Sevilla Sec&Beer

Llevo unos meses que cada dos por tres me encuentro a alguien que hace algún comentario desacertado sobre la dirección MAC. Normalmente están asociadas a preguntas sobre autenticación remota. Cuando yo pregunto “¿Cómo reconoce el otro extremo al equipo?” alguien responde “Supongo que por la dirección MAC“.

Probablemente una respuesta más realista hubiera sido “Ni puta idea” pero en vez de eso el cerebro piensa en algo único que tenga el equipo y llega a la conclusión que será la dirección MAC. Vamos, que podría haber dicho igualmente por el número de serie.

En fin, para apoyar la desaparición de esta leyenda urbana, voy a intentar aclarar algunas cosas sobre la dirección MAC.

Lo primero, MAC son las siglas de Medium Access Control (control de acceso al medio).  Esta dirección es parte del estándar IEEE 802, que incluye, entre otros, a nuestra querida Ethernet.

Esta dirección son actualmente 48 bits que se distribuyen como indica la figura. Al parecer hay una versión de 64 bits, aunque no se espera que las direcciones MAC se acaben hasta 2100.

Lo primero que hay que tener en cuenta es que la dirección MAC no es la dirección de un equipo sino la dirección de una tarjeta de red. Por lo tanto, si tu equipo tiene una tarjeta de red cableada y una tarjeta de red Wi-Fi, cada una tiene su dirección MAC. Lo digo porque parece que se suele considerar como algo único del equipo, cuando se trata de algo único de la tarjeta de red.

Lo segundo que debemos saber es que la dirección MAC se utiliza únicamente para acceso a la red local. Repetid conmigo, sólo a la red local. Por lo que es muy improbable (por no decir que mentira cochina) que un equipo a través de internet se ‘autentique’ usando la dirección MAC.

Por otro lado la dirección MAC puede cambiarse fácilmente por software. Por o tanto, confiar en la dirección MAC como mecanismo infalible tampoco es muy buena idea. Si me pongo tu dirección MAC, a efectos de identificación local, soy tú.

La dirección MAC indica el fabricante de la tarjeta, por lo que puede ser útil para identificar equipos (por ejemplo, iPhones, VMWare, etc.). Aunque hay que tener en cuenta que podría ser mentira (por aquello de que puede cambiar).

Os recomiendo que leáis el artículo de la Wikipedia sobre la dirección MAC para más información.

Una de normativas de seguridad… La semana pasada organizamos otro curso sobre el ENS. La actividad salió razonablemente bien, un enfoque práctico fundamentalmente sobre los primeros pasos de la adecuación. Al final de la última sesión se abrió un poco el debate y surgieron algunas dudas. La última pregunta que hizo uno de los asistentes a modo de despedida fue:

Pero… ¿si no cumples el ENS que pasa?

Me pareció una buena pregunta, aunque capciosa.
La respuesta os la podéis imaginar: ocurre lo mismo que si se incumple cualquier otro Real Decreto.

¿Y que ocurre cuando se incumple un RD? bien… situémonos: península ibérica, siglo XXI, reino de Españistan, Belen Esteban, el de los trajes, los de los EREs, las cajas de ahorros, el FROB y la madre que nos parió… en fin sobra decir que pasa cuando se incumple la ley. Nos vamos a preocupar ahora de una administración que no tiene política de seguridad… me da la risa y se me descuelga un güevo.

Y es que ya lo dice Supernanny… no impongas un castigo que sabes que no vas a poder hacer cumplir… Dado nuestro entorno creo que el ENS debería haber sido lanzado como metodología y no como norma por Decreto. Reforzado con medidas de apoyo a las administraciones y con una fuerte campaña de sensibilización.
Hubiera sido una buena excusa para actualizar MAGERIT con el fin de que pueda ser usada por terricolas.

La anterior reflexión es válida, suponiendo que estamos lo suficientemente desenfocados como para tener el cumplimiento legal como un fin en si mismo. Cuando desde mi punto de vista, debería ser un medio.

El fin es la correcta gestión de la seguridad dentro de una Administración Pública. Para que las personas que depositan en ella su confianza (y sus impuestos), tengan garantizado que se manejarán sus datos personales como merecen y que se les proveerán los servicios públicos con las garantías de seguridad que requieren.

Bajo esta óptica ¿qué pasa si no cumplimos el ENS? Entendiendo por cumplir: la interiorización en la médula de la organización de los principios básicos, el cumplimiento de los requisitos mínimos y la implantación de las medidas de seguridad adecuadas. Pero de verdad, no hablo de hacer el paripé del cumplimiento y el mamoneo habitual.

Pues, lo que pasará es que se producirán con más frecuencia de la admisible situaciones como:

• que al hacer la matricula por internet para la universidad el sistema falle, no garantizando la integridad de los datos y entres en un infierno burocrático para solventar el problema
• que vayas al médico y este no te pueda atender porque tu historia clínica telemática no está disponible
• que tus datos personales acaben en un contenedor de reciclaje en la calle y puedan ser vistos por cualquiera
• que el día antes de hacer la declaración de la renta la web del ministerio esté saturada y no lo puedas hacer en plazo
• que se extienda un virus informático por una sede y tengan que usar el dinero de tus impuestos para contratar a alguien que desinfecte todo mientras la actividad de la sede se paraliza
• que una empresa licitadora consiga información privilegiada y no se cumpla el principio de igualdad en la contratación pública
• que tu primo el que trabaja en una delegación, te haga el favor y consulte el expediente X que afecta a tu vecino al que no puedes ni ver por curiosidad sana, ya que desde la aplicación de tramitación lo puede hacer sin dejar rastro
• que una mafia rusa use servidores y conexiones que pagas tu con tus impuestos, para colgar una web de phising o de venta de porno por internet o un reenviador de spam.
• etc, etc, etc, etc

Tranquilos, no tenemos un gusano metiendo spam en el blog… el título de este post está en inglés porque soy así de pedante . Y porque no he encontrado traducción al español para este dicho.

Hace unas semanas vimos en casa la película “The Joneses”, dejando a un lado que como película no me gustó demasiado… sí me hizo reflexionar sobre algunos aspectos de la gestión de la seguridad de la información.

Voy a fusilar parte del post de “El blog salmón” en el que aclaran de que va la película mucho mejor de lo que yo podría hacerlo (llevo un consultor dentro, lo siento):

The Joneses es una película que trata sobre una familia que llega a un barrio de ingresos medio-altos en los Estados Unidos. La familia Jones tiene todos aquellos productos que uno quiera comprar (ropa de diseño, descapotables de alta gama, electrónica, mobiliario caro, etc) y parecen ser felices, convirtiéndose en el foco de atención de sus vecinos.

Pero en realidad los Joneses no son una familia, sino empleados de una agencia de publicidad. Los coches, la ropa que llevan, la comida que compran, etc ha sido puesta ahí por la agencia de publicidad con el único objetivo de que los miembros de la familia la muestren a sus vecinos, les cuenten las bondades y estos la compren.

El apellido de la familia (Jones) está muy bien elegido porque en inglés americano existe una expresión “keeping up with the joneses” que se refiere a mantener el nivel de vida de los vecinos. Si el vecino se compra un coche nuevo hay que adquirir uno igual o superior. Si se va de vacaciones a Francia nosotros nos vamos a Italia, etc.

Un caso extremo de marketing viral. Espero que en la vida real no se acometan iniciativas tan radicales. Pero en menor grado es habitual ver a famosos promocionando productos, servicios o incluso religiones e ideas políticas de forma subliminal. Está claro que a los humanos nos funciona así el cocotero. Los judíos lo saben desde hace miles de años y el décimo mandamiento dice:

No codiciarás la casa de tu prójimo, no codiciarás la mujer de tu prójimo, ni su siervo, ni su criada, ni su buey, ni su asno, ni cosa alguna de tu prójimo.

Volviendo a la gestión de la seguridad… ¿acaso no vemos este comportamiento con frecuencia? Me explico ¿qué medidas o proyectos de seguridad acometemos? Un teórico consultor trajeado o un gestor de seguridad recién salido del cascarón y aun no ha pasado por la trinchera nos diría: “las acciones de mejora deben venir orientadas por el análisis de riesgos o por requisitos externos a la organización (ej: ENS, LOPD…)”

Pero no nos engañemos, al final usamos el sota, caballo y rey. Copiamos lo que hacen en otras organizaciones, lo que establece el mercado de la seguridad o lo que la corriente interpreta de los estándares. Y así vamos generando mantras y los vamos asumiendo. Y si mi vecino de CPD compra un cortafuegos yo compro otro pero más grande. Y si se hace un proyecto de hacking ético (todavía no sé que carajo es esto del hacking ético pero se vende de maravilla oiga) pues a mi póngame dos.

Otra reflexión que me hago es: ¿los proveedores de seguridad aprovechan esto? ¿Cuándo por ejemplo se despliega una solución piloto en una empresa y organismo líder o referente, no se busca precisamente esto??

Y por último y paro ya de divagar ¿¿¿no podríamos como gestores de seguridad aprovechar estas técnicas para hacer el bien???? ¿Qué pensáis?

Los estándares de seguridad tienen como fin último que se mejore la seguridad de las organizaciones implantando un conjunto de buenas prácticas.

El problema es que suelen publicar textos complejos que incluyen controles a diferentes niveles y que están muy enfocados a auditoría, más que a implantación.

Muchas organizaciones se pelean por cumplir determinados requisitos de estos estándares sin adaptarlos adecuadamente a su situación por aquello de pasar la auditoría. Y se confunden los objetivos: en vez de mejorar la seguridad se busca convencer al auditor (como si eso sirviera para algo) o malinterpretar los textos.

El otro día se me vino a la mente la idea de ¿qué es realmente esencial en los sistemas de gestión que proponen los estándares de seguridad?

Creo que, en el fondo, todo se reduce a estos dos puntos:

• Preguntarse por qué (hasta llegar a la causa raíz) de incidentes, vulnerabilidades, ausencia de control, necesidades, riesgos o cualquier otro evento o situación que afecte de algún modo a la seguridad
• Proveer de los medios para evitar que vuelva a ocurrir (o, más bien, que la probabilidad o impacto se reduzcan)

La ventaja de esta forma de pensar es que reduces estática mental y te concentras en lo principal, el resto ya llegará.

Si en tu búsquedas del porqué llegas a la conclusión de que necesitas apoyo de la Dirección, pues lo pides. Si llegas a la conclusión de que hace falta implantar un plan de contingencia pues buscas apoyo y recursos y, si lo consigues, lo implantas. Si necesitas realizar auditorías externas para comprobar si la cosa va bien, lo justificas y las contratas.

Lo importante es que cada acción está justificada mediante un simple proceso y corresponde a una necesidad ‘real’ en vez de que la necesidad sea ‘porque lo dice tal estándar’. Si usas la última justificación siempre te pueden decir aquello de ‘el estándar me lo paso por…’.

No sé si me he explicado del todo bien. En un próximo post entraré algo más en detalle en el análisis de causas.

Wittgenstein dijo que la filosofía es una lucha contra el embrujamiento del entendimiento por parte de los medios de nuestro lenguaje. Eso pienso yo también de la seguridad de la información. Hay veces en las que simplemente es imposible entenderse con alguien (usuario, cliente, comercial, etc.) debido a que no entendemos  lo mismo para las mismas palabras.

Debe ser uno de esos sesgos cognitivos o simplemente se trata de que usamos palabras comunes en un entorno especializado donde tienen un significado mucho más concreto. Véase como ejemplo el propio concepto de seguridad, que evoca pensamientos completamente distintos según a quién le preguntes.

Un buen uso de los términos de seguridad ayuda a diferenciar a un buen profesional de seguridad de uno malo. Yo lo he usado en mi cuestionario para entrevistas. Además ayuda a reirse un rato (o llorar) cuando vemos barbaridades escritas relacionadas con seguridad.

Y de eso es de lo que va este post, realmente, aunque la intro me ha salido muy filosófica. En los últimos días he recibido varios documentos que han suscitado por igual mi sonrisa y mi lamento y que paso a comentaros a continuación.

La amenaza del SSL

Esto es un texto de un pliego de condiciones técnicas para la construcción de una aplicación web. El texto es horrible. Lo más hilarante es que identifica la autenticación sobre HTTPS como una amenaza.

El técnico especialista

Nos llegó por fax este esperpéntico curso de seguridad en la empresa.

El texto no tiene desperdicio… Estoy convencido de que después de este curso los alumnos podrán bloquear sistemas operativos poco seguros o hacer frente a todas las amenazas importantes del correo electrónico, el ordenador, internet y las redes inalámbricas.

El código encriptado

Este folleto nos anima a leer el mensaje encriptado con nuestro teléfono, aunque realmente se trata de una codificación QR.

Este tipo de mensajes confunde y hace pensar que, si algo no se entiende a simple vista, está cifrado, cuando no es así.

Por no decir que encriptar no existe, es una mala traducción del inglés, el verdadero término es cifrar.

Adiestrando usuarios

Por último, en otro pliego para una oferta sobre LOPD se solicita ‘adiestramiento de usuarios’. Los que se presenten espero que hayan considerado los costes de las galletitas dog-chow .

¿Para cuándo una ley de uso correcto del lenguaje en cuestiones de seguridad?

He encontrado esta tira de Dilbert en el interesante blog de The new school of information security.

“…that is not only meaningless… but also dangerously misleading”.

Podría estar hablando de un análisis de riesgos… me recuerda tanto a muchos resultados de consultorías y auditorías de seguridad….

Como ejemplo del cambio mínimo necesario os contaré una historia sobre cómo enfocan algunos la implantación del Esquema Nacional de Seguridad.

Lo que dice el ENS es esto, que incluyo integramente para que participéis en el ejercicio.

Disposición transitoria. Adecuación de sistemas.

1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción.
2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor.
3. El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes.

Lo que dice está bien claro. Tienes un año para implantar los requisitos y medidas del ENS. Si quedan flecos (“hubiera circunstancias que impidan la plena aplicación de lo exigido“) se deberá disponer de un plan de adecuación que indique los plazos, que no podrán ser superiores a cuatro años desde que se publicó el ENS.

Lamentablemente, en el ámbito en que me muevo (aunque me da la impresión de que será así en muchos otros sitios) se ha entendido lo siguiente:

• Que hay que tener, como mínimo, un plan de adecuación antes de enero
• Que hay cuatro años (a partir de enero de 2011) para implantarlo

Debido a ello, realmente nadie ha empezado todavía a adecuarse al ENS (¿alguien me da pruebas de lo contrario?). Lo peor de todo es que realmente muchos no tienen esta sensación por haberlo leído directamente, sino porque lo han oído de terceros, en muchos casos empresas con afán de vender el susodicho plan de adecuación al estilo “coge el dinero y corre”.

La verdad es que la disposición transitoria de adecuación es desacertada, dando lugar a la situación actual. Igual podrían haber establecido otro tipo de plazos, más escalonados, de implantación.

En cualquier caso, viendo como se interpreta esta disposición (que es bastante clara), ¿cómo interpretarán otras medidas y requisitos mucho más ambiguos? Miedo da.