FaceId, y por qué no me parece una buena idea

Apple ha desvelado su nuevo iPhone X, en el que hay un gran cambio: si característico botón único ha desaparecido. Esto me lleva de entrada a pensar 2 cosas:

  • Todo ese desarrollo de lectura de huellas dactilares, a donde fue?
  • Sin ese botón, ¿como se desbloquea? ¿Se abandona la biométrica de huellas dactitilares después de todo lo que se invirtió en ella?

Pues la respuesta es que la biométrica sigue allí, pero con otro campo: la identificación facial. Aún sabemos poco de cómo se supone que funciona, pero lo que se ha mostrado es que al apuntar el teléfono hacia tu cara, si eres el propietario, se desbloquea, y aunque parezca cómodo, hay una serie de cuestiones qur me preocupan, mas allá de los evidentes chistes de parecidos razonables que no se pueden evitar compartir.

FaceId, y por qué no me parece una buena idea
Los chistes de identificación facial con parecidos razonables no se hicieron esperar
  • Asumo que Apple se habrá dejado un dineral en ese desarrollo y es probable que me equivoque, pero en mi experiencia, el reconocimiento de imágenes mediante inteligencia artificial es altamente dependiente de la luz (lo comprobé trabajando en el reconocimiento de señales de tráfico para coches inteligentes), lo que me hace plantearme incluso un paso mas… ¿Se puede desbloquear a oscuras? Ya no solo requiriria una gran cantidad de fotos de entrenamiento básico para superar el problema de la iluminación, sino que igual la cámara tendrá visión nocturna a lo peli de Bond.
  • Qué pasa si se colocan varias fotos del propietario delante, ¿se desbloquea? Hoy en día con tanta red social es muy simple conseguir una imagen de alguien.
  • Tema 100% legal: en los aeropuertos de Estados Unidos, se puede solicitar que desbloquees tu teléfono para que revisen tu correo y cuentas de redes sociales. Es perfectamente legal el no compartir la contraseña, pero la ley actual si permite pedir el uso de huellas dactilares, lo que ya permitía burlar modelos anteriores de iPhone. Cómo es de fácil que apunten el teléfono hacia tu cara y que accedan del tirón?
  • ¿Dónde se almacena esa información bionétrica? ¿Qué pasa si es robada? Cambiar de contraseña es mucho mas fácil que cambiar de cara.

Así que sentíos libres de llamarme clásica, pero me quedo con los clasicos pines (numéricamente 10^4 posibilidades, con los dibujos uniendo puntos 9 sobre 8 combinaciones) cualquier dia de la semana. En resumidas cuentas, es mas simple, seguro, y se puede cambiar en cualquier momento sin costes ni dolores.

Anuncios

La pesadilla informática de LexNET

Quizás hayais oído hablar de LexNET, o quizas vuestros filtros os hayan hecho ignorarlo, como suele pasar con la mayoría de las cosas de derecho. El “legalés” (término jocos que utilizamos para definir la jerga legal) no es un idioma que controle y soy la primera que tiende a desconectar al escucharlo, pero este tema es curioso a la vez que terrible.

La pesadilla informática de LexNET
El logo de LexNET

Para quien no lo sepa, los sistemas digitales de los juzgados son cada uno de su padre y de su madre, lo que probablemente no resulte sorprendente, ya que tenemos una situación similar con los chips de las mascotas a nivel autonómico. LexNET fue un programa que se pretendía implantar a nivel nacional, lo que suena bonito. Lo que no suena tan bien es su extrema inseguridad, lo que me llevó a buscar información mas especializada: resulta que los datos de usuario se pasan en llamadas SOAP no securizadas, lo que quiere decir que los datos se ven de forma plana en la URL (ejemplo el ID de mi usuario), y con sustituir este por cualquier otro, un usuario se puede colar en la pantalla de otro.

¿Qué significa esto? Pues que cualquiera con credenciales de acceso al sistema puede acceder a cualquier cosa del mismo. Imaginaos que las partes enfrentadas puedan acceder a la información de los que sientan enfrente, o mas curioso aún: que alguien que trabaje en el juzgado y tenga alguna denuncia pueda acceder a los datos privados de quien lo ha denunciado.

¿Podría haberse prevenido? Pues de entrada se podrían securizar las llamadas SOAP para comparar el usuario que lo pide con el identificador que está pasando como parámetro, o usar quizás sistemas REST, de manera que los parámetros no se vean en la URL y no sean tan fáciles de hackear. Lo que denota esto es extrema dejadez y lo que es peor… ¿Esta gente no tiene un personal de testing serio? ¿Cuántas leyes de protección de datos se salta esto? Una vez mas me sorprendo del país en el que vivo, y parece que esto solo puede ser la punta del iceberg con lo que han hecho…

Wannacry o qué paso el viernes 12 de mayo

Hago un resumen de las preguntas mas habituales del incidente de ransomware WannaCry, que me tuvo bastante entretenida el fin de semana.

Wannacry o qué paso el viernes 12 de mayo

  • ¿Qué es #WannaCry?

Se trata de un ransomware, que viene de ransom o pedir rescate. Consiste en términos muy básicos en un virus de gusano para equipos Windows.

  • ¿Eso cómo se pilla?

Pues es unos de sos virus que vienen en un correo electrónico. Por triste que os resulte, hay personas que aún se creen que un príncipe nigeriano se quiere casar con ellas. Una vez se infecta un equipo, se puede propagar por intranets (redes internas).

  • ¿Y eso se puede prevenir?

Pues este bicho en cuestión utiliza una debilidad antigua y sonada, pues es parte del Vault7 de la CIA que publicó Wikileaks en marzo, y que Microsofft parcheó ese mismo mes. Así que si tienes instaladas las actualizaciones de Windows de aquella fecha, estás a salvo. Y aún mas si en lugar de Windows usas Linux 😉

  • ¿Y si tiene un tiempo, cómo es que tantas empresas están afectadas?

Porque en las empresas los usuarios no suelen tener derechos de administrador para instalar cualquier programa, o las actualizaciones de sistema. El departamento de IT las suele distribuir en paquetes de parches cada cierto periodo de tiempo una vez se han probado (¿cuántas veces ha frito algo una actualización de Windows? Yo no les culpo por querer estar seguros antes de instalar en secciones críticas), y en muchos casos esos periodos pueden ser bien largos. Luego hay casos mas extremos de organizaciones que aún usan Windows XP en sus equipos, sistema deprecado y que obviamente no tiene parche que lo proteja. Si teneís curiosidad, yo los ví recientemente en un centro de salud.

  • ¿Esto es un ciberataque?

No, esto no es ni de lejos un ciberataque ni ha estallado la tercera guerra mundial sin que nadie lo sepa, como decían algunos medios que se dieron tanta prisa en dar noticias que se pusieron a publicar sin tener ni idea de lo que hablaban. Lo que sí se demuestra es que el día que venga uno de verdad muchos no estarán ni de broma preparados si siguen manteniendo estos niveles de seguridad.

  • Esto afecto a Telefónica y yo uso su red, ¿me afectará a mi?

No, no se propaga así. Solo te infectas si tienes un equipo Windows y abres un correo que no deberías en tu ordenador, o si lo hace alguien en tu intranet. Vamos, que es de andar por casa.

  • ¿Y si lo pillas y pagas, te desencriptan los datos?

Las probabilidades son bajas, directamente formatea tu equipo y pon tu copia de seguridad mas reciente. No pagues el chantaje.

El desastre del F-35 (con Internet)

Tiendo a leer las noticias de tecnología cada mañana: echo una ojeada mientras me tomo un cola-cao a mis variopintos feeds y dejo las que son mas largas en pocket, para seguir leyendo en el bus desde el móvil. Y es que la noticia del F-35 me dejó patidifusa…

El desastre del F-35

It took several days for the crews to get ALIS working on the local base network. After extensive troubleshooting, IT personnel figured out they had to change several settings on Internet Explorer so ALIS users could log into the system. This included lowering security settings, which DOT&E noted with commendable understatement was “an action that may not be compatible with required cybersecurity and network protection standards.”

Que en el avión, entre sus muchos desastres, tenían que cambiar la configuración de Internet Explorer para que funcionase. Mi primer pensamiento, obviamente fue: ¿para qué quieres un navegador de internet para pilotar un avión? Seguido de: ¿en serio Internet Explorer?  ¿Es un chiste malo, no? Pero no, no lo es. Si pensábamos que ese Eurofighter era de chiste, aquí tenemos algo parecido, pero como no, con conexión a Internet 😀

Una vez mas, ¿seguro que era necesario darle esa funcionalidad? Sé de sobra que está de moda que todo se conecte a Internet, pero un elemento conectado es un elemento vulnerable a ataques. Puede que sea mi vena friki, pero la comparación me es inevitable: la nave viejuna que era la Battlestar Galactica resistió porque era la única que no tenía los sistemas principales conectados en red. Igual si a esta gente les da ver ciencia ficción quizás les dé por plantearse algo.

Reflexión frustrante del día: qué estamos haciendo con el IoT…

Me gusta programar. Disfruto trabajando en el sector tecnológico, el tener la posibilidad de mejorar las vidas de las personas. Y de repente ves que en vez de invertir esfuerzos en sectores de sanidad se están dedicando a hacer lavavajillas inteligentes sin securizar, capaz de convertirse en un servidor y generando una enorme vulnerabilidad de red con un simple comando GET. Y una vez mas me pregunto: ¿para qué quieren conectar un lavavajillas a Internet? ¿A qué viene esa brillante idea?

Reflexión frustrante del día: qué estamos haciendo con el IoT...

Ya puedo esperar que en el próximo Terminator Skynet sea un lavavajillas. Estoy oficialmente deprimida.