Seguridad

Servidores web y SSL

seguridadLa implementación de SSL en servidores web permite garantizar autenticación y privacidad entre los extremos de una comunicación. Esto es: asegurar que el cliente está conectado al servidor correcto, y asegurar que la información transmitida entre los extremos (cliente y servidor) no puede ser vista por nadie que esté en el medio de la comunicación.

Implementar SSL en un servidor web es una tarea que aparentemente se realiza con cero esfuerzo, y es, posiblemente, ésta razón la que lleva a cometer varios errores que debilitan sensiblemente las garantías de autenticación y privacidad que uno debe (y seguramente desea) garantizar.

Quisiera exponer a continuación algunos de los errores más frecuentes con los que suelo encontrarme al analizar la seguridad de servidores web que implementan SSL:

DNS: Las inconsistencias en la configuración de los DNS es uno de los factores que pueden debilitar la garantía de la autenticación. Encontrarme con que www.midominio.com apunta a un servidor web, mientras que midominio.com apunta a otro es algo bastante común.

Puertos: Al ingresar a http://www.midominio.com se espera ver el mismo contenido que al ingresar a https://www.midominio.com. Publicar aplicaciones distintas, en distintos puertos, y bajo el mismo dominio no contribuye en nada, y es un frecuente error.

Certificados auto-firmados: Los certificados auto-firmados obligan a los usuarios a ignorar cuadros de diálogo que advierten sobre la autenticidad del servidor al cual se están conectando. En estas condiciones, cualquier mensaje de advertencia "real" que sea presentado será también ignorado por el usuario.

Certificados incompletos: Si al ingresar a www.midominio.com se espera ver el mismo contenido que al ingresar en midominio.com, es también de esperar que en ninguno de los dos casos aparezcan mensajes de advertencia sobre la autenticidad del sitio o el uso de certificados. En estos casos, el uso de certificados multi-dominio es una de las soluciones.

Contenido mixto: Mezclar la carga de contenido a través de canales planos y canales cifrados puede dar lugar a ataques de tipo MitM. No se debe mezclar el uso de canales cifrados y canales planos en una misma aplicación web.

Configuración del servidor web: Muchas de las implementaciones de SSL descansan sobre la configuración estándar que incluye el servidor web. Esta configuración no suele ser lo suficientemente robusta como para poner un servidor web en producción, y mucho menos expuesto a Internet.

La evolución de las redes sociales y la privacidad (¿y su peligrosidad?)

redes_socialesLas redes sociales están aun en pleno auge y expansión, creciendo y evlucionando.

Siempre se habló sobre la pérdida de privacidad que éstas redes producían, y ya están apareciendo algunos servicios que nos lo demuestran. 

El fenómeno de las redes sociales comenzó presentándose como el medio (o lugar) en el que uno podía contactarse y "encontrarse" con amigos, familiares, compañeros de trabajo, etc., y relacionarse de una forma mucho más amena que a través del correo electrónico. También es posible formar grupos y así relacionarse con personas con un mismo interés, gusto o hobby. Un fin muy noble, ¿no?.

La evolución de estas redes ha hecho, entre otras cosas, que se "acelere" la interacción entre las personas, dando lugar a los servicios denominados "microblogging". Estos servicios se basan en comentar, o "postear", con la mayor frecuencia posible, lo que uno está haciendo en cada momento. Por ejemplo, yo acabo de postear que estoy escribiendo un artículo para mi blog.

Junto con la evolución de las redes sociales y la aparición de servicios de interacción más dinámicos, ha crecido y evolucionado lo que podríamos denominar "servicios adicionales", o "servicios complementarios". Como ejemplo de esto podemos nombrar a Twitter y Foursqare.

Twitter es un servicio de microblogging, posiblemente el más popular por estos días, Foursqare es un complemento que permite "decirle a todos", a través de Twitter, el lugar en el que estamos, o hacia donde estamos llendo.

Como resultado de la unión de estos servicios, ha aparecido Please Rob Me. Please Rob Me —por favor, róbame— (nombre bastante descriptivo, ¿no?) ofrece la posibilidad de saber qué usuarios están fuera de su casa; y más precisamente, en que lugar se encuentran. Además, para que el servicio sea realmente útil, es posible realizar búsquedas filtrando por nombre de usuario de Twitter y/o por localidad.

No se si los niveles de pérdida de privacidad deben preocuparnos, y no se que se puede hacer sabiendo que alguien no está en su casa en este preciso momento, pero es algo sobre lo que tenemos que pensar.

Google no quiere eliminar "tan rápido" los datos de sus usuarios

destructora_de_papelesGoogle recolecta, diariamente, un alto volumen de datos referidos al uso que todos hacemos de sus servicios, o bien, el uso que hacemos de Internet a través de sus servicios. Estos datos son procesados y utilizados con diversos fines; según Google el análisis de estos datos de limita solo al estudio de tendencias, lo que se traduce en las políticas y orientación que ellos dan a su empresa y productos.

El punto en cuestión es que Google y la Unión Europea (UE), en su papel de defensora de la privacidad de los usuarios, no logran ponerse de acuerdo sobre el tiempo que estos datos personales pueden, o deben, almacenarse para su análisis.

La Unión Europea busca imponer un límite de 6 (seis) meses como tiempo máximo para mantener almacenados los datos de los usuarios, mientras que Google pretende que este período sea de 9 (nueve) meses, argumentando que es el  tiempo necesario para poder procesar los datos y obtener información útil que permita a la empresa tomar decisiones.

Microsoft se mostró dispuesto a complir con la reglamentación siempre y cuando todos los buscadores lo hagan. (En mi opinión lo que más les interesa es complicarle la vida a Google, el resto luego se verá)
Actualemnte Microsoft guarda los datos de sus usuarios por un período de 18 (dieciocho) meses, y Yahoo! por poco más de un año (13 meses)

Sin necesidad de manifestar simpatía alguna con la UE creo que es importante que se comience a controlar el tiempo que nuestros datos (usos, costumbres, gustos, tendencias, etc) son almacenados, procesados y analizados por empresas como Google, Yahoo, MS, e incluso los ISP.

Bien preferiría que los datos generados como usuario anónimo, (sin haber realizado un inicio de sesión) no se almacenen; incluso preferiría que esté prohibido hacerlo sin la correspondiente orden judicial, pero bueno, algo es algo, y por algo se empieza.

Fuente original

¿Cuánto sabe Google de nosotros?

logo-googleGoogle se ha convertido en la mayor base de conocimiento del mundo; al menos por estos días.

Esta base de conocimiento se forma con datos recolectados a través de Internet, e incluye, de una u otra forma, en mayor o menor medida, información personal de todos los que utilizamos la red de redes.

Además del motor de búsquedas más usado, Google ha desarrollado un montón de herramientas, de excelente calidad, que no solo facilita y simplifica, de alguna manera, nuestra vida y la relación con nuestros pares, sino que, además, le permite construir, y mejorar, día a día el perfil de cada una de las miles empresas y usuarios que día a día utilizamos Internet para trabajar, estudiar, divertirnos, etc.

Sin darnos cuenta cedemos (a veces a conciencia, a veces no) valiosísima información personal que nutre los modelos matemáticos de Google, y le permite tener, día tras día, un mejor perfil sobre cada uno de nosotros.

A continuación se presenta una lista de algunos de los servicios que ofrece Google, y a través de los cuales los usuarios cedemos y revelamos información personal.

AdWords: Sistema de gestión publicitaria a través del cual Google conoce nuestro perfil como consumidor. Al mismo tiempo conoce las estrategias y planes de marketing de miles de empresas a lo largo del munso.
AdSense: Miles de blogs utilizan este sistema de publicidad con el que pretenden ganar algo de dinero. El sistema se basa en la generación dinámica de anuncios publicitarios basándose en el contenido del sitio y relizando un análisis sintáctico del mismo.
Alertas: Google, generosamente, nos ofrece un servicio de alertas sobre noticias y resultados de búsquedas web. ¿Qué obtiene a cambio? Casi nada, solamente el detalle de todos los temas y áreas que son de nuestro interés.
Analytics: Un completo sistema que permite monitorear las visitas a nuestros sitios web. No solo que Google sabe que sitios estás monitoreando, sino que conoce todas las variaciones y tendencias sobre los sitios.
Blogger: Si usas Blogger simplemente conoce cada palabra que escribes, como la escribes, que temas de interesan, y una larga lista de etcéteras. (Creo que esta es una de las herramientas más inofensivas, ya que, a través del motor de búsquedas Google indexa y analiza del mismo modo todo el contenido de éste blog, incluido este post)
Calendar: Una excelente y hermosa herramienta onLine que permite organizar toda tu agenda. ¿Hace falta aclarar que información obtiene Google de aquí? (de aquí obtiene hasta la hora en la que te levantás por la mañana)
Directorio: Un excelente medio para saber que le interesa a una persona, que busca, cuánto tiempo lo busca, e incluso, si finalmente adquiere (o consigue) lo que está buscando.
Chrome: Aunque se preocupen por desmentirlo (o incluso aunque por el momento sea cierto), el navegador web de Google, permite a Google conocen cada uno de los sitios web que vistias cada día.
Google Desktop: Hagamos corto este punto: Conoce todo lo que hay en tu computadora (incluso cuanto hace que lo tienes ahí)
Docs: Utilizando la suite de ofimática onLine de Google, conocen todos tus documentos, tus informes, tus tésis, tus cartas de amor (cursis o no); tus finanzas, tu presentaciones, las impresiones que haces de cada uno de tus documentos, con quiénes los compartes, quienes comparten con vos, etc.
Earth/Maps: Google sabe donde estás, donde te irás de vacaciones, donde te gustaría estar, donde tienes familia, etc.
FeedBurner: Más información sobre nuestros intereses. Todos los sitios y noticias que sigues Google lo sabe. (También sabe, y mejor que nosotros, quiénes son los lectores de nuestros sitios.)
Finanzas: Si no confias en los corredores de bolsa, ¡Google tiene la solución! A cambio sumará algo de concimiento sobre tu patrimonio. (Incluso sabe si fuiste uno de los que produjo la gran crisis mundial que tenemos por estos días)
Gmail: Nada más y nada menos que toda tu "correspondencia". Quién te escribe, a quién escribes, sobre qué temas escribes y te escriben, quienes son tus contactos, que tan bien (o mal) escribes, cuántos idiomas lees y escribes, etc. Todo esto y mucho más sale de nuestros mails.
Groups: Todos los intereses y gustos que tenemos y compartimos con otros, está en manos de Google. Si crees en ángeles, platos voladores, zombies, etc. El gran Google todo lo sabe.
Talk: Todas las personas con las que te relacionas están aquí, incluidos los temas que tienen en común. Recientemente, con la incorporación del servicio de voz y vídeo, conoce nuestra voz y nuestro rostro.
Picasa: Todas tus fotos. Quién sos, donde estuviste de vacaciones, casamientos, bautismos, cumpleaños de quince, despedidas de soltero, etc.

Éstos son solo algunos de los servicios que actualmente Google está ofreciendo en Internet, y que en mayor o menor medida todos utilizamos a diario.

Todos estos servicios contienen algo, un pedacito, de información sobre nuestra vida. Google reúne cada "trozo" de nuestra vida, lo analiza y lo integra con los demás, de modo tal que nada, pero nada quede librado al azar y pueda escaparse de su conocimiento.

Es muy importante que tomemos conciencia del poder que estamos transfiriendo, antes de que sea muy tarde. Estamos cediendo, de una forma muy barata, cosas que tanto nos ha constado conseguir.

"Conoceréis la verdad, y la verdad os hará libres"

¿Si la verdad que conocen es la nuestra, nos convertimos en esclavos?

¡No uses Internet Explorer!

logo_internet_explorerRecientemente ha sido publicado un importante fallo de seguridad que afecta a todas las versiones de Microsoft Internet Explorer.

Esta noticia ha sido tratada y publicada por muchísimos medios de comunicación, y es, ciertamente, mucho más grave (o importante) de lo que se estimaba inicialmente.

A continuación algunos enlaces interesantes y clarificadores:

Por su parte, Microsoft, además de reconocer que todas las versiones de Internet Explorer son vulnerables, ha prometido que muy pronto estará disponible el correspondiente parche. Al mismo tiempo recomienda utilizar el navegador en modo protegido, utilizar usuarios con bajos privilegios en el sistema y mantener actualizados los sistemas anti-virus, anti-spyware, etc.

Páginas

Startup Growth Lite is a free theme, contributed to the Drupal Community by More than Themes.