jueves, 25 de septiembre de 2008 0 comentarios

Revista (IN)Secure Magazine nº18

Ya se ha publicado el número 18 de la revista (IN)Secure Magazine. Los contenidos de esta edición son:
  • Network and information security in Europe today

  • Browser security: bolt it on, then build it in

  • Passive network security analysis with NetworkMiner

  • Lynis - an introduction to UNIX system auditing

  • Windows driver vulnerabilities: the METHOD_NEITHER odyssey

  • Removing software armoring from executables

  • Insecurities in privacy protection software

  • Compliance does not equal security but it's a good start

  • Secure web application development

  • The insider threat

  • Web application security: risky business?


Podéis descargar el ejemplar pulsando aquí.
lunes, 22 de septiembre de 2008 1 comentarios

De la segurarquía a la segurcracia

El titulo del post es una extensión del excelente escrito publicado el sábado por un nuevo blog en esto de la "seguridad de la información" cuyos autores Edgar y Daniel han titulado Eddasec haciendo un bonito juego de palabras con sus nombres y representando la D como un par de eslabones entrelazados.
En el post original cuyo título es "De la candidez a la segurcracia" se hace una exposición del concepto de "segurcracia" y lo importante que es hoy en día entender y encajar este nuevo "elemento" en las grandes organizaciones. Tal como expone el post de Eddasec:
En la actualidad, en concreto allí donde preocupan estas cuestiones, la “lucha” se centra en alcanzar el máximo equilibrio entre seguridad y operatividad, esto se traduce en que la seguridad no condiciona en gran medida la solución de todo proceso, funcionalidad, operativa, etc. En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participación en la definición de soluciones. Básicamente se constituye como una línea de trabajo vertical (muy centrada en temas técnicos) y no transversal a toda la organización.

Obviamente hay excepciones y en determinados casos la estrategia se basa en la seguridad (en una entidad financiera especialmente, PERO con diferencia está centrada únicamente en canales como Internet, banca telefónica, etc.). En definitiva, desde una visión pragmática, aún queda mucho trayecto para que la seguridad tenga voz y voto en cualquier órgano de decisión, tanto en el día a día como en grandes foros estratégicos de la organización.

Pensar durante 2 minutos cuantas reuniones, para tratar temas de carácter funcional, operativo, etc., se realizan a diario en vuestros respectivos trabajos en las que por regla general también asista alguien que pueda aportar implicaciones en términos de seguridad de todo tipo (legales, técnicas, operativas, etc.). Haberlas haylas! pero, enfatizo, ¿es por norma general y para toda clase de cuestiones?

Desde aquí queremos proyectar nuestra reflexión sobre la relevancia de lo que vendría a ser la “segurcracia” (ver definición). A priori, suena algo muy rígido, duro, etc. pero en el fondo la idea es muy simple y consiste en transmitir que la seguridad se convierta en un factor (de importante peso dadas las repercusiones que puede tener) a considerar en toda decisión operativa, estratégica, funcional, etc. de cualquier ámbito de la organización.



Quizás ahora vivimos las consecuencias de haber establecido en muchas organizaciones lo que podría llamarse la "segurarquía" o el "Gobierno por y para la Seguridad". Tras los acontecimientos del 11/S y 11/M, el miedo a ser vulnerable, el modelo humano de gestión del riesgo, la ausencia de control generó una respuesta basada en querer vigilarlo todo a cualquier hora y en cualquier lugar. La magnitud de los acontecimientos y su naturaleza nos llevaron a pensar que el campo de las amenazas a gestionar se había hecho muy grande (todo usuario podría ser una potencial bomba, todo pasajero es una amenaza a no ser que demuestre lo contrario) y entramos en un mundo que quería basar sus decisiones en la seguridad, una nueva segurarquía que sirviera para justificar una rebaja de los derechos adquiridos durante años a la presunción de inocencia y a la intimidad.

Y todo ese discurso político del miedo generó grandes gastos en seguridad, pero no en una seguridad racional basada en "análisis de riesgos" sino en una seguridad basada en lo psicológico y políticamente correcto, queriendo vender "protección" y "sensación" de seguridad en circunstancias que no pueden ser fácilmente gestionables. Para los políticos era más interesante querer vendernos la "nueva seguridad aérea" que pensar que las necesidades reales como posteriormente se han encargado de demostrar las catástrofes naturales. Estaban protegidos frente a la hipotética y poco probable acción del antrax pero no frente a la fuerza de un huracán en una zona frecuentemente afectada por ellos.

Y ahora volvemos de nuevo a poner un poco de racionalidad a todo, a pensar en la segurcracia como un nuevo modelo de gestión basado en la seguridad, sí, pero no a cualquier precio. Ahora el nuevo discurso somete la seguridad al correcto alineamiento con los objetivos de negocio. No vale imponer desde los departamentos técnicos que el correo corporativo se limita a 5 MB si nuestras necesidades laborales requieren un mayor buzón de correo. Esta nueva cultura debe ser aprendida ahora por los departamentos técnicos que deben entender que "el análisis de riesgos" es la mejor herramienta para justificar sus decisiones. El criterio de sacar el dedo o aplicar el sentido común ha caducado. No se trata tanto de poder decir que se tienen perfectamente todas las medidas de seguridad, sino justificar que se tienen justamente las más necesarias, aquellas que están minimizando los mayores riesgos, aquellos que la organización ha establecido que se deben gestionar. Aún queda tiempo para que esta nueva cultura cale, pero al menos el proceso de certificación ISO 27001 obliga a que quien quiera pensar en "gestionar seguridad" lo haga de esta manera.
viernes, 19 de septiembre de 2008 0 comentarios

El repugnante mercadeo de información

Cuando uno habla de seguridad de la información normalmente la primera imagen que se viene a la mente del oyente son escenas de hackers, intrusión a sistemas de información, espionaje.
Quizás por su frecuencia no somos conscientes de lo habitual que son los incidentes de seguridad. En la guerra mediática por lograr los mejores contenidos, el "mercadeo de información" es demasiado habitual.

Los periodístas lo llaman "filtraciones" pero son simplemente "fugas de información". En la tensión entre quien en cumplimento de su responsabilidad debe garantizar el "secreto de los datos" y quién su negocio es disponer de contenidos exclusivos, ganan normalmente estos segundos. Y suelen ganar por diferentes motivos, en función del punto de fuga y sus intereses particulares. Muchas veces les mueve el afán político pero otras simplemente el ánimo de lucro. Según ElEconomista.com, esto segundo parece ser la causa de la fuga del video de AENA con el despegue del avión acccidentado de Spanair.

Estos incidentes son una prueba manifiesta del poco respeto que se tiene a la obligación tanto de empleados como de funcionarios de garantizar la confidencialidad de la información que tratan. Hay gremios como el médico que tienen este deber como una de sus principales responsabilidades dentro de su código deontológico. Sin embargo, parece que en otros sectores esta obligación puede relajarse. Y quizás, lo más preocupante es que la irresponsabilidad se produce en el seno del área judicial. ¿Quién si no tiene acceso al sumario, a los contenidos que forman la instrucción?.

En el caso del accidente de Barajas, estoy seguro que este video de las camaras de seguridad habrá pasado por muy pocas manos. Si se hubieran tomado las medidas de "seguridad de la información" adecuadas, debería existir un registro de la cadena de custodia y podría intentarse ahora depurar responsabilidades. Es más, parece que el juez instructor no está dispuesto a dejar impune la filtración y va a tomar medidas. En la jerga de seguridad, en ese juzgado hay un "topo" y se está haciendo con dinero. Que quede en la conciencia de ese "personaje" lo lícito que es ganar dinero negociando con este tipo de contenidos que son tan dolorosos para los afectados por la catástrofe y que quede también en la conciencia del que tienta al "personaje" para que produzca la fuga porque en situaciones así, no sé yo quien tiene más responsabilidad, si la puta o el cliente. Los medios de comunicación tienen el deber de informar, pero su afan por devorar información debe encontrar siempre la limitación en la ley y si un juez declara el "secreto de la instrucción", esta decisión se debe respetar y garantizar, por mucho negocio que haya detras.


Estamos tan habituados a las filtraciones que nos parecen un hecho cotidiano y esa sensación de impunidad o de imposibilidad de la protección de la información se debe a que tras la fuga, luego no se delimitan las responsabilidades y se sanciona al infractor. Así poco van a cambiar las cosas.
martes, 16 de septiembre de 2008 0 comentarios

Un pequeño error que produce caídas del 75% del valor de las acciones

He podido encontrar en un par de Webs una noticia impactante, de esas que te hace consciente de lo sensible que es la sociedad de la información a la calidad de la información o a su ausencia, lo que yo denomino "contaminación de contenidos". En este caso no se trata de un caso de "Pump and dump" que "consiste en identificar una empresa de poca entidad, que tenga poco volumen de negociación, y “atacar” sus valores después de llenar la cartera de ellos, para hacer que su precio suba artificialmente. Terminada la faena se vende de golpe y se recogen beneficios."

El asunto es una caída en picado de acciones de United Airlines por un error de Google News que publicó como actual una noticia de hace varios años.

En esta captura (obtenida de la evolución de la cotización de 'United Airlines') se puede ver el resultado del 'estropicio' que el servicio 'Google News' causó este pasado lunes sobre el precio de las acciones de la compañía aérea estadounidense. El valor descendió hasta un 75% durante unos instantes (de 12 dólares a 3). En diez minutos y por un pequeño error volaron y nunca mejor dicho las acciones de la aerolínea "United Airlines".

La causa fue que el agregador de noticias de Google incorporó en sus titulares, de manera automatizada, los contenidos de una noticia del año 2002 (rastreada de la edición digital del diario 'Sun Sentinel') en la que se aseguraba que 'United Airlines' anunciaba suspensión de pagos. Esta noticia fue, a su vez, incorporada desde 'Google News', y de manera automatizada, en el servicio de Bloomberg que proporciona información financiera a miles de inversores, lo que provocó que éstos comenzasen a vender sus acciones provocando el descenso en picado de su precio hasta que algunos de ellos se dieron cuenta que los contenidos coincidían con una noticia de hace 8 años.

En varios Webs se recoge una noticia que debería traer más cola de la que mediáticamente se ha recogido:


Google ha publicado en su blog oficial una explicación de lo ocurrido, pero no ha pedido disculpas.

El incidente es un ejemplo de error en cascada. Quizás lo que más aumentó el impacto fue que Bloomberg (una fuente de información fiable para inversores) recogiera la noticia caducada. Imagino que habrán aprendido ahora que aunque el mundo de la bolsa se mueve en tiempo real, la velocidad por transmitir una información no puede penalizar a la calidad de la misma, más vale comprobar las cosas antes de publicarlas porque sino la credibilidad puede verse en entredicho. La otra pregunta que queda en el aire es ¿Quien es responsable del daño económico que ha sufrido 'United Airlines'?

Es un ejemplo más del poder que acumula Google por la trascendencia que tiene la información que ofrece. No hay que dejar de pensar que es una empresa y que no tiene por qué ser neutral en sus resultados porque para ellos, son un negocio.
lunes, 15 de septiembre de 2008 0 comentarios

La microseguridad y la macroseguridad, dos frentes de una misma

Paloma Llaneza dispone de una sección titulada "Aqui un amigo" y he tenido el honor de poder postear algo en ella. Para quien no la conozcais, esto es una breve reseña de su intenso currículum:
Abogado en ejercicio, colegiada en Madrid (41.821) y socio de LLaneza y Asociados, Abogados.
Es Auditora de Sistemas de Información (CISA) certifcada por ISACA.
Desde Marzo de 1996 es Letrado colaborador de la Secretaría Técnica del Ilustre Colegio de Abogados de Madrid.
Es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su constitución al WG25 sobre ITIL.
Es desde 2004 co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).


El texto es una reflexión en torno a las diferentes perspectivas con las que analizamos la seguridad y que de alguna manera, siendo complementarias, pertenecen a mundos diferentes si nos centramos en los elementos que barajan o gestionan.

Hace unos días pude leer en Taosecurity una reflexión entorno a las similitudes que se pueden hacer entre el mundo de la economía y el de la seguridad de la información.
Esta disciplina divide sus áreas de estudio entre la microeconomía y la macroeconomía. El autor del blog comenta cómo este enfoque es también válido para nuestro mundillo de la protección de activos.

  • La microseguridad de la información trata los problemas del día a día, la protección en cada uno de los frentes tangibles que toda organización siempre tiene abiertos: usuarios, comunicaciones, servidores, dispositivos móviles, etc. Por tanto la microeconomía se centra en la tecnología que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable en cada una de las situaciones o entornos donde encontramos problemas. Son aspectos tácticos y operativos de seguridad, elementos tangibles y sólidos que todo el mundo entiende ya necesarios para afrontar el día a día.


  • La macroseguridad de la información trata los problemas globales, la coordinación y gestión de todas las actividades necesarias para alcanzar los objetivos, la planificación y diseño de estrategias para lograr tener los riesgos bajo control. Estaríamos al nivel del diseño de políticas de seguridad, del establecimiento de relaciones contractuales que garanticen el cumplimiento. La macroseguridad ha adquirido relativa importancia en estos últimos años cuando la microseguridad abre tantos frentes que la Organización debe tomar decisiones para poder establecer una estrategia basada en la proporcionalidad de las medidas y sobre todo, la gestión del riesgo para el negocio. Por tanto, la macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen dentro de la organización y sobre todo, sirvan para garantizar el cumplimiento de los objetivos de negocio y el buen funcionamiento de los procesos productivos.


Desde mis comienzos profesionales siempre me he dedicado, por así decirlo, a la macroseguridad. He convivido en áreas y departamentos destinados a la microseguridad y las discusiones eran muy frecuentes siempre cuando cuestionabamos la efectividad real de las medidas. Siempre he creido que sin macroseguridad la microseguridad tiene un efecto limitado y corto en el tiempo porque las amenazas cambian y lo que hoy te protege, mañana es un elemento más de la infraestructura que hay que gestionar.

La carencia o falta de criterio a la hora de tomar decisiones sobre qué proteger primero es lo que ha producido que la macroseguridad se defina como disciplina, apareciendo la norma ISO/IEC 27001:2005 para establecer que los procesos de dirección de la macroseguridad deben estar fundados en la gestión del riesgo y la mejora continua. El ciclo de Demming logra coordinar la microseguridad y la macroseguridad. Establece los controles tangibles que hay que aplicar pero también los indicadores o métricas que deben registrarse para valorar si están o no funcionando.

El artículo completo que referencia a su vez Taosecurity se puede leer en Information Security and Business Integration
sábado, 13 de septiembre de 2008 5 comentarios

Érase una vez un LHC hackeado

Siempre que entre especialistas de la seguridad de habla de intrusión en sistemas de información, se sabe distinguir entre el hacker y el cracker. Las diferencias entre ambos perfiles de atacante estriban en su motivación e intención de hacer daño. Básicamente el hacker es un experto que muestra o denuncia un fallo pero no abusa de sus conocimientos. El cracker quiere sacar rédito a su knowhow e intenta lucrarse de los descubrimientos que realiza.

Aclarado esto dado que en prensa vamos a ver mucho más frecuentemente la palabra hacker que cracker, voy a comentar el incidente con el acelerador de partículas LHC.
Y es que estos físicos del CERN en sus primeros experimentos en vez de encontrar nuevas partículas parecen haber hallado unos extraños visitantes a sus sistemas informáticos. Vamos que un grupo de técnicos griegos parecen haber estado de excursión dentro de los sofisticados sistemas informáticos diseñados para manejar una de las infraestructuras científicas de mayor envergadura. Con un presupuesto en torno a 6.000 millones de euros, puede que no se haya dedicado suficiente esfuerzo a pensar en la seguridad de la información. De los 10.000 científicos que usan la infraestructura pocos deben ser expertos en estos temas.

La noticia ha tenido la lógica repercusión mediática que genera un incidente así y más con la espectación que ya por si solo había generado el LHC. Se puede leer en Hackers dentro del LHC y Hackers infiltrate Large Hadron Collider systems and mock IT security.

Según cuenta El Mundo:
"El grupo de hackers, que se autodenomina el Equipo Griego de Seguridad, se burla en su mensaje de la debilidad del LHC, y tilda de «colegiales» a los técnicos responsables de proteger la seguridad informática de la instalación donde el pasado miércoles se inició lo que muchos consideran el experimento científico más ambicioso de la Historia.

Los piratas, en todo caso, afirman en su mensaje que su intención no es provocar daño alguno al acelerador de partículas, sino llamar la atención sobre la debilidad de sus ordenadores.

Al parecer, según informó a 'The Daily Telegraph' a un investigador del CERN que no quiso desvelar su nombre, los hackers estuvieron a «sólo un paso» de penetrar en el sistema de control de uno de los cuatro grandes detectores de partículas del acelerador, el llamado CMS, una inmensa estructura magnética de 12.500 toneladas que mide 21 metros de alto y 15 metros de ancho.

Esta fuente anónima aseguró que si hubieran logrado introducirse en esta red informática, podían haber interrumpido el funcionamiento de buena parte de sus componentes."




El grupo de hackers ha logrado la notoriedad que busca cuando realiza estas fechorías pero al menos su intención solo ha sido dar un aviso sobre la precaria protección de estas instalaciones. Con la prudencia con la que siempre hay que leer este tipo de noticias y hasta que se conozcan detalles del método utilizado para la intrusión, la primera pregunta que surge es, ¿Necesita el LHC estár conectado a Internet? Porque una infraestructura tan compleja no debe disponer de puertas abiertas a un entorno tan abierto y conflictivo como puede ser Internet. No tiene sentido hacer alcanzable estos sistemas si no es realmente por una necesidad adecuada y relacionada con el propio funcionamiento del LHC. Con un presupuesto tan alto, creo que pueden montarse arquitecturas de red segmentadas que jamás proporcionen acceso desde Internet al core de los sistemas, pero como digo, hasta conocer los detalles técnicos de la intrusión, todo no dejan de ser especulaciones respecto al tipo de fallo que puede haber generado un incidente así. Sin embargo, por la reacción del propio CERN, la puerta de entrada podría ser la propia Web.

"Sólo un archivo resultó dañado durante el ataque de los piratas griegos, pero otro de los investigadores que trabaja en el LHC reconoció que se sintió «asustado» durante el ataque. A raíz del incidente, los responsable del CERN han decidido bloquear el acceso del público a la web del detector CMS."


Al menos, por lo que puede leerse, parece que los planes de contingencia si funcionaron. Lo que sorprende también un poco es la ingenuidad de algunos de los cientificos, aunque esto se puede justificar si no están suficientemente concienciados de lo que supone estar conectado a Internet.

«Lo que ocurrió no fue grave, pero demuestra que siempre hay gente que puede convertirse en una amenaza», reconoció al diario británico otro investigador del CERN.
El sistema informático que los piratas griegos lograron invadir fue el llamado CMSMON, que controla el software que utilizarán los científicos para analizar los resultados de las colisiones de protones que se realizarán en el interior del acelerador para intentar identificar los componentes más elementales de la materia.
Recientemente, los directivos del CERN crearon un equipo de trabajo para analizar la seguridad informática de la instalación científica. Uno de sus documentos alcanzó una preocupante conclusión: «Algunos incidentes recientes demuestran que la cuestión de la seguridad se está convirtiendo en un problema». El ataque de los piratas griegos ha dejado fuera de toda duda que el «problema» es grave.


Siendo positivos y tratando de aprender de los incidentes ajenos, la principal reflexión que debe sacarse de estos hechos es que "la seguridad no debe convertirse jamás en un problema" pero para ello, hay que diseñar las cosas pensando en la seguridad.
En pleno siglo XXI pensar en estar conectado y no ser consciente de que se es vulnerable si las cosas no se gestionan adecuadamente es ser demasiado ingenuo o no estar suficientemente concienciado de lo que supone una puerta abierta a una gran población desconocida. Y menos, si hablamos de una instalación como el LHC que hace de gran imán para curiosos y extraños. Dentro de los malos en este caso, han tocado los menos malos que se conforman con avisar de que hay puertas abiertas. Si se hubieran puesto a jugar, estaríamos hablando seguramente de unas consecuencias mucho más graves para una infraestructura que por presupuesto, no debería permitirse un incidente así.
jueves, 11 de septiembre de 2008 4 comentarios

Autenticación biométrica a través de la Webcam

Casi por casualidad y vía la revista Consumer Eroski he podido descubrir una curiosa aplicacion freeware bastante interesante para aquellos que disponen de Webcam.



El producto se encuentra todavía en desarrollo y no está descargable, pero sin duda es una buena alternativa a utilizar en portátiles con Webcam integrada. No parece que vaya a tardar mucho en salir al mercado. Se puedeo obtener más información en KeyLemon o suscribirte para ser avisado cuando sea lanzado.

Es también interesante el uso de la Webcam como cámara de videovigilancia. En este caso, la medida es más aplicable a PC domésticos que están funcionando todo el día que pueden servirnos para detectar intrusos.
Aquí si hay soluciones freeware para uso doméstico bastante útiles como Webcamxp o Dorgem. Sobre éste último hay un tutorial sobre cómo instalarlo en How-to-Dorgem.

En cualquier caso, el uso de la videovigilancia deberá hacerse siempre dentro del ámbito doméstico, dado que las camaras que apuntan a espacios públicos estarían afectadas por la LOPD y los requisitos que la Agencia Española de Protección de Datos establece respecto a su uso. De lo contrario, incluso a particulares, pueden caer sanciones económicas como puede ilustrar esta sentencia.
Samuel Parra dedica un excelente post en esta dirección.
viernes, 5 de septiembre de 2008 0 comentarios

Google rectifica y cambia la EULA

La noticia que posteaba hace dos días ya tiene respuesta por parte de Google. Son varios los foros y blogs donde se recogían las reticencias que causa una licencia así para un navegador y parece que todo es debido al "cortar y pegar" en el texto que define este nuevo producto. La noticia sobre la rectificación aparece publicada en Ars Technica,en Fayerwayer y en el Blog de Google ya aparecen los nuevos "Términos de servicio".

El caso es que según leo en Ars Technica parece que Google intenta usar siempre que puede las mismas licencias. Ante este error, ahora Google va a trabajar rápidamente para eliminar ciertas condiciones de la sección 11 de las actuales condiciones de servicio de Google. Este cambio quieren que se aplique con carácter retroactivo a todos los usuarios que han descargado Google Chrome.

De nuevo, debido a mi desconocimiento de ciertos ámbitos jurídicos, se generan una serie de dudas pero muchas veces somos demasiado "irresponsables" al no guardar copia de los contenidos de las licencias que aceptamos por usar servicios. De leer lo que aceptamos, muchas veces el atractivo de lo "gratuito" se vería ensombrecido por la ausencia de garantías. Quizás al principio puede no importarnos, pero conforme pasa el tiempo la cosa va cambiando.

Este verano entre mis lecturas he podido introducirme en el mundo del peritaje informático, un servicio profesional que considero interesante aunque todavía su demanda no está muy popularizada. Llegado el caso de una denuncia por problemas de servicio, creo que es dificil peritar estas cuestiones porque no guardamos precisamente los "terminos del servicio" y el programa una vez instalado no los suministra. Sería deseable que todo servicio o software hiciera accesible las "condiciones del servicio" o "producto" como una de las opciones del menú, donde suele estar el "About/Sobre el producto" y "Help/Ayuda" pero si no está debe ser porque les beneficia seguramente.

En cualquier caso,la intención de Google Chrome no es sólo la de ser un navegador, es un navegador que te monitoriza, que quiere saber de ti para luego darte otros servicios.

Otras de las lecturas de verano al sol ha sido "El economista camuflado" y en sus primeras lecciones te enseña cuales son las tres grandes estrategias utilizadas para establecer el precio de las cosas.

  • El precio base que atiende al coste, el margen de beneficio y "el poder de la escasez". Según la demanda, el precio se ajusta. Es por lo que un café no vale lo mismo en la Plaza de San Marcos de Venecia que en una cafetería de barrio.

  • El precio por grupos, aplicando descuentos para hacer que a quien no le importa pagar más lo haga. Así se plantean las famosas "rebajas". Un cliente potencial que no compraría al precio normal si lo hace a un precio menor. Pero esa misma empresa puede vender durante un tiempo el producto a un precio mayor también.

  • Que el cliente se desenmascare y diga cómo es como comprador, para saber hasta dónde esta dispuesto a pagar. Son esas ofertas del producto base más un extra donde lo añadido tiene un precio muy superior al coste que produce.




Por tanto, Google Chrome no es un navegador "neutral". Es una pieza más de una potente infraestructura de negocio basada en la información y el conocimiento que pueda extraerse de ella.

Recomiendo leer los análisis de la privacidad de Google Chrome en los blogs "
Google Chrome, la privacidad y el control
y Chrome, privacidad e integración con Google y el Web de Javier Prenafeta.
miércoles, 3 de septiembre de 2008 6 comentarios

Google Chrome, lobo con piel de cordero...

Me apunto al carro del bombazo informativo que ha supuesto la aparición en el mercado de Google Chrome. Son varios los sitios que hoy valoran la funcionalidad del nuevo navegador y yo también quiero comentar algunas cosas.
Solo he podido probar qué pasa con problemas en la conexión https y qué condiciones respecto a la privacidad ofrece este nuevo producto de Google, que siempre tiene un ansia por reclutar información.
Respecto a la primera de las cuestiones, Google Chrome avisa de manera notoria de que existe un problema, quizás sea el que mejor traslada al usuario la sensación de peligro, aunque Firefox 3 también lo hace muy correctamente. Este es el aspecto de una Web cuando la conexión no es https.


Respecto a ciertas cuestiones de privacidad, ya se me ha adelantado Error500.net que hace un magnífico y completo análisis de la cuestión.

Yo quiero destacar otros elementos de juicio para que sean también tenidos en consideración por parte de los nuevos usuarios de Google Chrome y es lo que motiva el título de este post.



Cierto es que tras Google siempre uno tiene cierto temor de estar frente a un Gran Hermano que busca camelarnos para "saber más sobre nosotros". También es verdad que Google aplica cierta política de transparencia al ofrecer el código fuente del nuevo software.

Yo tengo últimamente la manía de leer las "condiciones de uso" o las famosas "EULAS" antes de darle al siguiente, siguiente y siguiente, y es ahí donde he encontrado mis principales sorpresas.

A los tan habituales apartados de exclusión de garantías que vienen a decir que las cosas son como son y si se te rompe algo, el fabricante jamás será culpable, como adjunto a continuación “14. Exclusión de garantías: 14.1 Los Servicios se ofrecen "tal cual", por lo que Google y sus Subsidiarias y filiales, así como los proveedores de licencias, no ofrecen garantía alguna al respecto.”

Lo primero que llama la atención es que Google Chrome no es un producto software, es un software que da un servicio. Esta afirmación se apoya en su licencia, definida en el punto 10 que textualmente dice
10. Licencia de Google
10.1 Google le concede una licencia personal, internacional y no exclusiva, que no está sujeta a derechos de autor y que no puede asignarse, para usar el software proporcionado por Google como parte de los Servicios (en adelante, el "Software"). Esta licencia se otorga con el único propósito de permitirle utilizar los Servicios que le ofrece Google y beneficiarse de ellos según lo estipulado en las Condiciones.”


La siguiente pregunta por tanto es ¿Qué gana Google regalando un software de navegación? Evidentemente, su principal interés es que no solo quiere saber lo que te gusta al buscar sino también lo que te gusta al navegar. Además, si utilizas “servicios online” estás concediendo cierta autorización a Google a usar el contenido.

11. Su licencia del Contenido
11.1 Conservará los derechos de autor y cualquier otro derecho que ya posea del Contenido que envíe, publique o muestre en los Servicios o a través de ellos. Al enviar, publicar o mostrar Contenido, estará concediendo a Google una licencia permanente, internacional, irrevocable, no exclusiva y que no está sujeta a derechos de autor para reproducir, adaptar, modificar, traducir, publicar, representar y mostrar públicamente, así como para distribuir cualquier Contenido que envíe, publique o muestre en los Servicios o a través de ellos. Esta licencia se otorga con el único propósito de permitir a Google publicar, distribuir y promocionar los Servicios y puede revocarse para determinados Servicios, según lo estipulado en las Condiciones adicionales asociadas.
11.2 Acepta que esta licencia concede a Google el derecho de distribuir el Contenido a otras empresas, organizaciones o personas con las que Google mantiene una relación con el fin de ofrecer servicios sindicados y de utilizar dicho Contenido en relación con la prestación de los Servicios.
11.3 Por otra parte, usted es consciente de que, al llevar a cabo los pasos técnicos requeridos para ofrecer los Servicios a nuestros usuarios, Google podrá (a) transmitir o distribuir el Contenido a través de diversas redes públicas y distintos medios; y (b) aplicar los cambios necesarios al Contenido a fin de adaptarlo a los requisitos técnicos que exigen las redes, los dispositivos, los servicios o los medios de conexión pertinentes. Acepta que, por la presente licencia, se le concede a Google el derecho de llevar a cabo estas acciones.
11.4 Confirma y garantiza a Google que posee todos los derechos, poderes y autoridad necesarios para conceder la licencia anteriormente mencionada.


En los temas de privacidad, nos reenvía a su política general que por desgracia es tan ambigua que no deja muy claro hasta donde llega lo que saben de nosotros.

Así que ya como usuario preocupado por mi privacidad (o más bien de que no se haga negocio con ella) me surgen ya algunas dudas.

Si usando Google Chrome accedo a mi servicio Gmail, no tengo derecho a la privacidad en las comunicaciones ¿Puede Google, “adaptar, modificar, traducir, publicar, representar y mostrar públicamente, así como para distribuir cualquier Contenido que envíe, publique o muestre en los Servicios o a través de ellos”?

Yo soy informático, no abogado así que esperemos que los comentarios encuentren algunas respuestas o aclaren mejor que suponen estos términos del servicio.
martes, 2 de septiembre de 2008 6 comentarios

Localizar un portátil robado

Toca ya incorporarse a la rutina laboral y por tanto, abrir de nuevo la publicación de post de seguridad. Y para volver del verano, me ha parecido interesante un nuevo servicio que he encontrado vía CanalPDA para localizar un portátil robado.

La seguridad en portátiles suele basarse en medidas preventivas para evitar la pérdida de datos o el acceso en caso de robo. Hasta la fecha, no había hallado herramientas que tratarán de recuperar el portátil en si mismo, aunque se que existen dispositivos hardware que permiten localizarlos.

Sin embargo, Adeona que es como se llama este servicio es abierto y gratuito, patrocinado por la Universidad de Washington, y permite realizar un seguimiento de la localización de un ordenador portátil perdido o robado.



Yo ya lo tengo instalado en mi ordenador aunque espero no tener nunca que probarlo.A continuación os detallo la explicación de CanalPDA.
"A diferencia de otros servicios, éste es totalmente gratuito y se basa en protocolos abiertos y documentados. Además la aplicación realiza un notable esfuerzo para garantizar la privacidad de los datos, de forma que nadie excepto el propietario del ordenador pueda acceder a la información registrada.

El funcionamiento es muy simple. Hay que instalar en el ordenador un pequeño programa agente (disponible para Windows Vista y XP, Linux y Mac OS X; en este momento las descargas no funcionan). La instalación es muy rápida y solo nos pide donde hay que ubicar el programa y la contraseña de protección de acceso a los datos.



La instalación genera un archivo de configuración, denominado adeona-retrievecredentials.ost. Esta será nuestra llave, conjuntamente con la contraseña indicada durante la instalación, para poder acceder a los datos de localización del portátil.

Este servicio registra la información de la IP y otros datos básicos acerca la conexión con Internet.

Si alguna vez perdemos el ordenador, podemos utilizar el programa de recuperación. Nos pedirá que facilitemos el archivo adeona-retrievecredentials.ost generado durante la instalación, así como la contraseña. Con esta información recuperará de los servidores donde se almacenan los datos de conexiones, lo que nos permitirá recuperar la información de donde está conectado el equipo.

Un ejemplo de información de ubicación:

Retrieved location information:
update time: 07/16/2008,15:47 (RDT)
internal ip: 10.xxx.xx.x
external ip: xx.xxx.xxx.xx
access point: xxx
Nearby routers:
1 5.000ms 10.xx.xx.xx (could not resolve)
2 1.000ms 10.xx.xx.x (could not resolve)

Como podemos ver, además de la IP pública y la IP privada, también hay otros datos relativos a la configuración de la red donde está conectado el equipo.

Si el ordenador portátil utiliza el sistema operativo Mac OS X, además de la información, el cliente de Adeona también hace una foto del usuario con la webcam integrada... que también queda registrada :)"

 
;