Gmail ha activado por defecto la conexión por HTTPS a sus servidores y en Wired hacen un gran análisis al respecto. Desde mi punto de vista ya lo tenían que haber hecho hace tiempo pero como suele pasar, tienen que aparecer ataques mediáticos, esta vez en China, para que Google se ponga las pilas. Eso sí, hay que recordar que ni Hotmail ni Yahoo! han hecho este movimiento.

Como bien dicen en Wired, el cambio puede resultar engañoso y se vende como más seguro de lo que es. Lo que se encripta no es el contenido de tu correo electrónico sino el paso del correo de tu navegador a los servidores de Google. Una encriptación de la buena haría que el correo sólo fuera visible por el emisor y el receptor, independientemente de quien se metiera por el medio.

Si por lo que sea la conexión HTTPS ralentiza tu conexión o eres más chulo que un ocho y la encriptación no va contigo puedes desactivar esta opción en el menú de Configuración de Gmail:

Me resulta curioso que a pesar de la cantidad de noticias sobre hackers, crackers y robos de datos confidenciales en la red, en lo que se refiere al correo electrónico la llamada “ingeniería social” sigue siendo la reina de los agujeros de seguridad. Y pasa lo mismo con las redes sociales como vimos en el caso de Tuenti. Por lo tanto al día de hoy no sé si los servicios en la nube harían más por su seguridad aplicando todos HTTPS o eliminando la opción de “recuperar contraseña por pregunta secreta” que tanto daño ha hecho.

foto: quemandochirucas

Tengo el correo electrónico en Gmail, las presentaciones en Slideshare, los tutoriales alojados en Vimeo o en Youtube, documentos de trabajo compartidos almacenados en Google docs, mi cuenta de Facebook. Recopilo mucha información en Netvibes, tengo mis enlaces en Delicious, algunas fotos en Flickr, y pongo mis pequeños comentarios en Twitter. Cada vez menos cosas en la web del servidor de mi centro, cada vez menos en mi ordenador personal, cada vez más información en servidores que ni mi organización ni yo controlamos.

De forma similar muchas empresas e instituciones utilizan espacios en servidores virtuales para alojar sus propias aplicaciones y desarrollos informáticos, y almacenar sus datos. La computación en la nube se ha convertido en un servicio eficiente, barato y fácilmente accesible no sólo para los individuos sino también para pequeñas empresas, centros de investigación y organizaciones administrativas. No se trata de que las empresas tengan sus propios servidores situados en otras empresas, es que ni siquiera tienen “sus servidores”.

Estos días se publica en Technology Review un excelente y extenso artículo de 8 páginas titulado “Security in the Ether” , de David Talbot, que trata del tema y que pretendo resumir aquí con algún comentario de mi cosecha.

Se puede decir que el 2009 ha sido un año de espectacular crecimiento de datos en “la nube”, concepto difundido a partir del EC2 (Elastic Compute Cloud) de Amazon en 2006, cuando esta empresa ofrecía el alquiler de espacio en servidores virtuales a terceros para utilizar sus propias aplicaciones y programas. El alquiler era elástico porque las aplicaciones se podían crear y configurar en instantes, porque se podía aumentar el espacio en el servidor y desaparecían aplicaciones y espacios cuando ya no se necesitaban. Tanto Amazon como Google, Salesforce o Microsoft han sido los grandes proveedores de la nube, ofreciendo espacio en servidores, servicios y alojamiento de datos. Empresas como The New York Times (información), Pfizer (medicamentos), La Alcaldía de Los Angeles (administración) utilizan los servicios virtuales de la nube.

Pero la nube tiene sus riesgos, especialmente cuando en un mismo servidor operan simultáneamente algunos programas (por ejemplo, del tipo Oz-like). Sería posible atacar y obtener datos mediante un programa de espionaje que entrase a la memoria compartida en el servidor virtual. Hasta hace poco se pensaba que era imposible, en la inmensidad de la nube, atacar de esa manera a un servidor remoto. Pero recientes experimentos llevados a cabo por científicos de la Universidad de California, San Diego, y el MIT han demostrado que sí es posible: el experimento se hizo sobre máquinas virtuales que contrataron en Amazon. No obstante Amazon argumentó que nadie había atacado su EC2 de ese modo y que la compañía había puesto solución a ese posible ataque.

A pesar del riesgo, tanto los individuos como las empresas e instituciones necesitan y utilizan estos servicios: no hay que ocuparse del hardware, se pueden contratar programas y aplicaciones. La actualización y el mantenimiento corren a cargo de los proveedores. El negocio ha pasado de contratar hardware a contratar software, cuantas más personas utilizan un software más barata resulta su contratación. El crecimiento de la nube depende la cantidad de angelitos incautos que volamos sobre ella, pero los riesgos de seguridad en su mantenimiento también aumentan con la cantidad de personas que utilizan el mismo software y el mismo hardware.

Los riesgos no sólo provienen de los posibles ataques externos, pueden existir averías de los proveedores que eliminarán millones de datos de miles de usuarios a la vez. Pero los defensores de la nube argumentan que los servidores virtuales son mucho más seguros y están mucho mas controlados que nuestros ordenadores personales y nuestros USB, Iphones, etc. En esto creo que llevan bastante razón, especialmente cuando nuestros dispositivos están conectados a las redes: “Si deseas que tu ordenador sea seguro, desconéctalo de fuentes externas, no lo unas a la red, aléjalo de las ventanas y guárdalo en una caja fuerte”.

No obstante John Chambers (director de Cisco Systems) llamó a la nube “pesadilla de seguridad” y Ron Rivest (científico del MIT) la calificó de “pantano de la informática”. Peter Mell (NIST. National Institute of Standards and Technology Computer Security Division) habla de la necesidad de revisar el funcionamiento de la nube y de la importancia de establecer normas que garanticen la seguridad. Es necesario que los usuarios puedan pasar sus datos de unos servidores de la nube otros con facilidad, con seguridad y con eficacia: interoperabilidad entre Facebook y Myspace, por ejemplo.

Se intenta aumentar la seguridad y la privacidad con “murallas virtuales” que contemplan la creación de espacios más restrictivos, memorias virtuales en ordenadores diferentes y otros mecanismos para hacer software más seguro. Otras soluciones actualmente, por parte de los clientes, pasan por utilizar sistemas mixtos en los que las aplicaciones y los datos clave se mantienen en local, y se aprovecha de la nube lo que no genera riesgo, infrautilizándola. Otra opción es la de mantener los datos claves encriptados en la nube y copias sin encriptar en nuestros ordenadores. Pero eso plantea problemas porque los datos encriptados apenas se pueden utilizar: no permiten búsquedas, recuperación de informaciones precisas, ni realización de cálculos.

La solución a la seguridad debe encontrase en el desarrollo de nuevos modelos de encriptación que solucionen los problemas anteriores y, además, establecer niveles de acceso según los diferentes tipos de usuarios. Ello permitiría la amplia utilización de la nube por instituciones como hospitales y otras instituciones “ciudadanas”. Concluye David Talbot diciendo que no es la primera vez que una innovación tecnológica que ofrece grandes beneficios conlleva riesgos de seguridad en sus comienzos, la sustitución del telégrafo por la radio es un ejemplo que llegó a un buen fin gracias al descubrimiento de sistemas de encriptación adecuados.

La seguridad debe prevenir el control político de la nube y el monopolio que se puede generar sobre el desarrollo de la red. De ello nos alerta Jonathan Zittrain en The future of the Internet and How to Stop It” . Si todos utilizamos las mismas aplicaciones “pret-a-porter” la creatividad de la red se verá mermada. Mi opinión es que la creatividad no tiene límites y que si algo tenemos las personas es capacidad para aburrirnos de lo que siempre nos ofrecen y querer cosas nuevas. Eso es ocurrirá también en la nube.

Podéis seguir la evolución del Congreso en Twitter y en Facebook

Muy enriquecedor también el esfuerzo que están haciendo para colgar en internet todas las presentaciones usadas por los ponentes:

| Get your Presentation Pack

nº Comentario  | Usuario

#33 | T

#47 | Xtr3mO

#79 | Roberto Solano

#76 | Tribak

#22 | Etche

Aquí está el vídeo del momento del sorteo para que veais que no hay trampa ni cartón ;-)

Os dejo también para descargar la secuencia completa:

• Resultados sorteo ESET

Me pondré en contacto con los ganadores a través del correo con el que hicísteis el comentario. En caso de que alguno no responda en un plazo de 5 días o que ya no esté interesado su puesto lo ocupará el siguiente en la lista.

¡Muchas gracias a todos por participar!

El 23 de abril de 2007 publicamos en blogoff una reseña de lo que entonces era la versión Beta del paquete de seguridad informático ESET Smart Security, de la compañía ESET muy bien valorada en el mundo de los antivirus gracias principalmente a su producto NOD32 , que sale muy bien valorado en casi todas las reseñas de antivirus del mercado. La suite se completa con un cortafuegos y un antispyware.

Si estás interesado en conseguir una licencia para usar Eset Smart Security durante un año deja un comentario en este post. Entre los que respondan haremos un sorteo aleatorio y el martes 27 nos pondremos en contacto con los ganadores para pedirles sus datos.

Editado 27 de octubre: el sorteo ha terminado. Podéis consultar los ganadores en este post.

La reseña que hizo en 2007 Liamngls sigue siendo válida para el día de hoy con la diferencia de que ahora el sistema ya no está en Beta y por lo tanto tenemos todas sus opciones a pleno rendimiento y los menús completamente en castellano. Para los que no se quieran papar toda la reseña, al final de la misma hago un resumen con lo que más me ha gustado y lo que menos.

1) Configuración para todos los gustos

Tengo un amigo que regenta un ciber en Oviedo y que por razones lógicas tiene que tener bien asegurados todos los PC. Siempre me dice que el NOD32 es el antivirus que más le gusta porque lo instalas y luego te olvidas de todo. Con ESET Smart Security pasa lo mismo. Puedes ponerte a configurar las tropecientas opciones de seguridad de las que dispone o limitarte a aceptar los valores por defecto y el software hará el trabajo sin necesidad de que estés diciéndole una y otra vez qué hacer.

Con esto quiero decir que no es sólo adecuado para principiantes sino también para usuarios a los que les guste exprimir al máximo la potencia del antivirus.

2) Consumo de recursos

Uno de los grandes defectos de los antivirus es el modo en el que ralentizan el funcionamiento de Windows. Seguro que todos hemos visto algunos paquetes de seguridad que una vez instalados, te dan tiempo a bajar a hacer la compra mientras acaba de cargar Windows. Teniendo en cuenta que EMS es antivirus + antispyware + firewall + filtro de spam, veo su consumo de recursos optimizadísimo. En mi PC se mueve en torno a los 50 megas de RAM que era más o menos lo que me consumían de forma conjunta todos los procesos de Avast Antivirus (un alternativa gratuita muy recomendable que usaba antes). El arranque de Windows se mantiene rápido y no tengo 200 notificaciones nada más entrar ni 20 iconos en la bandeja del sistema. Sólo un único icono que centraliza todos los avisos y que confirma que el antivirus esté funcionando.

3) Sistema de alerta temprana

Esta funcionalidad que podemos activar a lo lagro del proceso de instalación ya la comentó Liamngls en su día, y consiste en el envío de información anónima sobre los virus o problemas que surgen en nuestro ordenador. Esto ayuda a mejorar el sistema y a afinar al máximo la detección de virus aunque si eres muy paranoico con tu privacidad siempre podrás desactivarlo.

4) Actualizaciones de Windows

Esto es de lo que más me ha gustado de ESS: si Windows está sin actualizar te pegará un aviso (poco agresivo, no es el WGA de Microsoft obviamente). Y digo que me encanta porque las actualizaciones de Windows son un enorme problema de seguridad para empresas y parte del sector público español. El becario de turno baja Windows del eMule, lo instala, desactiva las actualizaciones automáticas para que no molesten y a correr. No está de más que un programa antivirus recuerde de vez en cuando a los usuarios que a lo mejor no saben ni que Windows se puede actualizar, que si no lo hacen está corriendo riesgos.

5) Protección de red y archivos compartidos

La otra cosa que más me ha gustado es que con un sólo click de ratón podemos decirle a ESS que blinde nuestro PC de la red y oculte archivos y carpetas compartidas a accesos no autorizados. Esta orientado sobre todo al uso de redes inalámbricas y así que es una gran funcionalidad para portátiles y que una vez más, evita al usuario principiante andar trasteando con la configuración de red en Windows, terreno en el que se suele perder.

6) Avisos

En la linea del punto 1, los avisos son bastante sutiles muy alejados de los sonidos de alarma de incendios del Avast. Según hayamos configurado el programa nos pedirá que realicemos alguna acción o el mismo se encargará como es el caso de la imagen, de mandar a cuarentena un archivo sospechoso.

7) Menús

Por defecto las opciones son sencillisimas. La pinta de ESS cuando lo abrimos es esta:

Como veis simplemente aparece un “Estado de la protección” para avisarnos de que todo está correcto, la opción de escanear el PC en busca de virus. Si cambiamos a la vista avanzada aparecen más opciones de configuración y un submenú herramientas (donde se puede acceder a cuarentena, tareas programadas, etc…) que amplian las posibilidades pero sin agobiar:

Los que quieran entrar a fondo en todas las opciones de ESS pueden pulsar F5 para acceder a la Configuración Avanzada, pero para el 99% de los usarios será suficiente con las opciones básicas.

8) Cortafuegos

Como comenté más arriba, ESS incorpora un firewall que por defecto también está configurado para “molestar” lo menos posible. Sin embargo en esta opción, el sigilo se vuelve un poco en contra del usuario ya que tradicionalmente los cortafuegos dan multitud de avisos sobre el tráfico saliente y entrante del ordenador y el cambio, por ejemplo si vienes de usar ZoneAlarm, puede ser muy grande.

Si a ti tampoco te gusta esto, desde el modo avanzado puedes cambiar la configuración del Firewall de Automática a Interactiva

Y así nos aparecerán los ya conocidos mensajes como este:

Dentro de la configuración avanzada (F5) todavía tenemos más modos disponibles, cada uno con su correspondiente explicación:

RESUMEN

Lo mejor:

• La protección de red y la información sobre actualizaciones poco intrusiva. Ideal para usarios medios y principiantes
• Excelente relación funcionalidades/consumo de recursos
• Incorpora NOD32, un antivirus excelente y no es necesario que instales un firewall aparte.
• Lo puedes instalar y olvidarte de él. Trabaja solito y no da la vara.

Lo peor:

• Configurar el firewall puede ser algo extraño para los que vienen de cortafuegos especializados
• En el proceso de escaneo general del ordenador eché en falta más información sobre el proceso de análisis. Te la da al final pero durante el mismo y sobre todo si lo detienes en un punto concreto falta alguna nota de lo que está pasando.

Recuerdo: las 5 licencias se sortearán entre los que dejen un comentario al post. Sólo un comentario por persona.

• Visto en: Miscellanea

Créditos de la traduccion para xkcd en castellano.

• También en blogoff: Empezando a ser hacker

WTF provocado por malware de este que simula virus en tu ordenador. Imagen y titular sacados de Reddit.

Gmail Labs son una serie de funcionalidades experimentales desarrolladas por el equipo de Gmail que puedes añadir a tu correo a través del menú de Configuración que aparece en la parte superior derecha de la pantalla:

Aunque el apartado de Labs está disponible en español, si quieres probar todas las cosas que salen es recomendable que tengas Gmail en inglés porque siempre incorporan primero las novedades a esa versión. Puedes cambiar el idioma en Configuración/Idioma:

Cada función de Gmail Labs se activa individualmente y de forma intuitiva. Simplemente activa las que quieras y luego guarda los cambios:

Dicho esto, la última funcionalidad de Gmail Labs tiene nombre de invento del doctor Bacterio y me parece muy útil: Super-trustworthy, anti phising key. Recordemos que por “phising” se entiende aquellos correos que buscan suplantar la identidad de algún sitio como por ejemplo un banco para engañar al usuario y que este introduzca sus datos privados por error.

Lo que hace esta funcionalidad no es identificar el phising sino marcar como “de confianza” con un icono de una llave aquellos correos cuya identidad está verificada.

Si nos llega un mail de Paypal o eBay por ejemplo, donde no aparece la llavecita de turno podemos empezar a desconfiar del asunto. Actualmente sólo funciona en esos dos servicios y se activa como he dicho desde la pestaña de Labs:

Por supuesto estas historias nunca suponen una garantía total y lo mejor que puedes hacer es tener instalado el software Sentido Común en tu ordenador. Te recomiendo que eches un vistazo a nuestro tutorial Detectando un phising bancario paso a paso.

• Visto en: Lifehacker
• También en blogoff: Sexo, troyanos y phising
• También en blogoff: Cómo recibir tu correo de Gmail en Hotmail