Estas aquiContenido / Los 100.000 euros del eslabón más débil
Los 100.000 euros del eslabón más débil
"No entiendo cómo para dormir en un hotel me toman los datos y para usar un ordenador en un cibercafé no hay ningún control."
-- José Manuel Maza, magistrado del Tribunal Supremo
Yo, por otro lado, lo que no entiendo es que para pernoctar en un hotel tengan que tomarme los datos...
La cita anterior está sacada del artículo que Mercé Molist ha colgado con su cobertura del primer Congreso Iberoamericano de Seguridad y Desarrollo de la Sociedad de la Información, celebrado en Madrid.
La lectura es muy recomendable y desde aquí quiero agradecerle las impagables afirmaciones de los ponentes recogidas... por ejemplo la de la apuesta.
Me pregunto para qué servirán todos esos algoritmos tan seguros si para suplantar la personalidad tan sólo necesitas levantar un eDNI y su pin de 4 dígitos.
Tenemos 16 años para comprobarlo y esperar a la ejecución del testamento para, si procede y el sujeto tuvo a bien incluirlo, cobrar.
A quien Dios se la dé, San Pedro se la bendiga.
Según tengo entendido, ese PIN no es como el de las tarjetas de crédito. (cuatro números de mierda, quien no rompre eso? ), sino que es una clave normal. De todos modos conseguir las dos cosas no es fácil. El pin y la tarjeta física. Pero si sabemos que nos han robado el PIN o la tarjeta, basta con denunciarlo para que no sea válido el certificado, y esa firma deje de ser legal.
Hace tiempo que leo este blog, pero es la primera vez que comento. Saludos y felicidades !!!
Dice el artículo ese:
"[...]el juez José Manuel Maza, quien se maravilló de que "con lo fácil que es defraudar en Internet, el fraude es porcentualmente pequeño"."
Y tiene razón el hombre, oye. Si es que había que controlar más a esos internáutas pedófilos.
Pero que estaba yo pensando que, ya puestos, a mí me maravilla que, con lo fácil que es tirar macetas a la gente desde las ventanas, los macetazos son porcentualmente bajos.
Si es que había que controlar más a todos esos asesinos maceteriles.
Tuve la oportunidad de asistir al congreso CAPDESI mencionado (cátedra Applus+ de la Universidad Politécnica de Madrid) celebrado en la escuela EUITT-UPM.
Hubo conferencias realmente interesantes y divertidas, y otras infumables. Entre las interesantes la realizada por Carlos Jimenez de Secuware sobre el "DNI digital". El turno de preguntas se convirtió en una especie de club de la comedia. La pregunta más socorrida era preguntar cuales son los planes de contingencia si resulta que los algoritmos criptográficos empleados son rotos y cual sería su influencia en documentos firmados con firma digital... ante la pregunta se hizo el silencio... y empezo la comedia.
Carlos Jimenez se aposto 100.000 euros de su testamento si los algoritmos eran rotos en menos de 16 años, a cambio los asistentes si no se produce correriamos en pelotas castellana abajo ;)
Para más cachondedo uno de los asistentes indico que el acuerdo teniamos que firmarlo "digitalmente".
Después de estas y otras coñas (y el malestar aparente de Carlos Jimenez) quedaron dos cosas claras o al menos a mi.
1. Que no tienen planes de contingencia ante un hecho como la rotura de un algoritmo criptográfico, o si lo tienen no lo comentan (casi peor)
2. Falta de humildad. ¿el sistema es irrompible, y la rotura de los algoritmos tipo RSA y algoritmos de hash es poco probable?. Luego empezaron los desvarios, que si es más probable que caiga un meteorito en la tierra, que la computación cuántica no es viable y si lo es "solo para aquellos que creen que es posible viajar en el tiempo".... etc.
Otra de las conferencias ¿interesantes? fue la realizada por el subdirector adjunto del Centro Criptológico Nacional, Luis Jiménez, sobre "Common Criteria" aunque (por suerte) hablo de casi todo menos de esto.
A destacar los comentarios sobre un grupo de trabajo del CCN que utilizando la problematica BPA (Branch Prediction Analys) pretende obtener, por ejemplo, las claves criptograficas privadas, tipo RSA. Unos de los pocos sitios que publico este trabajo preliminar fue Kriptopolis, de hecho, Luis Jimenez cito el sitio como fuente principal de la información.
Felices Fiestas!
Todos somos ignorantes. La diferencia es que no todos ignoramos las mismas cosas. Albert Einstein.
Todos somos ignorantes. La diferencia es que no todos ignoramos las mismas cosas. Albert Einstein.
Para mi la puesta en marcha de este nuevo DNIe ha sido una experiencia muy entretenida. Todo comenzó hace un mes cuando un ladrón me robo mi cartera (solo tenía 10€ que espero se los gaste en Fortasec), pero si que tenia mi documentación. Después de esto, toca el rosario de las renovaciones de documentos.
Tras la denuncia el primero de los documentos a solicitar es el DNI. Me dirijo a la oficina del DNI de mi zona y para mi sorpresa hay que tomar número para un mes y el DNI que te entregan es el de siempre.
Pasa el mes y acudo a la oficina del DNI para sacarme el dichoso papelito ese y poder sacarme el pasaporte, para de ese modo poder vivir los 40 días más que tardaba el antiguo DNI. Para mi sorpresa la oficina del DNI de mi zona a mi llegada esta completamente reformada. Ahora hay mas ordenadores, pero la misma gente y curiosamente no hay ni un persona esperando para rellenar los papeles. Veo en un lado un extraño aparato con una pantalla y un teclado y que dice “Punto de actualización del DNIe”.
Me dirijo a uno de los funcionarios y este me comenta que esta mañana no están trabajando ya que “hoy” se comienza a generar el DNI electrónico y que de la noche a la mañana tienen que hacer este nuevo sistema. Que por favor regrese por la tarde si puedo, que quizá me puedan atender. Regreso por la tarde y me comentan que hay problemas con los sistemas informáticos y que no va a poder ser, que lo sienten mucho pero que si puedo que regrese al día siguiente.
Regreso al día siguiente tampoco me pueden atender, siguen teniendo muchos problemas para conectarse con los ordenadores centrales. Me comentan que no regrese por la tarde ya que no va a ser posible atender más personas este día.
Hasta este punto y desde mi punto de vista, se puede considerar que la cosa es más o menos normal. Esta gente no está acostumbrada a trabajar con equipos en red y es normal que les cueste un poco adaptarse. Después de todo son personas que ya llevan unos años trabajando y que hasta hace unos días la documentación se rellenaba a mano en papel.
Regreso al día siguiente a primerisima hora para ver si de una vez por todas me llevo mi documento. Ha la llegada me garantizan que hoy si que me atienden, pero que tenga mucha paciencia ya que, antes tardaban 5 minutos en tramitar un DNI y ahora tardan un mínimo de 20 minutos. Durante mi espera observo unas cuantas cosas que comentaré y que de verdad me parecen de primero. Y demuestran en cierto modo que esto ha sido un poco improvisado.
1º. Los funcionarios me comentan que tienen cursos de informática de hace tiempo, pero que tienen que aprender a usar las nuevas herramientas delante de nosotros, haciendo nuestros DNI’s. Que no hay curso previo de las herramientas nuevas y que no pueden cerrar el kiosko unos días para practicar. Me pregunto si hacen DNI’s o entradas de cine… Solo una persona sabe utilizar las herramientas y tiene que enseñar a los demás.
2º. Los sistemas informáticos se conectan con la central por “alguna red” que evidentemente no puedo saber. Lo que si pude observar es que tenían un retardo de unos 3 o 4 minutos. El funcionario rellena un formulario y pulsa enviar. Se le queda la pantalla en blanco y tras unos 3 o 4 minutos contados le sale la siguiente. Ahora te pasan por el scanner una foto y la firma. Scanean tu huella dactilar de las dos manos derecha e izquierda pulsa enviar y si todo va bien, tras pasar entre 4 y 5 minutos mas sale tu DNI de una maquinita que está por allí. Pensé que ya estaba, pero no estaba.
Ahora toca generar lo que va dentro del chip. Lo meten en la maquinita y en muy poco tiempo me entregan el DNIe y un sobre con clave alfanumérico de 8 dígitos. El DNI tiene 8 numero... que clave pondrá mucha gente que desconoce o ignora lo que esto significa?
3º En algunas ocasiones observe por el rabillo del ojo algún mensaje que salía mientras rellenaban DNI’s de otros. Leí mensajes del tipo: 404 Not Found Acto seguido el funcionario tenía que reiniciar el PC completo ya que no había forma.
4º Trabajan con Windows XP y la aplicación en cuestión usada para gestionar todo es como no: Microsoft Internet Explorer. El cual se cuelga según me da la impresión, porque se come la memoria ¿Algún Java bien hecho?
5º Se conectan a una página del tipo https://xxxx.xxxx.xx.mir.es:28000/xxx/xxx...
Las x son letras. ¿Por casualidad alguien aquí sabe como evitar que se pueda leer eso en la barra azul de la parte superior del IE? Estaría bien que se lo explicara a los señores que diseñaran este sistema… no es por nada, pero los “Juanckers” también se sacan el DNIe y verán esas cosas.
6º Si es lo que parece, espero que usen Tuneling…
7º Dejando a un lado los desastres anteriores, creo que hay que felicitar al FNMT por el estupendo trabajo que han realizado para este documento, “en su aspecto estético”.
8º La foto es en blanco y negro, el fondo blanco no sale, así que sales tu flotando ente las rayas esas… pero en blanco y negro!!! Si todo el mundo tiene impresora fotográfica en casa!!!
9º Conserva las famosas letras y números de la parte trasera. Los de lectura OCR. Que por cierto si es renovación lo que hacen es leen tus datos personales de esa parte del documento pasándolo por un scanner.
10º Parece que la moda de On-Line ha llegado al MIR.
11º ¿Me pregunto que hay dentro del chip de mi DNIe? Porque no soy capaz de creerme que de verdad llegaran a grabar algo en el chip… con tanto lío.
Saludos a todos.