"Els sistemes d'identificació per radiofreqüència es posaran de moda en 2007"
Jorge Ramió, expert en criptografia i seguretat de la informació
En aquesta entrevista per a netfocus, Jorge Ramió, expert en criptografia, comenta el moment actual i les tendències en matèria de seguretat de la informació.
Ramió és Coordinador de la Xarxa Temàtica Iberoamericana de Criptografia i Seguretat de la Informació CriptoRed, Director de la Càtedra UPM Applus+ de Seguretat i Desenvolupament de la Societat de la Informació CAPSDESI i professor de Seguretat i Criptografia en la UPM.
Recentment es celebrava a Barcelona la novena edició del RECSI (Reunió Espanyola sobre Criptologia i Seguretat de la Informació). Quina és la principal conclusió que ha pogut extreure de l'esdeveniment?
Malgrat l'ampli ventall de temes presentats en les ponències, alguna cosa d’altra banda característica en seguretat de la informació a causa del seu caràcter multidisciplinar, tal com s'esperava un dels temes que més debat va incitar va ser la d'identificació, en els seus vessants document nacional d'identitat electrònic i sistemes d'identificació per radiofreqüència. Sí es troba a faltar, i això és alguna cosa que es ve arrossegant des de fa anys, un major pes en propostes innovadores en gestió i anàlisi de risc, per exemple.
No obstant, tal vegada la conclusió més interessant que es pot extreure d'aquesta novena edició, és que els grups d'investigació a Espanya han augmentant i ampliat el seu horitzó, tant en temàtica com en repercussions internacionals. Sense deixar de tenir en compte aquells professionals i experts de la seguretat informàtica en l'empresa, indústria i organismes de l'Estat que també investiguen, estem parlant que a Espanya dintre de les universitats i centres d'investigació existeix un grup superior als 300 experts, en la seva majoria doctors, participant en desenes de projectes d'investigació.
Un valor molt alt i que ve a posar de manifest l'espectacular desenvolupament que ha experimentat en el nostre país aquesta especialitat en els últims 10 anys.
Una de les fites esdevingudes en 2006, quant a desenvolupament de la Societat de la Informació, ha estat la distribució entre la població dels primers DNI Electrònics. L'extensió d'un certificat i una signatura digital al conjunt de la ciutadania mitjançant el nou eDNI, quines repercussions pot tenir al seu judici en l'àmbit de la seguretat de la informació?
El lliurament d'un DNI electrònic a la població és una fita important dintre de l’anomenada Societat de la Informació, que ens posa a més a l'avantguarda tecnològica en aquest àmbit. Cal recordar que a finals de 2006 s'havien expedit ja 100.000 DNI electrònics i s'espera que en 2007 aquesta xifra arribi als 4 milions.
És cert que permetrà una identificació més forta i tindrà importants avantatges per a operacions en línia, però també cal reconèixer que ha estat una aposta de l'administració amb poc o gens de consens des dels seus inicis; només cal donar-se una volta per portals com Hispasec, Kriptópolis, Associació d'Usuaris d'Internet o l'Associació d'Internautes per a comprovar que aquest tema ha despertat molta polèmica i que l'eDNI, tal com s'està desenvolupant, té un gran nombre de detractors.
Els tres aspectes negatius en els quals se centren totes les mirades són el no apostar per un disseny públic i la insuficient informació i debat previs, insalvables des del punt de vista del projecte doncs aquest neix amb tal filosofia, i després l'ús d'algoritmes que suposadament estaran en dubte en els pròxims anys. Com reaccionarà un ciutadà amb escassos coneixements de seguretat, i molt menys de criptografia, quan llegeixi una notícia en el diari en la qual es comenti la debilitat dels algoritmes que estan en el seu document d'identitat i que han sucumbit davant un atac? No fa falta ser endeví per a sospitar que alguna cosa així -que evidentment és possible es produeixi abans de 10 anys- farà que la seva confiança en el sistema desaparegui.
Deixant de costat el complicat tema de les funcions hash, que passats ja dos anys des d'aquells primers atacs en seriós a MD5 avui s'han generalitzat a tota aquesta família posant fins i tot en seriós risc a SHA-1 i segueix sense haver-hi una resposta en forma d'estàndard mundial, sempre està en l'aire la pregunta de perquè no es va triar per a l'eDNI corbes el·líptiques en comptes de RSA, quan totes les investigacions apunten al fet que serà el nou estàndard en xifrat de clau pública.
Totes aquestes qüestions conviden a molts cap a la desconfiança. I si no hi ha confiança, per molt que tinguem mesures i normes de seguretat i fins i tot les apliquem, és impossible donar aquest pas definitiu que ens fa falta perquè el comerç, la banca, l'administració i altres serveis electrònics tinguin aquest futur prometedor que pel que sembla està encara per arribar.
Quines creu vostè que poden ser les tendències futures pel que fa a les tecnologies i dispositius d'identificació, tenint en compte les variables de cost, seguretat, desplegament, ubiqüitat?
Els sistemes d'identificació per radiofreqüència coneguts com RFID, especialment a causa de les seves característiques d'ubiqüitat, es posaran definitivament de moda en aquest any 2007 i donaran molt que parlar. Les aplicacions d'aquesta tecnologia són molt amples, el cost és baix i està demostrat els beneficis que poden aconseguir-se amb el seu ús.
En aquest any 2007 veurem el naixement a Madrid del bitllet de metro electrònic basat en RFID, implantat per exemple en el metro de Santiago de Xile des de 2003 i amb excel·lents resultats. I així, podríem trobar infinitat d'exemples en què aquest nou sistema d'identificació optimitza operacions en la indústria, permet una traçabilitat total d'un producte, ens fa la vida més còmoda per exemple usant-ho en el peatge en autopistes o podent recuperar la nostra mascota perduda o robada perquè tenia un xip implantat sota la pell.
No obstant i com succeeix en tot ordre de coses, s'ha donat el salt cap al ser humà. Estats Units, Espanya i Mèxic, per nomenar només a tres, són països en els quals ja s'ha implantat aquest sistema d'identificació sota la pell d'un ser humà, si bé amb objectius distints: seguiment de pacients d'un hospital, un Club per a identificar als seus clients VIP i la policia per al seguiment en cas de segrest, respectivament.
Molts veuen una mà “orwelliana” en tot això i no sense raó. Es pot implantar un xip en qualsevol lloc o objecte amb la característica que sigui totalment invisible a l'ull humà, per exemple en l'etiquetatge d'una camisa i arribar a saber després on hem estat cada vegada que hàgim usat aquesta camisa. Seria un exemple de la propietat de traçabilitat del producte, que en aquest cas en particular no resulta tan senzill atès que el normal són abastos de lectura del xip de només alguns centímetres, si bé és possible sota certes circumstàncies lectures des de més de 10 metres.
I no cal oblidar la tendència de la computació cap a la ubiqüitat. El mateix si s'oculta el xip en la pintura d'un automòbil o, més encara, en el nou passaport electrònic espanyol. És el gran dilema de fins a on poden arribar les mesures de seguretat sense que això comporti un atac flagrant a la privadesa i intimitat del ser humà.
En resum, una tecnologia apassionant amb molt futur però que simultàniament obrirà portes insospitades. Possiblement aquest 2007 serà un any de nous descobriments, notícies i no poques sorpreses en RFID.
Espanya, segons els últims estudis, és el tercer país del món que més atacs de phishing sofreix. Creu que les organitzacions més sensibles a aquestes amenaces, com les entitats financeres, estan realitzant els esforços necessaris per a pal·liar aquest fenomen?
És veritat, només per darrere d'Estats Units i Gran Bretanya. Però el més important -i preocupant- és que si bé en 2005 es detecten prop de 300 casos de phising, en 2006 segons indica el segon informe sobre aquest fenomen a Espanya aquest valor s'incrementa fins a arribar a 1.200 en xifres rodones, un creixement impressionant del 300%.
Una possible -i terrible- lectura que es podria fer sobre aquests valors, és que el crim organitzat s’hagi donat compte que Espanya és un paradís fiscal en aquest sentit, que existeix impunitat i que, d'una o una altra forma al final aquest tipus de delicte té la seva recompensa econòmica i és rendible. Recordo una frase sarcàstica, i no per això genial, expressada pel professor Jeimy Cano de la Universitat de Los Andes, Colòmbia, en la seva conferència presentada en el Dia Internacional de la Seguretat de la Informació DISI 2006, organitzat per la Càtedra UPM Applus que dirigeixo, i celebrat el 30 de novembre a Madrid: “ells -el crim- sí estan organitzats, nosaltres no”. És cert que existeixen grups de treball ja formats i en plena activitat analitzant aquests tipus d'atacs; no obstant, fóra bo que les entitats afectades reflexionessin sobre aquesta frase.
És el correu electrònic l'eina d'Internet en la qual més s'hauria de potenciar els aspectes relacionats amb la seguretat de la informació per a evitar amenaces com, precisament, la del phishing?
Resulta evident que en l'actualitat el correu electrònic i els seus derivats com el xat i la missatgeria instantània, són un dels principals focus d'infecció per malware. Si a més no tenim una adequada política de protecció en el nostre sistema davant aquests atacs, això ens pot implicar més d'algun disgust.
Crec, no obstant això, que el més important és la conscienciació de l'usuari final; el que sempre es diu -i és veritat-, que l'últim graó de la seguretat informàtica i el més feble és sempre un ser humà. L'ús d'Internet, i les seves eines de comunicació, ha estat tan explosiu en els últims anys que la societat no ha tingut temps de culturitzar-se de forma adequada en aquest sentit.
Se sap com funciona alguna cosa però no es va més enllà, no fa falta saber res més doncs el resultat està a la vista, funciona i si no és així es torna a arrencar i a començar de nou. És la filosofia del “plug and play” i després Déu proveirà. Alguna cosa que almenys a nivell personal crec que apliquem diverses vegades en el nostre contacte amb la tecnologia.
Fa 20 anys, abans d'encendre i connectar un equip informàtic, el lògic era llegir abans el manual, d'aquí la cèlebre cita RTFM (llegeix el maleït manual) davant un dubte, avui no. No dic amb això que hàgim de tornar a aquells temps, però no vindria malament portar a l'entorn Windows, el més estès a nivell d'usuari final es vulgui o no, les formes d'actuar per exemple en el món linux.
Quins creu vostè que són els aspectes tècnics que poden ajudar de manera determinant a mitigar fenòmens com el spam i el phishing?
No té una resposta fàcil. El spam, encara que estigui tipificat com delicte i existeixin diversos casos de spamers multats i en alguns casos condemnats amb presó, el cert és que el seu seguiment és bastant complex i és gairebé un problema amb el qual hauríem d'aprendre a conviure.
Podem posar filtres en el nostre servidor i en el nostre client i amb això eliminar una gran majoria de correu escombraries o no desitjat, però sempre cap la possibilitat que filtrem com a no desitjat un correu que no tingui aquesta connotació. Una solució és que una vegada filtrats aquells missatges que sabem són spam perquè així estan definits en les polítiques del filtre, deixar els correus dubtosos en quarantena i veure'ls de tant en tant, afegint per tant noves entrades al filtre.
Internet és un món obert i en aquest moment perfectament em podria estar arribant un correu d'algú que no conec que desitja consultar-me o proposar-me alguna cosa, independentment que el text estigui en espanyol, anglès o un altre idioma: com sé que això és o no spam? És a dir, hi ha eines apropiades en el mercat que minimitzen de forma efectiva aquest problema -tot a costa de recursos i al final de diners, la seguretat no és gratuïta- però cap pot assegurar-nos una eficiència del 100%.
Quant al phising, el problema és moltíssim pitjor. Si en l'any 2004 els usuaris comencem a rebre correus amb una redacció desastrosa i innombrables errates, que fins i tot ens provocaven moments de veritable hilaritat, en només dos anys a la fi de 2006 hem estat testimonis d'atacs tremendament sofisticats, còpies perfectes de servidors, certificats digitals que es comproven amb una suposada interactivitat entre client i servidor, keyloggers de pantalla, etc.
A la vista del comentat en una pregunta anterior, l'any 2007 ens portarà amb tota seguretat nous atacs de phising molt difícils de detectar. És a dir, tècnicament s'estan donant passos davant aquests fenòmens però no són suficients. Opino que una eina eficaç seria augmentar de forma significativa les penes de presó per a aquests delictes, de manera que ja no sigui tan rendible ser un ciberdelincuent; però ja se sap que les lleis van sempre per darrere dels esdeveniments pel que desgraciadament això no deixa de ser una quimera.
En quines situacions o àmbits recomanaria que tota la informació transmesa electrònicament entre dos actors fos xifrada?
No és necessari o almenys no recomanable per a la nostra salut mental caure en aquest tipus de paranoies. Podem pensar que tot el que ens intercanviem a través d'Internet s'està recol·lectant... i és així, és veritat que existeix la xarxa Echelon... però d'aquí a xifrar tots els nostres correus crec que seria caure precisament en aquesta paranoia.
Però aquí cal saber diferenciar els àmbits de treball. Xifrar tot el meu correu personal no tindria sentit, alguns missatges tal vegada sí, però si treballo per posar un exemple en el Ministeri de Defensa i faig servir el meu compte de correu corporatiu, possiblement sí seria lògic que molts dels meus missatges anessis xifrats i signats. I aquí entrem en un terreny el debat del qual estarà sempre obert: ens interessa més la confidencialitat -secret- de la informació o la seva autenticitat i integritat?
Com ho defineixen les denominades polítiques de seguretat, depenent de l'entorn en què ens moguem prevaldrà una més que l'altra. Encara que ambdues tenen importància, si calgués triar entre les dues en el món d'Internet i les xarxes, avui m'inclinaria per la d'autenticitat i integritat a través de certificats digitals i infraestructures de clau pública.
Són els usuaris particulars els més exposats a atacs relacionats amb la seguretat de la informació o bé qui corren majors riscos són les organitzacions o col·lectius?
Existeix un crim organitzat que s'està lucrant i molt amb els atacs i vulnerabilitats de les xarxes en general. Responsables del Tresor Públic d'Estats Units reconeixien a la fi de l'any 2005 que els delictes en Internet havien superat els ingressos de delictes clàssic com la venda il·legal d'armes o el narcotràfic. Per tant, en primera instància m'inclinaria a dir que qui estan més exposats a atacs seran les grans organitzacions i col·lectius atès que l'objecte de delicte pot ser més profitós.
Però per una altra part, els delinqüents saben que davant del robatori de quantitats moderades és molt possible que sigui el banc qui respongui davant el seu client, i així el delicte en certa forma passi desapercebut. Es tractaria d'una nova varietat del típic i antic ataqui tipus salami, però en aquest cas amb majors beneficis donada l'amplitud de l'espectre que s'ataca.
Les amenaces relacionades amb la seguretat de la informació en mitjans electrònics han anat evolucionant en aquests últims anys. Si en un principi els atacs buscaven principalment notorietat, d'un temps a aquesta part se centren gairebé exclusivament en la consecució d'un benefici econòmic. Creu que aquesta tendència pot mantenir-se?
Més que mantenir-se, tot indica que anirà en augment. Hem d'oblidar-nos una mica d'aquell perfil una mica càndid d'intrús, un inconformista amb el sistema i sempre en recerca de nous desafiaments -aquesta frase en pla Robin Hood amb la qual es definien com la consciència de la xarxa- encara que els seus moviments estiguin moltes vegades a la vora de la legalitat o fins i tot en ocasions sobrepassin aquesta prima línia que la separa del delicte.
El crim organitzat en Internet, sigui aquest cibercrimen o ciberterrorisme, tenen en les seves xarxes delictives veritables hackers; és més, fins i tot els paguen la seva educació superior. El perfil d'aquest individu, pel mateix tipus de banda criminal al que ens estem referint, dista molt d'aquell altre. Serà algú que mai no podrà aconseguir notorietat, i si ho fa s'exposa a la llei d'ajustos de comptes que regeix en aquests grups. És un cercle tancat i mafiós, i això dificulta encara més poder seguir els seus passos, infiltrar la policia i altres mesures clàssiques per a enfrontar-se al crim.
És més, assistim en 2006 a la venda de malware dissenyat a mida contra alguna empresa o sistema en particular, a la subhasta de programes maliciosos, fins i tot a la venda de xarxes zombis completes amb les quals es poden cometre malifetes. Tot això és un problema que la policia a nivell mundial estan patint en els últims anys i que l'única solució la trobem en una estreta col·laboració internacional i la necessitat d'una formació al més alt nivell científic per al seu personal.
Com creu que pot impactar en la criptografia actual l'aparició dels ordinadors quàntics?
Per la nebulosa que li envolta i la possibilitat de sumir-nos en un món de ciència ficció, aquest és un tema que genera molta polèmica. Hi ha evidència i es pot comprovar pels resultats publicats en congressos i Internet que s'han assolit interessants desenvolupaments científics relatius a la computació quàntica amb desenes de bits i que això podria significar un veritable crack en el món de la criptografia.
D'existir aparells amb aquestes característiques però treballant amb centenars o milers de bits, portaria com a conseqüència immediata que tota la seguretat criptogràfica que avui coneixem es quedaria en paper mullat. Per a fer un símil elemental i infantil, és com dir que la meva clau privada és segura perquè el seu nombre (el 2.501) és el producte de dos nombres primers que ningú no coneix... en pocs segons el lector sabrà que aquests dos nombres són el 41 i el 61. Actualment i amb els sistemes computacionals existents, intentar factoritzar un nombre de 320 dígits (els 1.024 bits utilitzats per RSA) en els seus dos cosins cadascun de 160 dígits, és una tasca computacionalment impossible; és a dir, de mitjana trigaríem milers de milions de vegades l'edat de l'univers a trobar tals nombres, comptant amb centenars de milers d'ordinadors connectats a Internet i treballant en paral·lel. Però amb un computador quàntic això mateix podria fer-se en un temps molt petit.
De totes maneres, no ens enganyem, la seguretat actual és només probabilística: algú pot donar amb la clau privada del Banc d'Espanya en un segon, alguna cosa tan “simple” com encertar un nombre d'uns 320 dígits, que seria la clau privada del certificat digital d'aquesta entitat... però aquesta probabilitat és tan petita que confiem en la seguretat del sistema.
Els computadors quàntics, a més, permetrien alguna cosa que s'ha vingut buscant en criptografia des dels seus inicis: que la fortalesa d'un algoritme sigui matemàticament segura i no només computacionalment segura. Però acceptarien els Estats que existís aquesta seguretat i privadesa total amb l'actual panorama de delictes en la xarxa, xarxes de pedofilia, atacs terroristes, etc.? És més, a ningú li crida l'atenció que un algoritme tan fort i segur com és l'estàndard AES tingui el seu codi font en Internet en desenes de llenguatges, que bandes criminals el puguin estar utilitzant amb claus superiors als 256 bits, fins i tot modificant alguna cosa el seu codi -si bé això no és aconsellable- i creant així un “nou algoritme” suposadament desconegut... i ningú s'esquinci les vestidures? Massa preguntes.
Des de l'Administració s'estima necessari incrementar la denominada “e-Confiança” per a fomentar l'ús de les TIC. Considera que la criptologia hauria de ser l'eix principal sobre el qual s'articulessin les accions en aquest sentit?
Precisament aquest ha estat el lema del congrés que la Càtedra UPM Applus va celebrar al novembre de 2006: "Construint la Societat del Coneixement des de la Confiança". Com deia, si no hi ha confiança un sistema no pot prosperar, i si ho assoleix serà després de superar moltes dificultats. Enfocar aquesta confiança només en els algoritmes criptogràfics seria una equivocació, per molt que m'agradi la criptografia.
La seguretat informàtica és molt més que criptografia; és gestió, auditoria, normatives, legislació, anàlisi de riscos, protecció de xarxes, protocols, protecció de dades personals, sistemes d'identificació, metodologies, maquinari, ... i persones. I al final, tot sol trencar-se pel punt més feble, el ser humà. Opino que l’e-confiança s'aconsegueix solament si tots aquests apartats es duen a bon port, especialment el factor humà, la conscienciació.
Li agradaria realitzar algun comentari més?
Només agrair-vos la possibilitat que em doneu per a opinar sobre aquests temes tan polèmics i controvertits; segurament molts lectors no estaran d'acord amb les meves opinions però això és bo; la seguretat de la informació és un debat obert i totes les opinions tenen el seu valor, ningú pot ser tan il·lús de creure que les seves apreciacions són les úniques correctes.
A més, m'agradaria repetir alguna cosa que he comentat en diverses conferències: en seguretat informàtica l'enemic sempre estarà a l'aguait i possiblement un pas per davant de nosaltres; no cal baixar mai la guàrdia i la millor manera és tenint cura de la formació d'especialistes i lliurant una informació adequada a l'usuari.
Compartir aquesta informació:
