El Blog de Cysia.com

El gobierno plantea una Ley de Economía Sostenible que está generando mucho revuelo y discusión. Y con razón.

Hasta ahora se lleva discutiendo en muchos foros sobre la legalidad o no de las descargas, de cómo afecta esta ley a las páginas de enlaces, de si es una medida para el control y bloqueo de blogs, y de si está escrita a medida para proteger a las entidades de gestión ante la obsolescencia de su modelo de negocio, etc.

Sin embargo hay algo que, desde el punto de vista de la aplicación de la LOPD me parece preocupante y que hasta ahora nadie ha dicho nada.

El actual proyecto de ley dice lo siguiente:

2. Los órganos competentes para la adopción de las medidas a que se refiere el apartado anterior, con el objeto de identificar al responsable del servicio de la sociedad de la información que está realizando la conducta presuntamente vulneradora, podrán requerir a los prestadores de servicios de la sociedad de la información la comunicación de los datos que permitan tal identificación a fin de que pueda comparecer en el procedimiento. Los prestadores estarán obligados a facilitar los datos de que dispongan.

Pues bien, esto que a simple vista parece algo inocuo no lo es tal.

La LOPD, en su Art. 6,  dice que la cesión de datos a un tercero requerirá del consentimiento expreso del titular de los datos, salvo que una Ley disponga lo contrario y esto no vulnere sus derechos fundamentales. O que un Juez lo ordene.

Es decir, en el caso de un particular, con un blog, sin publicidad, y que dicho blog no suponga una actividad económica para su titular,  la LSSI no le obliga a facilitar sus datos personales o identificación. Y al ISP o proveedor de hosting la LOPD le “impide” facilitar esos datos así como así.

A partír de aquí, la identificación del titular del blog pasa por solicitar a su proveedor de hosting dichos datos.

El proveedor puede, en aplicación de la LOPD, negarse a facilitar dicha información sin el previo consentimiento del afectado. Otra posibilidad es la de la denuncia en el juzgado y entonces es el juez el que procede a solicitar dicha identificación.

Evidentemente esto provoca una dilatación del proceso en la mayoría de los casos importante.

Es evidente por tanto que la propia LOPD, y la orden judicial,  suponen un obstáculo para el cierre rápido de una web, así que, ¿como sorteamos estos obstáculo?

Muy sencillo.

Establecemos por ley que el prestador del servicio (ISP, Hosting, etc.) está obligado a facilitar la información del denunciado y así matamos dos pájaros de un tiro. Nos quitamos al juez de enmedio y pasamos por encima de la LOPD sin pestañear ya que “hay una ley que lo permite”.

Pero vallamos aún más lejos con el caso de las páginas de enlaces.

Una de las grandes expectativas de las entidades de gestión es la de poder obtener los datos de los usuarios de esas páginas de enlaces, no solo de los “propietarios”. De esta forma podrían intentar con mayor o menor éxito una campaña de denuncias a particulares por infracción de la propiedad intelectual, al estiloestadounidense. Bajo la redacción actual ese “los datos que dispongan” puede tener unas consecuencias asombrosas.

Ya lo intentaron y el TSJ de Cataluña les dijo que no.

Pero analicemos como sería ahora la situación con la redacción de la LES.

Supongamos que la web Bajateelinternetentero.com es denunciada. ¿Quiere decir esto que la ley ampara el acceso al fichero de datos de usuarios, sus historiales, etc?. Pues parece ser que si en el momento en que entendamos que el “Prestador del servicio”. no es el ISP o el Hosting sino el titular de la Web “que presta el servicio”. Con esa generalización “los datos que dispongan” vuelven a volar de un plumazo toda la protección a la intimidad y a los datos personales de los usuarios ya que de nuevo la Ley de Economía Sostenible puede dejar sin efecto sobre los particulares el amparo de la LOPD.

Simple y sencillo.

Y muy preocupante…

--------------------------------------------------------------------------
por VL
Consultoría y Seguridad Informática Aplicada

Tags: autorización judicial, Ley Economia Sostenible, LOPD

Lee los comentarios (0)

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de Internet manifestamos nuestra firme oposición al proyecto, y declaramos que:

1. Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.
2. La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.
3. La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.
4. La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.
5. Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.
6. Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.
7. Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.
8. Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.
9. Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.
10. En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

Via E DANS

--------------------------------------------------------------------------
por VL
Consultoría y Seguridad Informática Aplicada

Tags: defensa, Derechos, fundamentales

Lee los comentarios (1)

La gran mayoría de las entidades bancarias de este país incumple la LOPD.

Una vez entendidos los detalles veremos como tal afirmación es cierta de cabo a rabo.

Todos conocemos la existencia de cámaras de videovigilancia que graban la actividad en los cajeros automáticos y en la entrada a las sucursales bancarias. Todos sabemos que en muchas ocasiones han grabado a atracadores, delincuentes, e incluso terroristas.

Sin embargo en muchas entidades bancarias falta por sistema el consabido cartelito que indica que se está accediendo a una zona videovigilada.

La instrucción 1/2006 de la Agencia Española de Protección de Datos deja muy claro que las instalaciones videovigiladas deben exhibir la indicación pertinente justo en una zona anterior al comienzo de la videovigilada:

Artículo 3. Información.

Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán:

a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y

b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción.

He comenzado a ver algunas entidades bancarias que comienzan a poner el distintivo en la puerta, pero entidades como Caja Madrid, Santander, BBVA, etc. hacen caso omiso de esta obligación legal.

No solo no informan de que se entra a una zona videovigilada sino que además tampoco indican el destinatario de los datos (tu imagen) ni donde poder ejercer tus derechos, tal como indica el Art. 5.1 de la LOPD.

Esta misma mañana he pasado a una de Caja Madrid (pero bien vale cualquier otra “grande”) a realizar una gestión y he comentado el tema con el cajero.  Simplemente ha enarcado una ceja, me ha mirado por el rabillo del ojo con un gesto de indiferencia y ha seguido a lo suyo, que en ese momento era lo mio.

Por si no lo tienen, aquí les dejo el PDF personalizable, para descargar desde la propia AGPD. Cortesía de Cysia, (que les recuerda que además del cartel, hay que cumplir con la LOPD. Esto es, registro en la AGPD, documento de seguridad, etc.)

En el se puede incorporar la información sobre dónde pueden ejerecer sus derechos los titulares de los datos (o sea, nosotros).

Por lo tanto se puede afirmar con rotundidad que la mayoría de bancos y cajas de este país incumplen la LOPD en materia de videovigilancia.

Otro asunto sería si es necesario al hilo de la última sentencia del Tribunal Supremo sobre la grabación de imágenes (Caso SGAE y la boda “grabada”) que ya comentamos aquí.

Donde si he visto una proliferación asombrosa de indicaciones de zonas videovigiladas ha sido en Palma de Mallorca, donde hasta en la entrada de las autovías figura el correspondiente cartel. Eso sí, si quieres leerlo has de parar el coche. Pero la sensación ha sido que en Mallorca son más estrictos con el cumplimiento de la legislación en materia de videovigilancia.

--------------------------------------------------------------------------
por VL
Consultoría y Seguridad Informática Aplicada

Tags: banca, infracción, LOPD

Lee los comentarios (1)

Acababa de escibir la última parte del manual de seguridad para un cliente, precisamente sobre sus videocámaras, los ficheros inscritos en la AGPD, cuando he leido en el ABC, a través de meneame, la noticia de que la Audiencia Nacional ha anulado la sentencia de la AGPD contra la SGAE por grabar en una boda sin el permiso de los novios e invitados.

Sin palabras y con una cara de estupor es como creo que me he quedado.

Para muchos el problema será que la SGAE (que no pienso enlazar, dicho sea de paso) se ha salido de rositas y sin pagar los 60.000€ de sancion. Para los que nos dedicamos a la seguridad y protección de datos es mucho más terrible.

Ya habíamos comentado alguno de los problemas de la adaptación a la LOPD de las videocámaras aqui.

El argumento de la Audiencia Nacional es que

los datos así recogidos se aportaron a la causa judicial pero no a un fichero que estuviese “organizado o estructurado con arreglo a determinados criterios que permitan el tratamiento de los datos”. “Solo cuando estas dos circunstancias se dan -fichero de datos personales y posibilidad de tratamiento- la ley despliega sus efectos protectores”. Por ello, entienden los jueces que en el presente caso la conducta de la SGAE “no tiene encaje” en la ley de protección de datos de carácter personal “y por lo tanto no es susceptible de sanción alguna, ya que falta el elemento esencial del fichero“.

Esto, que parece de perogrullo no lo es.

Aunque los hechos son anteriores a la entrada en vigor de la instrucción  1/2006 de la AGPD, la sentencia de la A.N. no ataca este aspecto, sino el hecho en si de la inexistencia del fichero.

Quedan por tanto eximidos, a mi entender, todos y cada uno de los aparatos de grabación y conectados a sistemas de videovigilancia de multitud de locales y empresas de este pais. El funcionamiento de estos grabadores es sencillo.

Cuentan con un disco duro donde se va almacenando el video grabado y transcurridos varios días, dependiendo de la configuración, pero habitualmente 4, se sobreescribe la grabación.  La diferencia entre estos dispositivos,  a grandes rasgos, con una videocámara, es que aquí los elementos de captación y de grabación están en aparatos diferentes, es decir, las cámaras y el grabador. La videocámara incorpora todo en el mismo dispositivo.

Por lo general no se almacenan copias adicionales de las grabaciones, aunque la LOPD impone la obligación de efectuar copias de seguridad periódicas de las mismas, en la práctica no se está realizando por la mayoría de pymes.

Carece por tanto de efectividad, a raiz de esta sentencia, la necesidad de inscribir tanto el fichero en la AGPD, puestos al caso incluso y puesto que no hay fichero ya no hay tratamiento, el deber de información al afectado y por tanto podemos poner las cámaras como y donde se nos antoje, siempre y cuando no lo volquemos a un fichero…

La definición que hace la ley de fichero es la siguiente, según la última instrucción del R.D. 1720/2007 de 21 de Diciembre:

Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

La instrucción 1/2006 de la AGPD aclara que:

A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.

Es decir, el único formato que considera que no es un fichero, en lo relativo a grabaciones en vídeo, son las que no realizan grabación y solo reproducen en tiempo real las imágenes. Por ejemplo una webcam. Pero en el momento que se grabe esa imagen ya existe el fichero y le cae todo el deber de cumplir la ley y preservar los derechos de los afectados.

De la lectura de esta instrucción entiendo que el fichero RAW de la propia cámara es en si mismo un fichero, que puede ser tratado, cedido, reproducido sin el correspondiente pago de derechos de autor, etc.

Desde mi punto de vista, una videograbación constituye un fichero, esté en cinta magnética, dvd, mp4, o secuencia impresa de todos y cada uno de los fotogramas grabados. No acabo de entender que es lo que entiende la A.N. como fichero si no es precisamente esto, la grabación en si misma.

Hay multitud de resoluciones de la agencia que aclaran este concepto de fichero, incluyendo a los archivos en papel, siempre que cuenten con algún métido de clasificación. La simple hora de grabación es un método de clasificación, y en el caso de las grabaciones, es el que se suele emplear para identificar el momento de grabación que se desea reproducir, para facilitar el ejercicio del derecho de acceso, cancelación, etc.

Reconoce la sentencia que afecta a la intimidad de las personas grabadas. Faltaría más. La LOPD nace y está precisamente para dar cobertura al Art. 18 de la constitución española que establece el derecho al honor, la intimidad y la propia imagen.

Desde mi punto de vista creo que la Audiencia Nacional ha cometido un error muy grave con esa sentencia. Es, en mi opinión, una carga de profundidad en la linea de flotación de la LOPD que nació para defender el derecho a la intimidad de las personas. Si la propia ley que lo defiende no da amparo a esa situación, nada salvo el temor a una denuncia por intromisión en la intimidad impide la proliferación de cámaras como setas en una campiña en octubre.

Acaba de abrir la veda a la videovigilancia indiscriminada. Con matices eso si, pero deja un hueco legal amplio que no tardará en ser explotado.  Ya no hay que temer a la LOPD y al derecho a la intimidad de las personas. Ya solo queda el derecho a la intimidad de las personas.  Y ese derecho está hoy más indefenso.

--------------------------------------------------------------------------
por VL
Consultoría y Seguridad Informática Aplicada

Tags: audiencia nacional, fracaso, LOPD, sentencia

Lee los comentarios (2)

La Asociación de Internautas ha convocado para el día 24 de Mayo, una manifestación por la defensa de la neutralidad de la red y las libertades civiles.

Reproduzco aquí un extracto del manifiesto que podeis leer completo en la web de la convocatoria, organizada por la Asociación de Internautas.

La era digital está aquí y está generando una redefinición radical del funcionamiento de la sociedad, basado fundamentalmente en la capacidad de intercambio directo y en la libre aportación de contenidos y conocimiento.

Internet no solo ha conseguido que los periódicos lleguen tarde, que las audiencias en televisión se estanquen, al igual que sucede en la radio, y que unos y otros pierdan el poder de silenciar aquello que no interesa. También ha logrado generar un sistema de información global y compartida, en donde la manipulación es cada vez más difícil y en el que el ciudadano cobra un nuevo protagonismo dejando de ser parte de la masa indiferenciada para convertirse en ciberciudadanía.

El nuevo escenario tecnológico hace posible un diálogo entre los ciudadanos entre sí y con los poderes públicos, en el que la figura del intermediario o representante pierde sentido, y eso sucede tanto en el terreno económico como en el político. Por eso creemos que la democracia representativa debe ajustarse a los nuevos tiempos y volverse más participativa, más directa, mas informacional, mas solidaria y global en consonancia con la sociedad emergente.

Desde esta perspectiva, la regulación de las tecnologías de la comunicación e información es el nuevo campo de batalla en donde se libra la lucha por los derechos civiles y queremos llamar la atención sobre determinados puntos:

Nosotros estaremos allí.

Actualización: Parece ser que existe bastante discrepancia en cuanto a quien organiza realmente esta manifestación y los motivos subyacentes. Estamos valorando los datos para tomar una decisión que sea acorde con nuestros principios y decidir si asistimos o no. Ya veremos.

Bajo ninguna circunstancia asistiremos si la manifestación la encabezan políticos, sean del partido que sean. Ellos no nos han defendido hasta ahora y nosotros no queremos  salir en su foto.

--------------------------------------------------------------------------
por VL
Consultoría y Seguridad Informática Aplicada

Lee los comentarios (0)

ACTUALIZACÓN IMPORTANTE: Este artículo fue escrito y publicado el 10/05/2009

El pasado 27 de diciembre de 2009 entró en vigor la Ley 25/2009. La redacción de dicha ley establece que las instalaciones de videovigilancia no han de ser obligatoriamente realizadas por empresas de seguridad privada. Esto es, lo puede realizar cualquiera. Sin embargo esto puede plantear otras dudas legales que explica perfectamente Samuel Parra en su blog.

Por tanto en la actualidad puede llevar a confusión. En cualquier caso se mantiene tal como se publicó originalmente.

A continuación, el artículo original.

Realizando una implantación de LOPD en un negocio de Pastelería y Cafetería nos surgió la siguiente problemática:

La instalación no la había realizado una empresa Homologada por el Ministerio del Interior sino un técnico electricista en sus horas libres.

A día de hoy muchos negocios se han lanzado a instalar cámaras a diestro y siniestro sin tener en cuenta en el problema en el que se pueden estar metiendo ya que estas instalaciones están afectadas por dos legislaciones principalmente. Por un lado la LOPD (Ley 15/1999) y por otro la Ley de Seguridad Privada (Ley 23/1992) y el Reglamento que desarrolla esta anterior ley (RD 2364/1994).

La Ley de Seguridad Privada exige que cualquier medida de seguridad que sea susceptible de activar a las fuerzas y cuerpos de seguridad del estado ha de ser necesariamente implementadas e instaladas por una empresa homologada por el Ministerio del Interior. En el caso de las cámaras con sensores de movimiento conectadas a centrales de alarmas los requisitos son que se ha de disponer de:

1. Libro de Seguridad y Mantenimientos debidamente diligenciado en la Dirección General de la Policía.
2. Contrato de Mantenimiento con una empresa Homologada por el Ministerio del Interior
3. Instalación notificada a la DGP junto con el Nº del contrato de mantenimiento.
4. Certificado de Instalación conforme al Reglamento de Baja Tensión firmado por un Ingeniero colegiado.

Bien. La instalación no cuenta con sensores de movimiento o presión que activen una alarma en una central de alarma. Es decir, son las típicas cámaras IP conectadas a un sistema de grabación y punto. Entendemos por tanto que no sería aplicable la LSP -no van a provocar directamente la intervención policial- y por tanto la instalación hecha por el técnico electricista sería legal, en lo que a LSP se refiere.

Sin embargo, lo que puede parecer una ventaja no es sino un inconveniente.

La LOPD, exige la necesidad de consentimiento expreso de los afectados, es decir, necesitamos que los clientes consientan expresamente (por escrito) a ser grabados según el Art. 5.1 LOPD. Esta necesidad de consentimiento no es exigible (Art. 5.5 LOPD) si lo preve expreasmente una ley, y es aquí donde entra en juego la LSP. Es decir, dado que la Ley de Seguridad Privada permite la vigilancia y control de las personas bajo determinados condicionantes jurídicos, habilita por tanto la grabación de imágenes los clientes sin necesidad de exigirles consentimiento según la LOPD.

Esto no exime de cumplir con el resto de preceptos de la LOPD, es decir:

1. Cartel informativo en el acceso a la zona videovigilada
2. Documento informativo a disposición de los clientes
3. Si la cámara graba, inscripción del fichero en la AGPD
4. Documento de seguridad del fichero
5. Facilitar el ejercicio de los derechos de acceso, cancelación, rectificación y oposición a las personas.

Estaba claro que si nos agarrábamos a que las cámaras no tienen sensores que activen una alerta, que esta alerta sea recogida por una central de alertas y por tanto que provoque la intervención de la policia, no parecía que fuese necesario el cumplimiento de la LSP. Pero al no cumplir con la LSP, perdemos la eximente legal que nos facilitaba la no necesidad de consentimiento por parte del afectado.

En resumen. Sin cumplir la LSP (instalación por nosostros mismos o un informático espabilado) nos vemos en la obligación de exigir por escrito a todo el que vaya a acceder al local su consentimiento a ser grabado. Cumplir la LSP le cuesta más dinero aún al dueño del negocio porque va a tener que contratar una empresa que le realice el mantenimiento y le gestione todos los trámites legales de las cámaras.

Hay una discusión interesante en la web de Samuel Parra en este sentido y por mi parte las conclusiones son claras.

Discutiendo esto con otros colegas e investigando otras alternativas legales encontramos la solución de Telefónica de Videosupervisión. El sistema de Telefónica dispone de sensores de movimiento que avisan al propietario del local por sms. Sin embargo telefónica en su web dice que esto no es un sistema de seguridad, sino de control. Si fuese un sistema de seguridad, Telefónica tendrían que estar homologada como empresa de Seguridad Privada, y solo podría dedicarse a la seguridad privada según la LSP, cosa que no es así.

Pero claro, ¿como va a hacer Telefónica una cosa que infringe la Ley?

Volvemos al buscador preferido y encontramos un informe publicado en 2005 en las páginas de Belt, escrito por la Unidad de Seguridad Privada del Ministerio del Interior. En él se describe y se discuten los argumentos técnicos y jurídicos de la solución de telefónica y la conclusión es rotunda:

Por todo ello, entiende esta Unidad Central de Seguridad Privada que la “Solución ADSL de Videosupervisión” que está publicitando la empresa Telefónica, es en la práctica un servicio de seguridad de instalación, mantenimiento y centralización de alarmas, necesitando para su prestación la correspondiente habilitación como empresa de seguridad para tales actividades.

Señalar, por último, que de conformidad con el artículo 22.1 a) de la Ley de Seguridad Privada, en relación con el artículo 148.1 a) del Reglamento que la desarrolla, constituye infracción muy grave “la prestación de servicios de seguridad a terceros, careciendo de la autorización necesaria”.

Es decir, Telefónica está ofreciendo un servicio que inclumple a todas luces la Ley  de Seguridad Privada y no ha sido sancionado por ello, o no tenemos noticias de que lo haya sido. Lo mismo que nuestro instalador electricista.

Poner una cámara en un negocio no es sino un cúmulo de problemas legales importante que solo merece la pena si se sigue aquel viejo principio de la seguridad: ” El coste de la protección de los bienes nunca ha de ser mayor que el coste de los propios bienes.”

El dueño del negocio instaló las cámaras para evitar robos en la caja. Ahora se está planteando si 1.200€ que le cobraron, más lo que cueste legalizar la instalación, más la implantación de la LOPD le va a resultar rentable.

Actualización 19/5/2009: La sentencia de la Audiencia Nacional, por la que anula la sanción a la SGAE, puede ser un varapalo importante o un hueco legal para permitir la instalación indiscriminada de cámaras.  Nuestra opinión, aquí

--------------------------------------------------------------------------
por VL
Consultoría y Seguridad Informática Aplicada

Lee los comentarios (1)

Si, añicos. Salvo que se esté haciendo uso de sistemas de archivo cifrados (LUKS, TrueCrypt, etc) y se almacenen las passphrases mediante el uso de doble custodia los sistemas están literalmente con el culo al aire.

Kon-boot es un prototipo de software que permite modificar el kernel del Sistema Operativo al vuelo, es decir, durante el proceso de arranque. Desarrollado integramente en ensamblador x86 -si, esa técnica de programación de nuestros padres- con TurboAssembler 4.0 -si, ese software de hace ya unos años-.

Mientras que otros sistemas de “recuperación de contraseñas” cargan otro kernel, montan las particiones y revientan las hashes de contraseña, Kon-boot centra su esfuerzo en algo mucho más eficaz en muchos aspectos.

Primero no monta un kernel diferente (o si lo prefieres, otro sistemaoperativo diferente) sino que directamente altera el kernel del sistema a “violar” y se salta el proceso de autenticación/autentificación. No toca la contraseña original ni revela su valor. Directamente hace que el kernel omita este proceso.

El resultado es sencillo. Acceso al sistema como root/administrador con solo pulsar una tecla. La barra de espacio. No hay un ataque a la contraseña, a su hash, no hay elevación de privilegios. Nada. Null.

La aplicación, desarollada por Piotr Bania de KriptosLogic, tambien permite el acceso a sistemas Windows, incluyendo como no podía ser de otra forma, el nuevo Windows 7.

Lo más “preocupante” -ya me entendeis- de todo es que es el primer proyecto desarrollado para Linux por parte de Piotr.

Para muestra, un botón:

Así que ya sabeís. El cifrado de la información “crítica” es importante ya que supone un escalón más que debe subir el que pretenda tener acceso sin estar autenticado y autorizado.

Más información en la web de Kon-boot

--------------------------------------------------------------------------
por VL
Consultoría y Seguridad Informática Aplicada

Tags: arranque, Seguridad, sencillo

Lee los comentarios (0)