miércoles, febrero 16, 2005

Crypto-Gram Newsletter de Febrero

Hace un par de días me llego el Crypto-Gram Newsletter de este mes pero como he estado bastante liado hasta hoy no me podido leerlo. Suelo seguir con bastante frecuencia los Crypto-Gram desde hace unos años, concretamente desde que estaba realizando mi proyecto de fin de carrera y me tuve que empapar de criptografía. No recuerdo exactamente como llegue a la pagina web de Bruce Shneier, supongo a través de su libro Applied Cryptography, el cual cogí para leer un capitulo y al final casi me leí el libro entero.

Este el Crypto-Gram contiene unos cuantos buenos artículos, los cuales se pueden leer sin saber mucho de criptografía para entenderlos. Especialmente me han llamado la atención tres, uno sobre fallos de seguridad en la gestión de los billetes en los aeropuertos, otro sobre las preguntas secretas para la recuperación de contraseñas y el último sobre la expiración de cierta información sensible en Internet. Os haré unos breves resúmenes pero os recomiendo que leáis los artículos al completo.

El artículo Flying on Someone Else's Airline Ticket, nos cuenta como es posible coged un avión con el billete de otra persona. Muchas compañías – sobre todo aquí en España las económicas – permite sacar un billete por Internet e imprimir el resguardo en casa, pues bien con cualquier editor gráfico podíamos falsear la información del billete y como cuando vas a facturar lo que verifican en que tu documento de identidad coincida con el nombre del billete de avión ... Esto es según Shneier es claro ejemplo de fallo de seguridad por iteración de dos sistemas de seguridad.

El artículo The Curse of the Secret Question pone de manifiesto la falta de seguridad las preguntas secretas sobre todo debido a factores como la inocencia de la gente – contra esto nada se puede hacer, al menos desde el punto de vista técnico – y sobre la repuesta en si, ya que no cumple los requisitos de clave segura – letras y números, mas de 8 dígitos, etc.

Y para finalizar, con el artículo Authentication and Expiration me he sentido bastante identificado. Muchas veces cuando vas a realizar una compra por Internet la página del vendedor te obliga a registrarte y dar algunos datos, por ejemplo tu numero de tarjeta, esto se suele hacer así para posibles reclamaciones y claro para que el vendedor te pueda enviar publicidad de sus productos. Pasa el tiempo tu compra llega a casa, la disfrutas y te olvidas del vendedor ¿Qué pasa si yo no quiero realizar más compras por esa página, sino quiero seguir manteniendo una reilación comprador-vendedor? Pues que no hay forma de que esos datos expiren y el vendedor sigue tiendo datos sensibles tuyos – y si no ponemos paranoicos, esos datos pueden ser robados o vendidos.

En fin una lectura entretenida, al menos para mi claro.