martes, 30 de junio de 2009

Dos detalles de la seguridad y las laptops.

Leyendo el otro a @schneier, comentó dos cuestiones relacionadas al resguardo de la información contenida en las laptops/netbooks que hasta el momento no había pensado como posibles riesgos; de hecho se aplican también a teléfonos inteligentes.

La primera situación se refiere a un atacante que nos arrebate la laptop mientras estamos usándola. Aquí le podemos decir  adiós a los controles de cifrado que protegen parte o todo el disco del equipo y a controles biométricos, por ejemplo. El atacante tendrá un equipo sin ningún control de acceso al equipo o a la información ya que el usuario habrá hecho esto previamente, desbloqueando controles de seguridad para poder usar el sistema.

La segunda situación se refiere a que una autoridad como por ejemplo un agente aduanal (u otra autoridad judicial) nos "pida" que mostremos el contenido de nuestro equipo. Aquí tal vez podamos esquivar al agente aduanal aprovechando nuestro conocimiento técnico (podemos tener una partición no visible y cifrada), aunque ya en un proceso judicial con más calma y con agentes que sepan de asuntos técnicos, tal vez signifique que encontrarán cualquier truco y nos "pedirán" que descifremos la información con nuestra llave para acceder al contenido.

Aterrizo mi anterior idea: si por ejemplo vamos a EUA con una laptop que tiene secretos comerciales y los agentes aduanales nos exigen mostrarla y lo hacemos (o uno de nuestros empleados) para no tener problemas, es un riesgo a la seguridad de la información que debemos prever (lo mejor es no llevar esos datos con nosotros y "traerlos" vía Internet).

En fin, sobre todo el primer riesgo de que nos arrebaten la laptop en uso definitivamente no lo había considerado; el segundo riesgo es uno que hay que tener en cuenta sobre todo cuando viajemos a países que legalmente pudieran solicitar el acceso a nuestra información.