Algunas noticias que han salido a lo largo de la semana relacionadas con la privacidad:
[Terra.es] Privacidad: Nuevas guías para aplicaciones móviles
[tuexpertoapps.com] Asegura la privacidad de tus comunicaciones con estas apps para Android
[yahoo.com] SIM Card Vulnerability Can Give Hackers Control Of 750 Million Phones
[totaltele.com] SIM card vulnerability leaves millions at risk
[scmagazine.com] Hundreds of millions at risk from SIM card vulnerability
[muyseguridad.net] El cifrado DES de tarjetas SIM es vulnerable
[lagaceta.com.ar] Logran "hackear" la tarjeta SIM
martes, 30 de julio de 2013
martes, 23 de julio de 2013
La semana en términos de privacidad
Algunas noticias que han salido a lo largo de la semana relacionadas con la privacidad:
[El Pais] EE UU presiona en la sombra para frenar la normativa de privacidad europea
[Europapress] Facebook prueba 'Graph search' en español y recomienda revisar la privacidad
[Europapress] "Cláusulas abusivas" e incumplimientos de privacidad en empresas de envío de dinero
[Intereconomía] Sony reabre el debate sobre la privacidad y los 'gadgets'
[tuexperto] El fundador de Mega financiará proyectos de privacidad online
[Genbeta] Lavabit, un servicio de correo que garantiza nuestra privacidad
[El Pais] EE UU presiona en la sombra para frenar la normativa de privacidad europea
[Europapress] Facebook prueba 'Graph search' en español y recomienda revisar la privacidad
[Europapress] "Cláusulas abusivas" e incumplimientos de privacidad en empresas de envío de dinero
[Intereconomía] Sony reabre el debate sobre la privacidad y los 'gadgets'
[tuexperto] El fundador de Mega financiará proyectos de privacidad online
[Genbeta] Lavabit, un servicio de correo que garantiza nuestra privacidad
domingo, 21 de julio de 2013
Las autoridades de certificacion
En un artículo anterior hablábamos de cifrar y firmar el correo electrónico usando certificados X509. Comentaba que esos certificados son generados por autoriades de certificación en las que confía todo el mundo.
¿Quienes son esas autoridades de certificación que generan esos certificados?
Pues en general son empresas reconocidas y que cobran por sus servicios. Se pueden ver unas cuantas autoridades en el menú de certificados de cualquier navegador, por ejemplo, en firefox:
Digicert, Entrust, RSA Security, Thawte, VeriSign etc... son autoridades de certificación que ofrecen diferentes tipos de certificados como su modelo de negocio, de pago. Hay otras autoridades que emiten certificados de manera grauita, como puede ser CAcert.
De la Wikipedia:
En España también se pueden obtener certificados de manera gratuita, por ejemplo si tenemos el DNIe (documento nacional de identidad electrónico) pues ya tenemos un certificado otorgado por el gobierno de España a través de la dirección General de la Policía.
También se puede obtener de manera gratuita un certificado personal, perfectamente utilizable para propósitos de cifrado y firma de correo, a través de la FNMT (CERES), aunque tradicionalmente se ha usado para la relación de los ciudadanos con hacienda.
Y todavía queda una tercera forma de generar certificados, que es autogenerándolos, ya sea mediante el autofirmado de certificados o creándonos nuestra propia autoridad de certificación. En próximas entradas nos crearemos nuestra propia autoridad y generaremos nuestros certificados.
¿Quienes son esas autoridades de certificación que generan esos certificados?
Pues en general son empresas reconocidas y que cobran por sus servicios. Se pueden ver unas cuantas autoridades en el menú de certificados de cualquier navegador, por ejemplo, en firefox:
Digicert, Entrust, RSA Security, Thawte, VeriSign etc... son autoridades de certificación que ofrecen diferentes tipos de certificados como su modelo de negocio, de pago. Hay otras autoridades que emiten certificados de manera grauita, como puede ser CAcert.
De la Wikipedia:
"Estos certificados pueden ser usados para firmar y cifrar correo electrónico, identificar y autorizar usuarios conectados a sitios web y transmisión segura de datos en Internet. Cualquier aplicación que soporte Secure Socket Layer (SSL) puede usar certificados firmados por CAcert, tal como lo puede hacer cualquier aplicación que use certificados X.509, por ejemplo para cifrar o firmar documentos digitalmente."
En España también se pueden obtener certificados de manera gratuita, por ejemplo si tenemos el DNIe (documento nacional de identidad electrónico) pues ya tenemos un certificado otorgado por el gobierno de España a través de la dirección General de la Policía.
También se puede obtener de manera gratuita un certificado personal, perfectamente utilizable para propósitos de cifrado y firma de correo, a través de la FNMT (CERES), aunque tradicionalmente se ha usado para la relación de los ciudadanos con hacienda.
Y todavía queda una tercera forma de generar certificados, que es autogenerándolos, ya sea mediante el autofirmado de certificados o creándonos nuestra propia autoridad de certificación. En próximas entradas nos crearemos nuestra propia autoridad y generaremos nuestros certificados.
miércoles, 17 de julio de 2013
Privacidad en el correo electrónico (III): certificados X509
Además de GnuPG, que requiere la instalación y manejo de un software para el cifrado y firmado del correo, también podemos usar certificados X509 para obtener el mismo resultado.
Tanto GnuPG como X509 usan un mecanismo de cifrado asimétrico con dos claves, una pública y otra privada.
X509 es un estándar que, entre otras cosas, establece un formato para un certificado de clave pública. Si poseemos un certificado X509 a nuestro nombre, lo que tenemos es un archivo que contiene nuestra clave pública y la certificación de que nos pertenece y nos identifica. Esa certificación la realiza una autoridad en la que, en principio, confía todo el mundo.
Ese archivo puede ser descargado y usado por cualquiera para cerciorarse de que aquello que les enviamos (cifrado o no) lo ha enviado el propietario del certificado. También puede se usada esa clave pública para que cualquiera nos pueda enviar información cifrada a nosotros, titulares del certificado.
El par de claves, una vez las obtengamos de alguna autoridad de certificación las podemos importar a nuestro cliente de correo (y navegador, si lo necesitamos), usándolas para cifrar, descifrar y firmar correos electrónicos o documentos, como por ejemplo para realizar la declaración de la renta.
En la imagen siguiente se muestra el menú de "certificados" del cliente de correo Thunderbird, desde donde se pueden importar los certificados:
En la imagen siguiente se muestra el menú de configuración para indicar el certificado a utilizar para cifrar o firmar el correo electrónico del cliente de correo Thunderbird:
Posteriormente al enviar un correo se puede indicar si se quiere cifrar o firmar, y si lo ciframos atravesará toda Internet hasta que llegue a su destinatario, complicando cualquier intento de capturar la información que se envíe.
Tanto GnuPG como X509 usan un mecanismo de cifrado asimétrico con dos claves, una pública y otra privada.
X509 es un estándar que, entre otras cosas, establece un formato para un certificado de clave pública. Si poseemos un certificado X509 a nuestro nombre, lo que tenemos es un archivo que contiene nuestra clave pública y la certificación de que nos pertenece y nos identifica. Esa certificación la realiza una autoridad en la que, en principio, confía todo el mundo.
Ese archivo puede ser descargado y usado por cualquiera para cerciorarse de que aquello que les enviamos (cifrado o no) lo ha enviado el propietario del certificado. También puede se usada esa clave pública para que cualquiera nos pueda enviar información cifrada a nosotros, titulares del certificado.
El par de claves, una vez las obtengamos de alguna autoridad de certificación las podemos importar a nuestro cliente de correo (y navegador, si lo necesitamos), usándolas para cifrar, descifrar y firmar correos electrónicos o documentos, como por ejemplo para realizar la declaración de la renta.
En la imagen siguiente se muestra el menú de "certificados" del cliente de correo Thunderbird, desde donde se pueden importar los certificados:
En la imagen siguiente se muestra el menú de configuración para indicar el certificado a utilizar para cifrar o firmar el correo electrónico del cliente de correo Thunderbird:
Posteriormente al enviar un correo se puede indicar si se quiere cifrar o firmar, y si lo ciframos atravesará toda Internet hasta que llegue a su destinatario, complicando cualquier intento de capturar la información que se envíe.
martes, 16 de julio de 2013
La EFF (Electronic Frontier Foundation) demanda a la NSA, FBI...
La EFF y otras 19 organizaciones (de momento) se unen en una demanda por la vigilancia electrónica indiscriminada realizada por la NSA, FBI...
[Washintong Post] Broad coalition sues feds to halt electronic surveillance by National Security Agency
[Washintong Post] Broad coalition sues feds to halt electronic surveillance by National Security Agency
domingo, 14 de julio de 2013
Privacidad en el correo electrónico (II): GnuPG
En el primer artículo sobre privacidad en el correo, vimos como cifrar la conexión entre nuestro cliente de correo y el servidor del que leemos o al que le enviamos el correo. De esa manera nos aseguramos de que si nos conectamos en un acceso público (la wifi de una cafetería...) y hay alguien capturando el tráfico pues no va a ver en claro los correos que enviamos y leemos.
Hay que tener claro que lo que aseguramos es únicamente ese tramo en el que nosotros enviamos o recibimos, si alguien está analizando tráfico en otro tramo (tráfico entre servidores o al otro extremo del envío) pues es muy probable que ese tráfico esté en claro y pueda ser leído.
Para asegurar todo el camino lo más adecuado es cifrar el correo y enviarlo cifrado. El receptor dispondrá de las claves adecuadas para descifrar lo que se le envíe y viceversa.
GnuPG es un software (libre y gratuito) que nos permite realizar ese cifrado, además de poder también firmar electrónicamente el correo. Utiliza criptografía asimétrica y está disponible para diferentes sistemas operativos (*BSD, Linux, Windows, Mac).
Los programas clientes de correo manejan GnuPG de manera nativa o bien mediante algún plugin, como Enigmail para Thunderbird, haciendo fácil el manejo del cifrado, descifrado y firmado del correo. Los navegadores también disponen de add-ons para manejar GnuPG, lo cual es útil por ejemplo si usamos correo vía webmail.
En la imagen siguiente se muestra el menú de configuración de Thunderbird para elegir la clave GnuPG a utilizar:
Posteriormente al enviar un correo se puede indicar si se quiere cifrar o firmar, y si lo ciframos atravesará toda Internet hasta que llegue a su destinatario, complicando cualquier intento de capturar la información que se envíe.
Hay que tener claro que lo que aseguramos es únicamente ese tramo en el que nosotros enviamos o recibimos, si alguien está analizando tráfico en otro tramo (tráfico entre servidores o al otro extremo del envío) pues es muy probable que ese tráfico esté en claro y pueda ser leído.
Para asegurar todo el camino lo más adecuado es cifrar el correo y enviarlo cifrado. El receptor dispondrá de las claves adecuadas para descifrar lo que se le envíe y viceversa.
GnuPG es un software (libre y gratuito) que nos permite realizar ese cifrado, además de poder también firmar electrónicamente el correo. Utiliza criptografía asimétrica y está disponible para diferentes sistemas operativos (*BSD, Linux, Windows, Mac).
Los programas clientes de correo manejan GnuPG de manera nativa o bien mediante algún plugin, como Enigmail para Thunderbird, haciendo fácil el manejo del cifrado, descifrado y firmado del correo. Los navegadores también disponen de add-ons para manejar GnuPG, lo cual es útil por ejemplo si usamos correo vía webmail.
En la imagen siguiente se muestra el menú de configuración de Thunderbird para elegir la clave GnuPG a utilizar:
Posteriormente al enviar un correo se puede indicar si se quiere cifrar o firmar, y si lo ciframos atravesará toda Internet hasta que llegue a su destinatario, complicando cualquier intento de capturar la información que se envíe.
sábado, 13 de julio de 2013
La semana en términos de privacidad
A continuación una serie de enlaces a noticias aparecidas en diferentes medios relacionadas con el tema de la privacidad que han aparecido en esta semana:
[El Economista] Emprendedores espanoles crean una aplicación móvil para garantizar la privacidad en la red
[Xataca] Paranoicos de la privacidad: Alternativas Open Source a servicios web de éxito (I)
[Faro de Vigo] La preocupación por la privacidad cede terreno en internet
[Cinco Días] ¿Respeta mi correo electrónico mi privacidad?
[ALT1040] La política de privacidad de Google recibe un ultimátum en Europa
[Diario de Avisos] El fin de la privacidad | Me alegra que me lo digas
[Lawyerpress] “¡OK, GLASS!”: ¿El fin de nuestra privacidad?
[Etcétera] La vida digital y los riesgos de la privacidad
[El Economista] Emprendedores espanoles crean una aplicación móvil para garantizar la privacidad en la red
[Xataca] Paranoicos de la privacidad: Alternativas Open Source a servicios web de éxito (I)
[Faro de Vigo] La preocupación por la privacidad cede terreno en internet
[Cinco Días] ¿Respeta mi correo electrónico mi privacidad?
[ALT1040] La política de privacidad de Google recibe un ultimátum en Europa
[Diario de Avisos] El fin de la privacidad | Me alegra que me lo digas
[Lawyerpress] “¡OK, GLASS!”: ¿El fin de nuestra privacidad?
[Etcétera] La vida digital y los riesgos de la privacidad
Alternativas a buscadores
El buscador por excelencia, y que viene como buscador por defecto en prácticamente todos los navegadores es Google. Tienen también su propio navegador: Chrome.
Tanto por su política de privacidad (ya indicamos la cantidad de datos que ellos mismos decían que almacenaban en un artículo anterior) como por su posible implicación en el programa Prism de la NSA, pues ha llegado el momento de buscar alguna alternativa donde la privacidad de los usuarios se tenga en consideración.
Uno de esos sitios es DuckDuckGo, el cual le da mucha importancia a la privacidad de los usuarios.
Otro es Ixquick, y también se toman la privacidad en serio.
El consejo es procurar no usar Google e intentar hacer las búsquedas con buscadores que respeten a sus usuarios. De esa manera quizás las corporaciones se den cuenta que pueden perder a sus usuarios y con ellos su modelo de negocio.
Esos buscadores se pueden poner en los navegadores como la página de inicio y acostumbrarnos a hacer las búsquedas con ellos. En Firefox también se pueden añadir a los motores de búsqueda mediante los add-ons.
Tanto por su política de privacidad (ya indicamos la cantidad de datos que ellos mismos decían que almacenaban en un artículo anterior) como por su posible implicación en el programa Prism de la NSA, pues ha llegado el momento de buscar alguna alternativa donde la privacidad de los usuarios se tenga en consideración.
Uno de esos sitios es DuckDuckGo, el cual le da mucha importancia a la privacidad de los usuarios.
Otro es Ixquick, y también se toman la privacidad en serio.
El consejo es procurar no usar Google e intentar hacer las búsquedas con buscadores que respeten a sus usuarios. De esa manera quizás las corporaciones se den cuenta que pueden perder a sus usuarios y con ellos su modelo de negocio.
Esos buscadores se pueden poner en los navegadores como la página de inicio y acostumbrarnos a hacer las búsquedas con ellos. En Firefox también se pueden añadir a los motores de búsqueda mediante los add-ons.
viernes, 12 de julio de 2013
Más detalles sobre PRISM, NSA y como nos espían
El periódico The Guardian publica un artículo con detalles de como a través del programa PRISM las grandes corporaciones (Microsoft, Apple, Goolge...) ayudan a la NSA a obtener los datos de las comunicaciones de sus usarios.
Suscribirse a:
Entradas (Atom)