Hace algún tiempo escribí en un blog la siguiente entrada, que terminó en Barrapunto y de ahí llegó a otros medios. Por diversos motivos me interesa recuperarla y ahora este blog ha desaparecido, así que me tomo la libertad de volver a colocarla aquí.
Quizás sea una deformación profesional, o mejor dicho una formación profesional, pero yo creo que viene de antes, que más bien es nuestra forma de ser la que nos empuja a la profesión.
Naturalmente la profesión es la informática, y la (de)formación es el continuo y constante análisis algorítmico de la realidad y el empeño que pongo en localizar agujeros de seguridad y vulnerabilidades en los protocolos. Éste último punto es de especial interés, y creo que las empresas de seguridad deberían contratar a informáticos para sus puestos más importantes, si no que me contraten a mi para diseñar protocolos seguros de trabajo.
Por ejemplo: Pago con tarjeta en un restaurante (hace tiempo que dejé de hacerlo). Me piden el DNI (¡bien!), pero no lo miran siquiera. Con un poco de suerte comprueban que el nombre coincide con el de la tarjeta, pero ¿cuando miran que mi cara coincide con la del DNI? ¡Nunca!. Entonces algo grita en mi interior ¡¡¡Fallo de seguridad!!!.
Voy al cine y presento mi carné de estudiante para obtener descuento. Como mi amigo no tiene carné, le presto el mío de EUR<26, que no tiene foto y que además tiene el nombre escrito a bolígrafo, lo cual lo hace difícil de entender. Naturalmente ambos obtenemos el descuento. Esto es simplemente por que la última vez que fui al cine me di cuenta del problema y algo en mi interior gritó ¡¡¡Fallo de seguridad!!!.
En el Corte Inglés compro un libro. No desactivan correctamente el sistema anti-robo, de modo que a la salida salta al alarma y el "chaqueta roja" me pide el ticket. Comprueba que he pagado el libro y me deja salir. Nuevamente mi sentido informático... ¡¡¡Fallo de seguridad!!!. En el ticket ni siquiera entra el nombre del libro entero, solo las primeras palabras. La próxima vez haré 2x1 con solo dejar el libro fuera y volver con mi ticket en el bolsillo.
Luego hago un ingreso con sobre en un cajero. Y resulta que me dice que el importe está retenido hasta verificación. Sin embargo cuando consulto el saldo y realizo otras operaciones desde mi casa con Internet, no dice por ningún sitio que el importe esté retenido, sólo si miro la anotación del ingreso lo puedo ver. Se me ocurren muchas aplicaciones de ésta técnica.
Cuando entro a primero de carrera (ahí no podía ya tener deformación profesional) me abro una cuenta en el Santander por que regalan una carpeta y una radio. Solo relleno un impreso, firmo y a las 3 o 4 semanas tengo en mi casa una tarjeta y una cartilla con 10 céntimos. No tengo que ir al banco ni nada similar para activar la tarjeta o la cuenta. Y la chica a la que entregué el formulario para que me diese la carpeta no me pidió el DNI. Vamos que tengo acceso a una cuenta que bien podía ser de una persona inexistente o incluso de otra persona (con solo conocer su nombre y DNI).1
En el Hipercor entro con unos paquetes, de modo que los meto en una bolsa de plástico y la precinto. Cuando estoy dentro me doy cuenta de que la bolsa no está precintada. Esto no es un problema per se, pero es fácil ver que muchos productos no tienen sistema anti-robo por lo que puedo fácilmente guardarlos en la bolsa no precintada. No obstante es casi innecesario, pues no hay dispositivos anti-robo en las cajas (solo en la salida sin compras), y luego solo hay que entrar a un probador para eliminar todos los posibles anti-robos antes de salir del Corte Inglés.
En definitiva, la realidad que me rodea es un enorme agujero de seguridad. Parece que los informáticos somos de los pocos preocupados en el tema de establecer unos protocolos correctos y unos sistemas fiables que garanticen la no subversión y los más capacitados para encontrar (y por qué no, explotar) los enormes errores existentes. Si lo de la informática termina no dando para comer, para mi esto va a ser jauja.
(de)Formación profesional y fallos de seguridad en la vida real
lunes, 6 de febrero de 2006, 23:14
Quizás sea una deformación profesional, o mejor dicho una formación profesional, pero yo creo que viene de antes, que más bien es nuestra forma de ser la que nos empuja a la profesión.
Naturalmente la profesión es la informática, y la (de)formación es el continuo y constante análisis algorítmico de la realidad y el empeño que pongo en localizar agujeros de seguridad y vulnerabilidades en los protocolos. Éste último punto es de especial interés, y creo que las empresas de seguridad deberían contratar a informáticos para sus puestos más importantes, si no que me contraten a mi para diseñar protocolos seguros de trabajo.
Por ejemplo: Pago con tarjeta en un restaurante (hace tiempo que dejé de hacerlo). Me piden el DNI (¡bien!), pero no lo miran siquiera. Con un poco de suerte comprueban que el nombre coincide con el de la tarjeta, pero ¿cuando miran que mi cara coincide con la del DNI? ¡Nunca!. Entonces algo grita en mi interior ¡¡¡Fallo de seguridad!!!.
Voy al cine y presento mi carné de estudiante para obtener descuento. Como mi amigo no tiene carné, le presto el mío de EUR<26, que no tiene foto y que además tiene el nombre escrito a bolígrafo, lo cual lo hace difícil de entender. Naturalmente ambos obtenemos el descuento. Esto es simplemente por que la última vez que fui al cine me di cuenta del problema y algo en mi interior gritó ¡¡¡Fallo de seguridad!!!.
En el Corte Inglés compro un libro. No desactivan correctamente el sistema anti-robo, de modo que a la salida salta al alarma y el "chaqueta roja" me pide el ticket. Comprueba que he pagado el libro y me deja salir. Nuevamente mi sentido informático... ¡¡¡Fallo de seguridad!!!. En el ticket ni siquiera entra el nombre del libro entero, solo las primeras palabras. La próxima vez haré 2x1 con solo dejar el libro fuera y volver con mi ticket en el bolsillo.
Luego hago un ingreso con sobre en un cajero. Y resulta que me dice que el importe está retenido hasta verificación. Sin embargo cuando consulto el saldo y realizo otras operaciones desde mi casa con Internet, no dice por ningún sitio que el importe esté retenido, sólo si miro la anotación del ingreso lo puedo ver. Se me ocurren muchas aplicaciones de ésta técnica.
Cuando entro a primero de carrera (ahí no podía ya tener deformación profesional) me abro una cuenta en el Santander por que regalan una carpeta y una radio. Solo relleno un impreso, firmo y a las 3 o 4 semanas tengo en mi casa una tarjeta y una cartilla con 10 céntimos. No tengo que ir al banco ni nada similar para activar la tarjeta o la cuenta. Y la chica a la que entregué el formulario para que me diese la carpeta no me pidió el DNI. Vamos que tengo acceso a una cuenta que bien podía ser de una persona inexistente o incluso de otra persona (con solo conocer su nombre y DNI).1
En el Hipercor entro con unos paquetes, de modo que los meto en una bolsa de plástico y la precinto. Cuando estoy dentro me doy cuenta de que la bolsa no está precintada. Esto no es un problema per se, pero es fácil ver que muchos productos no tienen sistema anti-robo por lo que puedo fácilmente guardarlos en la bolsa no precintada. No obstante es casi innecesario, pues no hay dispositivos anti-robo en las cajas (solo en la salida sin compras), y luego solo hay que entrar a un probador para eliminar todos los posibles anti-robos antes de salir del Corte Inglés.
En definitiva, la realidad que me rodea es un enorme agujero de seguridad. Parece que los informáticos somos de los pocos preocupados en el tema de establecer unos protocolos correctos y unos sistemas fiables que garanticen la no subversión y los más capacitados para encontrar (y por qué no, explotar) los enormes errores existentes. Si lo de la informática termina no dando para comer, para mi esto va a ser jauja.
1En posteriores aperturas de cuenta en otras entidades si me han pedido que acuda a una oficina para activar la cuenta, supongo que se han dado cuenta del problema
Fantastico post, un buen analisis de la realidad, me he sentido identificado.
ResponderEliminarLo que si que ocurre es que un fallo en una de estas personas (pongamos el ejemplo del corte ingles) no tiene repercusion sobre la misma ya que si al hacer inventario se dan cuenta que falta un libro o no le hacen ni caso o no hay forma de adivinar qué ha fallado.
Por otro lado, si el fallo es informatico, sabemos hacia quien van a apuntar cientos de dedos amenazantes xDD
Da miedo que esto se pueda aprovechar. Pero qué digo, así aparecen esos "hackers" (odio cuando usan ese término para referirse a los crackers) que mangan datos privados o que hacen transferencias bancarias a sus cuentas...
ResponderEliminarQuizás resulte que los crackers no sean tan listos, sólo que sepan aprovecharse de las debilidades del sistema.
Y eso es "poco". Ahora imagina que eres un terrorista y piensa la que puedes liar en cualquier sitio. En fin, supongamos que la gente es buena XD
ResponderEliminar