Poco a poco va subiendo la audiencia de nuestro podcast en directo. Esta semana alcanzamos de las 3000 escuchas totales, cifra considerable teniendo en cuenta que las estadísticas son sólo de Spreaker y que nuestros podcast llevan allí no más de 1 mes.

Así que problemas de sonido mediante (hoy será la buena) seguimos apostando por el directo con la esperanza de mejorar programa a programa.

Para hoy jueves tenemos preparada una entrevista con parte del equipo de Security By Default, mejor blog de seguridad informática en los premios Bitácoras 2010. Premio de lo más merecido no sólo la calidad técnica de sus artículos sino por lo divertido de muchas de sus secciones. Hoy a las 20:00, Lorenzo Martínez y Yago Jesús hablarán con nosotros de seguridad informática para principiantes, la popularización de los ataques a grandes páginas web por grupos como Anonymous o Lulzsec y algunas curiosidades de su blog.

Un honor para mí tenerlos en el podcast. Intentaré que la entrevista esté a la altura y que sea lo más divulgativa posible.

http://www.flickr.com/photos/jexweber Licencia CC

Con los antivirus pasa un poco lo mismo: no te deja acceder a la página si tiene virus. Pero no son pocas las web libres de virus que me hubieran dejado sin dormir unas cuantas noches con 8 años por poner una cifra.

Tenía guardado de Menéame una página con una idea bastante interesnate: editar el archivo hosts del ordenador y añadir una lista negra de páginas que redireccionen a la IP 127.0.0.1 osea la tuya propia. Para los que no sepáis de qué va el asunto os pongo un ejemplo de andar por casa: es como si no quisieras que el menor marcara un número de teléfono en tu casa pero que use el teléfono tranquilamente. Lo que hacemos es que trastear con el aparato teléfonico para que cuando marque un número concreto se llame así mismo. ¿Resultado? Comunicará :-)

Nota para frikis: es cierto que este método es bastante bruto o por seguir con la metáfora sería más eficiente llamar a tu compañía telefónica para que hiciera el trabajo pero la idea aquí no es enseñar al usuario medio a usar IpTables sino más bien a que una persona con Windows o Mac que no tenga mucho tiempo y/o conocimientos proteja rápidamente su sistema ante dominios peligrosos.

“Cómo hacer que Internet no apeste” (tanto) es un proyecto que busca crear una lista negra de sitios peligrosos para que simplemente la copies y pegues en tu archivo hosts evitando así el acceso a las webs que allí se listan. Antes de indicaros un par de cuestiones sobre cómo editar el archivo hosts decir que esta lista de sitio es especialmente útil porque no sólo bloquea página peligrosas para niños sino que impide las conexiones con muchos sitios de publicidad o estadísticas que ralentizan nuestra navegación o que recopilan información personal nuestra así cómo páginas populares que contienen Spyware o adWare. Vamos, que si eres adulto también te interesa tener esta lista en tu PC o MAC.

Podéis encontrar el listado de páginas para copiar y pegar en el siguiente enlace:

• how to make the internet not suck (as much)

Y otra muy mítica por si queréis incorporarla:

• listado de adservers en Yoyo

En esas dos páginas lo único que necesitas es seleccionar todo el texto (Ctrl+A) y a continuación pegarlo en tu archivo hosts. Os dejo dos tutoriales sobre cómo editar el archivo host:

• Editar archivo hosts en Windows
• Editar archivo hosts en Mac

Sobra decir que no entréis en las páginas que se listan en plan “anda, a ver por qué esta página es chunga”. O a lo mejor no sobra, no sé.

Leñe. Muy extrañado me quedé porque soy bastante maniático de la privacidad y la de Facebook la tengo revisadísima. De primeras paso el ratón por encima a ver si es que me va a llevar a alguna aplicación de terceros que promete garantizar tu privacidad o algo así pero no, es una opción del propio Facebook.

Bueno anda, ya que la compañía del señor Zuckerberg ha tenido el detalle de indentificar problemas de seguridad en mi cuenta voy a “incrementar mi protección”.

Y lo que me sale es esto:

Sí amigos. Literalmente, para que la protección de mi cuenta pase de ser baja a ser alta lo único que tengo que hacer es darles mi número de móvil y configurar una pregunta de seguridad, opción que ya sabemos todos para qué vale.

Casi que me voy a quedar con mi nivel de protección en bajo y me voy a releer el artículo que publicamos sobre 10 situaciones que quieres evitar en Facebook o cómo compartir fotos de forma segura.

¡Eres un cachondo Mark!

En un mismo día me han llegado dos “hoax”, o en castellano, “bulos” que se transmiten a través de correos en cadena. Pensé que me había librado de ellos cuando cambié de Hotmail a Gmail y me dediqué durante una temporada a bloquear a todos los amigos que me mandaban correos sobre la última gran conspiración de las compañías farmacéuticas para enriquecerse a nestra costa (como si tuvieran alguna preocupación por ocultarlo). Sin embargo los hoax, como Jorge Javier Vázquez, siguen estando ahí aunque cierres los ojos.

Una virtud, quizás desconocida de las redes sociales, es que han absorbido los hoax. Los bulos ya no se distribuyen a través de correos electrónicos sino de eventos en Tuenti o páginas en Facebook. Y eso, a los que usamos el ordenador para trabajar de vez en cuando, nos facilita tener la bandeja de entrada del correo limpita.

Sin embargo en aquellas generaciones que están descubriendo el correo electrónico al mismo tiempo que sus hijos las redes sociales los hoax son lo más. La misma persona de 40 años que considera que su hijo pierde el tiempo en Tuenti es la que manda un e-mail a todos sus contactos del Outlook sobre un pobre zoológico en el que han tenido que vestir a unos cerditos de bebés-tigre para que una tigresa sea feliz o sobre unas tarjetas para hoteles que conservan información personal del que las usa.

Aquí van cuatro cosas que deberías saber sobre los hoax

1. Los hoax están hechos para ser reenviados.

Por eso ofrecen información falsa que parece sacada de la portada del Qué en lugar de una transcripción de los últimos cables que ha hecho públicos Wikileaks. Porque el chiste, la pseudociencia y la conspiranoia son de lo más viral que hay y si quiero conseguir un buen puñado de direcciones de correo electrónico para enviarles publicidad, lo único que tengo que hacer es distribuir un bulo en condiciones.

¿Cómo? Pues mira esa parte que aparece al principio del correo donde se indica a quién se la enviado después de cientos de FWD. Esas direcciones valen pasta amigo y se pueden utilizar (y se usan) para enviar publicidad no deseada o “spam”.

Si tienes tu bandeja de entrada hasta arriba de basura es en parte porque tu correo ha circulado a través de cientos de e-mails y eso acaba llegando, por pura matemática, a alguien que te quiere vender Viagra (¡son más de los que piensas!). Por eso te llegan promociones de Viagra, no porque tu novia se haya chivado.

Cuando envías un correo en cadena que te parece divertidísimo no sólo no te has parado a pensar que si todos hiciéramos lo mismo tendríamos miles de correos nuevos a diario que dificultarían nuestra organización del correo electrónico, sino que estás facilitando que a tus amigos les llegue spam o publicidad no deseada.

A veces, como es el caso del famoso test de David Bravo sobre las descargas por P2P, alguien saca algo de contexto y aunque la primera intención es buena, acaba convirtiéndose en un hoax y molestando a la gente.

2-CCO

Por Dios, POR DIOSSSSS… que estamos en 2010 ya. Cuando uses tu servicio de correo electrónico favorito busca el campo que pone CCO (o BCC) y que lo que permite es enviar un e-mail a una serie de destinatarios sin que entre ellos sepan a quién más se le ha enviado.

De verdad que es sencillín. Seleccionas las 500 direcciones de amigos que tienes en el campo “para”, las cortas, las borras de ahí y las pegas en el campo CCO. El hoax seguirá haciendo pupa pero limitaremos el alcance de la misma.

3- Google

Antes de reenviar un correo que te parece divertidísimo, curiosísimo deberías contrastar la información. Sí, sé que en la carrera de periodismo te enseñaron lo contrario pero antes de aburrir a tus amigos con bulos no estaría de más que fueras a Google y escribieras algo que aparece en el e-mail.

Desde hace un tiempo Google ofrece a tiempo real y según vas escribiendo, sugerencias basadas en las búsquedas más populares para las palabras que llevas escritas. Si eso que parecía un secreto que sólo podía distribuirse a través de correos en cadena aparece en las sugerencias de Google es que no sólo los has recibido tú, sino cientos de miles de personas y gana papeletas para ser un hoax.

Pero es que comprobar si es un bulo o no es tan sencillo como poner algo que describa el tema del e-mail acompañado de la palabra “hoax”. Llegarás a decenas de páginas encargadas de destrozar estos mitos y de explicar su origen.

El ejemplo que veis arriba es para un hoax sobre una entrevista ficticia con un médico ficticio de Porto Alegre. Que salga el comienzo exacto en los resultados de Google Suggest, como digo, debería ponerte la mosca detrás del oreja pero es que si ponemos “Paulo Ubiratan hoax” llegamos por ejemplo a este resultado en el que nos explica (último párrafo) que la historia es falsa.

Lo mismo nos pasa si ponemos en Google “Tiger Pigs Hoax”

O “Tarjetas hoteles hoax”

Como veis, la dificultad de detectar si un correo es un hoax o no es inversamente proporcional al interés del receptor por buscar en Google. Así de simple.

¿Cómo funciona? La web se aprovecha de los datos de geolocalización que acompañan a algunas fotografías. Las archivos de fotografía, igual que las canciones o que los vídeos, incorporan una serie de datos invisibles a simple vista pero de lo más interesantes conocidos como metadatos. En el caso de las fotografías esta serie de metadatos se abrevian como EXIF (Exchangeable image file format)

Entre ellos podemos encontrar el modelo de cámara con el que se hizo la fotografía, el tiempo de exposición, distancia focal y muchas más cosas dependiendo de la cámara, de los programas con los que se haya tratado la foto y otras variables.

El EXIF de una imagen soporta geolocalización, esto es, dentro de estos metadatos puede almacernarse información sobre el lugar geográfico en el que se hizo la fotografía en términos de latitud y altitud. Por lo tanto, si hacemos una imagen con una cámara que incorpore este tipo de información y la subimos a internet, existe la posibilidad de que cualquier usuario que se descargue la imagen vea el lugar exacto donde tomamos la foto.

Esto fue lo que le pasó por ejemplo a Adam Savage, uno de los populares “Cazadores de mitos” del Discovery Channel. Colocó está fotografía en Twitter a través del servicio de alojamiento de imágenes Twitpic

Con un simple lector de datos EXIF y un mapita de Google se consigue lo que veis en esta presentación de The NY Times:

• How Geotags Unlocked a ‘MythBuster’s’ Location

Eso es lo que hace I Can Stalk You, transformar los metadatos de geolozalización de las imágenes que se distribuyen por Twitter en puntos del mapa para concienciear a los usuarios de que a veces, no es buena idea compartir según qué cosas. Pudes dar información sobre cuál es tu casa, qué ruta sigues para ir al trabajo, dónde te vas los fines de semana, etc…

¿Debemos alarmarnos? Estuve un buen rato esta mañana haciendo pruebas y en mi opinión, si alguien sube una imagen con datos EXIF de geolocalización a internet ha tenido muy mala pata porque no es nada fácil.

Para empezar tenemos que tener activada la geolocalización en el móvil o cámara y bien en el manual de instrucciones o bien en el propio teléfono como es el caso por ejemplo del iPhone, debería saltarte un aviso de que se va a empezar a almacenar esa información. El iPhone lo hace la primera vez que intentas usar la cámara:

Si le das a OK es probable que ya no te vuelva a salir y todas tus fotos hagan uso del dispositivo GPS para recordar dónde tomaste la imagen. Esto puede ser chulo por ejemplo para usar la aplicación de lugares que aparece en iPhoto o en iOS4, o si vamos a usar a propósito esta información en un sitio de alojamiento de fotos como Flickr por ejemplo que le da mucho juego. Pero si no vamos a hacer nada de esto, es recomendable que no permitamos que estos datos queden grabados.

Si piensas que lo tienes activado y quieres cambiarlo tienes que ir a Ajustes/General/Restaurar/Restaurar avisos de localización

La próxima vez que te salga el aviso selecciona No permitir y listo.

Ahora supongamos que estás almacenando esos datos y quieres subir a internet una imagen ¿pongo a disposición de todos mi ubicación? La mayoría de las veces no, pero existen excepciones.

Si la foto que vas a compartir la subes a Twitpic, Tweetphoto o Yfrog a través de su web los datos EXIF quedan almacenados y visibles para todo aquél que descargue la foto. Si la has hecho con tu iPhone y la has subido a través de una aplicación intermedia es probable que la imagen se suba sin datos de geolocalización.

Por ejemplo, con la mejor app para iPhone de Twitter, Tweetdeck, si subes la foto a Yfrog o Twitpic esta llega limpia de datos de localización. Intuyo que es porque estos servicios, al usarlos desde Tweetdeck hacen una transformación intermedia ya que la imagen queda más reducida que su tamaño real. En esta transformación supongo que se pierdan los datos.

Ojo porque en cambio, subiendo una foto a través del Tweetdeck para escritorio a Tweetphoto, sí que conservó esta información. En resumen las pruebas que hecho corroboran la idea de los creadores de I can Stalk You de que los servicios que no almacenan los datos de geolocalización de una foto lo hacen por algún error o de forma inconsciente que más por cuidar la privacidad de sus usuarios.

Opción recomendada: desactivar geolozalicación para la cámara de móvil o no subir las fotos que nos puedan comprometer. También podríamos borrar manualmente datos EXIF a través de un editor.

Probablemente te encuentres uno de estos días con este mensaje en tu página de inicio de Facebook:

Estupendo. Voy a darle a “Más información” a ver si me sale una explicación sencilla y clara de cómo gestionar la privacidad en Facebook. ¿Qué nos encontramos? Una pedazo de guía de privacidad:

• Facebook | Guía de la privacidad

Y con pedazo quiero decir que eso no se lo va a leer ni el 90% de los usuarios de Facebook. Ellos lo que quieren es no pensar, y no tener que trabajar ni esforzarse: que les pongan las cosas fáciles.

Así que cuando vas Editar tu configuración de privacidad te dan 5 “packs” de privacidad contando con el que ya tienes para que elijas el que más te convenga. ¿Cuál elegiría un usuario medio-principiante? Obviamente el recomendado. Es decir, este:

No sé si os sorprende, pero a mí, que la opción recomendada sea que todas las fotos que subes las vean todos los usuarios y que aquellas en las etiqueten las puedan ver hasta amigos de tus amigos me parece un error.

De hecho fijaros cuál es mi configuración de privacidad actual según esa tabla:

¿Por qué está casi llena la columna de otros? Porque sencillamente estoy usando la opción de asignar permisos a listas de amigos que ya expliqué en Blogoff. Eso me permite que haya algunas cosas que sólo las pueden ver un grupo determinado dentro mis amigos.

Por lo tanto, la configuración más restrictiva de las 5 que me ofrecen, sorprendentemente es la que ya tenía. Hay muchas más cosas para gestionar tu información en Facebook que ponerlo todo para Sólo amigos. Pero claro, lleva algo de curro y de lectura.

No todo van a ser palos para Facebook: me parece estupendo que los usuarios puedan ver de forma clara y de un plumazo cuál es su configuración de privacidad actual porque por mi trabajo y mi trato con ellos me consta de que no tienen ni la más mínima idea. Ahora, solucionado este problema estaría bien que la configuración recomendada fuera muchísimo más restrictiva.

El problema ha sido que al ponerte en la piel de esa persona específica, también podías acceder a sus mensajes a su última sesión de chat. El bug según ha informado Facebook a TechCrunch sólo estuvo operativo durante un periodo de tiempo. Yo me lo creo porque he usado esa opción bastantes veces para mis charlas sobre seguridad en redes sociales y nunca me pasó algo parecido pero el vídeo da miedo.

No creo que sea un fake, más que nada porque Facebook ha desactivado el chat temporalmente. Por algo será.

Gmail ha activado por defecto la conexión por HTTPS a sus servidores y en Wired hacen un gran análisis al respecto. Desde mi punto de vista ya lo tenían que haber hecho hace tiempo pero como suele pasar, tienen que aparecer ataques mediáticos, esta vez en China, para que Google se ponga las pilas. Eso sí, hay que recordar que ni Hotmail ni Yahoo! han hecho este movimiento.

Como bien dicen en Wired, el cambio puede resultar engañoso y se vende como más seguro de lo que es. Lo que se encripta no es el contenido de tu correo electrónico sino el paso del correo de tu navegador a los servidores de Google. Una encriptación de la buena haría que el correo sólo fuera visible por el emisor y el receptor, independientemente de quien se metiera por el medio.

Si por lo que sea la conexión HTTPS ralentiza tu conexión o eres más chulo que un ocho y la encriptación no va contigo puedes desactivar esta opción en el menú de Configuración de Gmail:

Me resulta curioso que a pesar de la cantidad de noticias sobre hackers, crackers y robos de datos confidenciales en la red, en lo que se refiere al correo electrónico la llamada “ingeniería social” sigue siendo la reina de los agujeros de seguridad. Y pasa lo mismo con las redes sociales como vimos en el caso de Tuenti. Por lo tanto al día de hoy no sé si los servicios en la nube harían más por su seguridad aplicando todos HTTPS o eliminando la opción de “recuperar contraseña por pregunta secreta” que tanto daño ha hecho.

foto: quemandochirucas

Tengo el correo electrónico en Gmail, las presentaciones en Slideshare, los tutoriales alojados en Vimeo o en Youtube, documentos de trabajo compartidos almacenados en Google docs, mi cuenta de Facebook. Recopilo mucha información en Netvibes, tengo mis enlaces en Delicious, algunas fotos en Flickr, y pongo mis pequeños comentarios en Twitter. Cada vez menos cosas en la web del servidor de mi centro, cada vez menos en mi ordenador personal, cada vez más información en servidores que ni mi organización ni yo controlamos.

De forma similar muchas empresas e instituciones utilizan espacios en servidores virtuales para alojar sus propias aplicaciones y desarrollos informáticos, y almacenar sus datos. La computación en la nube se ha convertido en un servicio eficiente, barato y fácilmente accesible no sólo para los individuos sino también para pequeñas empresas, centros de investigación y organizaciones administrativas. No se trata de que las empresas tengan sus propios servidores situados en otras empresas, es que ni siquiera tienen “sus servidores”.

Estos días se publica en Technology Review un excelente y extenso artículo de 8 páginas titulado “Security in the Ether” , de David Talbot, que trata del tema y que pretendo resumir aquí con algún comentario de mi cosecha.

Se puede decir que el 2009 ha sido un año de espectacular crecimiento de datos en “la nube”, concepto difundido a partir del EC2 (Elastic Compute Cloud) de Amazon en 2006, cuando esta empresa ofrecía el alquiler de espacio en servidores virtuales a terceros para utilizar sus propias aplicaciones y programas. El alquiler era elástico porque las aplicaciones se podían crear y configurar en instantes, porque se podía aumentar el espacio en el servidor y desaparecían aplicaciones y espacios cuando ya no se necesitaban. Tanto Amazon como Google, Salesforce o Microsoft han sido los grandes proveedores de la nube, ofreciendo espacio en servidores, servicios y alojamiento de datos. Empresas como The New York Times (información), Pfizer (medicamentos), La Alcaldía de Los Angeles (administración) utilizan los servicios virtuales de la nube.

Pero la nube tiene sus riesgos, especialmente cuando en un mismo servidor operan simultáneamente algunos programas (por ejemplo, del tipo Oz-like). Sería posible atacar y obtener datos mediante un programa de espionaje que entrase a la memoria compartida en el servidor virtual. Hasta hace poco se pensaba que era imposible, en la inmensidad de la nube, atacar de esa manera a un servidor remoto. Pero recientes experimentos llevados a cabo por científicos de la Universidad de California, San Diego, y el MIT han demostrado que sí es posible: el experimento se hizo sobre máquinas virtuales que contrataron en Amazon. No obstante Amazon argumentó que nadie había atacado su EC2 de ese modo y que la compañía había puesto solución a ese posible ataque.

A pesar del riesgo, tanto los individuos como las empresas e instituciones necesitan y utilizan estos servicios: no hay que ocuparse del hardware, se pueden contratar programas y aplicaciones. La actualización y el mantenimiento corren a cargo de los proveedores. El negocio ha pasado de contratar hardware a contratar software, cuantas más personas utilizan un software más barata resulta su contratación. El crecimiento de la nube depende la cantidad de angelitos incautos que volamos sobre ella, pero los riesgos de seguridad en su mantenimiento también aumentan con la cantidad de personas que utilizan el mismo software y el mismo hardware.

Los riesgos no sólo provienen de los posibles ataques externos, pueden existir averías de los proveedores que eliminarán millones de datos de miles de usuarios a la vez. Pero los defensores de la nube argumentan que los servidores virtuales son mucho más seguros y están mucho mas controlados que nuestros ordenadores personales y nuestros USB, Iphones, etc. En esto creo que llevan bastante razón, especialmente cuando nuestros dispositivos están conectados a las redes: “Si deseas que tu ordenador sea seguro, desconéctalo de fuentes externas, no lo unas a la red, aléjalo de las ventanas y guárdalo en una caja fuerte”.

No obstante John Chambers (director de Cisco Systems) llamó a la nube “pesadilla de seguridad” y Ron Rivest (científico del MIT) la calificó de “pantano de la informática”. Peter Mell (NIST. National Institute of Standards and Technology Computer Security Division) habla de la necesidad de revisar el funcionamiento de la nube y de la importancia de establecer normas que garanticen la seguridad. Es necesario que los usuarios puedan pasar sus datos de unos servidores de la nube otros con facilidad, con seguridad y con eficacia: interoperabilidad entre Facebook y Myspace, por ejemplo.

Se intenta aumentar la seguridad y la privacidad con “murallas virtuales” que contemplan la creación de espacios más restrictivos, memorias virtuales en ordenadores diferentes y otros mecanismos para hacer software más seguro. Otras soluciones actualmente, por parte de los clientes, pasan por utilizar sistemas mixtos en los que las aplicaciones y los datos clave se mantienen en local, y se aprovecha de la nube lo que no genera riesgo, infrautilizándola. Otra opción es la de mantener los datos claves encriptados en la nube y copias sin encriptar en nuestros ordenadores. Pero eso plantea problemas porque los datos encriptados apenas se pueden utilizar: no permiten búsquedas, recuperación de informaciones precisas, ni realización de cálculos.

La solución a la seguridad debe encontrase en el desarrollo de nuevos modelos de encriptación que solucionen los problemas anteriores y, además, establecer niveles de acceso según los diferentes tipos de usuarios. Ello permitiría la amplia utilización de la nube por instituciones como hospitales y otras instituciones “ciudadanas”. Concluye David Talbot diciendo que no es la primera vez que una innovación tecnológica que ofrece grandes beneficios conlleva riesgos de seguridad en sus comienzos, la sustitución del telégrafo por la radio es un ejemplo que llegó a un buen fin gracias al descubrimiento de sistemas de encriptación adecuados.

La seguridad debe prevenir el control político de la nube y el monopolio que se puede generar sobre el desarrollo de la red. De ello nos alerta Jonathan Zittrain en The future of the Internet and How to Stop It” . Si todos utilizamos las mismas aplicaciones “pret-a-porter” la creatividad de la red se verá mermada. Mi opinión es que la creatividad no tiene límites y que si algo tenemos las personas es capacidad para aburrirnos de lo que siempre nos ofrecen y querer cosas nuevas. Eso es ocurrirá también en la nube.