Jul 25

El twitter de la policia

twitter policia El 25 de Febrero me llegó un tweet de la policía nacional, desde @policía que decía: “Eres hipster o de otra tribu o tendencia urbana y lo cuentas online. Pero no muestres toda tu intimidad. La privacidad prima sobre lo trendy”.

  El tweet era una conclusión lógica, aunque el emisor debiera ser más cuidadoso al hacer referencia a una tribu urbana en concreto. Dejando eso aparte, cualquier persona que lo piense un poco, debiera llegar a la misma conclusión. No hay nada raro ni extraño en el aviso.troll a la vista

  Pero las contestaciones al mensaje, en algunos casos había que tomarlos a broma porque no había otra forma de tomarlos, pero en otras, como en otras muchas ocasiones, el ataque al tweet, fue hecho con saña y malicia, cuando no, con mala idea.

  Es verdad que elementos como el twitter del papa o de la policía, te dejan con la impresión de aquella frase de: “si no estás en la red, es que no existes”. Eso no implica ir a saco y de forma anónima a por cualquiera que te caiga mal o simplemente que quieras putear. De trolls, internet está tan lleno, que si quitaran sus mensajes, desaparecerían casi un 10% de los mensajes de internet.

 De la misma forma que algunas personas de una etnia, raza, sexo o religión, sean ladrones, no significa que todas las demás personas de la etnia, raza, sexo o religión profesada, sean también ladrones, no se puede generalizar.

hablando se entiende la gente En estos últimos tiempos, algunos de nuestros queridos políticos han ordenado cargas policiales que no debieran jamás haberse producido y al mismo tiempo nos hemos encontrado con que algún policía al que le gusta la sensación de poder, se ha ensañado con alguna persona. La mala combinación de ambas cosas, ha provocado un aumento del rechazo social a las fuerzas del orden que de otra forma no se hubiera producido.

 El hecho de generalizar, hace que, para la policía y el delegado del gobierno correspondiente, todos los manifestantes sean iguales y para los manifestantes, que todos los policías actúen igual y de la misma forma desmesurada sin pararse a pensar en el delegado del gobierno que ha ordenado la carga o del policía en particular que ha abusado de su posición de poder.

 Bien está la modernización de la comunicación entre las fuerzas de seguridad del estado (que no del gobierno) y la población a la que deben servir. Confiemos en que sirva también para modernizar métodos de dialogo, comprensión y acercamiento al ciudadano de a pie, que la verdad, hoy por hoy hace bastante falta.

 Por otra parte, intentar civilizar a los trolls, es una batalla que doy por perdida.

Nov 20

Revisando la seguridad

Seguridad Twitter En estos últimos meses, me han llegado bastantes noticias centradas sobre los temas de seguridad y protección de los datos. Hasta un anuncio hecho con futbolistas indicando la necesidad de proteger las contraseñas de acceso a páginas como Twitter o Facebook.

 Las vulnerabilidades en los programas, son aprovechadas por determinadas personas para hacer su agosto particular y esto significa que las empresas deban revisar sus programas y usar sistemas homologados para la protección propia.

Seguridad AENOR La aplicación de normas de AENOR. La lectura de cambios en las condiciones de las políticas de privacidad como la de EBay o algunos bancos o incluso los boletines de seguridad de empresas como Microsoft, nos muestran un camino que intentan seguir todas las empresas. A pesar de ello, siempre se puede colar un gazapo en uno de tus productos estrella aun siendo una gran empresa y con seguridad consolidada como ocurrió con el Firefox 16.

 Para los sistemas CMS, también nos llegan cada cierto tiempo, las recomendaciones de realizar copias de seguridad, tanto del sistema como de la base de datos que lo soporta. En el caso de la última versión del CMSJoomla, nos recomendaban el uso de extensiones de terceros para mejorar su protección.

pishing Estudios sobre el fraude por internet, la seguridad inalámbrica en los hogares españoles y la confianza en el comercio electrónico, han sido algunas de las cosas que como viene siendo habitual, se comentan y llegan a ser noticia en informativos nacionales, pero que la única impresión que les llega a los jóvenes, es que tienen que usar un antivirus en el PC, pero mientras, a sus dispositivos móviles, permiten que accedan programas de procedencia desconocida y quizá por esto, los que antes se dedicaban a los agujeros de seguridad en los PC, ahora se dedican a buscarlos en los sistemas Android y similares.

virus policia Desde esta pequeña ventana al mundo informático, he hablado alguna vez sobre el tema de la seguridad, pero quiero insistir en que tan importante como la seguridad, es el sentido común. El no enviar una clave bancaria o una tarjeta que se te solicita en un correo es algo que cae por su peso, pero aún así, cada año se sigue engañando a un montón de gente para que introduzca sus claves o numero de tarjeta.

 Es conveniente pasar de vez en cuando por páginas que nos avisan de los actuales problemas en internet, para no caer en engaños tan absurdos como el conocido virus de la policía.

Oct 26

Aceptando la letra pequeña

me gusta Cada día me encuentro con más sorpresas cuando navego por internet. Es curioso que la gran mayoría de la gente acepte cualquier cosa en cualquier página de internet y que lo acepte sin tan siquiera pararse a pensar lo lícito o ilícito de aquello que acepta.

 El botón de “me gusta” o aquello de hazte seguidor en Facebook en una de tantas. Si nos damos cuenta, nos dicen que van a poder acceder a nuestra cuenta y dejar cosas en nuestro muro, de forma que aquello que hemos guardado nosotros tan celosamente de nuestra intimidad o que hemos perdido un montón de tiempo en configurar para protegerlo, queda al descubierto en un santiamén.Paypal

 No es el único, hay muchos lugares en donde si vemos sus condiciones de uso (o abuso), son al menos bastante chocantes. Paginas de bancos on-line o de compra por internet, en donde aceptamos someternos a lo que dicte un jurado de Ilinois, Sidney o Luxemburgo. Tanto más curioso, por cuanto de por si ya hay bastante leyes injustas, retrogradas o desfasadas en nuestro país, como para someternos a las especulaciones mentales de los legisladores de allende nuestras fronteras.

Amazon Una de las últimas que me llamó la atención, fué al ir a darme de alta en Amazon y leer sus condiciones de uso y venta. En el apartado “8. Opiniones, comentarios, comunicaciones y otros contenidos” se dice que podemos escribir cualquier comentario siempre que “no infrinja derechos de propiedad intelectual” y que cualquier cosa que escribamos, Amazon puede hacer lo que le de la real gana con ello, publicarle, modificarle, tergiversarle, etc. Pero ahí no acaba la cosa, pues más abajo se puede leer: “Acepta renunciar a su derecho de ser identificado como el autor de dicho contenido y a su derecho de oponerse al trato improcedente de dicho contenido”.

 Condiciones abusivas on-lineEn pocas palabras y tan como yo lo entiendo, esto significa que no permito que nadie infrinja la propiedad intelectual para que nadie me demande, mientras que la propiedad intelectual de los demás me la paso por el forro y encima hago que firmen que no pueden demandarme. ¡Genial!.

 Este tipo de contratos On-Line, son similares a los de las empresas de telefonía, la banca virtual e incluso las licencias de software de grandes y reconocidas empresas (supongo que no hace falta nombrar ejemplos).

 Me enfado bastante cuando no tengo otra opción que aceptar una serie de condiciones abusivas, entre otras cosas, porque yo soy el cliente y soy el que debiera poner las condiciones, no al contrario. La pregunta que entonces me hago es… ¿Se persiguen las condiciones abusivas de las empresas de internet con el mismo ahínco que se pone en la lucha contra la piratería?. ¿A cuantos responsables de condiciones abusivas se han detenido y a cuantos delincuentes informáticos.

 Puede que el problema sea el que temían aquellos pequeños hombrecillos azules de Pratchett: los abogados.

Sep 26

Guardando contraseñas

creando contraseñas No hace mucho tiempo, el siempre optimista Anímate, me dejaba un comentario sobre las contraseñas que me hizo plantearme el problema de su almacenamiento.

 La aparición de métodos cada vez mas complejos de protección, encriptación y almacenamiento de las contraseñas, cuando en nuestro propio ordenador se han guardado la mayoría y pueden encontrarse si se sabe donde buscar, me vino a la mente la divertida leyenda urbana del bolígrafo espacial de los americanos y la solución rusa.boli nasa lapiz ruso

 ¿Que quiero decir con esto?

 Mi madre siempre decía que mas vale un lápiz corto que una memoria larga y en eso le doy toda la razón. No sirve el acordarnos de todo un montón de nombres y contraseñas porque si no las usamos todos los dias, al final se olvidan y es mas fácil acordarse si las tenemos escritas en algún lado que si debemos memorizarlas.

 ¿Puedo usar programas como LastPass?

Lastpass Para contestar, voy a ponerme en plan gallego y contestare con otras preguntas:

 Si fueras un Hacker muy bueno y quisieras robar un montón de contraseñas ¿en donde atacarías?. Buscarías una a una o irías directamente a un lugar en el que estuvieran todas.

 ¿Te fías de una empresa pequeña que está en otro país / estado / ciudad (USA / Virginia / Fairfax) y de las cuales no sabes la legislación ni que harán con tus datos?. Encima, la máxima experiencia de al menos uno solo de sus componentes, no es mas que un poco más de una década. Yo tengo mas del doble en experiencia informática y procuro ser más cauto (algo hará también la edad).libreta de contraseñas

 ¿Donde puede ver mas gente tus contraseñas? En una libreta en un cajón de tu mesa o en algún sitio de internet o incluso en tu propio PC conectado en red.

 Evidentemente (para mi), el lugar mas seguro es el menos expuesto a miradas indiscretas. Si la contraseña de nuestro banco nos llega a nuestro correo de hotmail, no solo tienen acceso el personal de hotmail, sino aquellos que trabajan con los servidores bancarios y los de hotmail. Por si esto no fuera suficiente, si alguien ha conseguido nuestra contraseña del correo de hotmail, automáticamente y tiene acceso a nuestro servidor bancario.

 Ahora devuelvo la pregunta para que cada cual conteste la pregunta inicial:

 ¿Es seguro usar programas como LastPass?

 Evidentemente hay muchas mas precauciones que tomar, como por ejemplo decir que no, cuando el PC te pregunte si quieres que recuerde una contraseña, pero eso, como decía R. Kipling, es otra historia.

Sep 13

Mermas en los procesos productivos

Control de calidad Cuando se trabaja en la industria, aparecen una serie de elementos que desconciertan un poco a personas que se guían por números exactos, como pueda ser un contable o como es el caso… un informático.

 La cuestión es el cambalache de cifras que existen entre “las que entran y las que van saliendo” como diría José Mota. Voy a explicarme un poco mejor para que se me entienda:

Desechos de produccion Si yo tengo una fabrica en la que me dedico a mezclar dos productos llamados “A” y “B” y compro 500 Kg. de producto “A” y 300 de producto “B”, lo lógico, pensándolo matemáticamente, seria pensar que cuando quiera vender mi producto, llamémosle “C”; tendré en mi almacén 800 Kg. del producto “C”, porque es la suma de los 500 del A mas los 300 del B.

productos por las chimeneas. Pero el resultado real. Es que no sale la misma cantidad que entra. Curiosamente en la mayoría de los casos, se pierde producto por el camino. Según el producto que sea, las perdidas o mermas, pueden producirse por diferentes motivos:

 En el caso de productos en polvo, suelen perderse bastantes kg. en el trasvase de unos lugares a otros. Puede ser absorbido por las aspiraciones o flotar en el ambiente hasta que se deposita no solo dentro de la fábrica, sino a veces a bastantes km. del lugar de origen. Esto sucede mas cuando menos denso es el material pulverulento, es más grave cuando mas tóxico es el producto y más costoso cuanto más caro es el producto. Si el material en polvo tiene una cierta cantidad de humedad, la perdida puede producirse al secar el material.Liquidos peligrosos

 En el caso de productos líquidos, se producen perdidas por evaporación, por trasvases que producen derrames o depósitos que no se vacían completamente y al limpiarse, el producto se convierte en residuos. Podría pensarse que según que tipo de productos, no debiera ser demasiado importante la merma, pues si contiene agua y al acabar falta producto, se le puede añadir la parte de agua perdida, pero esto es matizable. Ni somos taberneros que echan agua al vino ni podemos pasarnos por alto las proporciones de ingredientes de un producto determinado.

Nubes toxicas El caso de productos gaseosos, aunque debido a sus características, la contención está asegurada, muchas veces debe tenerse una extrema precaución con las fugas pues la mayoría de gases venenosos y altamente reactivos se usan en la industria química. En ocasiones, la fuga será muy pequeña y pasará desapercibida, pero cuando se unen muchas fugas o se tienen problemas en los sistemas de contención, pueden producirse graves daños para grandes extensiones de terreno, llegando a producir devastadoras nubes tóxicas.

 Con todo esto quiero decir que muchas veces es tan importante “lo que hay” como “lo que falta”. Tanto por motivos económicos, como sanitarios, ecológicos o sencillamente morales. No es solamente el descuadre de cantidades.

Sep 10

Creando Contraseñas

clave Como ya explique con anterioridad, es muy importante la seguridad de los nombres y contraseñas que usemos en internet. Para evitar sorpresas, voy a dar unas recomendaciones centradas en: (1)Lugar, (2)Tiempo, (3)Diferencia, (4)Memoria y (5)Asociación.

 1).-LUGAR: El lugar en donde guardamos nuestros nombres de usuario, contraseñas, direcciones web de acceso y preguntas de recuperación, debe considerarse como las llaves de nuestra casa. Podemos tener una copia en casa, pero la otra la tenemos nosotros. No puede haber treinta copias de un archivo de PC que tenga nuestras claves. La primera porque no querremos cambiar ninguna contraseña para no tenerla que cambiar en tantos sitios, y la segunda porque un archivo si no esta encriptado, puede ser demasiado vulnerable tanto a gusanos como a averías del PC. crear contraseña

 En el caso de tener un archivo (encriptado a ser posible), es conveniente imprimirlo cada vez que cambiemos una o varias contraseñas y destruyamos la anterior copia. De esa forma tenemos nuestra llave y la copia en caso de destrucción o pérdida.

 2).-TIEMPO: Parece absurdo, pero es conveniente cambiar cada cierto tiempo las contraseñas. Los que se dedican a buscar contraseñas, suelen reintentar muchas veces el acceso descartando las contraseñas que ya han probado, con lo cual un cambio de contraseña cada cierto tiempo, lo ideal seria menos de un mes; nos ayudara a mantener seguras nuestras claves.actualizar contraseñas

 3).-DIFERENCIA: Es muy importante no usar la misma clave en dos lugares diferentes al mismo tiempo ni en el mismo sitio al cabo del tiempo, es decir; si tenemos dos direcciones de correo diferentes (p.ej. Hotmail y GMail), no debemos usar para los dos la misma clave de acceso y en caso de cambiarla cada mes, no deberemos volver a usar en un acceso (p. ej. el de Hotmail) la misma contraseña que ya habíamos usado para el hace algún tiempo atrás. En el caso de tener el correo vinculado a un servicio (p. ej. Facebook, Google+, etc) es muy peligroso el uso de la misma clave en los dos lugares.clave segura

 La segunda diferencia debe estar en el hecho de que en las claves debe haber letras, números y algún símbolo o por lo menos dos de las tres. Además no deben ser palabras que estén en el diccionario ni ser excesivamente cortas. Longitudes a partir de 6 caracteres, están bien

 4).-MEMORIA: Después de lo dicho y si alguien ha llegado hasta aquí, me dirá… ¿Y como me acuerdo yo de cinco claves de esas. Bien, aquí aparece alguna regla nemotécnica. Por ej. si usamos una frase que podamos recordar, como por ejemplo: “2 abuelos con bastón usan 2 sillas. 4 abuelos con bastón usan 4 sillas”. Al reducir las frases a la primera palabra y cogiendo el punto, nos queda: “2acbu2s.4acbu4s”, lo cual es bastante complejo para una clave.

sin duplicados Podemos hacer una mas corta “No me queda ni un dólar ($) de mi paga” se convertiría en “Nmqn1$dmp”. Fijarse que hay una mayúscula y algunos lugares la interpretan de forma diferente.

 Es un sistema, pero no es el único, la ventaja es que podemos usar por ej. Refranes.

 5).-ASOCIACION: A pesar de todo ello, puede que alguien me diga que cambiar tanto de frases o refranes para cambiar las claves, al final no te acuerdas. Aquí entra en juego la asociación. Si por ejemplo asociamos nuestra cuenta de facebook a la palabra “abuelo”, sabemos que todas las claves que usemos para ese lugar, llevaran esa palabra. Si además de ello, las cambiamos cada mes, podemos añadirle a la contraseña el número de mes o la primera o la ultima letra del mes.

 Todo lo mencionado en estos dos últimos puntos, es una idea de como hacerlo, pero es para que tengamos un punto de partida para desarrollar nosotros nuestro propio sistema.

Sep 05

Claves y seguridad

Claves y seguridad Una de las cosas más importantes cuando estamos en internet, es la seguridad de nuestros accesos a los lugares a los que entramos y estamos registrados. Seguro que alguien dirá que a el/ella le es igual porque no tiene nada importante. Al que diga esto solo le hago una pregunta: ¿Dejaría que un desconocido le mirara el contenido de lo que tiene en el teléfono móvil (contactos, mensajes, fotos, etc)?.

claves y llaves Lo que tenemos por internet es mas intimo todavía, porque internet permite enlazar un contacto con una foto y al mismo tiempo saber su fecha de nacimiento y teléfono. Si encima se consigue acceder al correo, se puede suplantar la identidad de la forma más fácil.

 Supongamos que tenemos nuestra cuenta de Facebook y que el correo que usamos para enlazarlo es de Hotmail. Sin saber la clave de Facebook, se puede investigar a una persona e intentar entrar en su correo de Hotmail mediante claves como nombre, apellidos, nombre de la mujer o de los hijos, fecha de nacimiento o números sencillos del tipo 111111 o 999999. En el caso de ser más complicado, existen programas que pueden intentarlo mediante diccionarios de palabras, aunque esto lleva un tiempo y por eso es conveniente cambiar cada cierto tiempo de claves.

Claves mas usadas. Supongamos que hemos entrado en el correo de Hotmail y hemos conseguido cambiar la clave de acceso al correo. Si la clave de Facebook no se encuentra en los correos recibidos, solo nos queda ir a Facebook y decir que no recordamos la contraseña, con lo cual nos enviaran una nueva al correo y con ella ya podremos también cambiar la clave de facebook.

 En un momento hemos conseguido dos de las principales cosas para suplantar la identidad virtual de una persona. Si además de esto, en el correo guardamos claves de otros lugares como Twitter, lo ocurrido puede ser un desastre total y solo podremos cabrearnos.

 ¿Es importante la seguridad?. Por supuesto. En el siguiente post voy a dar unas recomendaciones para que sea más fácil para nosotros y mas difícil para los demás el acceso a nuestras claves.

May 19

La inseguridad inalámbrica (Software)

Seguridad Wifi Como el titulo de la entrada hace referencia a la seguridad de la parte inalambrica de la comunicación, voy a obviar los ataques a la parte cableada, tal como hacía en la anterior entrada cuando hacia referencia a elementos como sniffers.

Cuando intentamos enlazar dispositicos moviles ya sea por IRDA o bluetooth, lo lógico es que el dispositivo al que nos conectamos, nos pregunte si queremos permitir la conexion del otro dispositivo. En cambio, cuando hacemos lo mismo con dispositivos wifi, no suele hacerlo. Entre otras cosas porque no puede haber una persona pendiente del dispositivo de enlace para confirmar cada conexión.Infrarrojos

Para evitar este problema, se establecieron sistemas de proteccion y seguridad de acceso a los dispositivos. Hay protección a nivel de usuario y contraseña, a nivel de IP o de dirección MAC, proteccion por encriptación, por puertos e incluso por rangos.

El nivel de seguridad de una red es igual al más inseguro de sus puntos y es por ello que las protecciónes Wep quedaron pronto superadas por la WPA y la WPA-2, con sus claves encriptadas. Conjuntamente con listas blancas con direcciones MAC y rangos de IP’s con permiso de conexión nos hacen sentirnos mas seguros y en la mayoria de casos así suele ser.

conexiones wifi Para un piso o una casa unifamiliar, puede ser suficiente el desarrollo de unas medidas mínimas de seguridad, a no ser que tengamos unos vecinos sin red o con unas mínimas habilidades informáticas y que nuestra red esté en su radio de alcance (ver anterior entrada).

Pero cuando hablamos de empresas, la cosa cambia. Los sistemas de protección de datos, filtrado y encriptación, se vuelven necesarios, cuando no, imprescindibles. Afortunadamente los organismos oficiales comenzaron a ponerse las pilas luego de sufrir varios ataques tanto la casa real como la moncloa. Pero aún así, la mayoria de politicos siguen sin ser conscientes de la importancia de sus datos y trastean alegremente con sus moviles y portatiles.WPA-2 Crackeada

Cualquier dato que se lance eter para que lo recoja otro equipo, puede ser interceptado por personas no deseadas, e incluso pueden llegar a conseguir entrar en nuestro sistema, gracias a los datos que nosotros mismos hemos transmitido.

Para que nos hagamos una imagen mental, una conexión inalambrica con nuestro banco, es como gritarle al cajero del banco, desde la puerta de éste, la cantidad de dinero que queremos, sin importarnos quien escuche tanto dentro como fuera del banco.

Hay que actuar de forma racional, tanto en la vida real, como en la red. La comunicación debe establecerse, pero con una serie de medidas que nos aseguren un mínimo de privacidad y seguridad.