GAONASEC

Siete razones por las cuales importa poco el nombre de tu dominio

2007-05-11T00:10:00.000+02:00

Siete razones por las cuales da un poco igual cómo se llame tu dominio en la web actual:

Desde hace años los navegadores tienen soporte más o menos avanzado de marcadores, favoritos, vínculos o como quiera llamarse. Escribes una vez, y lo usas infinitas, a un solo click de ratón.
Google: de todos es sabido que Google encuentra las cosas bastante bien, hasta el punto de que si escribes la url en el cuadro del buscador en vez de en el sitio correcto, funciona igualemente. Escribes lo que sea idea y llegas al sitio correcto (casi siempre).
del.icio.us, y sus clones: o lo que es lo mismo, gestores brutales de favoritos. Un click, etiquetas el enlace y lo tienes para siempre. Y para colmo, mira si es complicado escribir del.icio.us. y es feo de ver, y ahí están.
Páginas de inicio personalizadas, con enlaces, sindicadores, módulos diversos, etc. En las páginas de inicio personalizadas estás accediendo a multitud de servicios e información de la que no te importa el dominio del que vengan. Digamos que los contenidos están a otro nivel de comunicación que los dominios, demasiado ligados al hardware, a la implementación física de la Red.
En la misma línea, la absolutamente instaurada web 2.0 no entiende de direcciones URL, entiende de tags , etiquetas, colores, sabores, es una web semántica. ¿que pinta lo que está entre el "www." y el ".com" . Y entiende de otros medios alejados incluso de la navegación tradicional, con el uso de lectores de RSS, podcasts, y la movilidad.
Hoy en día los sitios se hacen famosos no por su nombre, sino por el contenido que generan y por la capacidad de convocatoria de su red social. No sé donde leí esto, pero los ejemplos eran clarificadores. ¿que web tiene más éxito, videos.com o youtube.com? ¿photos.com o flickr.com? Las webs son los usuarios que la integran.
Comprar dominios golosos es tan del siglo XX...

Sanción LOPD a Zeppelin (Gran Hermano)

2007-05-02T11:23:00.000+02:00

El Tribunal Supremo ha confirmado la sanción de 1,08 millones de euros a Zeppelin Televisión S.A, productora del programa Gran Hermano, impuesta por la Agencia Española de Protección de Datos por el tratamiento dado a la información de carácter personal de unos 7.000 candidatos a participar en el espacio de televisión emitido por Telecinco.

La sentencia publicada hoy señala que la productora recabó información relativa a gustos, ideología, creencias religiosas, raza, salud o vida sexual sin que existiera consentimiento de los candidatos para que estos datos se trataran informáticamente. Además, cedió los ficheros sin la debida seguridad a personas con las que no le unía ningún lazo contractual.

No entiendo cómo una empresa con los recursos de una productora de televisión puede hacer las cosas tan mal. Qué poco cuesta hacer las cosas bien, y qué caro es hacerlo mal.

Vía Mase.

Las tarifas del cibercrimen

2007-04-24T21:18:00.000+02:00

Es de ingenuos pensar que hoy en día los ataques a los sistemas informáticos no tienen más motivación que enaltecer el ego de un niñato con acné. Esos tiempos lamentablemente pasaron.

El cibercrimen es rentable, y tiene tarifas:

24 horas de DDoS a un site: ............................................100$
Listado de direcciones de email para lanzar SPAM: ...100$ / millón de cuentas (hay descuentos por volumen)
Servidor de SPAM (+10.000.000 msg/día)................. 600$
Cuentas FTP, Rapidshare, etc : ..................................entre 1$ y 5 $ la unidad.

Y este que me ha sorprendido especialmente:

Lote de 50 MB de logs de troyano : ..................................30$ (se garantiza un porcentaje de direcciones de correo, cuentas bancarias y números de tarjeta de credito válidas)

La información completa en el blog de PandaLabs : Cybercrime... for sale (I). No citan las fuentes donde pueden contratarse estos servicios, pero dicen que no hay que dar demasiadas vueltas con Google. Vamos, más sencillo que contactar con el Equipo A.

Fingerprinting de DNS

2007-04-22T12:34:00.000+02:00

Uno de los puntos críticos en un sistema es el servicio DNS. En un test de penetración, obtener información extra del DNS nos permitirá conocer aspectos importantes de la red interna de una organización, y conseguir tomar el control del servidor DNS da poder casi absoluto. Por tanto, es un objetivo claro de atacantes.

El primer paso para ello es, como siempre conocer el objetivo. fpdns es un script que permite conocer, en base al tipo de respuesta que ofrece a determinadas peticiones, el software de servidor de nombres. A partir de ahí, ya es cuestión de buscar fallos conocidos del software concreto.

Por ejemplo:

debian:~# host -t ns sgae.com
sgae.com name server ns1.lamedelegation.net.
sgae.com name server ns2.lamedelegation.net
debian:~# fpdns ns1.lamedelegation.net
fingerprint (ns1.lamedelegation.net, 205.178.190.53): ISC BIND 9.2.0rc7 -- 9.2.2-P3
debian:~#

Trasteando un rato con él he visto que puede ser necesario agregarle el parámetro -t para darle tiempo a que responda el servidor. El parámetro -d (debug) nos mantendrá entretenidos leyendo lo que hace el script.

Informe completo: http://www.hacktimes.com/?q=node/28 (También en PDF)

El Phishing evoluciona

2007-03-27T17:45:00.000+02:00

Hoy Forges (genio y figura) dedica su viñeta de El País al Phishing.

Por desgracia, los últimos ataques de phishing han mejorado su ortografía, y se muestran combinados con troyanos, por lo que las recomendaciones de escribir a mano la URL del banco, no hacer click en enlaces proporcionados por e-mails, o ver que la pagina es segura, poco protegen, ya que es muy posible que el ordenador ya no sea tuyo.

¿que cómo te va a entrar un troyano? Es tan fácil como confiar en los resultados de Google. (nero, winamp, o un p2p de una pagina falsa de virtualbox).

A partir de ahí, lo que queramos y por este orden: adware, fugas de documentos, inhabilitación de antivirus y firewall, keyloggers, envenenamiento de dns, control remoto, secuestro de sesiones...

Llegado este punto, ya ni con autenticación de doble factor (que será el siguiente paso que deberán dar sin remedio los bancos afectados) .

Credenciales en sitios y servicios web

2007-02-12T21:03:00.000+01:00

Tengo serios problemas, (y no creo ser el único) en recordar y tener al día todas y cada una de las parejas usuario/contraseña de los distintos servicios y sitios web donde me he registrado en algún momento: Google, MSN, Yahoo mail, Flickr, Youtube, del.icio.us, wikipedia, meneame, 20 minutos, Marca.com, ~~adultXXX~~, el foro de recetas de cocina. etc.

La mayoría de estos servicios basan su autenticación en mecanismos de usuario/contraseña, y sin embargo, gracias a las cookies, posiblemente solo tengas que introducir esos datos la primera vez, por lo que virtualmente no utilizas casi nunca las credenciales para acceder al servicio.

Siendo así, ¿para qué pedir usuario y contraseña? ¿No es más sencillo realizar una validación inicial para obtener la cookie y un sencillo sistema de recuperación de cookie enviando una URL específica por e-mail? No sé si me explico: Cuando olvido unas credenciales, tengo que entrar en el sitio y solicitar la nueva contraseña. Para ello, me envían a mi dirección de correo un enlace al reseteador de passwords que me permite asignar otra contraseña, que seguramente olvidaré de nuevo.

Con sistemas como gmail que te permiten tener todo el correo electrónico a tu disposición, sería el repositorio ideal para los correos de registro de este tipo de websites. De hecho, yo tengo un tag especial para este tipo de correos en Gmail.

Hey! sería interesante un sistema de Single Sign On / Repositorio de contraseñas online, algo así como mybugmenot.com, ¿no?

Pequeños cambios en el blog

2007-02-11T09:09:00.000+01:00

He realizado algunos cambios en el blog, básicamente propiciados por el paso a blogger 2. Incluye una gestión más avanzada del blog, al permitir introducir etiquetas y dar un mayor soporte a componentes como adsense, lista de enlaces de interés, feeds, navegación por el archivo, etc.

He utilizado una plantilla de las que vienen prediseñadas sin introducir demasiados cambios, básicamente enfocados en la mejora de la visibilidad y usabilidad del sitio (o como dice MicroSoft, obtener una mejor experiencia del usuario). Por tanto, a quien me visite (¿hay alguien ahi?), le agradecería enormemente cualquier sugerencia para que la página sea visualmente más agradable. Y si me lees desde un lector de feeds, te dará igual.

Atlas Dashboard

2007-02-08T22:53:00.000+01:00

Por alusiones :), Atlas Dashboard es una web visualmente impecable (no como el ISC, el pobre) que muestra estadísticas más o menos en tiempo real sobre los ataques a sistemas por todo el mundo, con estadísticas por países de origen, por países de destino, por tipos de ataques, por puertos escaneados, por vulnerabilidades explotadas, incluso se atreven a dar estadísticas sobre phishing, indicando las entidades atacadas y direcciones IP de origen.

Cuando quieres alcanzar cierto nivel de detalle te envían a la versión registrada del servicio (estoy a la espera de que me respondan a la solicitud de inscripción, a ver qué ofrecen y cuánto vale).

Como dato curioso, puede verse la información general que incorpora cuando se selecciona Spain en alguna búsqueda (amplía la imagen para verlo mejor). Para mí que la CIA debería actualizarse.

Dnsstuff de vuelve de pago

2007-01-12T12:21:00.000+01:00

ACTUALIZACION: Un tipo wysiwyg me acaba de enseñar la utilidad del scroll. La home de dnsstuff tiene más abajo el contenido habitual (vaya susto!). Por si acaso, ya me habia instalado la extensión para firefox adecuada.

--
Dnsstuff.com, la herramienta web más famosa sobre consultas DNS, WHOIS, listas de SPAM y demás se ha vuelto una herramienta de pago. Las alternativas son claras: pagar, empezar a utilizar cualquier otro sitio similar (ajaxdns no está mal y es web2.0, aunque ofrece aun pocas funcionalidades), o fabricarse uno mismo su propia herramienta de consulta, que no es tan difícil.

Ah, mientras se dan cuenta, a través de webarchive.org puede verse la ultima home que tienen de dnsstuff.com antes de hacerse de pago, y... ¡¡siguen funcionando los scripts!! Posiblemente sigan funcionando durante una época.

Contra el SPAM, tambien listas grises

2006-12-21T14:54:00.000+01:00

La lucha contra el SPAM es encarnizada. Básicamente conocía tres tecnologías para luchar contra el correo no deseado:

Sistemas heurísiticos (filtros bayesianos): Consisten en analizar el contenido del correo y determinar si es publicidad o no. Cada vez menos eficientes, pues el spam suele incluir palabras legales, y ofuscar palabras sospechosas (v1aggr4)
Sistemas de listas blancas: Consisten en permitir correos solamente de remitentes reconocidos (demasiado drástica e ineficiente por spoofing/troyanos).
Sistemas de listas negras: Consisten en denegar correos provenientes de direcciones IP y dominios sospechosos. También ineficiente y molesto para usuarios con IP's dinámicas.

Normalmente los mejores sistemas antispam combinan estas tres técnicas, pero hay otra tecnología que se suma a la lucha. Consiste en comprobar el correcto o incorrecto uso de los estándares RFC del servicio SMTP. Uno de los detalles del estándar es el tema del reenvío de mensajes por incapacidad temporal del servidor. Si un servidor no está disponible, responde con un "inténtelo más tarde". La idea de Postgrey y las listas grises, es precisamente la de excusarse ante los remitentes desconocidos. Si son 'legales', intentarán reenviar el correo pasado un tiempo.

Sin embargo, los spammers no lo intentarán. ¿por que no?. Muy sencillo: Necesitan economizar el tamaño del mensaje para enviar cuantos más mensajes mejor, con el menos coste. El problema del spam es un problema de coste. Como siempre he dicho, enviar 100.000 spams cuesta demasiado poco, y con que un solo destinatario acabe comprando el producto anunciado, habrá sido rentable.

Bruce Schneier comentaba recientemente algo parecido. Incrementando el 'coste' de cada mensaje haría que el spam no fuera rentable. Soluciones en esta linea hay varias. Las listas grises encarecerán algo cada mensaje, sin duda.Otra sería obligar a que cada email ocupe al menos 500 KB y filtrar todo aquello que no llegue a ese tamaño. Eso multiplicaría por 10000 el coste de cada mensaje de spam, y quizás desaparecería la motivación.

Vía: Postfix and Postgrey <- pastelero.net <- meneame.net
Enlace: Schneier: Combating spam

Predicando (de nuevo) con el ejemplo

2006-12-01T13:24:00.000+01:00

Últimamente entro mucho en la web de la Agencia de Protección de Datos. Hoy me ha saltado una alarma al entrar que se suma a la habitual sobre la discrepancia entre el nombre del site que aparece en el certificado y el nombre real del site (ya lo indiqué hace meses en un post anterior).

El de hoy es más gracioso, y del todo oportunista. Se ve que hoy les caducaba el certificado :

Bueno, no pasa de una mera anécdota, pero la imagen hay que cuidarla.

Por cierto, esto lo he comprobado desde distintos navegadores y distintas configuraciones de proxy, siendo los resultados también distintos. Esto me plantea la duda de si los proxys cachean o no los certificados de los sitios web seguros. De ser así tendríamos un pequeño agujero por donde colar envenenamientos, o como en este caso falsas caducidades. Un elemento de seguridad como es el certificado (o la página que lo llama) no debería cachearse, ni por parte del proxy, ni por parte del navegador.

Jornada sobre protección de datos en Almería

2006-11-29T20:54:00.000+01:00

Se ha celebrado hoy en Almería una jornada sobre protección de datos, organizada por el área de Consumo de la Delegación de Gobierno de la Junta de Andalucía en esta ciudad, a la cual he tenido el privilegio de asistir, aunque solo haya sido a las de la tarde.

Se ha hablado por la mañana, sobre ejercicio de derechos y sobre ficheros de solvencia patrimonial (bases de datos de morosos, para entendernos), y por la tarde, sobre ficheros de titularidad privada y la problemática en la empresa, con Cajamar como ejemplo, y de Protección de Datos en las Telecomunicaciones, a cargo del adjunto al director de la Agencia Española de Protección de Datos, Jesús Rubí.

Ha sido interesante escuchar de primera mano hablar de Protección de Datos, aunque no ha hablado únicamente de LOPD, sino más bien de LSSI y de Ley de las Telecomunicaciones. Me ha sorprendido por lo novedoso, la preocupación por la geolocalización y la problemática de la protección de datos en la próxima explosión de servicios que las telecos van a ofrecer (y están ofreciendo) orientadas a la localización física de los usuarios.

También me he gustado la puntualización que ha realizado sobre la distinción entre persona y usuario, tendiendo a proteger al usuario y no a la persona.

Un ejemplo: el spam telefónico. Con la LOPD en la mano, una empresa no puede protegerse ante la recepción de spam telefónico (y del SPAM en general, siempre jurídicamente hablando), pues la LOPD vigila por los derechos de las personas físicas, y no por el de las personas jurídicas. Sin embargo la tendencia reglamentaria en materia de telecomunicaciones se está escribiendo hacia el usuario, independientemente de la personalidad jurídica o física.

Por cierto, me han comentado una pequeña perla informativa. Parece ser que durante el almuerzo, el adjunto al director de la Agencia se ha atrevido a anunciar que en un plazo de tiempo muy, muy breve, el nuevo reglamento de la LOPD, el cual lleva ya unos años de espera, comenzará el tour por los distintos organismos (Ministerios, Senado, etc.) para ser por fin aprobado y puesto en marcha. No más de tres meses. Átense los machos.

Foto: um.es

Tamper Data

2006-10-24T22:10:00.000+02:00

El otro día encontré una muy buena utilidad para analizar la negociación HTTP de los formularios de una web. Se llama Tamper Data y es una de tantas maravillas que puedes instalar en Firefox como complemento al navegador.

Permite examinar los mensajes desde el visitante al servidor y viceversa. Y lo mas importante: permite alterar el contenido de lo que se envía al servidor web. Esto ofrece varias posibilidades, como pueden ser la depuración de código para los desarrolladores, y sobre todo (y lo que me ha atraido la atención), para analizar la seguridad de un formulario web.

Con Tamper Data puedes saltarte cualquier validación de tipos que se haga desde Javascript en el cliente, pues puedes modificar lo que finalmente se envía al servidor, facilitando las pruebas de inyección SQL, o Cross Site Scripting. Mucho más sencillo que hablar directamente con el servidor web, teniendo que manejar variables de sesión p'arriba y p'abajo.

Y es que el grave problema de seguridad de las aplicaciones web son la validación en cliente, y la inyección SQL.

Así que ya tengo una herramienta más para la colección. Otra extensión imprescindible para mi Firefox.

(gracias Carlitos)

Hi5:Terminos de servicio, AKA Toma mi alma

2006-10-10T21:02:00.000+02:00

Hace un par de días, una amiga mía se suscribió a una red de amigos, Hi5, una de tantas redes de contatos que proliferan por Internet, ésta, en la línea de hacer amigos y tal (no hay sexo explicito, así que no corras hacia el link).

Una de las características del servicio es que permite exportar la libreta de contactos de ti Hotmail o Yahoo de turno, para agregarlos a la lista de amigos de Hi5, con lo que dichos amigos acaban recibiendo una solicitud de acceso a dicho portal.

Y ahi es donde entra el problema de la privacidad. Envió sus contactos (entre los que estaba yo) a este servicio. Ahora estos señores tienen mi direccion de correo personal.

Tampoco es un tema que me haya fastidiado demasiado, ya tengo la direccion de correo bastante spameada (sobre 2000 spam en gmail en el ultimo mes), pero bueno, me ha entrado la curiosidad y me he puesto a leer los Términos del servicio, a ver que pone:

Bienvenido a hi5 – el lugar para conocer amigos. Al usar hi5, " (el “Sitio Web”) usted acepta los límites de estas Condiciones de uso (este “Acuerdo”), ya sea que usted esté registrado o no como miembro (“Miembro”).

Hala, la primera en la frente. Mi dirección de correo ya la tienen y no soy miembro, pero acepto por narices las condiciones.

[...] Este Acuerdo expone los términos que hay que cumplir legalmente para su membresía y pueden ser modificados por hi5 periódicamente. Cualquier modificación será efectiva una vez que hi5 la publique en el Sitio Web. Usted puede también recibir una copia de este Acuerdo enviándonos un correo electrónico a: customercare@hi5.com, Subject: Acuerdo de Condiciones de Uso.

O sea, que pueden cambiar las condiciones cuando quieran, y sin avisar. Fantástico.

[...]Si hi5 cancela su membresía al Servicio hi5 debido a que usted ha violado el Acuerdo, usted no tendrá derecho a ningún reembolso de cuotas de Suscripción no usadas. Incluso después de que el Acuerdo haya terminado, ciertas disposiciones permanecerán vigentes, incluyendo las secciones 4-15 de este Acuerdo.

Es decir, (y luego se verá más adelante hasta qué punto), no te libras de ellos aunque te des de baja.

5. [...] Al publicar Contenido en algún área de hi5, usted concede automáticamente a hi5, y asegura y garantiza que usted tiene el derecho a conceder, una licencia irrevocable, perpetua, no exclusiva, mundial, totalmente pagada para usar copiar, interpretar, mostrar, distribuir esa información y contenido, y a realizar obras derivadas, o a incorporar el contenido en otras obras, así como para conceder y autorizar licencias sobre todo lo anterior.

Sí, le cedes todos los datos que incorpores, insisto, incluso despues de darte de baja. Toma mi alma, es tuya.

[...]Usted debe usar el Servicio de una manera que concuerde con todas las leyes y regulaciones aplicables. Usted no debe incluir en su perfil de Miembro ningún número telefónico, dirección, apellido, URL o dirección de correo electrónico.

¿¿¿Comooooorrr??? si te piden la direccion de correo y las de tus contactos!!!!!

[...] 9.Privacidad. El uso del Sitio Web de hi5 y/o el Servicio hi5 está regulado por nuestra Política de Privacidad.

Esto está en otro documento que no enlazan, directamente, pero está. Eso si, en ferpecto inglés.

Y despues de todo, las condiciones no son demasiado malas, para lo que se suele ver por ahi...

¿Que se avecina a la Vista?

2006-09-12T20:55:00.000+02:00

Un momento de reflexion: ¿que se avecina en un futuro cercano en la informática? En breve aparecerá Vista, el nuevo sistema operativo de Microsoft, que sin duda revolucionará de nuevo el panorama informático a nivel mundial, pero... ¿tanto? Veamos:

Windows Vista seguramente necesitará el doble de recursos que Windows XP. Pero es que XP ya requiere el doble de recursos que XP (compara el rendimiento de tu primer XP frente a XP SP2 y 70 parches encima). Y los procesadores ya no crecen igual de rápido que antes.

Además las aplicaciones están dando un giro brutal hacia el web. Hace 4 años, herramientas habituales eran Word, Excel, Outlook o Photoshop. Hoy en día todo el mundo bloguea mediante interfaces web, usamos Gmail y son casi imprescindibles las YouTube, Flickr y Bloglines de turno. Las aplicaciones sociales son ya habituales. Y todas éstas que he mencionado se ejecutan en un mísero navegador, da igual el sistema operativo que corra debajo.

Con esto no quiero decir que no sirva para nada. La informática tradicional que conocemos seguirá existiendo, aunque vemos como la Red va tomando (ahora sí) verdadero protagonismo. Tampoco digo que vaya a desaparecer Microsoft. Parece que se han puesto las pilas con Live.

Espera, hay para todos. Es evidente que los creadores de malware ya se han dado cuenta, y los ataques cada vez miran hacia el sistema operativo y más al navegador o al servicio que publicamos a Internet.

Me causa cierta preocupación el hecho de que la alternativa al Internet Explorer, Firefox, se deje contaminar con applets, temas y extensiones con cierto descontrol. Las extensiones son muy útiles, permiten que le navegador crezca y mejore en funcionalidad, pero el riesgo está ahí. ¿quién me asegura que la última extensión de Firefox que he instalado no contiene un troyano?

Veremos. La cosa se pone de nuevo interesante. El trabajo en Seguridad nunca acaba.

Los 6 peores errores en seguridad

2006-08-29T21:43:00.000+02:00

En NetworkWorld he encontrado el siguiente artículo sobre los 6 peores problemas de seguridad que las empresas tienen actualmente, que voy a enumerar a continuación:

No disponer de una correcta arquitectura de seguridad: La seguridad debe cimentarse sobre una base sólida para que sea realmente efectiva. Una adecuada política de seguridad e -indispensable- un sistema de gestión de seguridad de la información (SGSI) que funcione, son vitales para una correcta defensa.
No invertir en formación: Difícilmente se va a poder luchar contra el peligro si no se tiene un conocimiento mínimo de la naturaleza del mismo. Invertir en formación en seguridad garantiza el uso adecuado de los recursos que se dispone para defenderse.
Gestión negligente de identidades: Sobre todo para grandes empresas, una inadecuada gestión de identidades genera infinidad de cuentas de usuario para cada aplicación o recurso, generando altos costes de gestión y lo más importante, imposibilitando la aplicación eficiente de las medidas de seguridad. Cualquier administrador de un firewall sufre este problema, gestionando listas de ACL's cada vez mas grandes y menos intuitivas.
Ignorar en riesgo interno: Aparte de la posibilidad creciente de que un puesto de trabajo acabe troyanizado desde el exterior, el usuario interno tiene siempre más conocimiento que cualquier atacante externo, además del acceso obvio a los recursos críticos (física y/o lógicamente), y en muchos casos incluso mayor motivación para comprometer la seguridad. Habitualmente se obvia este riesgo, que es la mayor causa de ataques intencionados y negligentes.
No proteger adecuadamente las aplicaciones web: La informática ha dado un giro copernicano en los últimos años con la llegada de las aplicaciones basadas en web, tanto o más que el paso de sistemas cerrados a sistemas abiertos de la década de los 90. Ahora parece que todas las aplicaciones deben ser portadas al navegador, y casi siempre son diseñadas sin pensar en la seguridad. Los viejos sistemas de seguridad (firewall clásico) son absolutamente inútiles ante ataques vía web, y son un filón para atacantes que aprovechan un nuevo abanico de posibilidades: Inyeccion SQL, Phishing, XSS,...
Adquirir productos supermegacompletos último modelo: "¿no tienes un IPS con IPv6 multihost nivel 7? Mortimer, estás fuera de onda" Comprar productos de moda, o grandes y complejos sistemas de seguridad no es la mejor manera de garantizar la seguridad. Hay que perseguir siempre la mínima inversion con el mejor rendimiento, y sistemas de seguridad con funcionalidades no necesarias o simplemente por encima de requerimientos no son la forma más adecuada y a la larga se volverá en contra, tanto por coste, como por complejidad de utilización.

Errores en el software

2006-07-11T11:59:00.000+02:00

Dado que escribo últimamente poco, aprovecho y enlazo un comentario que he puesto en Kriptópolis sobre un artículo que afirma que es posible hacer software libre de fallos.

Decir que no hay software libre de fallos es totalmente falso. Yo soy programador desde antes de que hubiera PCs en el mercado, y reconozco que "casi siempre" cometo errores al programar, pero eso no significa que no se pueda hacer un programa libre de fallos. También conozco gente con la extraña capacidad de escribir programas medianamente complicados y que le funcionen al primer intento. Que no hay software libre de fallos sólo lo puede decir alguien que no sepa mucho de programación...

Yo soy un poco más pesimista:

1) El desarrollador difícilmente hace toda la aplicación, sino que se basa en aplicaciones existentes, sistemas operativos, librerias externas, que no garantizan que estén libres de fallo.

2) Las aplicaciones corren en sistemas en los que están en ejecucion otras aplicaciones simultaneamente. Estas aplicaciones pueden vulnerar la seguridad de la tuya.

El carnet por puntos

2006-07-03T21:50:00.000+02:00

Leyendo Kriptópolis, me entero de que es posible por parte de las aseguradoras conocer el estado de mi saldo de puntos de conducción, dado que sólo es necesario el dni y la fecha de primera expedición del carnet para tener acceso a los puntos.
Esto, desde el punto de vista de protección de datos es una barbaridad. Veamos por qué:

La DGT, mejor dicho, la Jefatura Central de Trafico tiene declarado un fichero ante la Agencia de Española de Proteccion de Datos (AEPD) llamado PERSONAS, que, por la finalidad que describe parece ser el recipiente de nuestros puntos:

Finalidad: REGISTRO CENTRAL DE CONDUCTORES E INFRACTORES. REGISTRO DE TITULARES DE VEHICULOS, COMPLEMENTARIO DEL REGISTRO DE VEHICULOS, Y DE PROFESIONALES DE LA ENSEÑANZA DE LA CONDUCCION. GESTION DE LAS COMPETENCIAS PROPIAS. ESTADISTICAS INTERNAS Y PUBLICAS. USO RESULTANTE DE DETERMINADOS ACUERDOS JUDICIALES O REQUERIMIENTOS DE INTERES POLICIAL.

(un poco genérico, a modo de saco de datos de todo tipo, pero bueno)

El Reglamento de Medidas de Seguridad (RMS) indica que los datos de infracciones administrativas o penales (entre otros) se catalogan como datos de nivel medio de seguridad. Por tanto La DGP debe respetar ciertas medidas de seguridad especiales por custodiar y tratar esos datos.

El Artículo 11.1 del RMS (medidas de nivel básico) dice:

El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.

El procedimiento actual garantiza la identificación (reconoce la identidad del usuario con su NIF), pero no garantiza suficientemente su autenticación, que no es más que poder tener la certeza de que el usuario es quien dice ser, dado que este dato lo tienen las aseguradoras.

Evidentemente tampoco cumple el artículo 18.1 de autenticación de nivel medio:

El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

Por tanto, en este caso la DGP está infringiendo la LOPD en lo referente al principio de seguridad, aunque hay alguno más como el deber de información, ya que la web de consulta de puntos anda poco informativa al respecto, algo generalizado en sitios web del Estado.

Las conclusiones: las aseguradoras, dado que tienen los datos suficientes para acceder a la web de consulta de puntos y suplantar la identidad del conductor, podrían acceder a dichos datos, violentando la confidencialidad.

Nótese que no entro en si las aseguradoras tienen derecho a saber o no el estado de sanciones del asegurado, eso es otro tema que deberá ser tratado aparte. Pero lo que no es de recibo es que puedan acceder y suplantar la identidad del conductor (por supuesto sin su permiso).

(Perdón por el ladrillo)

Gmail y el spam

2006-06-14T23:06:00.000+02:00

Una de las métricas que utilizo para saber el nivel de spam frente al ham es el número de correos que tengo en la carpeta de spam de mi correo de Gmail.
En Gmail, la cadudidad de los mensajes de spam y papelera es de 30 días, y desde que habilitaron el seguimiento de spam el número va en aumento.

Esa cifra (el número de mensajes spam de los ultimos 30 días) ha ido en aumento hasta superar la barrera de los 1000 mensajes, y subiendo. Pero no es de eso de lo que quiero hablar.

El caso es que he notado que Gmail ha sido incluída (temporamlente, espero) en listas negras de spam, y veo en Internet que no es la primera vez.

Esto es realmente un problema, pues como usuario no hay forma de defenderse de este problema de disponibilidad. Claro, que tampoco puede uno quejarse. Gmail no sólo es gratuito para el usuario, sino que es un producto beta.

Bueno, el tecniconsejo de hoy es una página conocida por muchos : dnsstuff

Aquí puedes consultar si tu servidor de correo está blacklisted o no.

Recomendaciones a los internautas por parte de la AGPD

2006-05-18T11:11:00.000+02:00

La Agencia Española de Protección de Datos publicó ayer 17 de mayo de 2006, en conmemoración del día de Internet, una guía de recomendaciones a usuarios de Internet, enfocada en la seguridad y la protección de datos del usuario final.

He echado un vistazo por encima (son 28 paginas) y parece que hay cosas interesantes de cultura general de seguridad para usuarios.

Nota de prensa de la AGPD

Recomendaciones de la AGPD a usuarios de Internet

Por cierto, una de las recomendaciones que aparecen es la de comprobar la autenticidad de los sitios web seguros, comprobando que el certificado digital es correcto. Precisamente este punto falla en la web de la Agencia. Al entrar en la web aparece el siguiente error (pulsa para ampliar):

No coincide el nombre de sitio web con el que aparece en el certificado. Seguramente un problema de configuracion del servidor web. Atención a la forma de decirlo Internet Explorer y Mozilla Firefox.

El timo de la estampita

2006-05-09T13:47:00.000+02:00

Acaba de hacerse pública una operación policial en la que han intervenido las oficinas de Madrid de Afinsa y Forum Filatelico. Al parecer hay sospechas de estafa al haber ofrecido un producto a sus clientes con una rentabilidad garantizada del 6% en un año, que puede que no tenga tales garantías.

Esperemos que todo quede en nada. Puede estar afectada demasiada gente, y tengo suficientes conocidos, amigos y familiares que ha invertido en Forum Filatélico, como para tomar una actitud jocosa ante esta noticia o con un "yateloadvertí" que no beneficia a nadie.

Me quedo con una frase que aparece en la web de Informativos Telecinco, motivo real de este post.

"Los policías iban provistos de cajas, grabadoras de CD y del resto de utensilios propios para iniciar las labores de registro de la entidad."

Realmente, una intervención como esta es bastante complicada. Si la intención de la policía es hacer una "fotografía" de la información en el instante de la intervención, deben tener muchos datos a tener en cuenta. Puede haber conexiones VPN que permitan desde el exterior acceder a la información, burlando la clásica protección física de poner dos guardias en la puerta.

Por otra parte, desconectar todos los equipos de comunicación, aparte de ser algo bastante complejo, puede corromper la información si ésta está distribuída.

Realmente, cuando se diseñan planes de recuperación ante desastres no sé si se contemplan este tipo de actuaciones. Es decir, dentro de un plan de continuidad de negocio, ¿se tiene en cuenta una posible intervención de las fuerzas del orden? ¿Las empresas que tienen actividades poco lícitas (ojo, no juzgo a Afinsa ni a Fórum) hacen planes de continuidad de negocios oscuros?

Por cierto, el título del post lo tomé del blog de Nacho Escolar, al que sigo con devoción.

Noticias relacionadas:
Informativos Telecinco
20 minutos
El Pais

Jazztel, que son 20 megas (y III). Te vas a enterar

2006-05-03T00:29:00.000+02:00

Bien, se consumó.

Iba a escribir este post sobre la leyenda en materia de LOPD que anexa Jazztel al contrato (la cual es bastante abusiva, como lo es la de casi todas las telecos).

Pero no. Han conseguido dejarme sin ADSL. A pesar de decirles explicitamente que no comenzaran ninguna tramitación antes de enviarles el contrato firmado (sí aquel contrato abusivo del que hablé en el post anterior), que por supuesto no envié, sin mediar más palabra, tramitan con exito para ellos y para desesperación mía la portabilidad de la línea.

Las repetidas veces que le pregunté a la vendedora que cuánto iba a estar sin servicio, diciendome que no más de 8 horas,y las repetidas veces que le indiqué que no comenzaran a tramitar nada hasta que envíe el contrato, parece que no se grabaron en la locución. Qué lastima.

Y ahora? calculo que estaré un mes sin servicio. Les llamo para que no continuen el proceso y le den marcha atrás, y el mecanismo de baja por supuesto no es tan sencillo como el de alta que es sólo llamándoles. Debo enviar un fax (otro medio inseguro por definición) solicitando la baja. Por supuesto, además corro el riesgo de recibir una factura por las molestias que me han causado, y probablemente pierda mi número de telefono, obligandome a dar una nueva alta telefonica.

Esperemos que Telefonica (la menos mala) pueda corregir el desaguisado antes de que vaya a más. Sólo ellos tienen el "Poder". Soy persona pacífica por definición, pero no descarto denunciar. No es justo.

Jazztel, ¿qué son 20 megas? (II) A ver si me entero

2006-04-30T21:49:00.000+02:00

Continúo con el relato verídico acerca de la oferta de Jazztel.

A los 10 días me llega vía postal el contrato que me prometió la vendedora, con mis datos personales incluidos para que sólo tenga que firmar, enviar y listo. Hasta aquí bien. Ya hice en su momento el acto de fe de creerme lo que me decían por teléfono y parece que no eran unos farsantes, pues me ha llegado el contrato.

Pero cuál es mi sorpresa cuando, leyendo el contrato, en la parte de características del servicio, pone lo siguiente:

"[...]según puesto en las condiciones de contratación que tiene a su disposición en www.jazztel.com o que puede solicitar llamando al número de atención al cliente 1565[...]"

Un momento: ¿y las condiciones que la preventa me dió por teléfono? ¿Y si no coinciden con lo que aparece en la web? ¿y si cambian la web?

¿Cómo es posible que pretendan que firme un contrato en el que las condiciones no están especificadas y no son las habladas por teléfono? ¿qué garantías me ofrecen si las condiciones están en un soporte cambiante y que no está en mi poder, como es la página web?

Es increíble. Es como firmar un contrato laboral en blanco, en el que no sabes lo que vas a cobrar, ni el puesto a desempeñar.

Jazztel, ¿qué son 20 megas? (I)

2006-04-25T21:48:00.000+02:00

Después de un gran parón motivado por causas capitales, vuelvo a escribir. Y voy a comenzar con Jazztel y su método de alta de servicio.

Hace unos días me llamó una señorita con un simpático acento argentino (¡saludos, Mirta!), diciendo ser de Jazztel, y ofreciéndome una oferta excepcional: ADSL 20 Megas, llamadas gratis y Televisión digital por apenas 43 euros al mes, incluido el coste de la línea telefónica, pues se trata de portar la línea de Telefonica a Jazztel.

El proceso de preventa telefónica tiene un problema de seguridad importantísimo: No hay comprobación de las identidades de los interlocutores. Parece de Perogrullo, pero a veces no nos damos cuenta de la evidencia, simplemente porque estamos habituados a ello. La operadora de Jazztel no podía saber que yo era yo, y por supuesto yo no podía saber que ella era Jazztel (de hecho no lo es, es una subcontrata localizada en Argentina, que realiza las labores de preventa telefónica).

No tenía pensado cambiarme a Jazztel, salvo que lo tuviera clarísimo, y no lo voy a hacer por razones que iré desgranando en este blog. Sin embargo, accedí a continuar el trámite a ver a dónde me llevaba.

Por cierto, por temas de cobertura en mi zona, de 20 Megas, nada, 6 como máximo, ah!, y olvídate de la Televisión. Eso sí, por el mismo dinero que si pudiera disfrutar de todo eso.

Aparte de ese detalle sin importancia, y volviendo al problema de seguridad, ¿Qué podemos hacer para garantizar la veracidad del remitente en una conversación telefónica? Si es difícil hacerlo en el mundo digital, ¿cómo hacerlo en el mundo real? ¿Cómo hacer negocios por teléfono sin tener un alto riesgo en la identidad de las personas?

La operadora me dio un número de teléfono de Madrid para que llamara y preguntara por ella, con el fin de que me confirmaran que existía esa persona y que estaba autorizada a ofrecerme la oferta. La solución que me propuso, evidentemente no es válida, pues cae en el mismo error de validación. Aún así continué el proceso a ver a dónde me llevaba.

En siguientes posts continuaré con la historia, que no tiene desperdicio.

Netstat en la Sidebar de Google

2006-01-31T12:43:00.000+01:00

Este plugin para la Sidebar de Google es de lo más interesante: te permite ver en todo momento las conexiones TCP que tienes establecidas, con información del estado, puerto, IP , y lo más importante, la aplicación que lo ha lanzado. Una buena medida para detectar troyanos, rootkits y demás malware, además de espiar qué hacen tus aplicaciones habituales, sin tu permiso.

De entrada ya he detectado en mi portatil un par de servicios que no necesitaba tener activados.

Enlace: Google Desktop Netstat Plugin

Por qué lo llaman DRM cuando quieren decir DRM (otro)?

2006-01-16T21:43:00.000+01:00

Leyendo algunas cosas sobre el movimiento GPL y demás, he topado con una página en la web de GNU que recomienda no utilizar ciertas palabras porque suelen llevar a equívocos o malas interpretaciones.

Por ejemplo, las tecnologías llamadas DRM (Digital Rights Management), o Administración de Derechos Digitales. ¿Por qué llamarlas administración de derechos si realmente es administración de restricciones? Las tecnologías DRM vienen a restringir el uso de un bien adquirido. Por tanto, deberian llamarse DRM (Digital Restrictions Management) o también, como en el caso Sony (y los que vendrán, vaticino) DRM (Digital Restrictions Malware).

Muy interesantes también las apreciaciones sobre los conceptos comercial, código abierto, o software gratuito. De lectura obligatoria para sufra de intoxicación mediática (la práctica totalidad del planeta).

El enlace: Algunas palabras y frases confusas que vale la pena evitar - Proyecto GNU
(La imagen se ha obtenido de crftp.com)

Cambiar la MTU

2006-01-08T18:44:00.000+01:00

A veces, sintonizando redes, es necesario ajustar el valor de MTU (tamaño maximo de datagrama) para que la comunicación sea más efectiva. Lo ideal es que todos los dispositivos que intervengan en la comunicación hablen con el mismo tamaño de MTU para así evitar la fragmentación excesiva de paquetes, con el consiguiente aumento de consumo de ancho de banda y de CPU del dispositivo.

Buceando por la Red intentando optimizar el pobre rendimiento de mi LAN, he encontrado este documento de Microsoft para realizar el ajuste del valor de MTU, que por defecto está a 1500, pero que en conexiones de banda ancha que usen el protocolo PPPoE (la mayoría de ADSL's con IP dinámica.

Por cierto, en mi windows, la entrada de registro que hay que incluir no está donde indica el documento:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Interfaces\
sino en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\

En Linux, por supuesto, cambiar la MTU solo consiste en añadir el valor de la MTU deseada en el archivo /etc/network/interfaces .

Enlaces:
Microsoft: Cómo establecer el tamaño de MTU permitido cuando se utiliza Conexión compartida a Internet en PPPoE

Ingenieria social

2006-01-04T20:37:00.000+01:00

"El éxito de los ataques de ingeniería social radica en que no hay parches contra la estupidez humana".

Paranoia? Phishing? Microsoft?

2005-12-20T23:23:00.000+01:00

Hoy me han enviado un enlace que supuestamente es para solicitar un cuenta de correo en Microsoft Live Mail (el nuevo servicio de correo de MS para competir con Gmail y Yahoo).

Pero no sé si es por defecto profesional, desconfianza exagerada o mala campaña de marketing, pero el enlace que me han pasado es cuando menos sospechoso:

http://www4.imagine-msn.com/minisites/mail/Default.aspx?locale=es-es

Al hacer click aparece una página aparentemente de Microsoft solicitandote una direccion de correo donde informarte y enviarte la invitación al servicio. El texto que aparece es más o menos correcto, aunque suena demasiado informal para ser Microsoft. (haz click en la imagen para verlo en grande)

He dudado bastante, y puesto que no me exigía más que una cuenta de hotmail, le he dado una cuenta de Gmail que no uso por si acaso.

Después me he arrepentido, y me he puesto a investigar un poco, siguendo el procedimiento estandar.

Consulta en el registro de dominios de imagine-msn.com:

No pertenece a Microsoft, sino a ¿¿¿Network OS???

Registrant:
Network OS
15821 NE 8th St.
Suite W200
Bellevue, WA 98008
US

Domain Name: IMAGINE-MSN.COM

Administrative Contact:
Network OS nocadmin@netos.com
Westin Bldg.
Ste. 1918 2001-6th Ave.
Seattle, WA 98121
US
425-376-1126 fax: 425-869-0165

Technical Contact:
Network OS nocadmin@NETOS.COM
Network OS
Westin Bldg. Ste 1966 2001 6th Ave.
Seattle, WA 98121
US
(425) 376-1126 fax: (425) 869-0165

Record expires on 28-Jun-2007.
Record created on 28-Jun-2004.
Database last updated on 20-Dec-2005 17:27:43 EST.

Domain servers in listed order:

WOODINVILLE.NETOS.COM 216.251.100.1
BLACKWIDOW.NETOS.COM 216.251.100.2
NWNEXUS.WA.COM 192.135.191.1
NWFOCUS.WA.COM 192.135.191.3

Segunda prueba, me instalo la barra de Netcraft a ver si está reportado como phishing, y no me da ningún aviso ni nada extraño. De todos modos, ya que estoy en Netcraft, veamos la historia del sitio, a ver qué tiene o qué ha tenido:

OS	Server	Last changed	IP address	Netblock Owner
Windows Server 2003	Microsoft-IIS/6.0	20-Dec-2005	216.251.105.101	Network O.S., Inc.
Windows 2000	Microsoft-IIS/5.0	19-Oct-2005	206.63.10.101	Northwest Nexus Inc.

Hasta hoy mismo corría un Windows 2000!!! y aparecen más empresas extrañas. Todo es muy extraño.

Por último, investigando en foros veo que otras personas se cuestionan también el posible fake, pero encuentro también que en la propia página de msn.com hay enlaces propios que utilizan ese dominio o alguno muy parecido. Debe tratarse de alguna empresa que pertenezca a Microsoft o que esté contratada por ella para ciertas operaciones de marketing.

Al parecer todo es bastante legal aunque las formas no lo son de ninguna manera. O quizá esté un poco paranoico. ¡Maldita sea! ¡Podrían parecer más honrados! De todos modos aún no estoy del todo seguro... seguiré investigando.

Rechazo al software libre en el Congreso

2005-12-17T13:38:00.000+01:00

Últimamente no tengo mucho tiempo (ni ganas) para escribir, así que aprovecho una noticia de Kriptópolis acerca del rechazo en el Congreso de los Diputados al uso de software libre por la Administración, que paso a poner a continuación:

Noticia en Kriptópolis, Un rechazo, un diputado y un por qué.

[...]
...podría resultar interesante conocer la respuesta que los lectores de Kriptópolis darían al diputado del PP José Ignacio Echániz, que dejó en el aire la siguiente pregunta:
"Si el software libre es tan bueno, ¿por qué no dejan que compita en el mercado?"

Si alguien necesita más información para emitir su respuesta, vía República Internet llegamos a la transcripción completa (pdf) del debate parlamentario...

y mi comentario :

Lo que el diputado del PP no entiende, o no quiere entender, es que el software cerrado coarta las libertades, ya que no tienes forma de mejorar o simplemente adaptar a tus necesidades una solución tecnológica cerrada, por lo que la dependencia es mucho mayor.
Para la empresa privada, el software libre ya compite, señor diputado, y va tomando su terreno.
Lo que se está pidiendo en esa proposición de ley es que el Estado debe proteger los intereses del Estado y sus ciudadanos, y debe apostar por tecnologías que no dependan de CORPORACIONES, deben ser tecnologías CONTRASTABLES, y lo más improtante, deben ser tecnologías AUDITABLES.

Esto, con software cerrado, no es posible.

Eso sí, esto no tiene nada que ver con la gratuidad o no. De hecho, un sistema basado en codigo libre puede ser más caro a corto plazo que una solucion comercial cerrada. En muchos proyectos, el coste de licencia no es signigicativo respecto a coste total.

Bank of America lanza herramienta anti-phishing

2005-12-14T16:50:00.000+01:00

Realmente no. Se trata de la barra antiphishing de EarthLink (un ISP de USA), personalizada convenientemente para Bank of America.

Pero es una muy buena señal que una entidad financiera proporcione a sus clientes (y a quien quiera descargarselo) una herramienta para combatir el phishing. Con ello, además de mejorar su imagen ante los clientes, consiguen reducir esta plaga que es el phishing, propiciada por el escaso conocimiento de los usuarios de la tecnología que utilizan, un mal diseño de la Red, que no se pensó en la seguridad cuando se diseñó, y un lucroso beneficio para quienes se dedican a este tipo de delitos.

La herramienta, en forma de barra de utilidades únicamente para el navegador Internet Explorer, tiene, además de la función antiphishing, la posibilidad de conocer el pais de origen de la pagina que se está visitando, bloqueo de popups (cosa que ya traen todos los navegadores y multitud de utilidades), enlaces a bank of América, y buscadores diversos.

Proporciona menos funcionalidad que la barra de Netcraft, hasta ahora, la más completa que he visto, pero para usuarios de nivel de conocimientos básico, es una herramienta muy interesante.

(Via wysiwyg, gracias!)
Enlace a la noticia: www.finextra.com

Entrevista a José Luis Piñar

2005-11-14T13:20:00.000+01:00

Acabo de recibir la revista SIC esta mañana, y leo en portada que hacen una entrevista a José Luis Piñar, director de la Agencia de Protección de Datos.

De la entrevista se puede obtener información de primera mano acerca del nuevo Reglamento de Seguridad, fuera de rumorologías y borradores que corren por la Red.

A destacar, bajo mi punto de vista:

Regulación del tratamiento de datos no automatizados (papel). Ésta era evidente y necesaria, pues el reglamento actual regula la LORTAD, que solo hablaba de datos automatizados.
Se amplía el ámbito del nivel medio a datos de menores y de víctimas de violencia de género. Esto genera un grave problema, pues es muy probable tener datos de menores en casi cualquier fichero, elevando el nivel y por tanto las medidas a aplicar.
El registro de accesos será obligado también para datos de nivel medio. Esto, junto al punto anterior encarece definitivamente el coste de implantacion de la LOPD en cualquier empresa. Desde luego, el punto más polémico del nuevo reglamento.
Las auditorías del reglamento deberán ser notificadas a la Agencia, indicando la fecha y si es interna o externa. Esta medida me parece interesante, pues hará que las empresas se tomen en serio el tema de la Protección de Datos. Por otra parte la Agencia no pretende por ahora regular el sector de los Auditores, al no crear ni listado de auditores válidos ni conjunto de requerimientos para ser auditor.

El texto completo de la entrevista está en la web de la agencia: https://www.agpd.es/upload/Prensa/revista%20sic.pdf

Mozilla Firefox 1.5 RC 1

2005-11-02T19:34:00.000+01:00

Hoy se me acaba de actualizar el navegador Firefox, el que uso por defecto.

Entre las mejoras que aporta estan las siguientes:

Actualización automática, imprescindible hoy en día.
Más rapidez en la navegación.
Mejoras en el bloqueo de popups, importante de cara a la seguridad.
Mejoras en el soporte de Mac OS X (para quienes lo tengan, que no son pocos)

En las estadisticas de mi blog, el uso de Mozilla por parte de los navegantes es del 25% aproximadamente, aunque sé de otros webmasters que aseguran que en sus estadísticas superan el 50%. Quien lo hubiera pensado hace un año.

Enlace: http://www.mozilla.org/products/firefox/releases/1.5.html

Espiar el correo electrónico

2005-10-18T23:54:00.000+02:00

Aparece en Kriptópolis y despues en Microsiervos una noticia acerca del procesamiento de dos directivos por espiar el correo electrónico de una empleada a la que despidieron alegando entre otras cosas el uso indebido de la herramienta de correo electrónico.

En este caso se enfrentan dos problemas:

El uso indebido de material de trabajo, con la consiguiente pérdida de productividad (supongo que eso alegaría el empresario)
El derecho a la intimidad de las personas.

Cuando dos derechos chocan la solución no es sencilla. Desde mi humilde conocimiento creo que esta vez les han perdido las malas formas, más que la posible razon que tuvieran o no.

Sin conocer demasiado los detalles, que no aparecen en las resoluciones judiciales (pueden verse en la web del bufet almeida aquí y aquí) , parece que a la empleada le colocaron un programa espía en su correo electrónico. Desde ese preciso momento vulneran el derecho a la intimidad e incurren en el delito de revelación de secreto.

Una buena normativa interna que dejase claramente a los usuarios cuales son sus funciones y obligaciones y cual es el uso correcto de las herramientas que se le proporcionan podrían servir para evitar un uso abusivo de los recursos corporativos.

Pero el hecho de poder leer el correo de otra persona es y será siempre delito. Para demostrar que esa persona estaba abusando de la herramienta deberia haberse hecho de otra forma. Se puede contabilizar el trafico de red por protocolos, restringir el correo a sólo direcciones autorizadas, ponerle un policía a sus espaldas. Pero no se justifica el leer el correo ajeno.

Y ahora GNessUs

2005-10-14T20:39:00.000+02:00

La respuesta no se ha hecho esperar. A los pocos días de la filtración sobre la futura desaparición de la licencia GPL para Nessus, ya ha aparecido un grupo dispuesto a continuar el desarrollo abriendo una rama en el código para continuar la herramienta como software libre. GNessUs es el nombre del nuevo proyecto. Transcribo más o menos lo que anuncian en la web del proyecto.

GNessUs es una rama GPL del scanner de seguridad Nessus. Como consecuencia de los recientes anuncios de Tenable, creemos que es necesaria una rama de Nessus que permita el futuro desarrollo libre de esta herramienta.

Queremos creer que será posible seguir obteniendo actualizaciones del código fuente de Nessus 2 de sitio de Nessus de manera que podamos añanir nuevas funcionalidades y plugins como parte del proyecto GNessUs. Esta rama se basará en la actual Nessus 2.2.5 que viene en GNU/Debian. Los desarrolladores que estén interesados serán bienvenidos.

La idea de abrir esta rama ha sido fruto de numerosas conversaciones públicas y de trabajo entre yo y colegas de seguridad en UK.

Ya solo falta que alguien abra tambien el desarrollo GPL de Snort, por si acaso a Checkpoint le da por hacer cosas raras.

Primer análisis de Google Reader

2005-10-08T13:16:00.000+02:00

Ya he estado utilizando Google Reader, así que ya puedo hacer un análisis más en profundidad de la herramienta.

Vaya por delante que es una BETA, que tiene que mejorar mucho, pero que tambien tiene cosas muy buenas:
Interfaz basado en AJAX, como nos tiene acostumbrados Google.
Integración perfecta con Blogger y Gmail
Importación de OPML. He importado las suscripciones de mi RSS Bandit en un instante.
Las cosas en contra, a mi parecer, éstas:
La gestión de los labels es confusa y no funciona del todo bien. Aunque tengo esperanzas en que mejore.
No ofrece búsquedas entre los artículos leídos. Imperdonable. Pero Google sabe de esto mucho, asi que confiemos en que lo vayan incorporando.
La ordenación por relevancia, no la veo clara. Considero que la ordenacion por fecha es vital en este tipo de medio de comunicación como son los blogs o los sitios de noticias.
Bueno, por lo pronto no desinstalaré el lector de feeds.

Google Reader Beta

2005-10-08T12:04:00.000+02:00

Google acaba de sacar al aire sin avisar la beta de su lector de feeds, Google Reader que acabará por desterrar a los Bloglines de turno, y a algún que otro sharpreader, feeddemon o RSS Bandit (el que uso actualmente, no sé por cuanto tiempo).

Veremos que apoyo dan a este producto.

En breve un análisis en profundidad.

Nessus abandonará la licencia GPL

2005-10-07T01:01:00.000+02:00

Se veía venir.

Nessus, desde mi punto de vista el mejor software de análisis de vulnerabilidades, dejará de distribuirse bajo licencia GPL en su versión 3.0.

Ya empezaron en la version 2.x cuando Tenable obligó a registrarse (gratuitamente) para obtener todos los plugins actualizados. Y ahora con la 3.0 pierde la licencia GPL, aunque sigue siendo gratis (no sabemos por cuanto tiempo).

Suele ser habitual últimamente en los productos libres. Se crea un proyecto interesante con la aportación altruista de muchos programadores, crean un producto interesante, se fija una empresa en ellos, y acaba adquiriendo el producto. Conclusión: La empresa obtiene un producto que no le ha costado nada desarrollar, con una legion de usuarios, y gran parte de los programadores que colaboraron en el proyecto ven como se lo llevan sin remedio. El negocio es redondo para la empresa.

De todos modos, en este caso, Tenable alega que desde hace 6 años el proyecto no recibe ayuda altruista en el desarrollo del núcleo del servidor. Nessus está compuesto por tres partes bien diferenciadas: El servidor, uno o varios clientes (el de windows ya era de pago) y los plugins, que a modo de firmas, chequean cada posible vulnerabilidad.

Vale, aceptamos que en nucleo no se ha alimentado de "mentes GPL". Pero lo que da vida a ese proyecto son los plugins. Y eso sí ha sido desarrollado por la comunidad libre.

De cualquier manera, si acaba siendo de pago, muchos administradores de red de pequeñas y medianas empresas lo sufrirán.

(Via Dana Epp's Sanctuary)

DRM o cómo poner puertas al campo

2005-09-20T21:54:00.000+02:00

A falta de escribir algún artículo técnico, dado que estoy hasta arriba de trabajo poco innovador, voy a escribir algo acerca de la gestión de derechos digitales, dicho más rápido DRM, y la obsesión por restringir el uso a algo que no puede restringirse, como es el conocimiento.

Hace poco vino un cliente solicitando una aplicación web que le permitiera evitar la posibilidad de que cierta documentación privada que entrega a sus usuarios, no pudiera ser copiada, imprimida, o transportada fuera del ámbito del propio usuario. Es decir, el navegador debe mostrar una información que no fuera posible imprimir, copiar, guardar o enviar por correo.

Eso es del todo imposible.

Puedes desactivar el botón derecho del raton en el navegador. Pero puedes burlar esa restricción en muchas ocasiones pulsando el botoncito ese tan molesto que Microsoft nos puso entre la tecla de control y el alt-gr. En otras, simplemente visualizando el codigo fuente de la página, ves la url de la imagen o documento al que quieres acceder.

Podrias mediante algun ActiveX o applet Java capturar todas las entradas de teclado y llegar a impedir cualquier uso de botón derecho, botón de imprimir pantalla, o lo que quieras, pero siempre podras poner un proxy que capture toda la sesion del navegador, un programa que grabe en video todo lo que aparece en pantalla, o a las bravas, grabar con tu videocamara la pantalla y todo aquello que aparezca en ella.

Da igual. En el mejor de los casos, pensando en audio o video, se podrá impedir que se obtenga una copia exacta de la información, pero no una copia aproximada.

¿la solución? El problema no está en la respuesta, está en la pregunta. No se pueden poner puertas al campo, el problema no es cómo impedir que un usuario pueda robar información. La solución viene haciendo que el usuario no quiera robar la información.

La mejor forma a mi entender, es persuadir al usuario, haciendole ver que está vigilado, y que la política de uso de esa información le obliga a mantener la confidencialidad, bajo fuertes sanciones.

Y es que no hay mejor persuasión que sentirse vigilado y el miedo al castigo. Es así. Recomiendo la lectura de este interesante post de Javier Cao, en el que habla de diseño orientado a la vigilancia: El panopticon, teoría de la vigilancia.

Registro en foros y websites

2005-09-10T12:42:00.000+02:00

¿Harto de dar tus datos en mil sitios webs donde para entrar, descargar o escribir en el foro debes registrarte?

Realmente es tedioso tener que regiatrarte, dar tus datos personales, una direccion de correo y una contraseña, a veces sólo para leer un comentario de un foro o descargar algun documento.

Cuando me tengo que registrar en un sitio, al que realmente no quiero que se me relacione (y no estoy pensando en sitios de pronografía o de comisión de delitos, es que a veces son sitios web que voy a visitar una sola vez y no me apetece registrarme), utilizo dos aplicaciones que funcionan la mayoria de las veces:

La primera es la web de BugMeNot. En este sitio tienen almacenadas las credenciales de miles de sitios web, con la posibilidad de agregar las tuyas si quieres. Así, cuando un sitio me pide registrarme, entro em BugMeNot y consulto las credenciales que alguien ya ha colocado. Funciona prácticamente en el 80% de los foros web.

Si tienens mala suerte en BugMeNot, no deseperes, tienes la segunda opción. Te registras en el sitio web, dando datos ficticios, y en el campo de registro donde te piden una dirección de correo das una direccón de Mailinator.

Mailinator es un servicio de correo electrónico completamente libre. Puedes darte de alta una direccion de correo de Mailinator con el simple hecho de pensar en ella. Me explico: existen TODAS las direcciones posibles @mailinator.com. No requiere contraseña. Por tanto la dirección que uses tampoco es privada. Cualquiera puede usarla. ¿El truco? solo sirve para recibir correo desde la web de Mailinator, no puedes enviar. En la mayoria de los casos, puedes registrarte en el foro o web de marras dando tu direccion de Mailinator, y la confirmación de registro la lees en Mailinator. Activas el registro y a funcionar.

Luego, si quieres colaborar con BugMeNot, publicas tu registro y a correr.

Por cierto, Mailinator permite que leas el buzon que hayas creado a través de RSS.

Enlaces:
BugMeNot
Mailinator

Seguridad en Bluetooth

2005-09-09T21:31:00.000+02:00

La gente de elhacker.net ha abierto una web especifica sobre seguridad en Bluetooth.

Presentan de una manera muy didáctica la problemática de la seguridad en entornos bluetooth, y los posibles escenarios de riesgo.

En esta web tenemos artículos acerca de la seguridad de este tipo de comunicación, así como tutoriales para realizar pruebas de concepto y aplicaciones para realizarlas.

Y es que el problema del hacking sobre Bluetooth no sería demasiado grave si no fuera porque los telefonos cada vez incluyen más información sensible. No solo ponemos en peligro la factura telefonica, la agenda de contactos o los SMS almacenados. Ya tenemos imágenes, grabaciones de audio, tareas de nuestro organizador personal, correo electrónico, documentos... y solo hablo de los teléfonos. Luego están PDA's, Tablets, Portátiles...

http://bluehack.elhacker.net/.

(Via Carlitos)

Google Desktop 2 Beta y su Sidebar

2005-09-09T21:10:00.000+02:00

Google sacó hace unos días una beta de su Google Desktop 2.

Respecto de la primera versión, ha incluido tímidamente algunas características para mejorar la privacidad, que tanto se le criticó. Así, es posible cifrar el indice de contenidos, así como evitar que indexe ciertas carpetas (eso sí, a voluntad del usuario).

Donde sí ha mejorado bastante es en cuanto a la productividad. El interfaz de búsqueda es a mi parecer sencillamente impresionante. Cada vez hay más tipos de ficheros reconocibles, y se integra perfectamente con Microsoft Outlook, realizando búsquedas sobre outlook a velocidad de Google.

De regalo nos presenta la Sidebar, herramienta a la que nos tendremos que acostumbrar, porque algo me dice que ha venido para quedarse. O al menos para competir con el Dashboard de Apple, el konfabulator recientemente adquirido por Yahoo, o la sidebar que estrenará Longhorn, perdón, Windows Vista(TM).

Con una estética sencilla pero muy elegante, la Sidebar viene con una serie de plugins, algunos muy útiles, otros no tanto, aunque no olvidemos que es una beta. Integra entre otros, Google Talk, una bandeja de entrada para los correos, un monitor de cpu, memoria y caudal de red, una especie de lector de feeds, un reloj, una lista de tareas sencillas, un indicador de valores de bolsa, o un indicador del tiempo (por ahora solo para ciudades de los Estados Unidos).

Google ofrece además un SDK y la documentación necesaria para desarrollar otros plugins, con lo que se aseguran cierta continuidad del producto, dejando a la comunidad la tarea de agregar nuevos contenidos a la barra.

A mí se me ocurren muchísimas nuevas ideas para incluir como plugins de cara a darle más utilidad a la barra. Por ejemplo, para mejorar la productividad, podria incluirse un plugin para tener siempre a mano los favoritos del navegador, un lector de feeds algo más decente que el actual, o por ejemplo, la posibilidad de integrar botoneras y paneles de la aplicación que esté en primer plano. Más de un desarrollador, diseñador o usuario de Word lo agradecería.

Aunque más de uno piense que tener la Sidebar siempre visible es demasiado sacrificio de superficie de pantalla, yo opino que hoy en día no lo es tanto, más si cabe, cuando las resoluciones de 1280 de ancho son cada vez más comunes, los monitores de 17 pulgadas son prácticamente el estandar, y se están popularizando las pantallas panorámicas, muy útiles para ver películas, pero antinaturales cuando hablamos de visualizar documentos (que tienen un formato vertical, heredado del uso del papel) o páginas web (que habitualmente crecen hacia abajo).

Descarga de Google Desktop 2

Cambiar la dirección MAC desde Windows

2005-09-01T11:42:00.000+02:00

SMAC es un programa que al parecer te permite cambiar la direccion MAC de una tarjeta de red desde en entorno Windows.

Se me ocurre que esta herramienta puede resultar muy util para testear la seguridad en los siguientes escenarios:

Wardriving, para saltarse los filtrados por MAC que suelen tener los puntos de acceso wireless.

Escalada de privilegios de red en una red local, utilizando direcciones MAC con privilegios (administradores de red), o suplantando identidades.

Ataques de man in the middle.

La página oficial: http://www.klcconsulting.net/smac/

Habrá que echarle un vistazo, con más detenimiento.

Via (Informatica64)

Panorama presente y futuro del Phishing

2005-08-20T12:02:00.000+02:00

El phishing, que puede definirse como un tipo de ataque que trata de robar las credenciales de un usuario en particular mediante técnicas de ingeniería social, es uno de los males que más preocupa actualmente a la empresas que se juegan sus "cuartos" en Internet.

Actualmente, con los mecanismos de autenticacion sencillos no hay forma de garantizar de manera absoluta la identidad y autenticidad del servidor o del cliente, de manera que el campo está abonado para este tipo de ataques.

Los ataques actuales (a mi buzon de correo me llegan semanalmente) se basan en enviar un correo electronico simulando ser del banco en cuestión y redirigiendome mediante algun técnica de ocultacion de la URL real, o adquiriendo un dominio similar, me envían a una página identica a la del banco para que incluya mis credenciales. Habitualmente están mal redactados, con errores ortográficos y no es dificil darse cuenta del engaño. Pero la realidad es que hay usuarios que caen. Y mucho.

Merece un post aparte dilucidar quién tiene la responsabilidad en estos tipos de fraudes, si el usuario o el servidor (digo responsabilidad, la culpa es siempre del delincuente), pero lo preocupante es lo que se avecina.

Combinando troyanos a este ataque, tenemos los ladrones de credenciales. Ya hay diversos troyanos diseñados para capturar credenciales de centenares de entidades financieras.

Combinando técnicas de envenenamiento de caché tenemos lo que llaman por ahi pharming, (dudo que merezca ser bautizado, pero ya sabemos como somos para esto) en sus diversas variantes: envenenamiento del archivo HOSTS del PC del usuario, envenenamiento de caché DNS del usuario, mediante inundaciones de paquetes falsos al equipo, o el más dificil todavía, pero más dañino si lo consiguen, el envenenamiento DNS al servidor DNS de un ISP, consiguiendo engañar a miles de usuarios a la vez.

Existen diversas herramientas antiphishing disponibles en el centro de alerta temprana, que ya analizaré convenientemente, pero dudo realmente que sean de mucha utilidad para los usuarios susceptibles de ser engañados, porque el problema de fondo de todo esto no es la tecnología, sino el conocimiento (poco) de ésta. Y eso no se arregla añadiendo una barra netcraft al navegador.

He vuelto

2005-08-17T08:56:00.000+02:00

Hola, con este post pretendo volver a escribir en el blog, aprovechando el inicio del "curso escolar", y con las energías renovadas despues de unas vacaciones que siempre saben a poco.

Remarcaré la política de posteo de este blog, para conocimiento de todos y para imposición propia:

Este blog es personal, para uso personal, pero con vocación didactica, asi que si has llegado a este blog, espero que te sea de ayuda.
La temática del blog es la seguridad en las Tecnologías de la Información, aunque tambien podrá (de manera extraordinaria) entrar algun tema relacionado con la tecnología no necesariamente relacionada con la seguridad.
Los artículos que se van a postear serán en general enlaces comentados a sitios de interés, análisis de herramientas, pruebas de concepto...
La periodicidad de posteo no superará el artículo diario, a no ser que me sobre el tiempo, cosa que no suele ocurrir. Procuraré que no quede ninguna semana sin postear algo.

Para terminar, declaro la estética de este blog en movimiento, así que durante un tiempo se veran pequeños cambios en el aspecto. También comprobaré y reescribiré los antiguos artículos.

Sysinternals Freeware - Utilities for Windows NT and Windows 2000

2004-06-28T11:49:00.000+02:00

Sysinternals Freeware - Utilities for Windows NT and Windows 2000

ntsecurity.nu - Toolbox

2004-06-22T11:24:00.000+02:00

ntsecurity.nu - Toolbox: " RestrictAnonymous "

Directorio de listas negras antispam

2004-06-16T20:52:00.000+02:00

He encontrado esta direccion con un buen listado de listas negras de spam, muy útiles si quieres saber si sospechas que tu servidor de correo está "maldito". Pongo copia de la lista, no sea que se pierda esta web.

SpamCop blacklist link:http://spamcop.net/bl.shtml
MAPS blacklist link:http://www.mail-abuse.org/cgi-bin/lookup
Open Relay blacklist link:http://www.ordb.org
Relay Stop List blacklist link:http://relays.visi.com/
Distributed Server Boycott List blacklist link:http://dsbl.org
WireHub blacklist link:http://basic.wirehub.nl/spamstats.html
SPAMHaus blacklist link:http://www.spamhaus.org
SPEWS.org blacklist link:http://www.spews.org/
Osirusoft blacklist link:http://relays.osirusoft.com/cgi-bin/rbcheck.cgi?addr=
Monkeys.com blacklist link:http://www.monkeys.com/anti-spam/filtering/
Blitzed.org blacklist link:http://www.blitzed.org/ Has to do with IRC (chat)
WebTV blacklist link:http://info.webtv.net/spam/
SPAMbag blacklist link:http://www.spambag.org/query.html

Fuente: Spam-Blockers.com

Vulnerabilidad : Inktomi Traffic Server (Proxycache Telefonica)

2004-06-16T07:37:00.000+02:00

Vulnerabilidad sobre el proxycache de telefonica. Explica entre otras cosas para que sirve el metodo http TRACE y muestra un ejemplo real de uso de la vulnerabilidad.

Netcraft

2004-06-14T14:29:00.000+02:00

Website que muestra informacion de la historia de un site: sistema operativo, version del webserver, IP y proveedor. Tiene RSS feed.