 |
| Botnet Carna |
Durante seis meses se hizo un scan de Internet usando una botnet de más de cuatrocientos mil equipos y han puesto los datos obtenidos en el dominio público. A continuación el enlace al proyecto:
Internet Census 2012
jueves, 28 de marzo de 2013
Las dimensiones del problema
Al hilo del artículo anterior sobre las claves por defecto en dispositivos conectados a Internet, hay un estudio impresionante sobre un scan de toda Internet, donde el autor del estudio montó una red a base de equipos que "tomó prestados" gracias a que estaban "protegidos" con claves por defecto.
Durante seis meses se hizo un scan de Internet usando una botnet de más de cuatrocientos mil equipos y han puesto los datos obtenidos en el dominio público. A continuación el enlace al proyecto:
Internet Census 2012
Durante seis meses se hizo un scan de Internet usando una botnet de más de cuatrocientos mil equipos y han puesto los datos obtenidos en el dominio público. A continuación el enlace al proyecto:
Internet Census 2012
La clave por defecto
Actualmente hay una gran variedad de equipos, aparte de los ordenadores, que se conectan a Internet: teléfonos, impresoras, discos, televisiones, consolas, cámaras, etc... Estos equipos normalmente son gestionables fácilmente a través de un navegador web o algún método similar. Por ejemplo, la imagen siguiente es la web de configuración de un teléfono IP Grandstream:
Estos equipos normalmente tienen una clave por defecto (o ninguna) para acceder por primera vez. Es imprescindible cambiar esa clave "por defecto" y que sea lo más fuerte que nos sea posible, ya que ese dispositivo puede estar expuesto en Internet y podría acceder cualquiera.
Cuando nos conectamos a Internet en realidad nos conectamos a una red de escala mundial, una red que puede contener del orden de cuatro mil millones de equipos diferentes conectados. Eso quiere decir que podemos comunicarnos con el resto de la red, y también que la red se puede conectar con nosotros, para lo bueno y para lo malo.
Así que ya sabéis, cambiad las claves.
Estos equipos normalmente tienen una clave por defecto (o ninguna) para acceder por primera vez. Es imprescindible cambiar esa clave "por defecto" y que sea lo más fuerte que nos sea posible, ya que ese dispositivo puede estar expuesto en Internet y podría acceder cualquiera.
Cuando nos conectamos a Internet en realidad nos conectamos a una red de escala mundial, una red que puede contener del orden de cuatro mil millones de equipos diferentes conectados. Eso quiere decir que podemos comunicarnos con el resto de la red, y también que la red se puede conectar con nosotros, para lo bueno y para lo malo.
Así que ya sabéis, cambiad las claves.
martes, 19 de marzo de 2013
lunes, 18 de marzo de 2013
La privacidad no sólo es cosa mía
Por desgracia eso es así.
Por mucho que nos preocupemos por mantener nuestros datos a salvo de indeseables, nos encontramos con que los proveedores de servicios son objeto de ataques informáticos con el objeto de robar sus bases de datos. Y en esas bases de datos puede haber muchas cosas nuestras... el último gran ataque del que yo tengo constancia a fecha de hoy es el sufrido por Evernote, donde al parecer quedaron comprometidos los datos de ¡50 millones de cuentas!
[1] Evernote Hack Exposes User Data, Forces Extensive Password Resets.
Por mucho que nos preocupemos por mantener nuestros datos a salvo de indeseables, nos encontramos con que los proveedores de servicios son objeto de ataques informáticos con el objeto de robar sus bases de datos. Y en esas bases de datos puede haber muchas cosas nuestras... el último gran ataque del que yo tengo constancia a fecha de hoy es el sufrido por Evernote, donde al parecer quedaron comprometidos los datos de ¡50 millones de cuentas!
[1] Evernote Hack Exposes User Data, Forces Extensive Password Resets.
[2] Evernote introduce verificación en dos pasos tras sufrir ataque informático.
[3] Alarma en Evernote por un 'hacker' que ha accedido a datos personales de los usuarios.
Esto debería hacernos pensar acerca de los datos que les confiamos a los proveedores.
Privacidad en el correo electronico (I)
Internet está cada vez más presente en la vida diaria y cada vez es más común que en establecimientos de ocio nos ofrezcan acceder a la red como un valor añadido del local. En cafeterías, restaurantes, parques públicos, bibliotecas etc... es habitual encontrarnos que tenemos acceso a Internet de manera inalámbrica mediante tecnología Wi-Fi.
Por lo que respecta a la privacidad es mejor considerar esos espacios como hostiles, ya que son de uso público y es muy fácil espiar el tráfico. Para intentar evitar que nos espíen es muy conveniente realizar únicamente comunicaciones cifradas, lo cual es más fácil de lo que parece.
Por ejemplo, una actividad común en Internet es el envío y recepción de correo electrónico. Si usamos espacios públicos para descargar y leer correo, es mejor que configuremos nuestro programa de correo electrónico para que use cifrado.
Si el correo lo leemos a través de la web, probablemente ya está cifrado. En este caso debemos fijarnos en la barra de direcciones para ver si el protocolo es https, como muestra esta imagen de gmail:
Si en vez de leer el correo mediante un navegador, usamos un cliente de correo pues debemos tener en cuenta dos cosas:
En otros clientes de correo se configura de manera similar. Usando cifrado lo que conseguimos es que el tráfico del correo descargado, ya sea por protocolo IMAP o POP3 quede oculto a los ojos de los curiosos.
Por supuesto lo mismo aplica para enviar correo, configurando convenientemente el servidor smtp de salida. En este caso se pueden usar SSL o STARTTLS como métodos de cifrado, dependiendo de lo que indique nuestro proveedor:
De esta manera nos aseguramos por lo menos de que el tráfico va cifrado en el trayecto entre nuestra máquina y los servidores del proveedor, haciendo muy complicado espiar ese tráfico.
Por lo que respecta a la privacidad es mejor considerar esos espacios como hostiles, ya que son de uso público y es muy fácil espiar el tráfico. Para intentar evitar que nos espíen es muy conveniente realizar únicamente comunicaciones cifradas, lo cual es más fácil de lo que parece.
Por ejemplo, una actividad común en Internet es el envío y recepción de correo electrónico. Si usamos espacios públicos para descargar y leer correo, es mejor que configuremos nuestro programa de correo electrónico para que use cifrado.
Si el correo lo leemos a través de la web, probablemente ya está cifrado. En este caso debemos fijarnos en la barra de direcciones para ver si el protocolo es https, como muestra esta imagen de gmail:
Si en vez de leer el correo mediante un navegador, usamos un cliente de correo pues debemos tener en cuenta dos cosas:
- que nuestro proveedor de correo admita cifrado, como SSL, y básicamente todos lo hacen.
- configurar nuestro cliente de correo para que use SSL.
En otros clientes de correo se configura de manera similar. Usando cifrado lo que conseguimos es que el tráfico del correo descargado, ya sea por protocolo IMAP o POP3 quede oculto a los ojos de los curiosos.
Por supuesto lo mismo aplica para enviar correo, configurando convenientemente el servidor smtp de salida. En este caso se pueden usar SSL o STARTTLS como métodos de cifrado, dependiendo de lo que indique nuestro proveedor:
De esta manera nos aseguramos por lo menos de que el tráfico va cifrado en el trayecto entre nuestra máquina y los servidores del proveedor, haciendo muy complicado espiar ese tráfico.
domingo, 17 de marzo de 2013
Es importante leer las políticas de privacidad
En un uso habitual de Internet acabamos registrándonos en un sinfín de sitios que nos proporcionan ciertos servicios, por ejemplo correo electrónico, llamadas de voz y vídeo, redes sociales etc...
Muchos de estos sitios son gratuitos, pero es obvio que tienen un modelo de negocio y tienen que sacar dinero de algo. Hace algún tiempo leí una frase que decía algo así como que si te están ofreciendo algo gratis, entonces el producto que se vende eres tú. Y desde luego lo más fácil de obtener de los usuarios de esos servicios gratuitos son tanto sus datos personales como sus hábitos de navegación.
Normalmente todos estos sitios disponen de una página explicando sus condiciones de servicio, e incluso a veces nos informan específicamente de su política de privacidad, diciéndonos que datos nuestros recaban y que uso hacen de ellos. Por ejemplo este blog está hecho en la plataforma de Blogger, que pertenece a Google, y podemos encontrar fácilmente tanto las condiciones de uso como su política de privacidad.
Si nos importa conocer cuales son los datos que obtienen y que uso hacen de ellos es importante leernos esas políticas y conocer por lo menos su "declaración de intenciones".
A modo de curiosidad, y como ejemplo para que se vea en que están tan interesados, Google nos dice específicamente en su política de privacidad que va a recoger los siguientes datos proporcionados voluntariamente por nosotos: nombre, correo electrónico, número de teléfono, número de la tarjeta de crédito etc... y además van a recoger otra serie de datos que no se los damos voluntariamente, sino que a medida que hacemos uso del servicio los van obteniendo. Aquí estarían datos sobre el dispositivo usado para acceder al servicio (modelo, versión, número de teléfono...), datos del registro (búsqueda realizada, dirección IP, ajustes del hardware, cookies...), datos sobre tu ubicación física (GPS, antenas Wi-Fi y de telefonía móvil cercanas...), datos en el almacenamiento local, etc...
Independientemente de que estemos más o menos deacuerdo con las políticas de estos servicios, es importante leerlas para saber en donde nos metemos y ser consecuentes con ello.
sábado, 16 de marzo de 2013
La privacidad
Antes de entrar en artículos más concretos sobre la privacidad, creo que primero sería interesante conocer un poco de qué estamos hablando. ¿Que es eso de la privacidad?
Pues bien, según el diccionario de la Real Academia Española la privacidad es:
La Constitución Española de 1978 reconoce la declaración, como se recoge en el artículo 10, apartado 2:
Además la Constitución recoge como derecho el de la inimidad personal en su artículo 18:
Pues bien, hasta aquí todo está muy claro. Tenemos derecho a la intimidad personal. El problema es que hay ciertos intereses comerciales, políticos, delictivos, etc... con gran interés por obtener datos personales nuestros para obtener sus objetivos, que pueden ser desde influir en nosotros o vendernos cosas hasta robarnos etc...
El uso habitual e intensivo de Internet para nuestra vida diaria multiplica enormemente la posibilidad de que datos personales acaben en malas manos, y si esa posibilidad nos importa pues es interesante seguir una serie de buenas prácticas para hacer lo más difícil posible que nuestra información personal acabe en cualquier sitio haciéndose uso de ella sin nuestro conocimiento y consentimiento.
En los pequeños artículos que seguirán a este intentaré mostrar algunas de esas buenas prácticas y también publicaré algunos de los incidentes que vayan ocurriendo y que tengan que ver con este tema.
Pues bien, según el diccionario de la Real Academia Española la privacidad es:
privacidad.
Bien, parece de sentido común que hay aspectos de nuestra vida que queremos que se mantengan en el ámbito privado, o al menos que si los compartimos pues queremos ser nosotros individualmente quienes decidamos con quién lo hacemos.
¿Y eso es importante?
Bueno, supongo que cada cual le dará la importancia que quiera darle, pero es lo suficientemente importante como para que se haya decidido que forme parte nada más y nada menos que de la Declaración Universal de los Derechos Humanos, que en su artículo 12 dice:
Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.
La Constitución Española de 1978 reconoce la declaración, como se recoge en el artículo 10, apartado 2:
Las normas relativas a los derechos fundamentales y a las libertades que la Constitución reconoce se interpretarán de conformidad con la Declaración Universal de Derechos Humanos y los tratados y acuerdos internacionales sobre las materias ratificados por España
Además la Constitución recoge como derecho el de la inimidad personal en su artículo 18:
1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en el sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Pues bien, hasta aquí todo está muy claro. Tenemos derecho a la intimidad personal. El problema es que hay ciertos intereses comerciales, políticos, delictivos, etc... con gran interés por obtener datos personales nuestros para obtener sus objetivos, que pueden ser desde influir en nosotros o vendernos cosas hasta robarnos etc...
El uso habitual e intensivo de Internet para nuestra vida diaria multiplica enormemente la posibilidad de que datos personales acaben en malas manos, y si esa posibilidad nos importa pues es interesante seguir una serie de buenas prácticas para hacer lo más difícil posible que nuestra información personal acabe en cualquier sitio haciéndose uso de ella sin nuestro conocimiento y consentimiento.
En los pequeños artículos que seguirán a este intentaré mostrar algunas de esas buenas prácticas y también publicaré algunos de los incidentes que vayan ocurriendo y que tengan que ver con este tema.
Propósito del blog
Bienvenidos a este espacio personal.
Tengo cierto interés personal y profesional en el tema de la privacidad en Internet y mi idea es ir publicando pequeños artículos en este blog acerca de buenas prácticas a la hora de usar Internet para intentar hacer difícil que los amigos de lo ajeno espíen nuestros pasos por la red.
Espero que le sea de utilidad a alguien.
Tengo cierto interés personal y profesional en el tema de la privacidad en Internet y mi idea es ir publicando pequeños artículos en este blog acerca de buenas prácticas a la hora de usar Internet para intentar hacer difícil que los amigos de lo ajeno espíen nuestros pasos por la red.
Espero que le sea de utilidad a alguien.
Suscribirse a:
Entradas (Atom)