martes, 7 de enero de 2014

La vida real

El identificador de llaves


Hace ya muchos, muchos años, el Correo Argentino ofrecía un servicio que consistía en poner un identificador a tu llavero que decía "en caso de hallar este llavero por favor introducir en cualquier buzón".

Hoy en día, si, en DIA%, disco y no se donde más, ha renacido la idea. No es algo a lo que preste mucha atención, puede haber renacido muchas veces.


En otra ocasión, he hecho un paralelismo entre lockpicking (seguridad física) [1] y ataques a sistemas de autenticación informáticos. El tema subyacente es que las llaves son al hogar lo que la clave al sistema informático.



¿Qué hacés cuando sospechás que tu contraseña a una cuenta ha sido comprometida? Sencillo, vas y la cambiás lo antes posible. El costo es ínfimo, son unos pocos minutos.

¿Qué hacés cuando perdés las llaves? Vas y cambias la cerradura o su combinación y todas las copias que tengas. Puede ser bastante caro. ¡Ah! y si en ese llavero estaban las llaves de la puerta del edificio le avisás al consorcio y cambian todos... ja ja ¡ILUSO!

¿Qué hacés cuando te mudás a un nuevo hogar? ¿Cambías las cerraduras?



Comencé a escribir con un prejuicio, asumiendo un descuido de las llaves equiparable al que hay con las contraseñas en general. Sin embargo, una vocecita me sugirió que antes de proseguir averiguara y me llevé una grata sorpresa, las personas que contestaron a mi encuesta son mucho más cuidadosas de lo que esperaba.


Ignoro la calidad de los datos, ya que existen respuestas "correctas" (siempre-si-si), no descarto que haya un cierto desplazamiento, además de muchos que quizás no contesten por no poder dar las respuestas correctas.

Hacer esta encuesta es muy incómodo para ambos, si alguien pierde pronto sus llaves y su casa es saqueada no va a haber manera de quitarle una desagradable sensación de desconfianza hacia mi por el resto de su vida, asi que agradezco mucho a quienes confiaron en mi.

He hallado un muy buen comportamiento, no sé si es que la población sobre la que hice la encuesta está de algún modo sesgada, probablemente sí. La única información extra con la que cuento es si cada persona es de seguridad, técnica agile o normal (sea lo que sea que eso signifique...)

Volviendo al problema


El tema del manejo de credenciales es algo recurrente en este blog, ya sea como cliente o como proveedor, pero me permito sintetizar:

A la hora de autenticar, el único secreto es la clave. Por seguridad por oscuridad conviene que el nombre no sea conocido. Si has perdido la clave, es entonces vital que el nombre no sea conocido.

Si perdés tus llaves junto a tus documentos, corrés a cambiar la cerradura, pero si son sólo las llaves, quizás no repares en que están identificadas por uno de estos servicios, asi que un ataque a esas bases de datos cobra mucho sentido, ya que permite obtener la cuenta (puerta) de la clave (llave).

En realidad la amenaza trasciende al servicio, que en cierto modo carece de valor. Cuando te devuelvan las llaves, ¿cómo sabés que no han sido copiadas?

Esta amenaza no se reduce al leak de la base de datos, aunque sin duda es el caso más interesante. Alcanza con tener un amigo dentro de la organización o un  escenario como este:

-Hola, te fijarías por favor si se actualizó mi dirección- y le dás el identificador. Con un poco de suerte te dirán "¿La dirección es plin plin plin?". Se puede complicar si te piden el nombre, en cuyo caso simplemente te dás la vuelta y te vas.

Me da cosita ir a probarlo, pero supongo que quien esté dispuesto a ir a robar una casa no sea de tener tanta vergüenza.


NOTA: a mi lo que más vergüenza me da es un error metodológico que cometí con la encuesta, si no te has dado cuenta no es importante, pero alguno me lo señaló y sudé y deseé que la tierra me tragara, gracias Ezequiel por la reprimenda.

Mas abajo pego los datos de la encuesta, agrupados y ordenados de un modo de seguridad creciente un tanto arbitrario pero suficiente como para ver que hay un elevado grado de conciencia en la gestión de llaves. No hay suficientes casos como para poder suponer que representa algo muy preciso y como ya mencioné, tiene un terrible sesgo por que es gente que usa mail y que conozco o es cercana.



Quienes tienen buen comportamiento, revisen si los identificadores son compatibles con sus buenas prácticas.

Los comentarios


De modo similar al open space, que es convertir al intervalo en el protagonista de los eventos, en esta encuesta el comentario es la estrella. Puse al final los que me resultan más divertidos o útiles:

  • Le agregaría medidas adicionales. como una nueva cerradura, rejas, etc
  • REALMENTE aparte de tus anotaciones y bolígrafo, alguien deja algo de valor en el cajón? o documentación respaldatoria del trabajo?
  • No soy de perder mis llaves, pero en mi familia son especialistas. Menos mal que no vivo más con ellos
  • Con la inseguridad de hoy en dia y teniendo en cta q tengo un pwn drive en mi llavero...si pierdo las llaves y no las cambio es xq soy una boluda
  • La primera vez que me mudé la puerta estaba destruida y el consorcio (el departamento era del consorcio) cambió la cerradura y me dio los dos únicos juegos de llaves que habían hecho. Cuando me mudé a donde estoy acá, el dueño me dio 2 llaves y me dijo que eran las únicas que tenian, aunque ahora que lo pienso, lo mejor hubiese sido cambiarla.
  • Lo siento pero no he perdido llaves.. :(
  • En caso de perder las llaves no cambiaría la cerradura ya que a la cerradura se le puede cambiar la combinacion que seria mas barato
  • La chica que está respondiendo a la encuesta es un poquito anti cambio, asi que la respuesta es de esa clase de tendencia. Y de confiar
  • Estas respuestas pueden estar un poco influenciadas por el tema grave de seguridad que nos aqueja desde hace unos años y que no se ocupan de resolver las autoridades
  • Modifico/cambio las cerraduras si la llave la tenia, por ejemplo, alguien que venia a trabajar a mi casa y dejo de hacerlo
  • Si se perdieron con identificación, o me las robaron - En el departamento al que me mudé cambié una cerradura, aunque no sé si eso es legal. La otra la dejé como estaba. Si no me hubiesen dejado cambiarla, hubiese evaluado poner una traba extra o algo así.
  • La última vez lo que hice fue dejar la anterior y poner una más. Siempre cierro con la nueva, pero si me voy mucho tiempo también meto la vieja por si acaso.
  • Con "perder" las llaves también podría incluir "que te roben" las llaves. Creo que la gente tendría una sensación mayor de inseguridad si se las roban a si las pierden... O al menos esa es la impresión que me da a partir de hablarlo con varias personas.
  • Aunque las recupere, si pierdo control de mis llaves durante un tiempo prudente, las doy como perdidas. Tal como dejar mi maquina desbloqueada y entregarsela a un tercero.
  • Despues de un cierto tiempo de buscarlas al darlas por perdidas.  Mientras tanto no se sale de casa hasta encontrarlas.
  • En contra de mis deseos, le dejé a la inmobiliaria la llave del pasillo previo al departamento, para que se la de al plomero/carpintero/-ni idea quien- y vaya a hacer arreglos cuando yo no estaba. Dejé abierta la puerta de entrada y sólo entregué la del pasillo como "medida de seguridad".
  • No cierro la casa con todas las llaves, incluso dejo algunas puertas sin llave (ejemplo la puerta de la entrada al patio delantero). 
  • Gracias a Dios nunca he tenido problemas de seguridad en casa.
  • En algunas oportunidades he cambiado la combinación de la cerradura para no comprar una nueva.
  • Si considero que las perdí cerca de casa o con documentación de la que puedan deducir la dirección
  • Ante cualquier evento, duda, etc, SIEMPRE cambio cerradura
  • Siempre que cualquier propietario pierda la llave de la puerta de planta baja, se cambia la cerradura o la combinacion. Si yo pierdo la llave de mi departamento, no lo hago, ya que antes tienen que forzar la de planta baja, y dar con el piso que vivo.
  • Estoy pensando poner cerradurra electronica ( por tarjeta o lectura de pulgar en mi casa, me inclino mas por la tarjeta, ya que no deseo que me corten un dedo para entrar y llegarse un cd de violeta) Lo hable con mucha gente y todos piensan lo mismo. Las llaves y llaveros molestan cada dia mas.
  • Nosotros cambiamos las llaves cada vez que nos mudamos (unas 3 veces). También cuando me robaron la cartera y una vez que YO las perdí. XXX es un superparanoico con el tema (y a las pruebas me remito, mucho más prolijo que yo con sus llaves).
    Encontramos un método un poco más barato y es que como tenemos dos puertas, guardamos el tambor de las llaves robadas y años más tarde, cuando tenemos otro percance, lo volvemos a colocar y sólo se hacen llaves nuevas.
  • Varias veces me fui de casa, y olvidé cerrar con llave. Mi puerta se abre sencillamente con el picaporte, luego, tengo suerte
  • Que cuestionario bobo... como vos xD
  • Estaba tratando de encontrar la justificacion de por que si 2 es SI, 3 es a veces... supongo que tiene que ver con que al momento de perderlas, empezas a evaluar costo y tiempo versus riesgo, y, so pretexto de “quien mierda va a saber que puerta de toda la maldita capital federal abre esta llave?”, sucumbis a la estadistica de lo poco probable y no la cambias nada.
  • Quien me robe tendrá 100 aňo de perdón
  • En el link que pasaste tengo que agregar mi legajo y mi password de gmail??? jajajajajaja
  • "Bienvenido a Ventosa de la Cuesta. Habitantes: 136 personas"

La última es muy especial, la persona entendió que pedía comentarios de bienvenida, ¡excelente!

Tras haber escrito este artículo, han llegado nuevas encuestas. Aunque no he actualizado los números, acá están los comentarios:

  • Si efectivamente perdiera mis llaves y no dejara con ellas ninguna información personal (solo las llaves, y no con el celular o la billetera) probablemente no cambiaría la combinación.
Tambien hubo una persona que me constestó utilizando un servicio de anonimización de mail.


Si a partir de este artículo o de haber llenado la encuesta has decidido ser más cuidadoso con las cerraduras, te paso mi procedimiento:

Para cada cerradura

  •     sacarla
  •     ir a una cerrajería desconocida de otro barrio
  •     comprar una igual y obtener las copias necesarias,
        ya quedan probadas
  •     poner la nueva

Si está en buen estado, la cerradura vieja se puede regalar a algún conocido que confíe en tí o no esté dispuesto a tomarse toda esta molestia. Tambien se puede usar en puertas interiores.


La encuesta


1) Al mudarte, has cambiado alguna vez la cerradura de tu nuevo hogar?
Siempre - Algunas veces - Nunca - Nunca me he mudado

2) Al perder las llaves, evaluás cambiar las cerraduras?
Si - A veces - No - Nunca he perdido las llaves

3) Al evaluar afirmativamente cambiar las llaves por haberlas perdido, has cambiado las llaves?
Si - A veces - No - No corresponde pues no pierdo las llaves o no evalúo cambiarlas

segmento por nuevo hogar? has evaluado tras perder? has cambiado?
SEGURIDAD nunca no

TÉCNICO nunca a veces a veces
NORMAL nunca si si
NORMAL nunca si si
NORMAL nunca si si
SEGURIDAD nunca si si
SEGURIDAD nunca si si
TÉCNICO nunca si si
AGILE nunca nunca he perdido las llaves
NORMAL nunca nunca he perdido las llaves
SEGURIDAD nunca nunca he perdido las llaves
SEGURIDAD nunca nunca he perdido las llaves
NORMAL a veces a veces a veces
NORMAL a veces a veces si
AGILE a veces si si
SEGURIDAD a veces si si
SEGURIDAD a veces nunca he perdido las llaves
AGILE siempre a veces no
NORMAL siempre a veces si
TÉCNICO siempre a veces si
NORMAL siempre si no
SEGURIDAD siempre si no
NORMAL siempre si a veces
SEGURIDAD siempre si a veces
SEGURIDAD siempre si a veces
TÉCNICO siempre si a veces
TÉCNICO nunca me he mudado si si
AGILE siempre si si
AGILE siempre si si
AGILE siempre si si
NORMAL siempre si si
NORMAL siempre si si
NORMAL siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
SEGURIDAD siempre si si
TÉCNICO siempre si si
TÉCNICO siempre si si
TÉCNICO siempre si si
TÉCNICO siempre si si
AGILE nunca me he mudado nunca he perdido las llaves
SEGURIDAD nunca me he mudado nunca he perdido las llaves
NORMAL siempre nunca he perdido las llaves
SEGURIDAD siempre nunca he perdido las llaves
SEGURIDAD siempre nunca he perdido las llaves
TÉCNICO siempre nunca he perdido las llaves
TÉCNICO siempre nunca he perdido las llaves


[1] http://seguridad-agile.blogspot.com.ar/2013/09/por-que-lockpicking.html

1 comentario:

  1. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar