Hoy traemos un vídeo reciente sobre la escasez de talento en temas de seguridad en la industria (en EEUU, por nuestros lares ahora parece que nos acabamos de dar cuenta de que los informáticos son importantes, lo de seguridad llegará dentro de una temporada).

En el vídeo se habla de muchos temas, algunos de los cuales hemos tratado por aquí y en clase (ejemplos inseguros y otros asuntos).

Aunque no pude dedicarle toda la atención que debería me pareció interesante porque incide bastante en el tema de la formación, la seguridad en el desarrollo (y no sólo la del sistema y esas cosas en las que pensamos normalmente cuando se habla de seguridad informática).

Traigo aquí una entrada del blog del INCIBE sobre biometría: Patrones biométricos y autenticación dinámica.

Todavía no se puede decir que sea una tecnología de alta implantación pero ya los teléfonos móviles de gama alta llevan lector de huellas y no es raro verla en portátiles, pero los expertos (y algunos productos comerciales) ya están pensando en la siguiente generación: la autenticación contínua. Cuando estamos utilizando una máquina, ésta debería ser capaz (y es) de medir determinados parámetros y evaluar si se parecen a los ‘de siempre’ o algo ha cambiado, para tratar de detectar intentos de uso fraudulento. En realidad estamos en un nivel más allá de los métodos tradicionales de autentificación con el ‘algo que eres’ como elemento identificativo. Si lo piensan, nuestro estándar de ‘autentificación’ en el mundo físico era la firma, que ahora se podría reforzar con sistemas informáticos no sólo a su aspecto sino a otros como presión, velocidad, dinámica…

Estos mecanismos siguen un esquema de análisis en tiempo real que monitoriza pulsaciones de teclado o gestos táctiles del usuario que son contrastados con patrones previamente registrados. Estos registros almacenan varios parámetros que caracterizan los patrones de comportamiento esperados para cada individuo tales como como la velocidad de tecleo, pausas, tiempo que se mantienen pulsadas las teclas, presión, etc.

Aunque no habrá que olvidar Algunos problemas de la biometría y repasar las Guías sobre biometría del INTECO.

Ya hemos hablado otras veces de estos temas: la seguridad hoy por hoy no constituye un argumento de venta. Los usuarios nos fijamos más en las funcionalidades, diseño y otros argumentos. Muchas veces la seguridad la vemos como algo molesto, que nos frena.

Por eso traigo aquí una nota de prensa que ni siquiera conozco si ha tenido efecto en las ventas y si el programa sigue activo Panda Security compensará a sus clientes en caso de infección. Indudablemente, utiliza la seguridad como argumento de ventas (algunos dirán que es trampa puesto que publicitan programas anti-virus que van, precisamente, de eso) pero hasta donde yo se, es la primera (o una de las primeras veces) que un anti-virus ofrecía ese nivel de garantía. Se pueden leer los términos en Garantía Panda y dice:

Si te infectas tienes 6 meses de servicio gratis. Y si tienes daños, o no te lo resolvemos en 24 horas, te devolvemos el diner.

Uno de los problemas cuando queremos tener un sistema seguro es que hay demasiados sitios donde alguien puede querer probar a atacarnos y es bastante difícil que seamos expertos en todo y/o que podamos dedicarle atención a todos los problemas durante todo el tiempo.

Como ejemplo, en Veneno, manzanas y un amargo despertar nos cuentan la historia de un rootkit que se podía instalar en el firmware de todos los MacBooks anteriores al año 2014 mediante un ataque bastante sofisticado, que se basaba en que las protecciones contra escritura de la BIOS se encontraban desactivadas tras la vuelta del sistema desde el modo Sleep.

Hay más detalles en The Empire Strikes Back Apple – how your Mac firmware security is completely broken pero el aviso es claro: los malos tienen muchas puertas de entrada.

Llevo dándole vueltas a este tema una temporada (incluso investigué un poquillo para un proyecto personal Storing credentials of your Python programs in the keyring, y ando jugando con el keyring en Python; se pueden ver ejemplos en cleanImapFolders.py, addToSieve.py . Tengo pendiente comentar sobre estos programas. Además he descubierto el proyecto passpie que aporta una solución de almacenamiento interesante también).

Pero me está quedando un preámbulo muy largo y en realidad quería comentar Storing Passwords Securely que es una introducción genérica (pero no superficial) y que aporta una buena panorámica a los temas que hay que prestar atención incluyendo algunos ejemplos. Lectura recomendable.