El test de intrusión con importantes premios convocado por Swiss Post para su diseño de sistema de voto electrónico del que hablamos hace dos meses termina mostrando varias vulnerabilidades importantes, y obliga a la compañía a suspender su uso en las votaciones que estaban previstas para el próximo 19 de mayo. Resulta interesante pensar qué habría pasado si la compañía no hubiese llevado a cabo ese test, no hubiese convocado a hackers de medio mundo para poner a prueba la seguridad del sistema, y no hubiese, por tanto, descubierto esas vulnerabilidades que, por tanto, habrían podido ser empleadas por otros actores con peores intenciones, cuando hablamos de resultados electorales que determinan importantes decisiones en un país.
Cada vez son más las compañías que se dan cuenta de la importancia estratégica de poner a prueba sus sistemas de información. Microsoft, por ejemplo, acaba de anunciar un revamping de su bug bounty program en asociación con HackerOne, la plataforma dirigida por Mårten Mickos que conecta a empresas con investigadores de seguridad y coordina tanto el trabajo como los pagos en función de descubrimientos realizados, con el fin de hacer sus programas más atractivos y obtener así unas garantías de seguridad mayores para sus productos. Otras compañías importantes, como GM, comenzaron este tipo de esfuerzos hace ya más de tres años. Dropbox, que lleva también tiempo trabajando con la compañía, descubrió 264 vulnerabilidades y pagó $319,300 en premios en un reciente maratón de un día en Singapur.
La peor vulnerabilidad es la que aún no se ha descubierto. Toda compañía, en nuestros días, es susceptible de ver su seguridad vulnerada, y no hay equipo de desarrollo que sea capaz de cubrir todos los frentes posibles cuando se trata de seguridad: para encontrar cuantos más errores posibles, se necesita una gran cantidad de ojos mirando al código, hasta llegar al ideal de la conocida como Ley de Linus, que afirma que «dado un número suficientemente elevado de ojos, todos los errores se vuelven obvios», o enunciada más formalmente, «dada una base suficientemente grande de beta-testers y co-desarrolladores, casi todos los problemas se caracterizarán rápidamente y las soluciones serán obvias para alguien».
Te pongas como te pongas, en tu empresa hay vulnerabilidades que pueden ser explotadas de forma maliciosa. En la mía, sin duda, también: un análisis reciente llevado a cabo sobre universidades británicas demostró que un grupo de hackers podían encontrar vulnerabilidades críticas en todas ellas en menos de dos horas, y publicaron el resultado, cómo no, en forma de paper académico. Realmente, todo indica que puestos a proponerse el desafío de vulnerar la seguridad de algún sitio, la de una universidad no es un estándar demasiado elevado.
Probablemente no puedas nunca disfrutar de una seguridad total, porque como bien afirma el mítico Gene Spafford, «el único sistema realmente seguro es el que está apagado, metido en un bloque de hormigón y sellado en una habitación forrada de plomo con guardias armados… y aún así tengo mis dudas.» Pero sin llegar a esos límites que, además, convertirían tus sistemas en imposibles de utilizar desde un punto de vista práctico, al menos deberías plantearte hacer todo lo posible por localizar y corregir la mayor cantidad de fallos que puedas, para evitar entrar en esas infamantes listas de vulnerabilidades obvias que cualquiera puede encontrar en menos de dos horas. Como mínimo, piensa en cómo justificar que hiciste todo lo humanamente posible para evitar que alguien explotase una vulnerabilidad extremadamente evidente, un error de principiante. Algunos, efectivamente, afirman que la seguridad total no existe: de acuerdo, pero eso no quiere decir que debas ser un impresentable. Si en algún momento caes, al menos cae con algo de honor.
Los bug bounty programs son una forma muy razonable de enfrentarse al problema de la seguridad: pedir a talento externo bien seleccionado que busque todas las vulnerabilidades posibles en los sistemas de tu compañía, y lógicamente, pagarles por ello, porque la seguridad, como todo, cuesta dinero. Si no lo haces tú, lo harán otros, y seguramente, con peores intenciones. Si te parece un gasto injustificado o injustificable, o si crees que nadie se va a preocupar por buscar vulnerabilidades en tu compañía, esa es la evidencia perfecta de que aún no has entendido cómo funciona la seguridad en el mundo actual.
This article was also published in English on Forbes, “Put your company to the test«
この記事は日本語でも出版されました, «ハッカーに報酬支払う「バグバウンティー」制度 企業は導入を«
No me dejas muy tranquilo esta vez Enrique. Pero como siempre me haces pensar que la seguridad absoluta es un bien absoluto pero inexistente. Y además imposible de lograr (lo cual es una redundancia). Es más, podemos a día de hoy asegurar la “seguridad” de algo que es solo seguro hasta que una nueva técnica – dos días después – lo haga vulnerable.
Frente a esta inseguridad, en la empresa solo cabe armarse con medidas que cubran ese riesgo (análisis de riesgo, que lo llaman en los círculos de control interno). Estas medidas – si son certeras – disminuirán el riesgo de aquellas operaciones en principio sujetas a la vulnerabilidad intrínseca en estos chismes que tanto nos facilitan la vida.
Pero alabo la trasparencia de la Swiss Post de mostrarse públicamente vulnerable: por un lado, en la próxima ocasión confiaremos más en el proceso electoral que dirijan; pero, por otro lado, despertará el apetito voraz de encontrar el punto débil en todos los hackers del planeta, lo que lo hará vulnerable de nuevo. La única solución – que no lo es – será de hacer el programa operativo solo por unas horas para que cumpla su función estricta. Y entonces puede que los hackers no tengan el tiempo suficiente de hacerlo trizas.
La población se va haciendo vieja y las mesas electorales no se pueden llenar de ancianos que aguanten 10 horas al pie de las urnas controlando todo el proceso electoral como se hacia en el siglo 20 y 21. Luego algo habrá que hacer. Esto que digo en esta frase, es un broma.
Las alarmas de los coches no son 100% seguras. Ni la de las viviendas y almacenes. Tampoco los antirrobo de los comercios. Es que para cualquier muro existe un clavo específico, diseñado para penetrar con más o menos facilidad.
No es que no sepamos que somos vulnerables. Creo que, simplemente, la inversión en seguridad es más cara que lo que se pretende proteger. Por ejemplo, en algunos comercios, es más caro el servicio de seguridad externa con agentes, que el importe del robo mensual, y claro, no es rentable.
No soy experto en el tema de seguridad informática, pero he trabajado en entidades financieras en la que obviamente el tema de la seguridad es una preocupación prioritaria.
Desde mi punto de vista, el riesgo informático esta fundamentalmente dentro de casa Es mucho mas probable tener un ataque realizado por alguien de dentro de la compañía que por alguien externo, También considero mucho mas difícil protegerte de los manejos de un empleado infiel que de un hacker.
Me toco durante una temporada, trabajar en una banco americano que hacia poco había sufrido el clásico robo de un empleado que había preparado una gran tranferencia de fondos a una cuanta suiza, mientras el estaba de vacaciones,. Retiro los fondos en Suiza y tanto él, como el dinero desaparecieron para siempre.
¿Como lo había hecho? – Reuniendo los password de los supervisores que tenían que autorizar la operación, aprovechando que estos se los daban cuando se iban de vacaciones, para que pudieran autorizar las operaciones en su ausencia.
Este tipo de delitos basados en ingeniería social son mucho mas sencillos y peligrosos que el que alguien desde fuera pueda entrar en la informática del banco y mande hacer la transferencia. Ya digo que no soy experto en seguridad informática, pero veo muy difícil que se me hubiera impedido , a mi que, entraba por ser mi trabajo en las «tripas» del sistema hacer algo como poner «bombas lógicas»
o procesos incorrectos,
Sin embargo, he de decir en honor a la verdad, que los informáticos que muy frecuentemente nos podemos lucrar, tanto por los conocimientos que tenemos de «secretos empresariales » como con la realización de «procesos paralelos», no solemos ser los protagonistas de los hechos de este tipo que salen a la luz.
Demoledor video del amigo Gallir explicando porque el voto electrónico es una utopía lejana.
Respecto a las empresas, llevamos la procrastinación de padefos en el ADN. En el mundo real no existen los ciclos ecónomicos, no se reducen las materias primas, ni cae el nivel de conocimiento. Simplemente reflejan la reticencia a adaptarnos a la realidad, hasta que nos da una hostia.
Mientras seamos seres que responden a los zascas, la seguridad de las empresas será como la SEC yanqui, que intervienen cuando ha habido un abuso, no para evitarlo.
Durante una temporada fui «cibervoluntario», mi mision principal era hacer usuarios a «analfabetos digitales» enseñar a encender y apagar el ordenador, utilizar Google y abrirde una cuenta de email y cosas así, pero también nos mandaban hacer otras tareas.
Una de ellas fue una prueba de votacion online, fue una votacion en los barrios de Lavapies y El rastro para que la gente dijera que preferia que se hiciera en una plaza, un parque, una pista de baloncesto o cosas asi. Yo participaba en dar los pasword a quines quisieran votar desde su casa o por ordenador,
Solo era una prueba sin importancia pero vi en aquelñña prueba más posibles trampas que en una pelicula de chinos, ¿QUe garantñías hay de que quien vota es el que dice ser o cualquier otro que tenga su password? ¿Como saber que realmente que la máquina suma el voto según lo elegido si el voto es secreto?, El resultado final ¿Es el verdadero o uno prefijado previamente?
Yo llegue a la conclusión que lo que mas se aproxima a unas votaciones democráticas es lo que tenemos actualmente, (y no es perfecto y existen pucherazos y trampas, pro aun así)
¿Te suena algo llamado Blockchain? Ahí tienes la respuesta a realizar un sistema de votos seguro.
Tu pones tu voto en una App de tu teléfono móvil (O tu PC). Lo que pase después con él nadie lo puede garantizar, Entra en una «caja negra» que al final dice, han votado 84 A y 79 B y te lo tienes que creer, porque alguien afirma que esa «caja negra» trabaja con el programa compilado de un programa fuente, que ese si ha sido revisado por un montón de expertos del Partido A y del Partido B. Pero nadie es capaz de verificar si realmente es asi.
¿Y si el programa como en la prueba de los Wolkswagen detecta si se están haciendo pruebas o trabajando en real y tiene un funcionamiento diferente en cada caso?
Yo no soy informático pero creo que tienes toda la razón. Sin embargo se me ocurre un caso en el que el voto electrónico quizás podría funcionar: que dejara de ser secreto y que al final del proceso de voto saliese nuestro nombre (o nuestro DNI) junto al partido al que hemos votado, de esa forma sería trasparente y 100% auditable.
Obviamente esta modalidad que comento tendría que ser voluntaria y antes de aplicarla me parece que habría que cambiar algún artículo de la Constitución.
Gallir lo explica muy bien en ese video y en su blog al respecto, de hace ya años.
TAmbién hay un sudamericano(ahora no recuerdo el pais, perdón) que era bastante activista al respecto, aprece que encontró bug en unas elecciones donde se podia votar online y desde entonces ha tenido bastantes problemas con la policia del pais, si te interesa te busco su twitter porque había bastante info interesante respecto al voto electronico.
Yo desde luego, si no hay unas garantías técnicas mejores que las de los sistemas actuales, me niego al voto electrónico para algo importante como unas elecciones en pais/región.
Sin embargo a otros niveles creo que puede ser una buena herramienta, sobretodo ahí donde el anonimato no sea un problema, el problema tecnológico se reduce muchísimo.
Buenas! Aquí Jaír, de EfectiVida.
Muy interesante lo que mencionas. No dispongo de los conocimientos que tienes tú sobre ciberseguridad, pero, hace un tiempo, cuando publiqué un artículo en mi blog sobre el espionaje informático, al investigar y empezar a redactar, me di cuenta de que para que nadie te vigile, debes estar encerrado en una cueva, y ni así, porque hay satélites capaces de localizarte.
También llegué a la conclusión de que, si alguien quiere piratear tu web, tu cuenta corriente, o hacer algún tipo de daño virtual, seguro que lo podrá hacer.
¿Entonces? ¿Qué hacemos? Pienso que lo mejor es llevar una vida honrada, lo más posible, e intentar mantener un nivel razonable y equilibrado de seguridad informática. No le veo muchas opciones más al tema.
Por cierto, no se por qué, pero hoy especialmente, me ha gustado mucho la redacción. Me encantó lo de la ley de Linus. Lo twittearé.
Saludos desde Las Palmas!
Estaba probando los destacados, a ver si alguien decía algo. Es un formato que me apetece desde hace tiempo, creo que permite a la gente quedarse con algunos temas de forma más visual y más inmediata. Por el momento los estoy probando como imágenes, que no tiene mucho sentido, era solo para ver si había alguna reacción. Es que estoy barajando ideas para un eventual rediseño…