El iPad de sus señorías los diputados baneado de su red

iPad es un dipositivo increible que superó las expectativas de muchos de nosotros y se ha metido en la vida de millones de usuarios alrededor del mundo, pero que tiene limitaciones en cuanto a su gestión, lo que ha hecho que haya sido baneado y prohibido en la red del Congreso de los Diputados en España.

Ya fue para muchos un escándalo el que se les permitiera a los diputados quedarse con su teléfono, que para la nueva legislatura solo iPhone 4S pudiera cumplir los requisitos del concurso, y que se decidiera hacer entrega a cada diputado de un iPad, algo que no vamos a discutir aquí, pues preferimos quedarnos con la parte técnica. Lo que nos lleva a la pregunta:

¿Es normal que se prohiba conectar los iPads en la red de Congreso de los Diputados desde el punto de vista de la seguridad?

Desde que comenzamos la andadura de este blog, ha parecido anatema hablar de fallos de seguridad en Mac OS X o en iOS, incluso llevándonos a acaloradas discusiones sobre si hay malware, amenazas o la seguridad de la plataforma.

Lo cierto es que, nos guste o no, en todas las tecnologías hay fallos de seguridad, amenazas desde el punto de vista del malware, y necesidad de gestionar ese riesgo. También hay que tomar en cuenta que aunque en Mac OS X hay una infinidad de malware menos que en Windows, en el caso de los diputados hay que preocuparse más por los ataques dirgidos (APT: Advanced Persitent Threat) que del malware en general.

En el caso de iPad, el problema es la gestión por parte del equipo de sistemas y seguridad y el control depende en todo momento de Apple. Así, casos como el de los certificados digitales de Diginotar, que estuvieron sin poder bloquearse durante más de un mes y medio, la gestión inegura de las conexiones WiFi, la configuración insegura por defecto del correo electrónico, el uso de contraseñas de root conocidas por todos y que pueden permitir la elevación de privilegios con exploits como los utilizados por la comunidad de Jailbreak en JailbreakMe y mutados a ejemplos como JailOwnMe, el no poder contar con sistemas de cifrado completo del disco controlados por el equipo de sistemas, escándolos como el de la geolocalización con iPhoneTracker y el reciente caso del rootkit Carrier iQ o no poder integrar las políticas de seguridad de la red con estos dispositivos, pueden hacer que un administrador de sistemas y seguridad desee no gestionarlos en su red.

En Informática64, hace ya bastante tiempo, miramos y publicamos un paper de cómo sería de fácil o difícil cumplir el Esquema Nacional de Seguridad con un iPad, y las conclusiones no fueron demasido buenas para entornos de seguridad, cuando lo evaluamos en Enero del año 2010. Eso nos llevó a preocuparnos por casos como los de los jueces que utilizaban el iPad como soporte para sus juicios.

¿No se puede arreglar esto?

Sin embargo, pensamos que se puede, haciendo una fortificacón detallada, llegar a tener un dispositivo bastante protegido, aunque no se pueda llegar a hacer todo lo que necesitan muchas de las certificaciones de seguridad.

Lo que sí que parece sintomático es que se haya hecho un pliego de condiciones sin contar con el equipo de seguridad, que se haya pensado en que sustituir una computadora con Windows 7 totalmente integrada en la gestión de la red se podría hacer con un iPad - por muy maravilloso que éste sea -, en lugar de un Mac OS X.

Dicen que para que pudieran trabajar mejor remotamente, pero para ello ya tienen un iPhone 4S también solicitado, ¿no? No obstante, acabe como acabe esto, esperemos que los políticos los usen para hacer las cosas bien, y no tengamos que verlos jugando al Angry Birds en su horario de trabajo.

El Juez Bermúdez usa el iPad en Justicia ¿Es seguro?

Nos ha sorprendido esta imagen que se pudo ver el viernes 18 en el Telediario 2 de Televisión Española. La imagen muestra al juez Javier Gómez Bermúdez de la Audiencia Nacional en mitad de un juicio mirando algo en un iPad. Conociendo las limitaciones de cifrado del iPad que permiten extraer contraseñas en caso de robo o extravío en seis minutos y los problemas que tiene con el cumplimiento del Esquema Nacional de Seguridad en ciertos entornos, nos llamó la atención.

Evidentemente, el juez, como ciudadano que es de España, tiene derecho a usar tantos dispositivos como desee, pero.... ¿pensáis que sería responsables tener configurada la cuenta de correo electrónico del ministerio de justicia a la que lleguen informes confidenciales relativos a casos en el juzgado? Desde luego, el que la tenga en mitad del juicio hace presuponer que, evidentemente, está almacenando en ella algún dato relativo a la vista de ese . Eso, o está prestando atención a otras cosas - mirando, por ejemplo, la hora, su correo personal, los periódicos del día o su agenda -.

La verdad es que la imagen es impactante. Hay que recordar que este juez, que lleva casos de lucha anti-terrorista, utiliza guardaespaldas porque, evidentemente, puede ser un objetivo. Teniendo en cuenta que se conoce que ETA está focalizando esfuerzos tecnologías de la información, como lo demostró la detención del  jefe informático por parte de los cuerpos de seguridad, hay que pensar en la posibilidad de un ataque a sus sistemas de información.

En un ataque a cualquier sistema informática, la primera fase que se realiza es la de recogida de información sobre la tecnología que usa el objetivo, como vimos en el ejemplo de detectar LogMeIn. Para ello, en cualquier proceso de explotación informática, se realizan las fases de footprinting y fingerprinting, pero en este caso, con la imagen, es totalmente innecesario realizar esas fases porque se sabe que está utilizando un iPad. Alguien podría hacer, por ejemplo, un ataque Man in the Middle forzando una conexión GRPS al no existir una opción de forzado de uso únicamente de conexiones seguras 3G.

Por lo que pudiera suceder, desde luego recomendamos al señor juez que procure tomar todas las medidas de seguridad que pueda, no configurar cuentas en aplicaciones con contraseñas que sean utilizadas en otros servicios, que no utilice patrones de construcción de contraseñas, que tenga activado un código complejo de acceso al dispositivo, que tenga las opciones de Wipe activas y que, en el momento que sospeche que ha perdido o ha sido robada su iPad borre todo remotamente.

Desde luego, los jueces son los que mejor conocen la ley, y hemos de suponer que si está usando iPad es porque ha evaluado todos los aspectos legales - repito: suponemos- pero no dejó de llamarnos la atención la imagen ¿Y vosotros qué opináis al respecto de que los jueces hagan uso público del iPad en sus trabajo y tuvieran informes confidenciales sabiendo que no se puede cifrar el disco duro?

[Whitepaper] iPad: Puntos que se incumplen de la Ley de Protección de Datos y el Esquema Nacional de Seguridad

En la actualidad no es inusual que un dispositivo como iPad, que presentaba originalmente el doméstico como su mercado potencial, se incorpore a entornos corporativos como un sistema informático más y para una utilización profesional del mismo. Sin embargo, y en lo que a la seguridad de la información se refiere, las necesidades de cumplimiento de las organizaciones no son las mismas que para un usuario particular. Por lo tanto, es necesario evaluar por parte de las empresas las condiciones de uso para este nuevo tipo de tecnologías.

En relación a lo anterior, desde Informática 64 se ha realizado un análisis, y se ha emitido el correspondiente informe asociado, evaluando el cumplimiento de un par de las normativas exigibles para este tipo de dispositivos en las empresas situadas en territorio nacional. Para ello se ha tomado como referencia, tanto la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de Desarrollo, como el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración pública electrónica, con tecnologías iPad.

El análisis realizado toma como premisa la aplicación de las medidas técnicas exigidas por ambas normas, evaluando su cumplimiento y teniendo en consideración para ello tanto las funcionalidades propias del dispositivo como de las aplicaciones que para éste pueden ser descargadas desde Apple Store. Las pruebas se han realizado sin modificar las condiciones de garantía proporcionadas por el fabricante. También se han tenido en consideración las recomendaciones que éste proporciona para su uso y gestión en entornos empresariales.

Se plantean, en los análisis realizados, distintos escenarios de uso, donde un iPad por sus características de movilidad pudiera ser un elemento fundamental en las operaciones de un usuario. Las pruebas llevadas a cabo atienden a los siguientes aspectos técnicos: Autenticación, almacenamiento, cifrado, comunicaciones, trazabilidad y medidas de protección.

Las medidas técnicas evaluadas han sido tratadas desde dos perspectivas diferentes. Por una parte, el uso local del dispositivo y por otra la utilización del mismo en un entorno de red. De igual modo, los resultados del análisis han tenido en consideración las limitaciones impuestas por el sistema iOS incorporado en el dispositivo. Finalmente en el estudio se ha intentado localizar la existencia de alternativas viables que permitan el cumplimiento de las medidas exigidas.

Tras la realización del análisis y de las diferentes pruebas que éste ha incorporado, se llega a la conclusión de que no es aconsejable la utilización de iPad para el tratamiento de datos de carácter personal en un entorno profesional y de empresa. La falta de mecanismos de autenticación local o los sistemas de trazabilidad son algunas de las problemáticas críticas que se han encontrado para que un iPad pueda ser utilizado para la gestión y almacenamiento de información sujeta a LOPD. La movilidad de este tipo de dispositivos, los hacen propicios para utilizarlos fuera del trabajo, sin embargo sus características no son adecuadas para el cumplimiento normativo tal y como se ha indicado.

Una circunstancia similar se da en el cumplimiento del ENS, donde a algunos requisitos ya exigidos por la LOPD, se suman otros como los de gestión, inventariado, operacionales y de protección que no son adecuadamente atendidos por este tipo de dispositivos. Algunas de las carencias pueden ser subsanadas mediante la adquisición de elementos adicionales, pero en múltiples escenarios y por las propias características técnicas del dispositivo, no se llega al cumplimiento de norma necesario. Las concurrencias de medidas específicas para estos dispositivos, sumadas a las generales de toda la organización, incrementarán los costes tanto económicos como operacionales, teniendo en ocasiones que plantear sistemas duales de administración.

Aunque la utilización de dispositivos iPad en determinados sectores pudiera ser atractiva, hay que calibrar adecuadamente su utilización cuando concurran necesidades de cumplimiento normativo. El análisis realizado y cuyos resultados se reflejan en el documento, permitirá tener la visión de qué aspectos de normativa son cumplimentados y cuáles no. En cualquier caso no debe olvidarse en ningún momento que la ley no aplica soluciones parciales, se cumple o no se cumple.

Puedes descargar el documento completo desde la siguiente URL: iPad: LOPD y ENS. El autor, Juan Luís G. Rambla, es también el escritor del libro sobre la Implantación de la LOPD en la empresa y Consultor de Seguridad en Informática64.

Metadatos en Microsoft Office para MAC OS X

Tony Blair en el año 2003 dijo que nadie de su equipo había manipulado un documento enviado desde Estados Unidos que demostraba que en Irak había armas de destrucción masiva. Sin embargo, cuando se hizo público en Internet ese documento, en formado doc de Microsoft Office, los metadatos demostraron que 4 miembros de su gabinete lo habían manipulado.

Hace poco la CENATIC, organismo de referencia del uso de las tecnologías de fuentes abiertas, fue pillado con un documento en PDF que había sido creado utilizando Apple Keynote sobre Mac OS X, que nada tienen que ver con herramientas de fuentes abiertas.

No sólo los documentos de Microsoft Office tienen metadatos. Documentos en formatos multimedía, PDF u OpenOffice adolecen, o incorporan esta característica, según se mire. Los metadatos pueden ser utilizados para cosas útiles y funcionales, como demuestra Automator, una herramienta que permite manipular ficheros en sistemas MAC OS X en función de sus metadatos.

El último gran escándalo se ha producido en el ayuntamiento de Leganés, en el que se ha descubierto, por medio de los metadatos, que el creador de un pliego de condiciones del ayuntamiento había sido la empresa a la que se adjudicó el concurso.

Los metadatos en los documentos ofimático pueden significar un gran problema para la seguridad de una empresa, tanto que el recientemente aprobado Esquema Nacional de Seguridad alerta de ello y recomienda medidas de protección contra la fuga de información en Metadatos.

Las herramientas de Microsoft Office, desde sus versiones para Mac 2008 y la próxima Office 2011, disponen de una herramienta de limpieza de metadatos incluida. Basta con ir a las opciones del menú y seleccionar Preparar/Inspeccionar Documento, para saber que metadatos incorpora y eliminarlos. Para las versiones anteriores Microsoft no oferta ninguna herramienta de limpieza de metadatos.

Metadatos en un fichero doc creado con MS Office 2008 para Mac publicado en Apple.com

Sin embargo, en formatos binarios, es decir, los formatos previos de Microsoft Office antes de pasar a OOXML, a saber: xls, ppt, doc, etc... aunque se eliminen los metadatos, siempre es posible conocer qué versión del sistema operativo y del paquete ofimático se utilizó, ya que en los Streams OLE queda marcada esta información. Así, es posible descargar ficheros de Internet, del mismo sitio de Apple, y descubrir un montón de información sensible con herramientas como la FOCA.

Tabla de valores en Streams OLE

El verdadero problema no radica en los datos que se pueden descubrir en un único fichero, sino que en un entorno público de Internet, donde en un sito web se publican miles de archivos, si todos estos no están limpios de metadatos, la información obtenida con ellos puede ser peligrosa para la organización. 

Sé higiénico, limpia los metadatos de tus documentos antes de enviarlos por correo o publicarlos en Internet.