Archivos de Categoría: Seguridad - Paginas 2

¿Qué hacemos cuando nadie mira?

En el mundo real hay muchas personas que se comportan de forma diferente si piensan que nadie les mira. En función de si pensamos que nos miran o no hacemos o dejamos de hacer algunas cosas.

Alguno dirá – “no me importa que me miren, no tengo nada que esconder” – ya que es lo típico, lo que estoy harto de escuchar, pero claro, una cosa es que no tengamos nada que esconder y otra cosa es que no queramos tranquilidad para movernos sin tener a alguien encima, …

Como comenté hace unos días, el hecho es que cada vez es más difícil estar en una situación en la que no mire nadie. Lo sepamos o no, es muy probable que alguien está mirando. La privacidad está infravalorada.

Como experimento, hace unos meses monté PleaseProxy.me, un sistema de proxy anónimo a través del que, supuestamente, se puede navegar sin dejar rastros…
Evidentemente eso no es del todo cierto, cuando navegas dejas rastros, lo quieras o no los dejas en:

  • el ordenador desde el que navegas,
  • el servidor al que te conectas,
  • el proxy de tu proveedor de Internet o de tu oficina, …
  • el trayecto, posiblemente en los routers por los que pasan tus paquetes.

Con PleaseProxy.me limitas un poco el impacto en la privacidad de tu navegación pero como contrapartida (no hay nada gratis) dejas muchos de los rastros de tu navegación en PleaseProxy.me además de que tu proveedor (o en tu empresa si navegas desde la oficina) pensaré que tienes algo que esconder porque usas un proxy anónimo y el servidor al que te conectas puede denegarte el acceso por el mismo motivo.

Además los proxys anónimos no son del todo anónimos y todo depende del administrador del proxy en concreto.

Independientemente del tema del proxy y volviendo al título de este apunte, os dejo una captura de los sitios más visitados en PleaseProxy.me y cada cual que saque sus conclusiones. 🙂

Las redes sociales y el porno, eso es lo que hacemos en Internet cuando creemos que nadie mira.

Paranoia… ¿o no?

En el blog de Bruce Schneier hay una entrada para reflexionar.

No dice nada nuevo… así que debe ser por cómo lo dice pero recomiendo su lectura (aviso, la entrada es en inglés).

Básicamente expone una serie de hechos que pueden llegar a generar paranoia… ¿o no?

En el artículo habla, sin entrar en detalles de que a día de hoy vamos dejando huellas digitales en nuestra vida diaria y todo se graba.

Nuestras compras con tarjetas de débito/crédito se almacenan, nuestras operaciones con tarjetas de programas de cliente se guardan y es posible establecer patrones de compra de cada uno de nosotros, nuestras visitas a distintas tiendas on-line permiten analizar todas y cada una de nuestras búsquedas, … los chips de RFID que se empiezan a integrar en pasaportes, DNI y otras tarjetas y productos, de las cámaras que existen en las ciudades y que es posible que puedan incorporar (si no lo hacen ya, en un futuro próximo) capacidad de reconocimiento facial, reconocimiento automático de las matrículas de los coches en los aparcamientos (supongo que los habreis visto ya porque están puestos en casi todos los aparcamientos públicos), en los coches de la policía, …

Habla también de los códigos de identificación que incluyen las máquinas digitales de fotografías e impresoras que permiten identificar exactamente con qué dispositivo se ha hecho una fotografía o se ha imprimido una hoja en particular, …

No dice nada en el artículo de los teléfonos móviles de los que no nos despegamos ni un minuto a lo largo de las 24h del día y que permiten al menos a las operadoras saber exactamente dónde estamos físicamente, con quien nos comunicamos… y dónde está la persona con la que nos comunicamos.

Tampoco menciona los buscadores de Internet (Google y compañía) que conocen exactamente nuestros intereses mediante las búsquedas que realizamos, el uso de nuestros ordenadores personales queda registrado por cualquiera de las barras de herramientas gratuítas de esas que se instalan y que supuestamente nos ofrecen ayudas de seguridad para la navegación, o … evidentemente que nuestros desplazamientos físicos en el mundo real quedan siempre registrados ya sean por los billetes de avión, tren que compramos o bien cuando respostamos en cualquier gasolinera con sus cámaras de seguridad o los pagos del combustible con tarjeta, …

Las compañías de gas o luz pueden conocer los patrones de ocupación de nuestra vivienda, saber y/o preveer cuando estamos en nuestra casa, las horas, nuestros periodos vacacionales, ausencias largas, …

Las compañías de seguros (médicos y de cualquier otro tipo) conocer y preveer nuestras enfermedades, alergias o cualquier otro problema, …

Todo se graba, es posible hacer un análisis a posteriori de toda esa informacióninteligencia… pero claro ¿dónde queda la privacidad del ciudadano?

A veces me da por pensar que no se si interesa profundizar mucho en todo esto porque la mayoría de las cosas, aunque lo puedan parecer no son exageraciones futuristas y catastrofistas… son el presente y no se habla de cosas que pueden suceder sino de cosas que están sucediendo aquí y ahora.

Todo es paranoia… o no.

Ponencia en el Máster en Seguridad de la Información y las Comunicaciones de la UAX

No había tenido tiempo de comentar que los días 6 y 7 de febrero participé como ponente en el Master Oficial en Ingeniería de Seguridad y las Comunicaciones de la UAX.

La sesión trató sobre seguridad en sistemas UNIX/Linux, recomendaciones generales, buenas prácticas, securización de sistemas, … Vamos un poco de todo.

Creo que los alumnos quedaron contentos, la participación fue buena, hubo buen ambiente y cubrimos lo planificado tanto en contenido como en tiempo. Evidentemente mi presentación no fue perfecta y hay cosas que mejorar y que pulir…
Probablemente los alumnos habrían agradecido tener más tiempo para pegarse con los ordenadores pero el tiempo es limitado y, si los alumnos no tienen conocimientos de administración de sistemas Linux no se puede correr más de la cuenta pues hay que ir a una velocidad a la que todos puedan llegar.

La seguridad en sistemas UNIX y Linux es un tema amplio que es difícil de cubrir en sólo dos sesiones de 4’5h…

Yo lo pasé bien… Espero que los alumnos disfrutaran de la sesión y les resultara interesante.

Mi próxima sesión será sobre KDE en el Máster en Software Libre de la URJC, ya os contaré qué tal.

 

250mil dólares de recompensa por el creador de Conficker

250K dólares, unos 200K euros es la recompensa que está ofreciendo Microsoft por información que lleve al arresto del creador del gusano conficker, del que ya he hablado alguna que otra vez porque según ellos se trata de un ataque criminal.

La solución definitiva NO es detener al creador del gusano.

Lo que se consigue deteniendo al creador del gusano es eliminar a UN programador de malware, puede que incluso uno de los buenos y como mucho que sirva de escarmiento para algún otro… pero cuando estamos hablando de mafias, de profesionales del malware, … parece claro que, detener a un técnico, no es la solución definitiva.

El camino más eficiente para mitigar estos problemas es la CONCIENCIACIÓN.

  • Concienciación y formación a los desarrolladores de software, para que desarrollen con la seguridad en mente, evitando que sus programas dependan, por ejemplo, de su ejecución con más privilegios de los necesarios, sin controles ni medidas enfocadas a producir herramientas robustas.
  • Concienciación y formación a los administradores de sistemas y red, para que administren sus sistemas con la seguridad en mente, para que se instalen los parches necesarios y se mantengan los sistemas bien ajustados.
  • Concienciación y formación a los usuarios, para que no utilicen más privilegios de los necesarios, no instalen cualquier programa que les llegue, desconfíen de los mensajes, páginas o personas sospechosas , …
  • Concienciación y formación para los profesionales de la seguridad de la información, ingenieros, auditores, administradores de seguridad, … porque lo nuestro es una carrera y los malos van muchas veces por delante así que hay que estar al día en las nuevas técnicas y estrategias, intentar adelantarnos y detectar los problemas antes de que hagan daño.

Copiando pasaportes RFID a distancia

Leo en The Register que ya no es una prueba de concepto, sino un hecho la posibilidad de duplicar a distancia y sin conocimiento de la víctima los pasaportes americanos con RFID.

Parece claro que la tecnología RFID es algo MUY útil y práctico para determinadas aplicaciones.

Por ejemplo, la sustitución de las etiquetas de los precios habituales de códigos de barras por etiquetas con chips RFID permitiría la instalación de arcos con dispositivos lectores en las cajas registradoras de los supermercados. Con esos dispositivos sería posible el que, con sólo pasar los carros cargados de productos por el arco, se leyeran todas las etiquetas y no haría falta descargar el carro para pasarlo por la actual cinta de la caja para que la cajera pasara los productos por el lector uno a uno.
Es evidente el ahorro en tiempo (y dinero), la eliminación de colas en los supermercados y demás… ¿no?

Otro ejemplo, en bibliotecas, almacenes de cualquier tipo, permite mantener el inventario automáticamente y de una forma precisa al poder leer qué dispositivos hay en cada momento a distancia…

La utilización principal del RFID es clara, la identificación y seguimiento rápido, cómodo, a distancia, barato, …

Esto aporta no sólo ventajas… también tiene algunos inconvenientes: la identificacién y seguimiento cómodo, a distancia barato, … sí, las ventajas son también inconvenientes en función de cómo se use la tecnología (como casi siempre).

Con esta tecnología es sencillo hacer seguimientos a personas, identificarlas sin que ellas mismas se den cuenta (algo parecido a lo que pasa en la película de Minority report). Puede desaparecer la privacidad que nos permite el podernos mover libremente sin ser vigilados… Evidentemente eso suena a paranoia pero la posibilidad y la tecnología son reales.

Es fácil, sólo hace falta que no quiten las etiquetas RFID (antirrobo) de las prendas que compramos o que llevemos el pasaporte.

Antes el problema era sólo el seguimiento al que podían someternos, un seguimiento sencillo y del que no seríamos conscientes pero ahora no es sólo eso, ahora también pueden duplicar nuestro pasaporte a distancia, desde un coche y sin que nos demos cuenta.

Se imponen las carteras, fundas de pasaporte y demás accesorios con jaulas de Faraday como ya comentaba en el apunte sobre datos biométricos en el pasaporte.

Estudio con los datos financieros de los usuarios de Mint

El sábado hablaba de la web de finanzas personales de Mint… y los riegos y la absoluta falta de privacidad de tus datos bancarios que para usar esa web debes asumir.
Siempre asumiendo que nuestros datos y nuestro dinero se quedan en su sitio, en nuestras cuentas, asumiendo que los sistemas de Mint son absolutamente seguros y nadie va a hacerse con nuestra contraseña desde donde tendría acceso a todos nuestros datos y, … ¡Uff!

Pues hoy, casualmente a través de un feed de delicio.us me entero de que Mint ha publicado una especie de estudio sobre los gastos y estadísticas de consumo de sus usuarios.
Es una barbaridadun poco fuerte… esta gente está accediendo a los datos de sus usuarios, supuestamente los anonimizan y luego hacen sus cálculos…
Esto confirma mis sospechas de la falta de privacidad de los datos bancarios de los usuarios de Mint.

Sí. Los cálculos, las gráficas y los datos son interesantes.
Mantienen (según sus propias palabras) casi el 1% de todas las finanzas personales de Estados Unidos… un buen muestreo, desde luego. Te permite saber por dónde van los tiros en esto de la crisis al menos en EEUU.

Desde España hay cosas que no dejan de llamar la atención… como el nivel medio de gasto mensual de los americanos que está alrededor de los 4100 dolares (unos 3500 euros)!! 🙂

Si me pudiera quedar alguna duda sobre el uso de Mint, estas se han despejado. A ver qué me encuentro mañana o pasado sobre esta web… miedo me da.

Actualización: Casualmente Rodrigo cuenta en su blog que ha escrito un apunte sobre finanzas personales con Money Trackin. Aun no se si en Money Trackin los datos los subes tú o también tienes que dar usuario y contraseña de tus bancos.

Finanzas personales con Mint.com

A través de este apunte de LifeHacker he conocido Mint.com, un servicio on-line de finanzas personales.

A primera vista tiene MUY buena pinta… un interfaz cuidado, muchas funcionalidades, estadísticas que te permiten saber en qué gastas el dinero, te permite fijar alertas, notas, te avisa por correo electrónico, … un poco de todo.

Así que con una cuenta de correo electrónico que tengo para registros de este tipo me doy de alta… vamos a investigar un poco más qué es esto.

Piden cuenta de correo, una contraseña, nombre, apellido y código postal ¿?.
Una vez te has dado de alta… viene la ¿sorpresa?


Te piden directamente el usuario y contraseña de cada una de las cuentas de los bancos con los que trabajas para poder entrar en tus cuentas… esto es un poco difícilse acabó la prueba.

La verdad es que la idea es buena, muy buena… ellos tienen acceso a tus cuentas bancarias, se conectan, descargan todos tus movimientos, los categorizan, hacen los cílculos, preparan los gráficos, … y tú al día siguiente tienes toda la información actualizada, sabes en qué te gastas el dinero, puedes ver si te pasas de presupuesto, como llevas los pagos, … en dos palabras: parece perfecto.

Sólo tiene un problema… tienes que meterle el usuario y contraseña para darles acceso a tus cuentas bancarias y del phising ya hablaré otro día.

Robo de credenciales en Monster

El día 23 la web de empleo Monster.com anunció que se había producido un robo de las credenciales de los usuarios de su web. No dicen cómo se ha hecho… sólo que ha pasado.

Han puesto un comunicado en su web diciendo que los datos que se han robado son: id de usuario, contraseña, dirección de correo electrónico, nombre, teléfonos y lo que ellos llaman datos demográficos pero dicen que los ladrones no han conseguido los currículums… a saber.

Una de las preguntas es… ¿Cómo es que han conseguido las contraseñas? ¿Las guardaban en claro? ¿Ni siquiera un hash? (luego el MD5 se rompe pero eso es otra historia).

Para tranquilizarnos nos dicen que en su nueva web, la seguridad es primordial… 😛

En España, quiero pensar que, un problema de estos llevaría asociada una sanción de la Agencia Española de Protección de Datos. Si se trata sólo de esos datos, supongo que estarían clasificados como de nivel bajo pero a saber qué es exactamente lo que se ha perdido.

A los que tengais vuestros datos en Monster… ya podeis correr a cambiar las contraseñas de vuestros usuarios… y eso si no compartís cuenta de correo-e/contraseñas entre Monster y otros sitios… Una práctica tan poco recomendable como habitual es la de compartir datos de registro (correo-e y contraseña) en varios/muchos/todos los sitios web.

¡A cambiar contraseñas tocan!

Vuelve Conficker y los problemas de no parchear

No es nuevo el problema, Microsoft publicaba el parche a finales de octubre en una distribución de esas críticas fuera de ciclo. El hecho de que hagan una distribución fuera de ciclo debe ser motivo para tomárselo en serio y en muchas de las grandes redes se iniciaron los procedimientos para actualizar e instalar dicha actualización cuanto antes.

En menos de un mes ya teníamos al menos un virus detectado y dando guerra. El Conficker se hizo presente. Como siempre, las primeras informaciones eran vagas (conficker, Gimmiv, ¿otro?) y había que fiarse de la intuición y experiencia para identificar como un virus determinados patrones ya sea en el tráfico de la red, en las incidencias de los usuarios, …

A los días las primeras infecciones ya eran masivas. Grandes redes infectadas por un gusano que se introducía en todas las máquinas que no tenían el parche aplicado (y habían reiniciado tras la actualización), los fabricantes de antivirus no daban con la tecla para limpiar las infecciones y sacaban varios patrones de firmas al día tratando de dar con la tecla, las redes mal segmentadas se bloqueaban con el tráfico que el gusano generaba, … caos.

Pasa el tiempo, los administradores (que no lo hicieron a tiempo) van parcheando, los fabricantes de antivirus generan y distribuyen las firmas del virus y parece que todo vuelve a la normalidad… pero no.

A principios del mes de enero, una variante de conficker vuelve a las redes y caen de nuevo las grandes redes. Cuentas de usuario bloqueadas, tráfico que colapsa los routers, los foros y webs echando humo, … en medio de la confusión Panda la caga con un falso positivo y hace que los síntomas de un virus se mezclen con los síntomas del falso positivo de Panda… vuelta a investigar, …

Esta vez la variante es más lista y no sólo se propaga con un gusano típico como en noviembre/diciembre… ahora también lo hace a través de los recursos compartidos, los discos USB, … la Ingeniería Social, crackeando contraseñas débiles usando diccionarios rudimentarios, … vuelta a investigar, vuelta a poner parches (¿pero… no estaban puestos ya? ¿Es que la gente no aprende?).

No se si alguna vez se ganará la guerra a los creadores de virus y malware. Me da que no, siempre vamos al menos un paso por detrás… generando parches y antivirus.

Aun quedan administradores que no ven la actualización de parches de seguridad como algo crítico de sus sistemas (si funciona no lo toques). El miedo a que algo deje de funcionar por instalar un parche sigue pesando más que el miedo a que toda la red deje de funcionar y no puedan dar servicio por una infección masiva (¿?) pero el caso es que los parches no se instalan… o no se hace a tiempo.

¿Qué cuesta más? ¿Mantener un parque de máquinas actualizadas y con los parches de seguridad y antivirus al día o quedarte sin servicio, sin previo aviso, tener que parchear a toda prisa y sin hacer las pruebas pertinentes el día de la catástrofe?

La Gestión de la Seguridad de la Información suele recomendar eso de parchear…

Datos biométricos en el pasaporte

¿Hasta dónde van a llegar para controlarnos? ¿Qué es lo que hay que proteger? ¿Dónde está el límite de la privacidad? ¿Cómo de intrusivos deben o pueden ser los sistemas de autenticación y seguridad? ¿Cuánto estamos los usuarios dispuestos a tragar? ¿Ni una protesta? ¿Nadie se queja?

La Eurocámara ha aprobado una medida que obliga a la inclusión de datos biométricos en los pasaportes.
¿Incluirá esta medida también los requisitos mínimos de seguridad que deben incluir los pasaportes para garantizar nuestra privacidad?

Tenemos dispositivos RFID y datos biométricos en los pasaportes… mala mezcla… los vendedores de carteras y fundas con jaulas de faraday se van a hartar a vender.

¿Han valorado el coste de lo que pretenden proteger y el coste de la implantación de esas medidas?