Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

19 febrero 2014

Penny, no toques




Decía en mi post anterior que os contaría qué me pasó un día en que me sentí como si fuera Catwoman pillada infraganti intentando hackear la Casa Blanca.

Entré en una tienda a mirar. Pero resulta que también se podía tocar. Bueno, eso pensé yo. Pero la verdad es que la situación se prestaba a confusión. Nada más entrar, había, en un rincón un ordenador con una "i" (de "información") arriba. Estaba claro que era un puesto de consulta. O no tan claro.
Porque, cuando me acerqué, pude comprobar que, además del explorador, invitando a consultar la versión online de la tienda, aparecía minimizada la bandeja de correos. Hice click y ahí estaban: los correos de todo el mundo :-o Es que no quise ni seguir mirando, porque ya me entraron dudas: ¿era un puesto de consulta pública en el que se habían dejado sin querer abierto el correo corporativo? ¿o era un puesto privado que había sido dejado momentaneamente desatendido? En cualquier caso, sería un puesto que permitía a cualquiera un acceso a parte de la red interna. 

Más adelante había una pantalla de esas enormes, táctiles, que muestran un video de propaganda que el usuario puede manejar a su antojo. O no.

Porque yo recordaba que el día anterior había puesto un video. Y quería verlo. Y en el programa que tenían puesto en ese momento había un cartel que decía "cerrar programa" (porque todo el mundo sabe que el aspa roja que aparece en la esquina superior derecha sirve para eso). Así es que voy y le doy. (¿No estaba la pantalla ahí para que la usáramos?). Y el programa se cierra. Y me aparece el escritorio de Windows con todas sus cosas. Qué monas. "Mira que si tienen todavía el XP", pensé yo, "sería gracioso". "Pues vamos a ver la información del sistema" (sin romper nada, solo mirar).

No puedo deciros si era XP o no porque en seguida oí una voz a mis espaldas: "se puede saber qué está usted haciendo".
- Ver el vídeo.
- Pero ¿qué vídeo?
- Pues el que había antes.
- Eso no está ahí para que usted lo toque. Eso es para uso nuestro.
(¿Una pantalla táctil, enorme, en todo el medio de la tienda? Y ¿dónde no ponía "no tocar"?)
Ahí sí que reaccioné con instinto felino y puse mi mejor cara de minino inocente, como la del Gato con Botas en Shrek:
 


"¿Acaso tengo yo cara de hacker peligroso?", le dije con la mirada.
La señorita me miraba confusa y luego miraba el escritorio de Windows como si fuera la primera vez que lo veía y con cara de no saber qué hacía eso ahí.

- Es ese el programa que había - le dije señalando con el dedo, sin atreverme a tocar. 

Ella tampoco se atrevía a tocar. Ahora me miraba cómo entre pidiéndome consejo sobre qué hacer y dudando que no fuera a pasar algo malo por tocar ahí. "¿Y si es un virus?", parecía decir. Sí, un virus que llevaba yo puesto en el dedo y que he pasado a la pantalla. 

- Que sí, que sí. - tuve que insistirle, para que venciera su miedo.

Al fin hizo acopio de valor y puso en marcha el video.

- Bueno, pero aquí no se toca ¿eh? Porque esto es para nosotros.

Le iba a haber preguntado por el ordenador de la entrada. El que tenía un cartel de "información", la tienda online y los correos de todos.

Por un momento me sentí como si fuera un black hat peligrosísimo, al que hubieran pescado intentando entrar en la Casa Blanca. Yo, que nunca hago nada ilegal porque no me parece bien y, para empezar, porque no sé hacerlo.

Reflexionando sobre la anécdota, extraigo algunas lecciones:

- No se toca nada (aunque parezca estar puesto ahí para eso) si no se está seguro de que se puede. O sea: que haya un cartel que diga "sírvase usted mismo". Y, en caso de duda, se pregunta.

- La seguridad, en sitios públicos y accesibles, no debe basarse únicamente en la vigilancia. Me imagino que si hubiera entrado alguien con peores intenciones que las mías, pudiera haber recurrido a alguna maniobra de distracción para acceder a los equipos. Alguien puede preguntar algo, desmayarse, vestirse de Spiderman, etc. para distraer al personal, mientras otro accede a los puestos. En el caso del ordenador de la entrada, ni siquiera hubiera sido necesario, ya que estaba en un rincón bastante aislado.

- Las pantallas táctiles, kioscos de información y puestos semejantes, deben estar correctamente configurados para no convertirse en un punto de entrada no deseado al resto del sistema. Lo mínimo es ponerlos en modo "pantalla completa". Pero han de asegurarse también de que no se pueda escapar mediante alguna combinación de teclas o por algún otro medio.

Me da que esto de los puntos de información táctiles está aún muy verde. A ver si en la Rooted Con nos cuentan algo...


2 comentarios:

  1. ¡Me gusta mucho, Penny! Las cosas que se ven por ahí...

    ResponderEliminar
  2. ¡Muchas gracias!
    Y las que no puedo contar ;)

    ResponderEliminar

A penny for your thoughts