Seguridad y Marketing

Seba Bortnik —  23 abril 2008 — Deja un comentario

Mi tocayo compañero de trabajo, Seba G 😉 , me acercó hace unos cuantos días un link muy interesante y me dijo: “esto a vos te van a dar ganas de escribir”… ¡y adivinó!.

El artículo en cuestión se titula “Secustick da una falsa sensación de seguridad” y es un análisis del funcionamiento de un pen drive desarrollado por una empresa. Teóricamente, es un segurísimo dispositivo.

El pen drive “Secustick” especialmente promocionado por la firma, posee la capacidad de auto-destruirse si el usuario ingresa ‘x’ cantidad de veces mal la contraseña. De esta forma, quién necesite utilizar en un pen drive archivos altamente confidenciales, probablemente lo considere una buena opción: si me roban el pen drive, la información será destruida y nadie podrá leerla. ¿Qué costo tiene la seguridad, en este caso? La módica suma de U$D 175, por el dispositivo de 1Gb. Unas diez veces más caro que el mismo dispositivo en su versión común.

El informe posee varias secciones y es recomendable leerlo. Lamentablemente, solo está en inglés.

Como bien anuncian en la segunda sección (“primeras impresiones”), el dispositivo viene muy bien empaquetado (¡qué lindo packaging!) y en un principio es atractivo. También se pueden ver las capturas de pantalla de cómo solicita la contraseña.

En un principio, repito, el dispositivo parece atractivo y no debería haber contras. Sin embargo, la gente de Tweakers, quienes desarrollaron el informe, se tomaron el trabajo de analizar cómo funciona el dispositivo. Para ello, hicieron un debug del archivo password.exe, que puede observar cualquier usuario en una partición de 2Mb una vez colocado el pen drive. En el estudio, encontraron que el dispositivo utiliza dos procesos diferentes para chequear la password y desbloquear el dispositivo por lo que es muy simple llamar directamente al desbloqueo sin conocer la password ni haberla chequeado jamás.

No voy a entrar en detalles técnicos porque para ello les recomiendo leer el informe original y no me gusta simplemente copiar los datos.

Pero detengámonos a pensar… ¿un usuario pagó casi 200 dólares por un dispositivo totalmente vulnerable? Debo informarles que tristemente, deben haber sido mucho más de un simple usuario quienes calleron en la “trampa marketinera” del “Secustick”.

Evidentemente, y esto es lo que me interesa remarcar, la seguridad no está exenta de cuestiones de marketing y publicidad. Una buena campaña, un buen packaging, un buen slogan incluso pueden hacer que un producto sea más o menos seguro.

Por si cualquier usuario fuera del ámbito de seguridad no lo sabe, existen medidas gratuitas de seguridad como encriptar la información de un dispositivo móvil. Es decir, clarifico: un usuario puede estar más seguro con su pen drive de 20 dólares con los archivos encriptados que con el “pen drive seguro” de 175 dólares.

El otro día preparando un informe en el trabajo, le escribía al cliente que, luego de un trabajo de segurización de red, “los riesgos fueron altamente minimizados” o algo por el estilo. Y obviamente pensaba que quedaba mucho mejor “los riesgos fueron eliminados” aunque, obviamente, le estaría mintiendo al cliente. El problema no es mi honestidad o la de la empresa; el problema es que hay tanto chanta dando vuelta como este famoso pen drive que se hace difícil. Empresas que en sus publicidades aununcian soluciones que garantizan “un 100% de seguridad”. Cualquier persona que haya estudiado los conceptos básicos de seguridad y seguridad informática, sabe que esto es imposible, que es una mentira por donde se lo mire.

Es por ello que el desafío es continuar siendo honestos e informar lo más que se pueda a nuestros clientes. Obviamente que no se puede entrar en tecnisismos que un cliente no entienda o desaprovechar el lado bueno del marketing y la seguridad pero siempre poniendo la cuota de honestidad y transparencia que uno tiene. Además, siempre es bueno informar al público sobre este tipo de chantajes.

Como finaliza el informe original: “… cualquiera que tenga 130 euros es libre de ir y gastarlos en Secustick, pero aquellos que quieran tener sus datos seguros, pueden buscar otras soluciones o utilizar un pen drive regular con TrueCrypt.”

Fuente: http://tweakers.net/reviews/683/6/secustick-gives-false-sense-of-security-pagina-6.html

Anuncios

No hay comentarios

¡Se el primero en comenzar la conversación!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s