Mejorando la seguridad: https by default.

No es nuevo tratar en nuestro blog sobre seguridad, hay publicaciones anteriores dedicadas al respecto (aquí, aquí, aquí, y aquí…), y muchas pinceladas sueltas en otros tantos posts. Si nos sigues habitualmente te será fácil identificar nuestra sana obsesión por darle importancia a un asunto tan sensible, el cual lamentablemente no se le da la prioridad que debería ni siquiera a nivel empresarial donde la fuga de datos puede poner en peligro la subsistencia de cualquier empresa.

Es cierto que hay una mayor sensibilidad en la era post-Snowden; si quieres entender mejor este asunto te recomiendo la lectura de estas publicaciones de Enrique Dans; no son posts técnicos, más bien de lectura amena que no te dejarán indiferente.

Para nosotros no hay duda que se van dando pasos en la buena dirección, pasos a veces muy tímidos pero afortunadamente las revelaciones de Snowden han sido la confirmación de lo que ya se comentaba a viva voz en círculos profesionales y que ahora ha echo abrir los ojos a más de uno.

Sin duda Google como empresa llamada a marcar la vanguardia y liderato tecnológico en este lustro, no le ayudó nada las revelaciones de Eduard Snowden donde se confirmó que empresas del calado de Yahoo, Facebook, Apple y la propia Google tienen implementados programas de colaboración que permiten la cesión de datos de usuarios a la propia NSA sin ningún tipo de consentimiento bajo el pretexto de la ley USA Patriot Act; la cual a groso modo permite al gobierno de los EEUU espiar a cualquier usuario de Internet (sea o no norteamericano) sin previa orden judicial bajo un supuesto mecanismo de protección anti-terrorista. Lo que parece un generoso texto legal para proteger a los EEUU de amenazas se ha convertido en un sofisticado entramado de intereses políticos cuyo objetivo es espiarnos interceptando llamadas, sms, emails, programas de mensajeria, redes sociales, etc.

Personalmente creo que la ley USA Patriot Act no es más que el supuesto paraguas legal para dar rienda suelta a la máxima aspiración de cualquier gobierno: el control y manipulación total del ciudadano. Ya a mediados de los años 90 se confirmó lo que inicialmente parecía un rumor más apropiado para el guión de una película de ciencia ficción, se destapó la existencia de la red ECHELON.

Recompensar el esfuerzo

Frente tanto acontecimiento y para subsanar la de por sí maltrecha reputación de Google en materia de privacidad, parece que ahora si están decididos en dar pasos firmes. De momento ya han expresado públicamente su intención por dejar de colaborar con el gobierno de EEUU interponiendo los intereses de sus usuarios. También están fomentado herramientas como la identificación de dos factores, y ahora dan un nuevo paso muy inteligente que premiará a los propietarios de páginas web que se tomen las molestias por servir todo su contenido vía HTTPS por defecto.

Lo explican ne este post publicado el pasado mes de agosto: HTTPS as a ranking signal.

Este tema va a ser prioritario para el algoritmo de posicionamiento de Google (page-rank), de modo que Google tendrá en cuenta los sitios proregidos por https para darles mayor visibilidad en los resultados de búsqueda.

Básicamente si una empresa de Sistemas recomienda a sus Cliente que deben usar HTTPS por defecto, ni caso… pero si es Google quien dice que adoptar esa medida va a mejorar el posicionamiento de tu web, entonces la cosa cambia.

No es gratis, es un caramelo envenenado

Enlazando todo lo dicho hasta ahora, si has llegado hasta aquí entiendo que un mínimo de interés tienes por este asunto. Para que valores la importancia que tienen tus datos y la privacidad de los mismos, te haré un pequeño juego de preguntas para su correspondiente reflexión:

¿Por qué hay ciertos servicios que tienen costes internos para las empresas y que -aparentemente- nos los regalan? Pongamos como ejemplo Dropbox, un servicio de hospedaje web de archivos. Tecnología que está desplegada en su totalidad en la plataforma de Amazon AWS, curiosamente donde también la CIA ha desplegado su infraestructura en un contrato millonario (yo no he querido llegar a las conclusiones que estás pensando 😀 ).

Volviendo a lo que interesa, los costes por los 2 GB que te “regalen” no suponen un coste interno de infraestructura de más de 0,5 Euros, es decir, por un regalo misero de 0,5 Eur estamos depositando todos nuestro documentos de ofimática, fotos privadas, proyectos profesionales, en una infraestructura de terceros sin ser conscientes de quién y cómo se tratan esos datos posteriormente. ¿Es un regalo? ¿Están tus datos realmente seguros en dicho servicio? Más que gratis, quizás sea un caramelo envenenado. ¿Es legitimo llegar a esta conclusión o estamos viendo fantasmas donde no lo hay?

Esta reflexión sirve para tantos otros servicios gratuitos que usamos en nuestro día a día, entonces…

¿Qué podemos hacer sin entrar en modo-paranoia?

La seguridad es otro de los campos de Internet con muchas similitudes en el mundo offline. Sin llegar a que sea obsesivo nuestro día a día podemos aplicar una serie de recomendaciones que hagan más difícil el trabajo a los amigos de lo ajeno. Entre todas las medidas que podemos poner en practica recomendaría en especial dos: la educación, tener un mínimo de conciencia tecnológica antes de tomar decisiones empresariales, y por supuesto valorar alternativas; será más fácil que nuestros datos sean interceptados si somos el usuario tipo, es decir, un usuario relativamente estándar en el uso/consumo de tecnología. Existen muchas alternativas -y muy buenas- pero no hay un mínimo interés por valorarlas. Se suele hacer lo que hacen los demás, sin entrar a valorar el por qué ni tener una estrategia empresarial… el resultado que vamos a obtener es el que obtienen los demás.

¿Por qué las empresas prestan poca o nula importancia a la seguridad?

Lamentablemente en una sociedad donde se busca rentabilidad a muy corto plazo hacer las cosa bien no es el camino más rápido; la seguridad exige dedicar más recursos en un área que posiblemente los empresarios (ahora emprendedores) no aprecian un resultado inmediato, considerando si -en el mejor de los casos- hay presupuesto y recursos para esta área. Dicho con un ejemplo: a nosotros cuando un Cliente necesita un servidor nos hace preguntas sobre el precio, tamaño de disco, capacidad de RAM, CPU, etc… pero, salvo raras excepciones, no se nos pregunta dónde está ubicado, qué seguridad tiene, qué medidas tomamos nosotros en la gestión, rutinas y procesos de administración. Hay un preocupación en exceso por el coste de las cosas sin valorar aspectos que pueden poner en jaque nuestro negocio.

No pretendemos entrar en profundidad, pero lo mismo sucede con la seguridad en las Intranets, o la nueva kafkiana moda de BYOD (bring your own device), o la permisividad de muchas empresas del uso de herramientas “gratuitas” -como comentábamos- sin ninguna otra reflexión que el simple hecho de que son ”gratuitas’.

Implementado https by default

Nosotros no queremos caer en las decisiones fáciles y corto-placistas, esta semana estamos intentando implementar HTTPS por defecto en nuestro sitio web. Aunque habíamos preparado y estudiado posibles escenarios, el resultado es difícil de prever hasta que no te metes de lleno.

Para empezar nuestra web tienen una capa de presentación que funciona con WordPress, después un ERP para facturación donde algunas partes son visibles al usuario, otras muchas integraciones para aprovisionamiento y control de servicios también son presentadas por HTTP. Lo que hemos conseguido inicialmente es aplicar los cambios a nivel de servicios web y forzar que todas las peticiones HTTP se atiendan por HTTPS vía reglas de redirecciones (rewrites). Esa parte nos llevó bastante tiempo encontrar la configuración óptima. Cuando lo solucionabas para una aplicación web se quejaba otra, hasta el punto que el primer día tuvimos que pedir disculpas a nuestros Clientes por cierta lentitud global en el Area de Clientes, una herramienta que usan de continuo para comunicarse con nosotros. El resultado es que iba excesivamente lenta como consecuencia de los cambios[…]. Problemas ya solucionados.

Ahora nos queda la parte más laboriosa, que vamos a ir subsanando en los sucesivos días (o semanas). Las llamadas a servicios de terceros, como APIs o cualquier tipo de end-point de integración y que no están preparadas en su totalidad para comunicarse por HTTPS. Estos cambios los tenemos que consensuar con servicios que no dependen exclusivamente de nosotros.

Por tanto el resultado no depende sólo que nuestro sitio web esté preparado para servir el contenido por HTTPS, sino de la complejidad de integraciones que se comunican con servicios externos. Si todo depende de uno mismo ¡genial! tiene una solución relativamente sencilla. Pero sí, como es nuestro caso, existen muchas conexiones en tiempo real entre servidores, es mucho más complejo. Esto ocasiona que aparezca en la URL del navegador https pero con una advertencia , si pinchamos en información adicional nos indica que el contenido contiene elementos no cifrados.

Como siempre todos los cambios requieren de esfuerzo, formas diferentes de hacer las cosas… no dudamos que cuando hayamos terminado por completo la implementación haya valido la pena, tengamos un sitio web un poco más seguro y… Google nos premie con mejor posicionamiento


Originally published at www.nessys.es.