AVISO: Nos hemos integrado con Facebook y Twitter. Ahora, podrás decir si te gusta o no uno de nuestros artículos con tu usuario de la red social. También podrás difundir los artículos que más te gusten a través de cualquier medio. Ayúdanos a que los artículos sean más interesantes dándonos tu opinión. Gracias.

viernes, 12 de marzo de 2010

Exploit para una vulnerabilidad del IE 6 y 7 disponible ya en Metasploit

Todo el mundo tiene asumido que cuando sale un nuevo software al mercado no sale con todas las posibles vulnerabilidades cubiertas. De acuerdo a las velocidades del mercado, esto supone a las empresas desarrolladoras disponer de un servicio de soporte que solucione las vulnerabilidades que aparezcan a lo largo de la vida del producto.
Pero, ¿qué sucede cuando la solución a alguna vulnerabilidad tarda en aparecer?
Puede suceder como le ha sucedido a Microsoft. Una de sus últimas vulnerabilidades (MSA-981374) que afecta al Internet Explorer 6 y 7, y que todavía no ha sido solucionada, ya tiene su xploit publicado. Y no solamente lo tiene publicado, sino que es un módulo del software de auditoría de seguridad Metasploit.
Según uno de los desarrolladores de Metasploit, HD Moore, acusa a los fabricantes de software a que solo responden con rapidez cuando los xploit son públicos.

Caida de Google

Hoy tenía pensado comentar otra noticia, pero mientras escribía el post creo que la noticia ha sido eclipsada por otra. Google se ha caido. No solo el navegador, sino todo el resto de las aplicaciones del mundo Google. Si bien ya ha recibido ataques anteriormente, tendremos que esperar a las explicaciones que en los próximos días pueda proporcionar la compañía.
Para no quedarnos solo en la anecdota de la caida de Google, planteémonos que sucede si nuestra empresa tuviese contratados los servicios de la nube de Google. Aquí en España, la caida no ha afectado mucho a las empresas por el horario de esta, pero imaginemos que ha podido pasar en USA. En momentos como estos es cuando hay que valorar la criticidad de los servicios contratados en la nube y cuales son los procedimientos establecidos para la continuidad de nuestro negocio.
Como en todo evento negativo, debemos pensar siempre en cuales son las cosas positivas en las que tendremos que centrarnos si queremos utilizar estos servicios de la nube.

viernes, 5 de marzo de 2010

Firma electrónica.

Desde que se aprobó la Ley 59/2003 sobre firma electrónica, se sentaban las bases para equiparar la firma manuscrita a la firma digital. Pero entendamos en que se basa esto de la firma digital.
La firma digital se basa en criptografía asimétrica, esto significa que la persona que firma debe disponer de un certificado digital. A efectos sencillos digamos que un certificado digital se compone de dos partes:
  • Una parte pública: Esta parte puede ser publicada o enviada a otros sin que corra riesgo nuestra identidad. En cuanto a la firma, esta parte sirve a los demás para verificar que algo ha sido firmado por nosotros.
  • Una parte privada: Esta parte es sensible y debe ser protegida lo máximo posible. Esta parte permitirá firmar documentos, procesos, facturas, etc.
Bueno, ahora que más o menos sabemos que es un certificado, ¿qué es una firma digital?

Imaginemos que tenemos un fichero con una factura que tenemos que firmar. A esta factura se le realizan unas operaciones matemáticas de caracter criptográfico denominado HASH. En lo que consiste es en realizar un resumen de la información. Este resumen es cifrado por nuestra parte privada del certificado. Lo que obtenemos lo enviamos junto con el fichero de la factura y ya tendríamos firmado digitalmente el fichero. Podéis ver un gráfico con la operación en esta imagen de wikipedia.
Lo explicado hasta ahora es lo que se denomina firma básica.
Pero, ¿cómo sabemos que nuestra firma es válidad? Para ello, realizamos la misma operación HASH sobre el documento original (sin la firma) que nos ha llegado. El valor de esta función deberá ser igual que el valor que me llega con el documento después de que lo descifre con la parte pública del certificado de la persona que lo firmó. Si los resultados de ambas operaciones coinciden, la firma es válida. Si no coinciden significa que el documento ha sido modificado no siendo una firma válida.

Bueno, después de la teoría, cuales son los usos de esta firma electrónica. Pondremos algunos ejemplos:
  1. Envío de mensajes de correo electrónico firmados. (proporciona autenticidad y no repudio)
  2. Hace unos cuantos años tuve que realizar un peritaje judicial entre dos empresas, siendo la autenticidad de un correo electrónico uno de los elementos a peritar. Al no haber firma electrónica no se pudo demostrar la autenticidad del emisor ni que el contenido no hubiese sido modificado.
  3. Facturación electrónica.
    Sin duda una de las aplicaciones donde se está obteniendo un retorno de inversión muy rápido. Asimismo, actualmente las facturas emitidas contra la administración pública deben ser en este formato.
  4. Nómina digital.
    Al igual que la facturación, la impresión de nóminas todos los meses es un gasto que puede ser disminuido con la utilización de la firma digital y una distribución electrónica de la misma.
  5. Firma de contratos.
    Si bien la firma de contratos parece todavía algo demasiado "físico" con la utilización de la firma digital y formatos como el pdf-147, podremos enviar un documento firmado sin tener que enviar dos copias firmadas con los correspondientes retrasos en tiempos.
Podría continuar con más ejemplos como votación electrónica, ahorro de espación con la digitalización de documentos,  aprobación y firma de procesos empresariales, etc.

En resumen, la firma digital es una tecnología implantada desde hace mucho tiempo, es decir, ya es una tecnología madura que tiene legislación que permite equipararla a la firma manuscrita. Si bien su incorporación a los procesos empresariales está siendo lenta, con la facturación electrónica se usará de una manera más activa a raiz de este año 2010.

Utiliza la firma y seguro que ahorrarás.