almacenamiento de la información, el único donde se guarda… ¿Veis el fallo? Se ha asociado tanto la idea que el disco externo te saca de problemas, que mucha gente ya no usa otra cosa (el del propio equipo por ejemplo), se queda sólo con el externo, pensando que así ya está todo hecho. No ayuda el hecho de que ya no se usa sólo un único equipo, está el del trabajo, el portátil de casa, puede que el de la pareja, otro de sobremesa y claro ¿Cómo tener acceso a los datos en todos?

Por eso ahora, y de un tiempo a esta parte, proliferan las soluciones de almacenamiento en la nube (dropbox, sugarsync, skydrive, megaupload, fileshare y similares), buscando que la información esté disponible en cualquier momento, lugar y además sincronizada. Pero hay que tener cuidado, leer bien los términos y condiciones del servicio y, sobre todo, los casos en los que nos podemos encontrar… ¿Cuánta gente perdió datos con todo el embrollo de megaupload? Sí, no sólo se usaba para bajar pelis 😛

Como siempre, cada uno es un caso particular y único, no hay una receta milagro para todos, pero sí una serie de directrices que se pueden seguir para minimizar riesgos. Diferenciar entre datos importantes de los que no lo son. Esto es básico. De los primeros, tener copia en diferentes sitios y ubicaciones, siempre de forma ordenada, que las copias estén sincronizadas o al menos se sepa la fecha de creación y el contenido. Podría ser en un disco local propio, otro  externo y la nube. Es sólo un ejemplo. De los segundos, con tener copia en local y otra externa, sería suficiente. 

Son todo ideas obvias, que si se piensan, son muy lógicas, pero que no todo el mundo sigue en su día a día y, cuando uno se da cuenta de que algo no está, es justo cuando más lo necesita.

Aunque esto lo he escrito pensando en el usuario de casa, no son pocas las empresas que he visto con este mismo problema, no saber qué información es importante de la que no, hacer copias de seguridad de todo e invertir mucho dinero en soluciones de backup completamente sobredimensionadas por no tener ordenada y consistente su información, pero esto ya se tratará más adelante 🙂

Saludos

El problema de no saber cómo guardar los datos.

Que hoy día estamos saturados de información, no se puede negar, ya no sólo en nuestros respectivos trabajos, sino en nuestros propios hogares. Guardamos todo, fotos (móvil, cámara, la que nos mandan por email o whatsapp), pero también documentos, canciones, vídeos, proyectos, scripts para tareas concretas… Así hasta el infinito, y guardamos, con suerte, una copia de todo en un HD externo, la nube u otro sistema de almacenamiento que se os ocurra. Perfecto ¿no? Pues depende. ¿De qué? De que realmente sepamos qué tenemos, dónde se guarda y, sobre todo, cómo lo podemos localizar. Parece trivial ¿Verdad? Contestemos a las siguientes preguntas en caso de desastre. Imaginemos que perdemos el HD de nuestro equipo y necesitamos de forma urgente unos scripts que desarrollamos para unas tareas rutinarias, pero que nos llevaron nuestro tiempo, o las fotos de unas vacaciones, por ejemplo:

¿Qué tenemos? Hombre, la copia de seguridad, perfecto

¿Dónde? En el HD externo, la nube o lo que sea, perfecto

¿Cómo lo localizamos? Ummm pues esto depende… ¿Qué criterio usamos para guardarlo? ¿El nombre? ¿El proyecto para el que se desarrollaron? ¿El lenguaje usado (perl, batch, python, php…)?¿La función? ¿La fecha?

Parece que no va a ser sencillo. O se tiene un método claro sobre cómo ordenar la información, o para cada dato que guardemos, usaremos uno distinto. A los 5 minutos de almacenarlo, lo tendremos clarísimo, incluso a los pocos meses también, pero… ¿Cuándo han pasado uno o dos años? ¿Y si han pasado 5? Algo que todos hemos hecho en algún momento ha sido usar una línea temporal, por años (backup2005.zip) o por meses (backup200507.zip)… Esos ficheros ¿Qué contienen? ¿Recuerdas lo que pusiste en ese fichero? ¿Es un backup de todo hasta esa fecha? ¿Es de los datos del mes de julio del año 2005? ¿Tiene sólo documentos? ¿Hay alguien que recuerde lo que hizo en ese mes y ese año? Si se usa un proyecto concreto, está muy bien, pero cuando éstos se alargan mucho, 3 años, dentro de la carpeta de, por ejemplo, estanco de chucherías ¿Qué hay ahí dentro? ¿Cómo está ordenado? Se tiene el mismo problema de nuevo.

Estamos hablando de una cuestión de orden, sí, pero que no es trivial hoy, y en el mañana lo será menos aún ya que seguiremos guardando más y más información, posiblemente sin un criterio concreto que nos permita recuperarla. ¿Cómo podemos solventar esto? Cada tipo de archivo (documentos, fotos, películas, scripts desarrollados, proyectos…) tendrá su propia forma de recuperación.

¿Qué hacer entonces? Eso ya queda para el criterio personal de cada uno, simplemente quería hacer pensar acerca de la forma que tenemos de acceder a la información almacenada. Habrá formas mejores o peores, pero desde luego, lo importante es que cada uno sepa cómo encontrar lo que busca en el menor tiempo posible.

Saludos

El reto del físico a la comunidad hacker

¡Cuánto bombo ha habido con esto en los últimos días! Han aparecido múltiples noticias al respecto aqui, aqui, unos cuantos correos en la lista de correo de la rooted, también aqui… en fin, se ha hablado mucho de ello.

Mi conocimiento en esta materia es escaso, soy un simple aficionado, pero hay ciertas referencias que tengo en este campo que son de gran ayuda, Arturo Quirantes (@elprofedefisica) se define como aficionado, pero es un auténtico crack, Jorge Ramio y Alfonso Muñoz están entre ellas, y el primero ha escrito en naukas un artículo en el que da su particular visión de la patente y por otro lado Jorge y Alfonso firman un documento titulado Primeras impresiones sobre la solicitud de patente “Procedimiento de doble criptograma simétrico de seguridad de Shannon por codificación de información para transmisión telemática y electrónica” donde, como resúmen, no le ven mucho futuro.

Merece la pena leerlos con tranquilidad para saber realmente de lo que se está hablando.

Saludos

Caso Megaupload II

He visto algunos comentarios a cerca del caso MegaUpload donde se comparan servicios profesionales de cloud con su servicio. No es que los segundos no fueran profesionales, pero sí es cierto que en sus cláusulas decían claramente que en ningún momento eran responsables de lo que pasara con los datos subidos. Eso es lo primero en lo que se debe fijar una empresa que quiere subir y gestionar sus datos en la nube, ver las condiciones del servicio y SLAs pertinentes. Creo que ese tipo de comparaciones están totalmente fuera de lugar.

También he visto por twitter que el futuro del los servicios cloud debe ser el revisar los contenidos subidos al servicio. Esto puede ser viable en entornos pequeños y/o muy especializados, homogéneos, donde sea “fácil”, de alguna manera, automatizar esta revisión (que seguramente sería cuestión de tiempo saltarla, pero esto es harina de otro costal). Creo que en Youtube, se suben 48 horas de vídeo por minuto… ¿Sería esta opción viable? Completamente imposible.

Se leen opiniones para todos los gustos respecto a este tema y creo que las posturas ahora mismo están bastante radicalizadas, en el sentido que todo aquel que no ve bien la operación del FBI por muchos motivos, parece que está completamente a favor de cómo se ganaba la gente de MegaUpload los cuartos, de la misma forma que aquel que está de acuerdo con la susodicha operación, ve con buenos ojos la gestión de derechos de autor y leyes de copyright que están vigentes en la actualidad. Desde mi punto de vista nada tiene que ver una cosa con la otra.

Respecto a lo que una empresa serie debe tener en cuenta a la hora de llevar sus servicios a la nube, hablaremos en otro artículo.

Hasta la próxima.