(2008) Bruce Schneier: Inside the Twisted Mind of the Security Professional

Uncle Milton Industries has been selling ant farms to children since 1956. Some years ago, I remember opening one up with a friend. There were no actual ants included in the box. Instead, there was a card that you filled in with your address, and the company would mail you some ants. My friend expressed surprise that you could get ants sent to you in the mail.

I replied: «What’s really interesting is that these people will send a tube of live ants to anyone you tell them to.»

Security requires a particular mindset. Security professionals — at least the good ones — see the world differently. They can’t walk into a store without noticing how they might shoplift. They can’t use a computer without wondering about the security vulnerabilities. They can’t vote without trying to figure out how to vote twice. They just can’t help it.

SmartWater is a liquid with a unique identifier linked to a particular owner. «The idea is for me to paint this stuff on my valuables as proof of ownership,» I wrote when I first learned about the idea. «I think a better idea would be for me to paint it on your valuables, and then call the police.»

Really, we can’t help it.

This kind of thinking is not natural for most people. It’s not natural for engineers. Good engineering involves thinking about how things can be made to work; the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal. You don’t have to exploit the vulnerabilities you find, but if you don’t see the world that way, you’ll never notice most security problems.

I’ve often speculated about how much of this is innate, and how much is teachable. In general, I think it’s a particular way of looking at the world, and that it’s far easier to teach someone domain expertise — cryptography or software security or safecracking or document forgery — than it is to teach someone a security mindset.

Which is why CSE 484, an undergraduate computer-security course taught this quarter at the University of Washington, is so interesting to watch. Professor Tadayoshi Kohno is trying to teach a security mindset.

You can see the results in the blog the students are keeping. They’re encouraged to post security reviews about random things: smart pill boxes, Quiet Care Elder Care monitors, Apple’s Time Capsule, GM’s OnStar, traffic lights, safe deposit boxes, and dorm -room security.

The most recent one is about an automobile dealership. The poster described how she was able to retrieve her car after service just by giving the attendant her last name. Now any normal car owner would be happy about how easy it was to get her car back, but someone with a security mindset immediately thinks: «Can I really get a car just by knowing the last name of someone whose car is being serviced?»

The rest of the blog post speculates on how someone could steal a car by exploiting this security vulnerability, and whether it makes sense for the dealership to have this lax security. You can quibble with the analysis — I’m curious about the liability that the dealership has, and whether their insurance would cover any losses — but that’s all domain expertise. The important point is to notice, and then question, the security in the first place.

The lack of a security mindset explains a lot of bad security out there: voting machines, electronic payment cards, medical devices, ID cards, internet protocols. The designers are so busy making these systems work that they don’t stop to notice how they might fail or be made to fail, and then how those failures might be exploited. Teaching designers a security mindset will go a long way toward making future technological systems more secure.

That part’s obvious, but I think the security mindset is beneficial in many more ways. If people can learn how to think outside their narrow focus and see a bigger picture, whether in technology or politics or their everyday lives, they’ll be more sophisticated consumers, more skeptical citizens, less gullible people.

If more people had a security mindset, services that compromise privacy wouldn’t have such a sizable market share — and Facebook would be totally different. Laptops wouldn’t be lost with millions of unencrypted Social Security numbers on them, and we’d all learn a lot fewer security lessons the hard way. The power grid would be more secure. Identity theft would go way down. Medical records would be more private. If people had the security mindset, they wouldn’t have tried to look at Britney Spears’ medical records, since they would have realized that they would be caught.

There’s nothing magical about this particular university class; anyone can exercise his security mindset simply by trying to look at the world from an attacker’s perspective. If I wanted to evade this particular security device, how would I do it? Could I follow the letter of this law but get around the spirit? If the person who wrote this advertisement, essay, article or television documentary were unscrupulous, what could he have done? And then, how can I protect myself from these attacks?

The security mindset is a valuable skill that everyone can benefit from, regardless of career path.

(2011) iPad: ¿éxito abrumador o fenómeno preocupante?

Publicado en periódico El Azotador (Xochimilco, Ciudad de México) en 2011:

Nuestros lectores recordarán el entusiasmo con el que les hablamos en ocasiones anteriores sobre el lanzamiento de productos de Apple que consideramos tan innovadores, que de hecho representaron un antes y un después en su categoría, como su famoso teléfono iPhone. Hace unos meses, Apple volvió a sacudir el mercado con la introducción de su dispositivo “tablet”, el iPad, una especie de computadora portátil sin teclado, del tamaño de un papel tipo carta, y cuya pantalla proporciona una resolución y calidad de imagen no vista hasta la fecha en aparatos para el consumo masivo, pero este hecho no produjo un artículo entusiasta por nuestra parte. Esto no es un hecho fortuito.
Efectivamente, el iPad incorpora tecnología no vista hasta la fecha. Su lanzamiento comercial en abril de 2010 fue un éxito, provocando el pánico habitual y las coloridas y pintorescas filas nocturnas a la puerta de sus establecimientos, puesto que todos los auténticos fans de Apple quieren ser los primeros en poseer sus inventos, y el índice de ventas no deja de subir, colocándose por encima de los 20 millones a nivel mundial desde su lanzamiento hasta fin de año. ¿Por qué, pues, no nos gusta a los expertos?
Los “tablets”, u ordenadores estilo pizarra, sin teclado, suponen un cambio de paradigma en la computación personal y en el uso de Internet. La red de redes, la Web, nació como una plataforma para compartir información (científica en su origen, pues se inventó en el Laboratorio Europeo de Física de Partículas en Suiza, pero de toda índole una vez todos comenzamos a utilizarla), las computadoras domésticas han servido para que millones de personas generen contenidos: ya sea haciendo la tarea de la escuela, escribiendo los eventos del mes en el boletín enviado a sus familiares que viven lejos, compartiendo una foto de los sobrinos para la tía que vive en otro continente. Todo ello acciones que requieren de un mecanismo cómodo para introducir información, para escribir, es decir: un teclado. El iPad también se podría definir como una laptop a la que precisamente le han arrancado dicho dispositivo. El resultado: una bellísima y capaz computadora que sirve principalmente para convertir a su propietario en un objeto pasivo, en un mero consumidor de entretenimiento. Si tienen ocasión de convivir con personas que posean un iPad, obsérvelos: en un 95% de las ocasiones estarán viendo una película.
Si esta tendencia prospera, y las personas solamente usan la Red para idiotizarse, perderemos una oportunidad única para la generación y compartición de conocimiento. Internet se convertirá en una burda copia de los sistemas tradicionales de comunicación masivos (radio y principalmente televisión) en cuanto unos pocos son los que deciden los contenidos que pueden ver los demás. Perderemos la libertad de decidir qué queremos y qué no queremos ver, de qué manera nos queremos informar… y además quitaremos el potencial de poder de la información que la estructura variada y distribuida de Internet nos podría conceder, y se la devolveremos a los grandes grupos de la comunicación, que gustosamente continuarán ejerciéndola.
Es por esto que el éxito de un nuevo producto novedoso que incorpora innumerables desarrollos tecnológicos como es el iPad se nos antoja un fenómeno preocupante.

Del InterNot of things (IøT) al We put a chip on it!

Esto sí es una fiebre incontrolable, la Internet de las Cosas. La semana que viene tendremos el congreso mundial aquí en Barcelona. Espero que la ciudad se llene de carteles y que esto crezca más que el Mobile World Congress.

Mientras tanto yo me río con la contra-cultura que surge:

InterNot of Things (IøT) del cual un célebre precursor fue ProtecciónRFID, ehem…

El divertidísimo «We put a chip in it» para medir las tonturas que se están haciendo en el área. ¡Todo ello es cierto!

Quantified self en manos de tu jefe, no es una buena idea

Ojo, que por aquí nos viene un peligro más que evidente de control del individuo por parte de su empleador, siempre a favor del segundo.

http://www.bloomberg.com/news/articles/2015-08-12/wearable-biosensors-bring-tracking-tech-into-the-workplace

Ojo, yo uso wearables para auto controlar mi estrés y saber retirarme a tiempo de una reunión / conversación que le esté haciendo daño a mi mente y a mi cuerpo. Estoy muy lejos de ser una neo ludita. Pero estas tecnologías en manos de los empleadores son para tratar a los empleados como «recursos humanos» y optimizarlos a corto y tirarlos a la basura cuando se rompan.

Mucho ojo, por tercera vez.

El Partido Pirata alemán se desmorona

Buen artículo de J. Marcos y M. Ángeles Fernández sobre el estado actual del Partido Pirata alemán, en El País.

Resumen: la fragmentación y la inexperiencia están acabando con ellos. Solamente les quedan dos bastiones: la eurodiputada Julia Reda (que está haciendo buena labor en Bruselas) y la representación en Berlín (que se está dedicando a sacar los colores a los gestores del nefasto proyecto del nuevo aeropuerto de la ciudad).

¿Qué pensáis que deban hacer? ¿Perseverar (presentarse a la siguiente ronda de elecciones) o pivotar (unirse a algún nuevo partido tipo Podemos -Die Linke-)?

Cuttlefish en Ubuntu 14.04

Andaba haciendo algo de limpieza en el hosting y me di cuenta que años ha había instalado MyTinyTodo como gestor de tareas libre y autogestionado. Ya saben que hace un par de años nos dio por la Indie Web. No crean que dicha herramienta cayó en desuso por haberme pasado a EverNote y su simpático elefantito. Más bien se ha tratado de una mezcla de vorágine laboral (y en ese contexto no puedo usar ninguna de las dos opciones sino una corporativa que no funciona) y de uso de libretas tangibles y analógicas. En fin, sorpresas da la vida y en este caso me he encontrado al menos dos en forma de tareas pendientes de realizar. Una de ellas ha sido la película 55 days in Peking (1963), pendiente de ver y totalmente olvidada más de 600 días. La otra ha sido una tarea críptica y misteriosa que rezaba:»Instala Cuttlefish».

Picada por tal misteriosa instrucción, me he puesto a hacer un par de búsquedas.

Cuttlefish es una deliciosa herramienta para Ubuntu que sirve para implementar «reflejos», entendiendo por estos a los pares «estímulo – reacción». Piensen en el martillito que golpea la rodilla que hace que se mueva el pie. Una especie de If This Then That pero para el ordenador.

Lo he instalado siguiendo estas instrucciones. Me he inspirado en este post y por supuesto en el vídeo introductorio de Alex vBK (el creador de la herramienta) y en cuestión de segundos he podido crear unas cuantas recetas curiosas.

Selection_005

Lo recomiendo encarecidamente.

Diálogo con Cory Doctorow en el Centro de Cultura Contemporánea de Barcelona

El sitio donde había que estar el miércoles pasado a las 19 horas era el @cececebe de Barcelona, en la cuarta planta, sala Mirador. Un espacio que hace honor a su nombre con chorros de luz natural y vistas a las cúpulas y las azoteas que coronan el barrio del Raval. Una sala horizontal, con pocas filas de butacas muy alargadas que rodean un pequeño escenario. La intención es potenciar la proximidad abrazando, no asfixiando, al presentador.

¿El motivo para estar allá? La charla con Cory Doctorow que forma parte de Kosmopolis.

Cory está sentado en el alféizar del ventanal, conversando animadamente con todo aquel que quiera acercarse a saludarlo. Por pura casualidad acabo de ver The Internet’s Own Boy. Pese haberme leído casi todas sus obras de ficción y tenerlo presente a diario por obra y gracia de su timeline de Twitter, nunca se me había ocurrido buscarlo en youtube, vimeo, etc., así que hasta hace apenas una semana no tenía ni idea de cómo habla, cómo se mueve, cuál es su presencia más allá de la foto tamaño DNI que decora la contraportada de sus libros. Si digo que es «igualito que en la peli» me pareceré a mi sobrina Andrea, que es fanática de One Direction, pero es cierto, y yo me fijo en, aunque no me dejo guiar por, esos detalles (mi sobrina Andrea tampoco). Su imagen está muy pulida: camiseta pirata, recién afeitado, corte de cabello de cepillo, calcetines de rayas de colores, zapatos veganos. Habla informalmente sobre montones de cosas a la vez. Me llama la atención la conversación sobre algoritmos de «profiling» con sesgo. Menciona en lenguaje comprensible para todos algo que los que saben de calculo numérico o machine learning identificarían como una función de optimización que converge, e inmediatamente se pone a diseccionar las implicaciones sociales de dicha propiedad matemática: si los polis creen que los malos son los pelirrojos, acabarán persiguiendo solamente pelirrojos. Mi mente dice, ¡wow!, ¡súper wow! y eso que la charla ni siquiera ha comenzado.

Cory es tremendamente inteligente y aúna una capacidad brutal de reflexionar y de aunar conceptos aparentemente inconexos con la velocidad del rayo a la que habla un inglés agradable, claro y florido. Es un conversador nato muy acostumbrado a hacer asequibles conceptos muchas veces complejos o poco conocidos. Además es muy amable y considerado con respecto al público, a quien él trata como personas individuales que han decidido invertir su tiempo libre en escucharle. Incluso en medio de la charla, si se daba cuenta que le ibas a hacer una foto, te regalaba largos segundos hablando mirándote para que la foto te saliese bien, hacía contacto ocular con los que ocupábamos las primeras filas, etc.

Los cuarenta y cinco minutos de la charla pasaron en un instante. Hablamos de privacidad, de derechos humanos, de copyright, de utopías, distopias, el rol del escritor de ciencia ficción, de algunas de sus novelas (Little Brother, Homeland, For The Win, Makers, Pirate Cinema) y de la recién publicada novela gráfica In Real Life. En el turno de preguntas estableció un curioso criterio (preguntas alternadas de hombres y mujeres, cualquier persona que se identifique con otro género puede participar en cualquier momento). Se acaban las preguntas. Pasamos al «mingling». Los que queremos lo saludamos, le damos la mano, las gracias, él nos regala sonrisas, comentarios siempre atinados, autógrafos y selfies. Por las caras del resto de asistentes intuyo que se van a casa tan felices como yo.

Tan feliz salí, que tras 10 años publicando en este blog, mi encuentro con Cory Doctorow es la efeméride que marca la primera vez que aparece mi cara aquí 🙂

eva y cory

No existe la nube. Simplemente estás usando el ordenador de alguien

Hoy me he encontrado esta pegatina súper bonita y totalmente cierta.

there is no cloud

La traducción es el título de este post.

Estoy por pedirme unas cuantas. Es algo que todo el mundo debería comprender. Y los que ya lo comprendíamos, deberíamos tenerlo siempre presente. Antes de postear algo, antes de compartir algo en una red social, deberíamos reflexionar: ¿Estoy segura que quiero regalar esta información a alguien más?

Tecnologías de la información y la comunicación, libertad individual, derecho a la privacidad. ¿Cómo lograr que los avances en lo primero no afecten negativamente ni a lo segundo ni a lo tercero?