Cuestión de privacidad

ICANNHace un par de semanas, contraté para mi dominio personal (“.org”) un nuevo servicio que me ofrecía GoDaddy.com cuya finalidad es ocultar los datos de carácter personal que aparecen en una consulta Whois. Como saben, ICANN exige que los datos que aparecen en las consultas Whois a un determinado dominio sean verdaderos [ICANN Whois Data Reminder Policy], so pena de la cancelación de éste. Aunque este es un tema que presumiblemente va a cambiar en un futuro cercano, actualmente esa es la política actual.

Por supuesto, y aunque estoy adivinando, con cerca de sesenta millones de dominios “.com” (más los “.net” y “.org”) en el mundo, esto es con toda probabilidad una formalidad que se aplicará cuando haya por medio un litigio por algún dominio, un delito, o alguna situación similar. No obstante, en última instancia, esto significa que su nombre y apellidos, teléfono, fax, y dirección personal, aunque no sean requeridos activamente por ninguna entidad oficial, están disponibles al público; todo muy en la línea de la aproximación a la protección de los datos de carácter personal que existe al otro lado del charco.

La cuestión es que no me siento especialmente cómodo exponiendo mi teléfono y dirección personal a unos cuantos millones de personas (ya saben, manías mías), así que, aunque tenía la posibilidad de poner la dirección de S2 Grupo en los diferentes contactos, decidí contratar este servicio. Ni que decir tiene que tampoco me resulta del todo agradable cederles mis datos a una empresa extranjera que no está sometida a ninguna ley análoga a la LOPD, pero al parecer esta es la única y mejor alternativa de momento. Bien, aunque el servicio que les comento es ofrecido por GoDaddy.com, lo hacen a través de una segunda empresa, DomainsByProxy.com (DBP), “propiedad” -permítanme ser laxo en términos de propiedad- de GoDaddy. Brevemente, el servicio funciona como una especie de “delegación de registro”, por lo que al hacer una consulta Whois, en lugar de tus datos aparecen los de DBP, y ellos actúan de proxy de correo electrónico en caso de que alguien desee ponerse en contacto con el propietario del dominio. Para la gestión y modificación de los datos reales del dominio y otros parámetros básicos, el servicio dispone de una interfaz web a la que se accede -lógicamente- mediante usuario y contraseña.

Al parecer, GoDaddy no es el único registrador que proporciona esta funcionalidad [de pago], por lo que si no desean ustedes estar expuestos a la fauna de Internet -que es mucha y de variadas intenciones, y no es por meter miedo- de una manera que en mi opinión es excesiva y carece de sentido, y no disponen de algún tipo de alternativa, les recomiendo personalmente moverse al “.es” (algo que estoy valorando seriamente), que *en teoría* debería aportar mucha mayor protección, o contratar un servicio de este tipo.

Y por si alguien es tan desconfiado como yo, les aseguro que por nada de esto cobramos comisión.

De firmas y garabatos afines

tarjeta.gifHace un par de días recibí una carta del banco donde tengo domiciliada la hipoteca, ofreciéndome un nuevo servicio. No sé que harán ustedes, pero les confieso que yo no suelo hacer mucho caso a estas ofertas. Bueno, en realidad, ni mucho ni poco; van directamente a la papelera, como virtualmente el resto de la publicidad que recibo. Sin embargo en este caso una cosa me llamó la atención: la firma del director al final de la carta. Sí, ya sé que esto es también habitual y no supone ninguna novedad, pero déjenme explicarles.

¿Saben ustedes lo que pone detrás de mi tarjeta de crédito, debajo de la banda magnética?

AUTHORIZED SIGNATURE · NOT VALID UNLESS SIGNED

Puede apostar a que pone algo parecido detrás de la suya. Al parecer, esa firma sirve para dos cosas. La primera, y más obvia, para que el vendedor pueda comprobar que la firma del recibo es la misma que la que hay detrás de la tarjeta de crédito (Quick steps to Visa Card acceptance: 6. Check the signature. Be sure that the signature on the card matches the one the transaction receipt. [usa.visa.com]). La segunda, según indica Museum of Hoaxes (no he podido localizar una fuente oficial), para indicar que estás de acuerdo con los términos de uso de la tarjeta. Respecto a esta última, tengo serias dudas, aunque luego se las cuento.

[Read more…]

¿Un gusano en la manzana?

AppleSegún leo en Enrique Dans, ayer hubo una pequeña conmoción en la blogosfera -y sectores más tangibles, como verán- a causa de una información falsa distribuida por Engadget [más, aquí]. Para aquellos que no lo conozcan, Engadget, bitácora dedicada a los “chismes” [gadgets], es uno de los primeros blogs mundiales en volumen de tráfico, levemente inferior al que recibe elmundo.es [OJDInteractiva y Engadget]. No obstante, si tenemos en cuenta la cantidad de contenidos servidos por ambos sitios, Engadget llega a asustar.

Brevemente, ayer alguien hizo llegar a los empleados de Apple un correo electrónico fraudulento que aparentemente parecía proceder de fuentes oficiales de la compañía; en éste se anunciaba que el esperado iPhone y el sistema operativo Mac OS X Leopard se iban a retrasar… un año más. Este correo fue filtrado a Engadget y poco después de su publicación, la cotización de Apple cayó un 4%, lo que es, en los niveles en los que se mueve esta empresa, mucho, muchísimo dinero. Si quieren más información, pueden visitar algunos de los enlaces arriba incluídos, que la cuentan de primera mano. El caso es que muchos medios de la blogosfera, fieles a su ombliguismo, debatían hoy en torno a la fiabilidad de los blogs y la necesidad de contrastar las opiniones.

Personalmente, por muy de acuerdo que esté con la necesidad de contrastar las noticias, tanto en prensa escrita como en prensa digital, este enfoque es incorrecto; es narcisista y egocéntrico, típico de los blogs. Porque el hecho es que Engadget recibió el “chivatazo” de una fuente totalmente fiable, que era un colaborador interno -un empleado- de Apple. No había absolutamente ninguna duda de que la filtración procedía de Apple, así que en realidad a quién se la colaron no fue a Engadget, fue a Apple. Sí, a Apple. Una empresa que sabe jugar como nadie con la ansiedad y expectación que producen sus productos, que dosifica de manera calculada cada detalle que publica, dejó que una información falsa le afectase de esta forma.

Apple StockEsto no es un problema de fiabilidad o credibilidad de los blogs. No. Más bien, es un ataque de seguridad semántica en toda regla («(…) acciones que implican la adulteración de la información en cuanto a su interpretación por parte de sus destinatarios (…)»). Y que nadie se equivoque; no se trata de una acción casual e inocente, sino más al contrario, intencionada y -no me cabe duda- perfectamente calculada. Alguien ha ganado dinero con esto (y alguien lo ha perdido).

Para acabar, lo que se puede aprender de este incidente es la inmediatez, fuerza e influencia que pueden llegar a tener tanto los medios online como Internet en su conjunto, y la necesidad de contar con herramientas que eviten problemas similares y los detecten cuando se producen, tales como una adecuada formación del personal, sistemas de autenticación de material interno, sensores/escáners de contenido online, y como apunta Enrique Dans, un blog corporativo -convenientemente publicitado y actualizado- donde desmentir -o confirmar silenciosamente- rumores.

Casa de Juegos

El pasado fin de semana estuve viendo por tercera o cuarta vez Casa de Juegos, de David Mamet; confieso que la recordaba mejor. Supongo que en cierto sentido, por eso el poeta cubano decía aquello de No vuelvas a los lugares donde fuiste feliz; nuestra memoria no siempre es fiel a la realidad. La película en cuestión es de hace ya veinte años, en la que Mike (Joe Mantegna) es un timador dispuesto a desvelarle los trucos y entresijos de su “oficio” a una psicóloga (Lindsay Crouse) demasiado curiosa.

En una de las escenas, ambos se acercan a una “tienda” de envío de dinero, se sientan y esperan al siguiente cliente. A los pocos segundos, un marine que tiene que volver a la base entra en el establecimiento. Justo en ese momento, Mike se acerca al dependiente y ostensiblemente se queja de que no hay noticias de su dinero, mientras el recién llegado observa la escena; en realidad, él no sabe que ese dinero no existe. Los siguientes minutos transcurren viendo cómo en una breve conversación el timador se gana la confianza de su víctima, lamentándose de su situación y comprometiéndose a que si su dinero llega antes que el del marine, le pagará el autobús para que pueda volver a la base. Finalmente, como era de esperar, el dinero del chico llega y éste se ofrece a darle parte de éste a Mike. Dinero a un desconocido a cambio de nada. ¿Qué hemos aprendido hoy?, le pregunta él a ella cuando salen del establecimiento (rechazando la oferta). A no fiarse de nadie, contesta él mismo.

No, no teman, no nos hemos convertido en un blog cinematográfico. Pero me pareció que esa escena es una buena forma de mostrar qué y cómo actúa a menudo la Ingeniería Social. Según Melissa Guenther, ésta puede definirse como «la adquisición de información sensible o accesos privilegiados por parte de terceros, a partir de la creación de falsas relaciones de confianza con personal interno de la organización», o en otras palabras, ¿porqué intentar forzar la puerta de atrás cuando pueden abrirte la principal desde dentro? Según esta autora, y para acabar, la ingeniería social se rige por los tres siguientes principios:

(1) El deseo de ser de ayuda,
(2) la tendencia a confiar en la gente, y
(3) el miedo a meterse en problemas (Le entiendo, pero si no me ayuda, voy a tener que dar parte a…).

No vamos a llegar hasta el punto de aconsejarles que, como suele decirse, no se fíen ni de su padre, ni es nuestra intención extender un estado de desconfianza entre las personas, pero por lo general, cuando se trate de temas de seguridad, desconfíen. Esa suele ser una buena política.

Microsoft y la Seguridad (esa gran desconocida)

Siendo éste un blog semi corporativo, entendiendo como tal un blog que representa a una empresa -S2 Grupo- pero que no es escrito por un departamento de marketing dedicado a ello, uno duda a veces sobre la forma de enfocar las cosas; ya saben que como decía Aristóteles, el punto medio es siempre una buena cosa, y a menudo no resulta conveniente abandonarse a los instintos y dejar que el lector se las apañe buenamente como pueda con ellos. Antes de acabar entenderán a qué me refiero.

El pasado 10 de mayo aparecía en ElPais.com la noticia de que «Microsoft quiere proteger a las empresas», cuyo primer párrafo comenzaba con esta ilustrativa, gratuita y subjetiva sentencia: «Las empresas de seguridad deben estar temblando al conocer la noticia de que Microsoft se ha marcado la meta de conquistar el mercado de las soluciones de seguridad para la empresa». Ni que decir tiene que me encantaría conocer la experiencia informática y conocimientos del sector del redactor de la noticia.

No tengo dudas, ninguna en absoluto, del poder que tiene el departamento de publicidad de Microsoft. Tampoco las tengo de los problemas que iniciativas como esta puedan traer para fabricantes de antivirus, cortafuegos o software anti spyware. Ya les digo que sobre eso no me cabe ninguna duda. Pero si me pusiese a hablar de todo lo demás, que es mucho teniendo en cuenta la imagen que da Microsoft en esto de la seguridad, acabaríamos aquí todos muertos de risa, y como les dije al principio, es mejor que me modere y mantenga la seriedad, y sean ustedes los que den rienda suelta a sus instintos, ahora que estamos en el esperado descanso semanal.

Así pues, buen -resto de- fin de semana a todos.

“Intención de voto”

¿Conocen ustedes estos “estudios” previos a las elecciones en los que se intenta averiguar la intención de voto de los, valga la redundancia, votantes? Imagino que sí. Y sí los conocen, entonces conocerán también su fiabilidad.

Hoy, al ver un estudio que el fin de semana pasado traía el Suplemento de Negocios de El País sobre la situación de la Seguridad Informática en las empresas me he acordado de ellos, y en breve van a ver por qué. Desgraciadamente no he podido localizar una copia en formato digital al que dirigirles, así que tendrán que ustedes que fiarse de mi palabra, o como suele decirse, consultar a su “hemeroteco” habitual. Déjenme que se lo resuma en unos cuantos datos:

» El 75% de las empresas cuenta con al menos una persona especializada y dedicada a tareas de seguridad informática.
» El 100% de las empresas realiza copias de seguridad; es decir, todas.
» El 96% tiene implantados aspectos relacionados con la política de contraseñas, el control de accesos y la protección de comunicaciones.
» El 92% tiene documentadas las medidas de seguridad sobre los datos.
» El 88% tiene algún tipo de gestión de continuidad y recuperación ante desastres.
» El 84% tiene identificados los activos de la empresa.
» El 81% de las empresas ha realizado alguna auditoría de la LOPD en los últimos años, mediante consultor interno o externo.

No es que yo dude de la representatividad del estudio llevado a cabo en El País -ese 100% ya da más de una pista-, pero sin querer ser irónico, o cuestiono aunque sea ligeramente los resultados, o me planteo en qué universo paralelo ha estado un servidor trabajando todos estos años, y no me negarán que esa es una interesante elección. Bueno, vale, admitamos que dudo; me gusta este universo.

En cualquier caso, ignórenme, ¿qué piensan ustedes acerca de cómo está “el patio” de la seguridad, en función de su propia experiencia?

The Cuckoo’s Egg (o la secuencia de Morris)

No sé si conocen ustedes el libro The Cuckoo’s Egg, de Cliff Stoll. Teniendo en cuenta que el subtítulo de la obra es Tracking a Spy Through The Maze of Computer Espionage, pueden ustedes imaginarse cual es su argumento; una historia verídica de hackers y espías en la siempre bonita ambientación de finales de la Guerra Fría. Si lo han leído y tienen algo de memoria, seguramente sabrán la solución al pequeño acertijo que les plantearé hoy. Si no lo han leído, sólo puedo recomendarles fervientemente que lo hagan; aunque tristemente el libro no se encuentra traducido al castellano según mis últimas noticias, déjenme asumir, for the sake of this entry [por el bien de esta entrada], que dominan ustedes el que se ha dado en llamar el idioma de los negocios (y de tantas otras cosas).

Les aseguro por otra parte que Amazon no nos da comisión por esta entrada.

Lo que sigue a continuación es una serie numérica que Robert Morris le plantea en cierto momento al protagonista y autor del libro, Cliff Stoll; no por nada se llama la secuencia de Morris. Ésta no tiene en realidad ningún papel en la historia más que como pura anécdota. Confieso que yo fui incapaz de adivinarla y sucumbí a la tentación de Google. así que ya saben por tanto dónde buscar si desisten en su empeño; no será necesario que les desvele la solución. Así pues…

1   11   21   1211   111221   …

¿Qué número sigue a continuación?

What makes a system insecure?

Con una cita que generalmente se le atribuye, Gene Spafford viene al rescate:

The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards. Even then, I wouldn’t stake my life on it.

Ni que decir tiene que en la práctica, y perdónenme la redundancia, se suele ser un poco más práctico…

Google Ad Hacking

Vayan ustedes a Google y busquen alguna palabra que sepan que tiene enlaces patrocinados, de éstos que suelen visualizarse a la derecha de los resultados y en la parte superior, con fondo amarillo. Por mi parte, he escogido “Canon”.

Ahora pasen el ratón sobre estos enlaces y miren la barra de estado del navegador. Ahí debería aparecer la dirección destino del enlace, pero, ¿ven ustedes alguna dirección? No, ¿verdad?

Tengan cuidado, al parecer esta extraña feature de Google está siendo explotada por más de uno in the wild para dirigir tráfico a webs no precisamente bienintencionadas…

[Más detalles en Computer World y silicon.com]

Lucha contra el spam

Hace ya algunos meses, una compañía israelí llamada Blue Security dedicada a luchar contra el spam puso en marcha, o intentó poner en marcha, un servicio anti-spam que desde cierto punto de vista, podría considerarse un ataque de denegación de servicio en toda regla. Básicamente, la idea que no hay que olvidar es que detrás de cada correo basura que llega al buzón, hay alguien que intenta vendernos algo. Por lo tanto, debe de existir un medio de contactar con éste para hacerle llegar el hipotético pedido, y en conclusión, acaba siendo también vulnerable al spam, lo cual no deja de resultar paradójico. En este caso en concreto, el servicio de Blue Security mandaba al vendedor un correo en el que solicitaba el borrado de la dirección de correo de su cliente -el suscriptor del servicio- de la lista empleada para mandar el spam. Con una lista de medio millón de suscriptores, el vendedor acababa colapsado y con ello sus actividades de “promoción” a través del mailing indiscriminado. Por supuesto, la historia no quedó ahí, pero como tiene casi un año, pueden ustedes leerla en Wired. Les prometo que les gustará, parece sacada de una novela de John Le Carré. Por otra parte, no intenten utilizar la misma táctica a título personal; todo lo que conseguirán es recibir, si cabe, mucho más correo basura del que ya reciben.

El caso es que al parecer, Blue Security no han sido los únicos en darse cuenta de que hay más formas de actuar contra el spam que yendo únicamente contra la fuente de los correos. Según leo en Computer World, una empresa dedicada a luchar contra el correo basura, Unspam Technologies Inc., ha puesto una demanda de mil millones de dólares contra los “recolectores” de direcciones que alimentan a los spammers y contra éstos mismos. Mientras que la recolección de direcciones de correo electrónico no es ilegal, la compañía espera poder llegar a los emisores de spam -actividad ilegal, esta sí, en los Estados Unidos- a través de ellos. Para desvelar las identidades de los demandados, Unspam Technologies ha desarrollado el Proyecto Honey Pot, a través del cual espera obtener un volumen de datos suficiente para que la mayoría de estos individuos salgan del anonimato. Aunque es posible que aún teniendo éxito en la identificación de las fuentes, el objetivo final se vea frustrado por cuestiones internacionales, de soberanía nacional y disparidad de legislaciones, es como mínimo un buen comienzo para acabar con una de las lacras actuales de Internet.