No haga depender la seguridad de la mano de los usuarios finales
Hoy me encuentro con un artículo muy interesante en el blog de los amigos de Hispasec.
Resulta que una persona se hizo con las claves de las cuentas de correo de cientos de embajadores y altos mandos corporativos a través de la explotación de la red TOR.
La red TOR es un sistema de enrutamiento anónimo. Es básicamente un proxy que ofusca de tal manera el tráfico de los paquetes a través de distintos nodos alrededor del mundo que, prácticamente, es imposible rastrear el origen de un paquete. Es utilizada para navegar de manera anónima.
Si bien todo el tráfico dentro de la red es cifrado, el último tramo no lo es. Esto quiere decir que todo el tráfico que se enrute a través de un nodo TOR, si éste es el último de los nodos que recorrerá nuestro paquete, puede ser capturado directamente, sin más tecnología que un sniffer.
Este ha sido el origen del robo de contraseñas. El atacante instaló varios nodos TOR (cualquiera de nosotros puede abrir un nodo TOR) únicamente para minar su tráfico.
Nuevamente, debemos decir que la inseguridad no está en TOR, sino en la ingenuidad del usuario. O, mejor dicho, el desconocimiento que de cosas tan técnicas tienen los usuarios.
Como bien explican en Hispasec, si no se utiliza el cifrado punto a punto (como SSL), no puede garantizarse la privacidad de los datos en tránsito.
¿Podemos culpar a los usuarios de no conocer a fondo los detalles técnicos del enrutamiento en internet, o de los protocolos de cifrado y de control de tráfico? Por supuesto que no.
Tratándose de usuarios gubernamentales y corporativos, supongo que el mayor peso de la culpa debería recaer sobre los respectivos departamentos de sistemas. Pero claro, todos sabemos que los usuarios suelen tomar iniciativas propias y más hoy en día, cuando los instaladores de software y wizards de configuración facilitan todo al punto de poder prescindir de todo “departamento” de sistemas.
Pero muchachos, de todas formas van a culparlos. “¿Por qué no me avisaste?“… simplemente porque no sabía que lo estabas haciendo. ¿Entonces debemos monitorear todo lo que se hace?
En todo caso vuelve a repetirse la historia: la seguridad es la inversa de la usabilidad.
September 11th, 2007 at 5:31 pm
El caso más paradigmático de “la seguridad es la inversa de la usabilidad” es el del cambio de claves periódico obligatorio. Contaba el otro día en una clase don Jorge Eterovic [http://www.criptored.upm.es/miembros/miembro_519.htm] lo que pasa cuando en oficinas del Estado (en todas, en realidad) se obliga a cambiar las claves de los usuarios una vez por semana. Les piden claves alfanuméricas, con una alta cantidad mínima de caracteres y bla bla, y los usuarios, para no olvidarse su nueva clave… pegan un post it en el monitor :S
Las posibilidades técnicas de seguridad ya son tan altas que, hasta que no cambie la mentalidad del usuario, el eslabón más débil siempre, SIEMPRE, va a ser el sentido común. O la falta de sana paranoia.