viernes, septiembre 21, 2012

eGarante: Un perito digital online que sella webs y correos

Como peritos informáticos nuestra principal tarea en muchos casos es realizar pruebas y documentar los resultados para generar evidencias. Este trabajo puede ser el ejecutar un comando netstat o realizar un listado de ficheros en una carpeta que serán adjuntados en un informe pericial avalado por nosotros. En el caso de trabajar con evidencias temporales online, realizamos trabajos como la captura de la misma, y su firma, para a partir de ese momento poder verificar en todo momento que estamos trabajando con una evidencia capturada en un determinado instante de tiempo.

En el caso de ser necesario utilizar como evidencia algo publicado en una web, las pruebas suelen ser descargar la web y firmarla digitalmente para incluirla dentro del informe final y poder, en caso de tener que ir a presentar y defender el informe en un juicio, garantizar personalmente que nosotros hicimos esa prueba y esos fueron los resultados en una determinado instante de tiempo, por lo que es fundamental poder contar con herramientas que hagan uso de timestamping.

Para explicar la importancia de las evidencias en la web siempre pongo el caso del entrenador de fútbol Luís Aragonés, que tras perder un encuentro cuando entrenaba al Atlético de Madrid, dijo en televisión algo como: "Quiero dejar de entrenar al Atlético de Madrid". Los cuerpos jurídicos del club decidieron aprovechar esta afirmación verbal y le enviaron una carta que decía: "Aceptamos su dimisión". Por supuesto, Luís Aragonés, viendo que había metido la pata tuvo que negociar una salida del club en unas condiciones económicas muy desfavorables para él.

Por supuesto estas evidencias no necesitan ni estar firmadas digitalmente, y un juez puede dar como bueno un documento en Word con capturas de pantallas realizadas y guardadas, algo que ha permitido a la ex alto cargo de la Comunidad de Valencia ser exculpada en el caso Noos, pero si esas evidencias están firmadas por un tercero que ejerce de perito judicial, mejor que mejor.

Cualquier persona puede firmar digitalmente una evidencia web de comentarios en Twitter que hagan apología del terrorismo, que insulten a personas, o que hablen mal de su trabajo. Incluso si esos comentarios se realizan de forma anónima, documentar todos esos comentarios pueden servir para que se abra una investigación judicial, y con ella abierta será mucho más sencillo conseguir del proveedor que da el servicio los datos de conexión de la cuenta para poder identificar a la persona que hay detrás, que tendrá que responder por los insultos publicados en el pasado de forma anónima. Por supuesto, esto también sirve para comentarios en blogs o foros que comentan delitos.

Si la evidencia está en la web, el servicio eGarante, creado por Yago Jesús (@YJesus), puede ayudarte a simplificar todo el proceso, ya que funciona como un perito digital online que realiza esta misma prueba, es decir, descarga la web, y la firma con el sello de tiempo del momento en que se realizó la comprobación. Lo que permite a cualquier persona documentar una evidencia de forma muy sencilla.

Figura 1: Petición de firma de un Tweet de mi cuenta Twitter

El servicio, una vez firmada la web, enviar un correo electrónico con un documento PDF firmado, que puede verificarse tal y cómo explica la web de eGarante. La verdad es que esta parte de generar así de fácil evidencias webs firmadas y selladas me parece muy cómodo y muy útil.

Figura 2: El documento PDF generado, firmado y sellado por eGarante

Este servicio también está disponible para mensajes de correo electrónico. En este caso la firma se realiza de todo el mensaje SMTP enviado, lo que no garantiza que el mensaje ha sido recibido, sino que ha sido enviado. Hay que tener en cuenta que un filtro antispam en el servidor de correo entrante o en el mismo cliente de correo del destinatario, o un simple error técnico, pueden evitar que el mensaje llegue, pero sí se garantiza el acto de enviar el correo. Para ello hay que enviar en copia del mensaje a la dirección mailsigned@egarante.com y se recibirá un mensaje con un documento PDF conteniendo el mensaje firmado y sellado.

Esto puede ser útil para concursos en los que hay que enviar un mensaje antes de una determinada fecha, lo que podría en algún caso ayudar a demostrar el acto de envío.

Unas reflexiones personales sobre eGarante

Tras probarlo, la parte de firma digital de evidencias web me parece muy cómodo y útil. Echo de menos el no tener que instalar la clave pública de la CA de eGarante, que creo que va a limitar en gran medida el uso, solo por tener que realizar un proceso de confianza en una nueva CA. Creo que estaría bien añadir una CA firmada por alguna de las entidades de firma digital reconocidas en España.

Por otro lado, echo de menos una Política de Seguridad más clara, sobre todo de cara al envió de mensajes de correo electrónico, ya que el poner a mailsigned@egarante.com en copia implica que le hago destinatario también de lo que envió, y para correos con contenido importante, no es lo deseable.

En la parte web, que es la que más me gusta, hay que tener en cuenta que si la información que se quiere documentar está protegida tras una sesión, entonces este servicio no vale, ya que solo documenta las partes públicas y sería necesario hacerlo manualmente.

La última duda es una curiosidad técnica que tengo que preguntarle a Yago Jesús es cómo hace para no firmar los correos de spam que lleguen a mailsigned@egarante.com, ya que puede ser muy gracioso devolver los correos del nigeriano firmados a los estafadores.

Saludos Malignos!

8 comentarios:

  1. esto es lo que era antes websellada, no?

    ResponderEliminar
  2. En cuanto a la política de los email con contenido sensible, al menos en mailsellado, se supone que el servicio recibe, procesa, y elimina los correos, sin guardar copia

    ResponderEliminar
  3. Hola, en primer lugar muchas gracias por tomarte tu tiempo en ver y valorar el servicio.

    Respecto a las objeciones que comentas, es cierto que claramente ha faltado un apartado o explicación sobre la política de privacidad, es algo sobre lo que voy a incidir lo antes posible.

    Los correos que llegan a Mail Sellado, llegan a una cuenta de correo y son gestionados por un proceso automatizado, según los va procesando esos correos son totalmente eliminados, tanto en servidor como las copias de los PDFs que se envían como evidencia. Lo único que queda (a modo de log, necesario para trazar problemas) es mail origen / mail destino / subject. En ningún caso se almacena o queda copia del contenido del correo o de sus adjuntos.

    Respecto a lo que comentas de 'tener que añadir una CA', en realidad para usarlo NO es necesario, únicamente has de realizar el proceso de instalar la CA de eGarante para verificar los PDFs que te lleguen. Puedes hacerlo antes de usar el servicio, mientras usas el servicio o a posteriori si necesitas verificar un PDF.

    Respecto a usar una CA de eGarante, apuntarte un par de cosas, de entrada el usar mi propia CA sirve para auto-identificar al servicio y aunque hubiese podido emplear un certificado, por ejemplo, de la FNMT he preferido que sea del propio proyecto precisamente en aras de darle mas validez.

    Por otra parte, decir que el sello de tiempo (que es el elemento clave, ya que designa el hecho de que existe UN DATO determinado, en un DETERMINADO MOMENTO, se basa en una TSA (autoridad de sellado de tiempo) externa de la ACCV, que es una CA reconocida.

    Respecto a los correos de SPAM, hay filtros, pero evidentemente si los nigerianos lo saltan, tendrán un bonito correo certificando su SPAM !

    Por otra parte, te has dejado las diferencias entre enviar un correo poniendo mailsigned como CC o como BCC, ya que cambia la orientación y el propósito

    Un saludo !

    ResponderEliminar
  4. @Anónimo-1: Es correcto, este servicio es una versión pulida y más profesional de WebSellada. En breve hablaré en SbD del tema y explicaré como hacer la transición :

    @Anónimo-2: Efectivamente, la política de privacidad es idéntica a Mail Sellado (SbD) los correos son eliminados y no se archiva nada

    ResponderEliminar
  5. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  6. Un último apunte que no vi en tus objeciones y que 'ahora caigo'.

    Imagino que cuando dices que se use un certificado de una CA ya reconocida es porque igual no queda claro que el certificado de la CA de eGarante SOLO va importada en el store de Adobe, es decir, NO tiene nada que ver con el store de windows.

    Por lo que NO estás añadiendo una CA a la lista de confianza de Windows, tan solo la añades para Adobe

    ResponderEliminar
  7. Una pregunta: ¿y si queremos obtener una evidencia de un sitio web que requiere iniciar sesión para ver los contenidos? Por ejemplo, un foro privado.

    ¿Habeis pensado en alguna solución para este tema?

    ResponderEliminar
  8. Hola, respecto a tu pregunta es algo que si es posible hacer a través de la API, para poder hacer eso es necesario que se puedan 'inyectar' unas cookies de sesión de ese foro / web.

    Para eso, se puede (se podrá ...) usar el API.

    Keep tuned !

    ResponderEliminar