Archivo de la categoría: seguridad

Stallman contra la nube

Publicado el por
2

Al gran evangelista del software libre que es Richard Stallman no le gusta el nuevo concepto de trabajar en la nube. Argumenta, y no sin falta de razón, que la información personal no debería escapar de nuestras propias manos.

El problema es que renunciar a esa posibilidad de control implica renunciar en gran medida a los beneicios de muchos servicios realmente útiles como Gmail, Google Docs, Zoho… etc. Lamentablemente, la mejor solución para esta disyuntiva pasa por pagar de tu bolsillo un hosting propio, lo cual no es demasiado barato, o montar un servidor en tu casa.

Si preguntan por mi opinión, creo que las palabras de Stallman son duras, pero necesarias. No olvidemos que la comodidad que nos ofrece la web 2.0 tiene un lado oscuro que no debemos pasar por alto: el fin de la privacidad total.

Una buena vacuna para curar la paranoia es tener plena conciencia de quién maneja nuestros datos (empresa), qué puede hacer con ellos (política de privacidad) y si permite que los empaquetes y los lleves a otra parte (portabilidad).

Cuida tu seguridad en el correo electrónico

Publicado el por
Responder

Con la llegada de la Web 2.0, el correo electrónico se ha convertido en la llave maestra para casi todos los servicios que utilizamos en la red.

Esta ventaja contiene un peligro: quien gana el acceso a nuestro correo, podría ganar el acceso a todo lo demás. Si tenemos en cuenta que los grandes servicios no facilitan demasiado las cosas en caso de un robo de identidad, un incidente de este tipo puede llegar a ser especialmente grave. Afortunadamente, la prevención es mucho más fácil que la solución. Aquí tienes algunas sugerencias para aumentar la seguridad.

  • Activa la conexión segura en Gmail.
  • Utiliza cifrado en los correos.
  • Protege tu cuenta con una buena contraseña. Cámbiala cada cierto tiempo.
  • Mantén direcciones separadas para enviar correos y registrarte en servicios.
  • Utiliza servicios como OpenID para evitar introducir tu correo en todas partes.
  • Recuerda: el correo es la llave maestra.

El iPhone y la lista negra

Publicado el por
2

Ayer publiqúe un artículo de opinión en La Voz de Asturias con mi punto de vista sobre el famoso Kill Switch que fue localizado en los terminales de Apple. Resultó inevitable mencionar ciertos paralelismos con el DRM.

El pasado año, Steve Jobs publicó sus reflexiones sobre música. En aquel momento pensé que Apple entraría en una nueva etapa: la muerte de la administración digital de derechos, conocida en inglés por las siglas DRM . Este sistema es el último engendro de la gran carrera armamentística destinada a tomar el control del consumidor a través del control de la tecnología. Una suerte de alquimia futurista que transforma el proceso de compra en alquiler condicionado.

Más en La tostadora no es tuya.

Aplicaciones para el verano

Publicado el por
1

¿Hora de hacer las maletas? Aquí tienes una lista de consejos y aplicaciones que te pueden resultar de utilidad si necesitas hacer el equipaje informático.

Limpia la casa antes de irte

Nuestro PC suele acumular basura de año en año, incluso si lo tratamos con el máximo cuidado. Antes de realizar un viaje importante (con o sin tu ordenador), puede que quieras efectuar una limpieza de última hora. CCleaner puede ser de gran utilidad para limpiar registro y archivos temporales. Procura desinstalar programas que no hayas utilizado en siglos.

Tal vez necesites copiar algunos datos a una memoria USB o disco externo. Si no quieres esperar mil años en tiempo Windows, una buena opción es Teracopy, que ofrece un interfaz mucho más confiable que los clásicos “papelitos volando”. El único inconveniente de la aplicación es el consumo de recursos; Teracopy hace trabajar un poco al disco duro durante el proceso de copia.

Guarda los objetos de valor

Si vamos a llevarnos nuestra máquina con nosotros, es mejor asegurar ciertos archivos importantes. Claves, cuentas bancarias, archivos del trabajo, etc. Para ello, tenemos a nuestr disposición programas como Keepass, para tener a buen recaudo nuestras contraseñas.

Es convenviente que eliminemos del navegador las contraseñas y cookies guardadas. Si nuestro ordenador cayese en malas manos, no es plan de dejarles la puerta abierta a toda la casa.

Si necesitamos cifrar archivos, Truecrypt es una buena opción, que además ofrece la posibilidad de cifrar todo el sistema.

No olvides la fiambrera

Llevar un llavero USB con nosotros nunca es mala idea, especialmente si no llevamos ningún otro dispositivo. Con sistemas como Portable Apps o MojoPac, podremos llevarnos nuestro PC en el bolsillo sin demasiados problemas.

Opcionalmente, podemos cambiar el llavero USB por los servicios de almancenamiento en línea. Mozy ofrece copias de seguridad de hasta 2 GB gratis, mientras que Windows Live SkyDrive nos ofrece 5 GB de almacenamiento gratuito. Obviamente, existen multitud de servicios más que responden a estas características. Es cuestión de elegir el adecuado.

¿Alguien tiene un boli?

Si necesitamos acceder a documentos y contenido ofimático en general, existen multitud de aplicaciones web dedicadas al procesado de textos. Por citar algunos de los más famosos,  Zoho o Google Docs pueden resultar buenas herramientas para nuestro propósito.

Obviamente, habrá quien juzgue superfluos estos consejos y quien no, pues todos tenemos nuestras costumbres en cuanto a desplazamientos y tecnología. ¿Cual es la tuya?

¿Morirá de éxito Google Analytics?

Publicado el por
1

Puedo afirmarlo sin temor a equivocarme: todos los sitios que he visitado últimamente utilizan Google Analytics como sistema de estadísticas. Obviamente, ello es gracias a la gran cantidad de información que proporciona este servicio. Yo mismo lo he utilizado en alguna de mis webs.

Sin embargo, la omnipresencia de Analytics en la red me preocupa un poco. Si todos los sitios que un internauta visita de forma habitual tienen habilitado este sistema de estadísticas, sería la cosa más fácil del mundo construir un perfil todavía más exacto.

Blogboing (no confundir con BoingBoing) reflexiona sobre este tema, cuando su autor descubrió que su sitio favorito para encontrar torrents tenía implementado el sistema de estadísticas de Google:

Slowly, one after the other, more and more websites started using google analytics, which is a hosted software on Google’s servers, as their web analytics software. In essence, Google got a full knowledge of where we go, what we do there, where we go from there, what we search for and what we do after we find it – no matter where we are on the web.

A continuación, el autor hace una pequeña revisión de los principales sitios en Alexa que tienen implementado este sistema de estadísticas. Si lo pensamos, la cantidad de información que puede contener Google de nosotros con Analytics es escalofriante. De hecho, muchas extensiones como CustomizeGoogle ya tienen apartados específicos a bloquear este servicio mientras navegamos.

¿Como podría morir de éxito? Muy fácil: si todo el mundo se vuelve quisquilloso con las estadísticas y empieza a bloquear por sistema la recogida de datos, su fiabilidad podría verse muy afectada. Imagino que el día queda muy lejos: los usuarios que podrían tener habilitado este tipo de bloqueo no deben llegar ni al 1% del total.

¿Qué podemos hacer los administradores? ¿Es conveniente que millones de sitios utilicen el mismo sistema de estadísticas? ¿Deberíamos tener en cuenta estos temas a la hora de elegir sistema para recopilar datos?

Download Squad: Play hide-and-seek with Google Analytics

Technorati tags: , , ,

Windows Genuine Advantage: Las malas ideas se pagan

Publicado el por
1

Microsoft

Cuando hay terremoto en Redmond, el Tsunami lo sufrimos todos los demás.

Windows Genuine Advantage es un sistema de validación que viene por defecto en Windows Vista y que intenta instalarse una y otra vez en Windows XP. Este sistema revisa periódicamente si tu Windows es original o procede de una copia pirateada. Es esta revisión periódica (traducción: envío de datos sobre tu ordenador periódicamente a Microsoft) lo más escandaloso del programa. Creo que si el sistema operativo se valida una vez, no ha de necesitarse más renovación.

Por si fuera poco, si el programa detecta que tu versión de Windows no es original, se “avisa” al usuario. En Windows Vista, se desactivan algunas características hasta que la licencia es validada.

El escándalo se ha montado gracias a una caída en los servidores del programa WGA. Al no poder conectarse con Redmond, el programita ha calificado a todas las copias de Windows Vista y Windows XP afectadas como “no originales”, con las consecuencias que hemos descrito en el anterior párrafo.

¿Quienes se podrían haber salvado? Muchos usuarios de XP que no compramos Vista y que no “pasamos por el aro” del programa de notificación WGA cuando se nos ofreció en su momento vía Windows Update. Tengo Windows XP original (venía en el portatil), pero no me pareció buena idea instalarme esta aplicación. Mi consejo: escoge siempre el desglose de las actualizaciones en Windows Update para ver lo que te intenten colar junto con actualizaciones críticas. En principio el problema está solucionado, pero eso no basta.

Cuando una compañía se excede vigilando a sus clientes, no tarda mucho en ocurrir algo malo. Y lo peor de todo es que esto ambién habrá podido afectar a empresas, que habrán visto sus funcionalidades reducidas por algo de lo que no han sido responsables.

Moraleja: si Microsoft te ofrece un caramelito raro para tu ordenador, no se lo cojas.

Enlaces: Techmeme | Blog oficial de WGA | Ars Technica | Completa entrada sobre WGA en la Wikipedia

La clave de marras y el HD-DVD

Publicado el por
Responder

En AACS están que trinan. Desde que un montón de copias con la clave para desencriptar los HD-DVD empezaron a circular por Digg y otros sitios, han llovido los avisos y amenazas de demanda para que dicha clave deje de existir en Internet en el menor tiempo posible.

En principio, son unos 800.000 sitios los que están amenazados con demanda. Pero no se por que me da que el contador está subiendo a una velocidad de infarto.

Un suponer

Supongamos la reacción de los propietarios de un sistema de encriptación parecido. Se han gastado un montón de esfuerzo y tiempo en crear un sistema que restrinja el uso legítimo que un comprador pueda darle a una película original. Terminado el trabajo, contemplan estupefactos cómo alguien revienta la protección a través de ingeniería inversa. Por si fuera poco, la clave se publica en Digg y comienza a correr como la pólvora.

El siguiente paso depende del conocimiento o desconocimiento de la red:

Si la conoce

La hemos fastidiado. la clave ya circula en las páginas web y no podemos hacer demasiado para frenarla. Como ponerse estupendos no hará más que empeorar las cosas, empeñemos todo nuestro esfuerzo en invalidar dicha clave. Al mismo tiempo, esforcémonos en darle la menor importancia posible, de modo que los usuarios piensen que no nos han dejado en calzones (aunque estemos en calzones).

Posible resultado: la clave ha sido revelada, pero podrán minimizarse parte de los “daños”.

Si no la conoce

Al no entender (o no querer hacerlo) la dinámica de redes sociales, nuestro paso sería amenazar con maquinaria legal a toda aquella web que intente publicar dicha clave. A través de diversos operadores, rastrearíamos todas y cada una de las páginas web que hayan publicado la clave y enviaríamos de forma masiva correos de advertencia. A fin de ahorrar tiempo y teclas, escribiríamos a los grandes proveedores de hosting amenazando con demandarlos a ellos.

Posible resultado: la clave será virtualmente imposible de frenar u ocultar. El número de páginas que incluyan dicha cifra aumentará de forma exponencial. En la red, las fronteras solo aparecen en temas legales, y si intentara advertir a un proveedor fuera de mi jurisdicción, daría igual. Como para todo lo demás Internet no tiene fronteras, la clave seguirá accesible, extendiéndose más y más y más. El resultado será el fracaso total, la importancia de la clave revelada y una caida en picado de la imagen de la empresa que tardará en repararse.

Epílogo

Dreamhost ha comenzado a cerrar webs alojadas en su servicio por que habían incluido la clave en cuestión. Dentro de lo malo, no han clausurado definitivamente las páginas, sino que más bien las han “congelado” de manera temporal a fin de que el webmaster elimine el código en cuestión. Puedo llegar a entender sus razones, pero no deja de molestarme un poco. Esta bitácora esta alojada en Dreamhost, con lo que entenderéis mi molestia acerca del tema, ya que el que suscribe aboga por el ejercicio de la libertad de expresión. Desde aquí, un tirón de orejas a mi proveedor de hosting, aunque me imagino las presiones que tienen.

Full disclosure: tras pensarlo mucho, he decidido no poner dicha clave en mis entradas. No me gusta la autocensura, pero no está el horno para bollos.

Contraseñas: como te las roban y como puedes protegerlas

Publicado el por
Responder

En Oneman’s Blog describen como una contraseña puede verse comprometida, desde el punto de vista del hacker. De hecho, el artículo comienza con estas palabras:

Supongamos que me invitas a descubrir tu contraseña. Ya sabes, la que usas una y otra vez para cada sitio que visitas, ¿cuantos intentos necesitaría para averiguarla?

A continuación, el autor evalúa el tiempo necesario para romper una contraseña a través de diversos métodos, como los ataques de fuerza bruta o diccionario. Merece la pena su lectura, ya que está muy bien explicado, y nos puede ahorrar más de un disgusto.

Del artículo se pueden extraer unos consejos, que completaré con algunos derivados de mi propia experiencia:

  1. Utiliza todos los caracteres posibles.
  2. Procura que la contraseña no signifique nada concreto.
  3. Si has de guardar tus contraseñas en algún sitio, que sea en el mundo real (eso sí, no hagas como los del instituto que salía en Juegos de Guerra, guárdalo en lugar seguro).
  4. Si de todas formas los guardas en soporte informático, utiliza herramientas seguras y especializadas como Truecrypt o Keepass.
  5. Cuando algo no sea vital, utiliza una clave y una cuenta de correo desechables.

Y no te olvides de visitar Kriptópolis, que a esto se dedican.

La RIAA quiere más dinero de las radios online

Publicado el por
Responder

A mamá industria y a papá gestor no les cae bien Internet. Por eso, siempre que un servicio de música on-line parece estar triunfando, comienza el ruido de salvas para que se suban las tarifas.

Los últimos servicios en soportar esta cruz (vía Error500) son Last.fm y Pandora, que abanderan el sector de las recomendaciones musicales. Según avisan en el blog de Pandora, la RIAA exige mayores tarifas para los servicios de radio on-line. Es el típico movimiento estratégico que enseñan en todos los centros de finanzas y marketing: si un negocio te da beneficios, húndelo.

No importa que las cosas vayan bien, y que gracias a estos sistemas la gente conozca más discos y los compre. La industria quiere más. Siempre quiere más.

Es como una loca competición para ver quien comete el mayor desatino contra sus perspectivas en el nuevo modelo de negocio. El problema es que cercenar el éxito de la radio a la carta en Internet es un error, porque ahora mismo, la publicidad través de estos sistemas es la mejor carta de presentación para la música que sigue canales convencionales. La RIAA piensa que distribuye su música a través de estos sistemas casi como un favor, pero se equivoca de cabo a rabo, y cerrar la puerta a las radios on-line puede ser cerrarle la puerta a su propio futuro. Seguro que después la culpa la tiene el E-Mule, como siempre.

¿Quieres ser rico? Pues no te afanes por aumentar tus bienes, sino en disminuir tu codicia.

-Epicuro de Samos

Firefox vulnerable (o la duda metódica aplicada a la informática)

Publicado el por
2

Actualización 22/11/2006: parece que la vulnerabilidad ya ha sido explotada.

¿Firefox en peligro? ¡Horror! ¡Pánico! ¡Herejía!

Pues parece que sí. Que nadie se extrañe, porque esto no es cosa de ayer. Todos coincidimos en que navegar con Internet Explorer es algo similar a tirarse con un paracaídas de papel o acostarse en una tabla de pinchos protegido con una gasa. No importa lo que hagas, no estás seguro ahí dentro hijo.

Sin embargo, conviene saber que Firefox, como segundo navegador más utilizado, también adolece de fallos susceptibles de utilizarse para fines dudosos. Su indiferencia al ActiveX no siempre es suficiente para proteger al navegador del panda rojo. Prueba de ello es una vulnerabilidad del sistema gestor de contraseñas. Mal sitio para que aparezca una vulnerabilidad, muy mal sitio.

En Kriptópolis siempre dicen que sacar a colación vulnerabilidades en Firefox es un deporte de riesgo más letal que la propia navegación con Internet Explorer. Más de una crítica se ha llevado la excelente web por sacar a colación defectos de seguridad en el navegador. La polémica está servida cada vez que se descubren nuevos fallos.

El mal de segunda generación

Somos internautas y nos gusta. Utilizamos software libre, nos oponemos a las discográficas y muchos abogamos por un modelo de negocio más justo. Nos declaramos fieles seguidores de Chuck Norris y Richard Stallman. Si es gratis, debe ser bueno. Si es libre, ha de ser mejor.

Pero los nuevos servicios y programas para la red han tenido con algo más oscuro bajo el brazo: el mal de segunda generación.

Muchos especialistas han investigado el posible origen de esta afección tan terrible. pero solo se han podido desentrañar algunos retazos sobre esta enfermedad que a más de uno ha consumido. El primer síntoma casi siempre pasa desapercibido: Uso Firefox, luego estoy seguro.

Tendemos a creer que Firefox es sinónimo de seguridad. No es así. El único sinónimo real de seguridad es un comportamiento adecuado, o unas precauciones adecuadas. Y no te creas que aún así te has librado. Si alguien está lo suficientemente empeñado en entrar en tu sistema es probable que lo consiga. El método infalible para ser invulnerable a los ataques de la red: no navegues por la red.

Leemos a diario Barrapunto, sabemos utilizar lectores de feeds y nos devanamos los sesos para explicarle a alguien que usa el messenger por qué sería mejor que se cambiara a Jabber. Manejamos la web de la segunda generación. Nos hemos educado en ella y hemos disfrutado con ella. Pero la soberbia a veces nos hace vulnerables. A mi nunca me va a pasar nada, utilizo el navegador/sistema/loquesea más seguro del mercado. No me vengas con tonterías, nunca me podría pasar.

Pues si, te puede pasar.

La vacuna

No dormirse en la complacencia. No creas que estarás a salvo de todo por muy bueno que sea tu sistema. Pero hay luz al final del túnel. Un buen mecanismo de seguridad no solo bloquea a un intruso, lo desmoraliza. Puede que sepa abrir una puerta. Pero nunca tendrá paciencia para abrir 20 puertas una detrás de otra. Podría ser que sí, pero dudo que seamos lo suficientemente importantes.

Para investigar la verdad es preciso dudar, en cuanto sea posible, de todas las cosas, una vez en la vida.

René Descartes

(Dedicado a Kriptópolis, gracias por todo el esfuerzo.)