Archive for 31 agosto 2009

h1

Hispalinux, en favor de una administración electrónica “transparente, independiente y democrática”.

31/08/2009

La asociación de usuarios españoles de Linux, Hispalinux, ha publicado una carta abierta en la que reivindican las máximas garantias para que los ciudadanos puedan acceder a todos los servicios de la administración sin que pueda producirse “una concentración de poder sobre la información pública y una dificultad insuperable de control de las instituciones”.

Al hilo del debate (o de su ausencia) sobre el Real Decreto por el que se regulará el Esquema Nacional de Interoperabilidad, la asociación señala sus conclusiones tras el estudio del proyecto del texto legislativo:

  • Un planteamiento general que no conduce a la interoperabilidad
  • El Real Decreto consolida los estándares privados
  • ¿El artículo 11.2 al servicio de una empresa?
  • Necesidad de instar y desarrollar estándares abiertos
  • Necesidad de dar prevalencia a los estándares y formatos abiertos.
  • La RED SARA no puede ser de una empresa y carecer de regulación básica
  • Inexistencia de un órgano de control de la interoperabilidad

Hispalinux lleva tiempo promocionando el software libre en la administración, y esta carta abierta solo es un paso más en su cruzada por derrotar a los estándares y formatos privados.

En ese sentido, y máxime en tiempos de crisis, no parece razonable que a la administración le suponga un gasto millonario utilizar paquetes ofimáticos, sistemas operativos y sotware de todo tipo en cada uno de los cientos de miles de equipos informáticos que utilizan los funcionarios, existiendo alternativas libres perfectamente válidas para todas esas funciones.

Solamente la oficina del Defensor del Pueblo ha gastado recientemente 85.000 euros en licencias de Windows y Office.

Por otra parte, también debe evitarse ofrecer al ciudadano documentación en estos formatos propietarios que en teoría le obligarían a pagar una licencia por la utilización de un producto, pero que en la práctica supone la perpetuación de la piratería en España.

PD y Offtopic: La Diputación provincial de Lugo ha puesto en marcha un plan (Innova-Te) para implantar la administración electrónica en los ayuntamientos de la provincia. Este tipo de iniciativas son imprescindibles para acercar la administración a los ciudadanos, y resultan especialmente importantes en lugares como Galicia, donde la dispersión de la población dificulta en muchas ocasiones el acceso de los ciudadanos a los servicios públicos.

h1

WPA/TKIP ha sido crackeado

28/08/2009
Red wireless

Red wireless

Las redes inalámbricas de transmisión de datos Wi-Fi necesitan cifrar la información que por ellas se transmite para evitar que un sniffer pueda capturar las tramas de la red y acceder a todos los datos de la comunicación.

En principio, el estándar IEEE_802.11 se proveyó del método WEP (Wired Equivalent Privacy), que fue sustituído por WPA (Wi-Fi Protected Access) vistas las debilidades criptográficas que presentaba su predecesor y que hiceron que fuese desaconsejado.

No parece que WPA tenga tampoco el nivel de seguridad apropiado. En octubre de 2008 se publicó que la compañía rusa ElcomSoft había conseguido recuperar una clave WPA en un tiempo mucho menor que lo que habían conseguido anteriormente, gracias a la utilización de tarjetas gráficas NVIDIA. En noviembre de ese año, los investigadores alemanes Erik Tews y Martin Beck dijeron que habían conseguido saltarse parcialmente la seguridad, consiguiendo leer los datos enviados desde un router a un portátil. Sin embargo, no consiguieron las claves de encriptación.

Hoy hemos sabido que unos investigadores japoneses, Toshihiro Ohigashi y Masakatu Morii, de las universidades de Hiroshima y Kobe respectivamente han llevado a la práctica el ataque que no pudieron realizar los anteriores. En el paper: A Practical Message Falsification Attack on WPA (PDF) explican cómo consiguen recuperar la clave maestra en un tiempo que oscila entre uno y quince minutos.

h1

Firma electrónica y supuestas vulnerabilidades en el DNI-e

27/08/2009

Hoy hemos tenido noticia vía la Asociación de Internautas de que se han detectado vulnerabilidades en las implementaciones del DNI electrónico. Un informe (PDF) de los consultores Pentest asegura que su utilización cotidiana “no permite afirmar que se pueda confiar totalmente en su uso”.

Empezaré diciendo que estoy de acuerdo con Pentest en que no se puede confiar totalmente en su uso porque no existe ninguna tecnología en la que se pueda confiar totalmente. No existe el sistema inexpugnable. Gene Spafford, un reputado experto en seguridad informática dijo en una ocasión:

El único sistema totalmente seguro sería uno que estuviese apagado, desconectado de cualquier red, metido dentro de una caja fuerte de titanio, rodeado de gas y vigilado por unos guardias armados insobornables. Aún así yo no apostaría mi vida por él

Partiendo de esta premisa, diré que el DNI-e es un sistema de firma seguro, estándar y muy extendido, con lo que existen multitud de empresas y administraciones con las que relacionarse de este modo. Sus características lo hacen bueno para garantizar la confidencialidad, integridad, autenticidad y el no repudio.

  • La confidencialidad se refiere a la capacidad de mantener un documento electrónico inaccesible a todos, excepto a una lista determinada de personas.
  • La integridad garantiza que el documento recibido coincide con el documento emitido sin posibilidad alguna de cambio.
  • La autenticidad se refiere a la capacidad de determinar si una lista determinada de personas ha establecido su reconocimiento y/o compromiso sobre el contenido del documento electrónico. El problema de la autenticidad en un documento tradicional se soluciona mediante la firma autógrafa. Mediante esta firma, un individuo, o varios, manifiestan su voluntad de reconocer el contenido de un documento, y en su caso, a cumplir con los compromisos que el documento establezca para con el individuo.
  • El no repudio garantiza que las partes no puedan negar que la información se intercambió.

El DNI-e utiliza una infraestructura de certificación compuesta de una Autoridad raíz y un conjunto de Autoridades subordinadas. Por describir un ejemplo, el raíz consiste en un certificado autofirmado con SHA1 y SHA256, con claves RSA de 4096 bits

El DNI-e contiene un certificado X509v3, que tiene activo en el Key Usage el bit de ContentCommitment (no repudio) y que está asociado a un par de claves publica y privada, generadas en el interior del chip.

Este certificado expedido como reconocido es el utilizado para la firma de documentos garantizando su integridad y el no repudio de origen, y convierte la firma electrónica avanzada (FEA) en firma electrónica reconocida (FER). Este tipo de firmas se equiparan legalmente a la firma manuscrita, según la Ley 59/2003 y la Directiva europea 1999/93/CE (PDF).

Además de este certificado fundamental, el DNI-e contiene un certificado de componente para establecer un canal cifrado y autenticado entre la tarjeta y los drivers, y un certificado de autenticación para establecer el canal seguro entre el cliente y el servidor.

El Ministerio de Administraciones Públicas (MAP) puso en marcha un proyecto denominado “Plataforma de validación y firma electrónica (@firma)”, heredado de la Junta de Andalucía, y que ha permitido poner a disposición de las distintas administraciones una aplicación a través de la red SARA para validar y firmar electrónicamente. Es una solución basada en software libre que las administraciones utilizan para no tener que realizar sus propios desarrollos.

Valgan este conjunto de características técnicas para decir que aunque la tradición y la desconfianza hacia lo desconocido nos siga llevando en muchas ocasiones a utilizar en nuestros trámites una firma manuscrita plasmada en un papel o una pobre contraseña, una firma digital es infinitamente más difícil de falsificar, y esa posible falsificación suele dejar un rastro.

Las características del DNI-e, junto con las medidas de protección implementadas en las administraciones para evitar la suplantación de la identidad en las aplicaciones que desarrollan, así como los sistemas de seguridad de los equipos domésticos (antivirus, firewall, etc.) no constituyen un sistema perfecto, pero aumentan notablemente el nivel de seguridad frente al fraude.

El propio informe al que nos referimos, injustamente exagerado en los medios digitales para buscar en ocasiones el titular impactante, reconoce que “el uso del DNI Electrónico siempre es más seguro que el uso de contraseñas estáticas”, que los scripts que explotan las vulnerabilidades no pasarían los filtros de firewall o antivirus, o que no se han podido probar (y menos explotar) algunas vulnerabilidades que se buscaban.

En definitiva, no se han detectado vulnerabilidades importantes en el DNI-e en sí mismo, sino que simplemente se ha dejado indicado algún camino para probar alguna de forma hipotética. La más jugosa en su anális sugiere que con un equipo hardware o software especial que sea capaz de cortar la corriente que llega al DNI-e en un momento exacto, tal vez podría impedirse que el contador de intentos de escritura del PIN correcto no se actualizase y por lo tanto, repitiendo la operación de un modo automático unos cuantos millones de veces, tal vez podría averiguarse un PIN sencillo. Es una hipótesis porque no se ha podido garantizar que ese contador funcione de forma errónea.

Del informe me quedaré con la posibilidad de extraer información privada del certificado (DNI, Fecha de nacimiento) a través de la sesión del navegador, lo que podría explotarse en ordenadores públicos o en los kioskos de las administraciones. Esto debe recordarnos a quienes trabajamos diseñando aplicaciones en la administración que hay que garantizar siempre que la sesión quede cancelada tras el paso de un usuario, y a los propios usuarios, que deben tratar de dejar todo cerrado a su paso: el DNI-e retirado del lector tras la autenticación o la firma, la sesión de la aplicación finalizada, y si es posible, el navegador cerrado.

Donde sí estoy totamente de acuerdo es en que algunas administraciones, instituciones financieras y organismos de cualquier otro tipo que utilizan el DNI-e no están implementando sus aplicaciones de forma correcta, haciendo un poco más débiles sus sistemas.

Creo que es labor de todos contribuir a que esta segura tecnología llegue a serlo todavía más.

Y en ello estamos.

Enviar a Meneame Enviar a menéame Enlazar en Facebook Enlazar en Facebook Twittear Twittear

h1

Administración electrónica

12/08/2009

La Administración Electrónica es una herramienta de la que disponen las administraciones públicas para mejorar su productividad sustituyendo los procedimientos que se realizan con papel por procedimientos electrónicos. Estos procedimientos pueden ser internos (dentro de la propia administración), relacionar distintas administraciones o corresponder a trámites en los que los ciudadanos o las empresas se relacionan con los distintos  organismos o instituciones.

En este último caso, las ventajas para los usuarios de las administraciones es evidente: acceder a los trámites a través de internet permite elegir el mejor momento para hacerlo, no teniendo que someterse al escaso horario de atención al público, elimina la necesidad de desplazarse físicamente a una oficina y elimina las frecuentes esperas tras largas colas.

Las distintas administraciones del Estado (general, autonómica y en menor medida la local) están trabajando en esta adaptación, aprovechando para repasar y perfeccionar sus procedimientos, tratando de reducir los trámites burocráticos que los ciudadanos deben realizar para acceder a los servicios o pagar sus impuestos. En este sentido, por ejemplo, se procura que sea la propia administración la que recabe toda la información o documentación que ya exista en otras administraciones, de tal forma que únicamente se solicite al ciudadano lo que no sea posible conseguir por otros medios.

En España, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP), reconoce a los ciudadanos su derecho a relacionarse electrónicamente con las administraciones públicas, así como la obligación de éstas a garantizar ese derecho (art 6.1).

El 31 de diciembre de 2009 es el último día del que dispone la Administración General del Estado para adaptar todos sus procedimientos (Disposición Final tercera. Punto 2), pero no parece que toda la administración esté en disposición de cumplir estos plazos legales.

Enviar a Meneame Enviar a menéame Enlazar en Facebook Enlazar en Facebook Twittear Twittear