Archivos Mensuales: mayo 2009

Esporádica de mayo en 6m

Acabo de llegar a la banda de 6m (50MHz), las condiciones que tengo son bastante modestas para esa banda, un pequeño equipo multibanda y una vertical, también multibanda:

Ayer por la tarde coincidí con una esporádica en la banda de 6m. No es que fuera la esporádica de la historia pero fue interesante.

Se abrió un canal de comunicaciones con la zona del Reino Unido lo que me permitió establecer varios comunicados con estaciones sobre todo inglesas, alguna de Gales, Escocia, Irlanda, …

La esporádica no fue muy fuerte ni duró mucho pero los radioaficionados de la zona 4 sí que estuvimos una hora con altos y bajos (QSB) que hicieron que las estaciones entraran muy fuerte o se dejaran de escuchar completamente al poco tiempo.

Era interesante ver en el DX cluster cómo en otras zonas de Europa se abrían otros canales… incluso hubo algunos comunicados de estaciones EA1 con KP4.

También se escuchaban muy fuerte a las estaciones canarias (EA8) que se ponían las botas con estaciones del centro de Europa.

Un buen rato de radio. 🙂

¿Puede la SGAE entrar en mi casa?

Alucinado, simplemente alucinado de que pasen estas cosas … ¿terror, fantasía, o realidad?

No me lo puedo creer… Los hecho que aparecen en el blog que enlazo abajo son increibles! ¿Cómo puede pasar eso en una sociedad civilizada?

¿Cómo se consiente eso de que lleguen unos señores a tu casa, amenazando e intimidando…? ¿No hace nada la policía?

Sólo quería enlazar al artículo, indignado porque me parece increíble que pasen estas cosas y preguntar ¿Puede la SGAE entrar en mi casa?

Tu sistema está comprometido, asúmelo

Como ya comenté en un apunte de hace tiempo sobre el hecho de que el enemigo puede estar dentro, los profesionales de la Seguridad de la Información empleamos mucho tiempo definiendo medidas, contramedidas, requisitos, métricas, planes, sistemas de seguridad, instalando parches, … con el objetivo de que nuestros activos no se vean comprometidos.

Se emplean cantidades ingentes de dinero (no siempre correctamente) para mantener al malo fuera de nuestros dominios…

El problema es que el atacante no siempre está fuera, puede estar ya dentro.

Se ha dicho mil y una veces… o más.

La siguiente derivada es asumir que el enemigo está dentro, que nuestra red ha sido comprometida.

Aquí es donde entran en juego los detectores de intrusión, configurados para detectar al enemigo dentro, así como análisis de logs y demás pero no pensando en cómo dejar al enemigo fuera… sino pensando qué hacer, una vez que el enemigo está dentro.

Hay muchos tipos de enemigo:

  • Un virus que impide trabajar, ataca a la disponibilidad del sistema.
  • Un virus generalista que busca robar datos personales, financieros, …
  • Un virus específicamente diseñado pensando en tu organización para robar información sensible, diseños nuevos, proyectos, …, enviado a un objetivo muy concreto y orientado.
  • Un atacante, una persona ajena que accede a tus sistemas de forma remota.
  • Un empleado, personal subcontratado que por la razón que sea se dedica a robar, alterar o destruir información, …
  • Otros, …

Las posibilidades son múltiples y como dice el artículo que menciono, destinar una pequeña parte del presupuesto a monitorizar la red y buscar intrusos, asumiendo que están dentro, es una política que los responsables de seguridad de la información de grandes organizaciones deben al menos valorar pues el riesgo es real.

¿Cómo se si mi sistema está o no comprometido? ¿Tengo que hacer una revisión activa de todos mis sistemas, elegir una muestra o simplemente esperar a que los sistemas de análisis de log y monitorización avisen de que se ha detectado una intrusión?

¿Estoy seguro de que todo mi personal es leal? ¿Me fio del 100% del personal subcontratado? ¿Se establecen los mismos controles para todo el tipo de personal?

¿Tenemos un plan de contingencia? ¿Sabemos qué hacer cuando detectemos una intrusión o que nuestro sistema se ha visto comprometido?

Especialmente en grandes redes, con cientos si no miles de servidores y miles o incluso millones de usuarios, accediendo a diferentes servicios, desde diferentes redes o incluso desde Internet, a información de diferentes grados de clasificación, … sistemas de información complejos.

¿El asumir que nuestros sistema están comprometidos es algo sensato o es sólo paranoia?

Cloud computing y seguridad en la nube

Ultimamente se está poniendo muy de moda eso del Cloud computing y mucha gente habla de la nube como si fuera el paradigma de la ciencia de la computación, el futuro más claro y brillante, la solución a nuestros problemas.

El llamado cloud computing sin ser algo absolutamente nuevo (pues llevamos AÑOS usando webmails como los de Yahoo o GMail) está evolucionando y cada vez aparecen más y más servicios basados en “la nube“.

En esto de la computación en la nube hay varios que están apostando fuerte:

Vamos que todos se apuntan al carro pero… ¿Qué es realmente todo esto de la nube y qué puede implicar?

La nube es Internet. La computación en la nube es la computación en Internet y eso quiere decir que todas las aplicaciones y datos que están en la nube, están en Internet, están fuera de nuestras máquinas, en las máquinas del proveedor de servicios y accedemos a ellos desde el navegador. Utilizamos el procesador de textos a través del navegador.

La información está fuera de nuestros sistemas, … está fuera de nuestro control. Así, sin más.

Evidentemente todo esto de la nube tiene cosas buenas.

  • Las empresas que venden “la nube“, venden servicios y eso para ellas es que en vez de venderte un producto, un procesador de textos, por ejemplo, te venden una subscripción a un servicio, el poder usar el procesador de textos por un año.
    Pueden reducir costes, aumentar beneficios, luchar contra la piratería, …
  • Las empresas que compran “la nube” ya no tienen que comprar productos, ahora están comprando servicios… pueden ahorrar costes, ajustar más aun los gastos a sus necesidades, pueden acceder a sus aplicaciones y datos desde cualquier punto del mundo con sólo conectarse a Internet y eso es flexibilidad, comodidad, … se evitan mantener personal de soporte para esas aplicaciones, …
    Menos gastos y más beneficios.
  • Los particulares que usan “la nube” utilizan sus aplicaciones, acceden a sus datos, correo electrónico, aplicaciones desde cualquier punto y de forma (de momento) gratuíta, algunos ahorran dinero al no tener que comprar aplicaciones, otros empiezan a usar aplicaciones sin tener que infringir licencias, …

Pero claro… no es oro todo lo que reluce y no se hasta qué punto las empresas y los particulares conocen los riesgos de “la nube”:

  • La pérdida de la confidencialidad de los datos es evidente. La información ya no está únicamente en nuestro poder sino en servidores de otra organización así que al enviar nuestra información a los servidores de esa organización le estamos dando acceso a los datos.
  • Pérdida del control de la información. Ya no hablamos únicamente de confidencialidad, que para muchas aplicaciones es más que suficiente para no poder aceptar este nuevo concepto, hablamos de pérdida absoluta de control… no podemos controlar si el proveedor de los servicios en “la nube” utiliza nuestra información, la vende, la modifica, la borra… estamos hablando incluso de una posible pérdida de la integridad de la información. Siempre podemos comprobar la integridad con algún sistema de CRC o hash.
  • ¿Cómo se lleva “la nube” con el espionaje industrial? Y… ¿con el espionaje sin más? ¿Permitirán las organizaciones gubernamentales de los países operar a los grandes proveedores de servicios de cloud computing la operación sin acceder a la información? ¿Podrán utilizarse estos servicios en la red con información sensible y/o clasificada? ¿Podrá una empresa asiática o europea utilizar los servicios de una companía (americana, por poner un ejemplo) de servicios de este tipo sin ningún tipo de preocupación porque sus datos puedan ser accedidos para lograr acceso a información sensible?

Es evidente que los proveedores de cloud computing acceden a la información de sus usuarios, no hay más que ver los anuncios contextuales que nos presentan los diferentes proveedores de correo electrónico cuando estamos usando su webmail. No es posible presentar publicidad contextual sin acceder a la información.

¿Existen soluciones?

Pues de momento no las conozco.

Habrá que investigar en temas de privacidad en “la nube” y ver como dotar a esos servicios de una privacidad real y un control de la confidencialidad e integridad del que nos podamos fiar…

Así a bote pronto se me ocurre… una aplicación de software libre que trabaje en local ¿un javascript con algún sistema para validar la integridad de ese mismo javascript en un tercero de confianza? que cifre y envíe los datos a “la nube”, cifrados de forma que el propio proveedor de servicios de la nube no pueda acceder a la información ni modificarla sin que sea detectado… pero…
¿Cómo se come eso en una aplicación web? ¿Cómo se puede implementar, por ejemplo, un procesador de textos de tal forma que el propio procesador de textos no pueda acceder a la información del texto?

No tiene una solución sencilla… así que tendremos que seguir pensando porque el mercado se está orientando hacia allí.

Neutralidad de la red

Hace un par de días, a través de la lista de correo de RedLibre me llegó un mensaje importante.

Es sobre el tema de la neutralidad de la red.

Algunos a lo mejor dicen… ¿y eso qué es?

Pues es sencillo. Básicamente se trata de lo siguiente:

Internet es lo que todos conocemos, una red de redes, una red con contenidos de todo tipo, una red donde cualquier persona puede poner sus contenidos (yo mismo cuando pongo este blog, no tengo que pedir permiso a nadie), cualquier persona puede expresar sus opiniones, decir lo que le venga en gana, … Internet es un lugar libre.

Pues bien, hay gente y organizaciones que no están muy de acuerdo con esto:

  • Algunos operadores de red: que se están dando cuenta de que el negocio no está simplemente en darnos acceso a Internet sino en proveer contenidos. Estos operadores no se quieren quedar sin un trozo de la tarta y pretenden poder decidir a donde nos conectamos y a donde no. Pretenden decidir qué contenidos podemos ver o descargar de lo que está en Internet… Imaginemos que nos ofrecen paquetes de Internet básico, con acceso al Google pero que cuando pulsamos en los enlaces que aparecen tras la búsqueda nos sale una página diciendo que no tenemos contratado el acceso a esa página pero que podemos pagar un suplemento para acceder.
  • Las entidades de gestión de derechos de autor: ¿Qué decir de este tipo de ¿gente? que se gana la vida mintiendodiciendo que están luchando por la cultura y haciéndose millonarios, cobrando por cada CD, DVD, disco duro, … que compramos? ¿Cómo puede ser que yo tenga que pagarle a estos personajes por el dichoso canon cuando grabo un DVD con una distribución de con software que YO mismo he hecho para que los impresentables vivan sin trabajar?
    Estos son en gran parte la causa de que los reguladores se están planteando restringir el acceso a la red. Forman un lobby impresentable para conseguir más dinero, cobrando en galas benéficas en las que los cantantes cantan gratis, cobrando por mi trabajo, cobrando cuando compro un disco duro para mi ordenador, cuando grabo las fotos de mis viajes, sin escrúpulos de ningún tipo, sin vergüenza, … sin perdón.
  • Artistas: Sí, en cursiva. Artistas ricos que pretenden hacerse más ricos mientras se les llena la boca con palabras como “libertad”, “social”, “pueblo”, que acuden a las manifestaciones, que se ponen al lado de los pobres, de los humildes … juas, juas, … me rio yo de los ideales de los artistuchos esos que lo politizan todo con tal de llenarse el bolsillo. Hipocresía..
    Gentuza que dice que el cine español se hunde porque la gente se descarga las películas de Internet… juas, juas, … anda ya que iba yo a desperdiciar mi conexión a Internet para descargarme un bodrio de esos que hacen con el único objetivo de que les den la subvención (que por lo visto no es difícil y además cuentan con el apoyo de nuestra ministra)… bodrios, mierdas, cutreríos varios, … y ya no sólo se creen que me descargo sus películas sino que pretenderán que vaya al cine a gastarme la pasta que vale ir al cine para ver una p*ta mierda de película… ni gratis.
    Cuando hay una película buena no hace falta subvencionarla, no hace falta defenderla… porque las taquillas se llenan y se recauda dinero. El problema es que a nadie le gusta trabajar y estos tienen un chollo…
  • Determinados grupos de presión: Estos los he dejado a parte, no los he metido dentro del grupo anterior de gestores de derechos de autor porque hay gente que prefiere mantenernos aborregados, prefieren que la gente no pueda comunicarse, no pueda acceder a la cultura, no pueda expresarse libremente, no puedan hacer lo que estoy haciendo yo ahora… así es más fácil manejarnos.

Por eso os pongo el enlace a http://xmailer.hacktivistas.net/, para que dediqueis 2 minutos para escribir a los Eurodiputados (ya se han enviado casi 400.000 mensajes) y defendamos nuestros derechos. Los Eurodiputados están para servirnos a nosotros, a los ciudadanos.

Ya, para los que sepais inglés, echadle un vistazo a lo que piensan los noruegos que han publicado un documento que explica perfectamente los principios de la neutralidad de la red.