¿En qué piensan los desarrolladores?

9 de marzo de 2009 Por

El otro día, mirando los archivos que tengo en el ordenador de casa encontré algunos proyectos antiguos en Visual Basic que diseñé hace algunos años. En aquella época trabajaba en una empresa muy pequeña (dos desarrolladores, un administrador de sistemas y “el jefe”), para nosotros todo lo que hacíamos era la mejor opción y los clientes quedaban bastantes satisfechos con nuestro trabajo. Los desarrollos los hacíamos con Visual Basic 6.0 contra bases de datos Microsoft Access y en el mejor de los casos SQL Server 2000; todo Microsoft, por supuesto.

Con los conocimientos de seguridad que he ido adquiriendo a lo largo de mi vida laboral me doy cuenta de que los proyectos que diseñábamos de manera tan “perfecta” tenían… ¡más vulnerabilidades que código escrito!, y que si un usuario malintencionado se hubiera entretenido en explotarlas hubiera destrozado el sistema en cuestión de segundos. Pensando en todo esto me pregunto: ¿Por qué diseñabámos así? ¿No teníamos los conocimientos necesarios? La respuesta es que en ningún momento del desarrollo nos planteábamos la posibilidad de que existieran usuarios malintencionados, o en otras palabras, asumíamos que “los usuarios de nuestra aplicación son demasiado torpes como para hacer esas cosas”. Obviamente, no puedes confiar en que los usuarios de tus aplicaciones vayan a ser “buenos” y no salirse del camino que les dibujas, porque si encuentras uno curioso, puedes llevarte más de una sorpresa desagradable.

Pongamos un ejemplo más técnico. En cierta ocasión, decidimos implementar un proyecto Windows en .Net, y en el app.config establecimos la cadena de conexión a la BBDD junto con el usuario y la clave con permisos de lectura y escritura. Se decidió publicarlo para que nos fuese más cómoda la implantación y las actualizaciones (funcionalidad de .Net que va de “serie” con el Visual Studio 2005). Probamos el funcionamiento de la aplicación una vez publicada y navegamos un poco por los ficheros que nos descargaba el instalador y… ¡sorpresa! El app.config lo había metido en la máquina del cliente (quizá con alguna extensión extra) y si se abría con el Notepad podía verse la cadena de conexión a la BBDD.

Con esta estrategia de implantación y de desarrollo teníamos un sistema poco seguro. ¿Qué opciones se plantean en casos como este?

(a) Presuponer que los usuarios van a conocer la cadena de conexión, el usuario y clave de acceso a la BBDD, por lo que se pueden establecer los permisos pensando en ello.

(b) Si los usuarios no deben conocer nunca datos sobre la BBDD, es necesario realizar un entorno cliente-servidor de manera que nuestra pequeña aplicación utilizada por los usuarios se conecte a una aplicación remota que haga las tareas de BBDD que se le soliciten. De esta manera nuestra aplicación cliente tiene datos de conectividad a nuestra aplicación servidor, pero nunca de la BBDD.

Para evitar todo esto hubiese sido necesario añadir una fase de seguridad adicional en nuestra metodología de desarrollo, en la que entre otras cosas adoptasemos el rol de un posible atacante, probando exhaustivamente todas las posibles casuísticas que hacían vulnerable la aplicación y estudiando la forma de ponerles remedio.

Como desarrollador, debo admitir que todo esto no me lo planteaba en aquella época, ya que diseñaba pequeños proyectos y nunca pensé que existirían usuarios tan “malvados” e “inteligentes” como para explotar posibles agujeros de seguridad. Pero si esos mismos proyectos los desarrollara hoy, por pequeños que fueran, nunca confiaría en que los usuarios lo vayan a utilizar de la manera esperada, sino que me pondría a la defensiva y trataría de pensar: si yo quisiera explotar esta aplicación… ¿qué haría?

Basureo

5 de marzo de 2009 Por

En los últimos tiempos han venido surgiendo noticias en medios generales en relación a las “investigaciones” que diferentes ayuntamientos realizan o se plantean realizar para detectar y multar a ciudadanos que no reciclan su basura; la idea es simple: se revisan las bolsas del contenedor en busca de aquellas que contienen residuos de varios tipos (es decir, las correspondientes a los que no reciclan), y en esas mismas bolsas se busca información que pueda dar indicios sobre el vecino que no ha reciclado (recibos del banco con datos personales, facturas, publicidad…). Una vez localizado dicho vecino, se le multa.

Este tipo de noticias plantean serias dudas en materias de seguridad; en primer lugar, tenemos un problema legal: ¿quién está legitimado para buscar en mi basura? Según unos, nadie (mi basura es mía y sólo yo puedo mirarla), y según otros (los ayuntamientos), una vez se deposita la bolsa en el contenedor, la basura ya no es nuestra, sino que es pública (o algo así). Personalmente no entro a valorar este aspecto legal (lo desconozco, y aprovecho para pedir, si alguien entre nuestros lectores conoce el tema, más información al respecto), pero sí que me preocupa la posible violación de la confidencialidad que se produce al revisar basuras ajenas (dicen por ahí que es posible conocer a cualquier persona analizando su basura). Por lo que a mí respecta, trato siempre de destruir o separar cualquier cosa que permita detectar al “propietario” (en este caso yo) de la basura, sobre todo, y para matar varios pájaros de un tiro, los papeles que amablemente me envían los bancos para recordarme la enorme cantidad de dinero que tengo en mis cuentas en Suiza, los pocos recibos que tengo que pagar al mes con todo ese dinero, y la ridícula hipoteca en la que me metí hace un tiempo :)

La segunda gran duda que plantea este método es la fiabilidad del mismo; todos sabemos que el correo no es precisamente el medio más seguro de envío de información, y que en muchas ocasiones es muy fácil acceder a la correspondencia de cualquier vecino (metiendo la mano en su buzón o simplemente esperando a que por error metan su correspondencia en el nuestro). No hace falta ser muy listo para imaginar a ese vecino que todos tenemos hurgando en nuestro buzón, sacando nuestras cartas, depositándolas en una bolsa de basura sin separar y sentándose a esperar para ver cómo la Policía Local nos multa por malos ciudadanos. Apañados estamos.

Hace unos años el basureo (trashing) era una técnica habitual en cualquier auditoría de seguridad que se preciara; la información que se podía obtener en una papelera o un cubo de basura era impresionante: nombres de usuario y contraseñas, datos financieros, ofertas, datos de los empleados… Un método mucho más rápido que andar buscando vulnerabilidades en un firewall, por supuesto. Hoy en día todos nos hemos acostumbrado a utilizar estupendas destructoras de papel —algún día hablaremos de ellas— que siempre usamos para destruir cualquier tipo de información interna (¿verdad?), por lo que estos métodos de auditoría no se utilizan tanto como hace unos años; quizás noticias como esta hagan que el trashing se vuelva a poner de moda entre los equipos de auditoría.

En cualquier caso, dos consejos: no tiréis a la basura ningún dato que pueda considerarse confidencial y, por supuesto, reciclad :)

* * *

(N.d.E.) Esta semana la encuesta está relacionada con la cuestión que planteaba Toni arriba: la basura que generamos, ¿es nuestra durante todo “su ciclo de vida”, o por el contrario deja de serlo cuando sale por nuestra puerta? Les planteamos además un par de opciones adicionales que pueden ser interesantes:

[poll id=”7″]

En relación con la encuesta de la semana pasada, los resultados se muestran debajo, dando como resultado que la mayor parte de los lectores se decantan por informar del error y no dar ningún detalle; es también esa la opción escogida por David, la persona que planteaba la encuesta. En segundo lugar, cuatro lectores apoyaban la idea de dar toda la información posible, cuestión que desaconsejo por el riesgo de proporcionar información sensible al posible atacante (versiones, rutas, usuarios, etc.). De hecho, creo preferible enmascarar el error completamente (3 usuarios). Por último, felicitar a esos tres usuarios que no tienen, no saben que tienen, o prefieren no saber que tienen errores en sus aplicaciones.

[poll id=”6″]

Nada más; S2 Grupo se muda de oficinas este fin de semana, con todo lo que ello implica. La semana que viene les pondré alguna foto del nuevo emplazamiento, por simple narcisismo. Pasen en cualquier caso un buen fin de semana. Nos vemos el lunes, más y mejor.

¿Romper WPA? (¿Aun estamos con esas?)

3 de marzo de 2009 Por

No sé si es debido al par de entradas que Roberto publicó hace unos meses poniendo los puntos sobre las íes en relación con la noticia lanzada por Elcomsoft (en la que afirmaba que era posible romper WPA/WPA2 100 veces más rápido utilizando el poder de procesamiento de GPUs y su producto de recuperación de contraseñas), pero durante los cuatro últimos meses más de 1200 usuarios han llegado a este blog buscando cómo crackear/hackear/romper las claves/contraseñas/hash de wpa/wpa2.

Y no me extraña en absoluto, a la vista de lo que se publica en las revistas de divulgación informática. En concreto, el otro día fui a parar a un artículo de Noé Soriano (director de Comunicación y Marketing de ConsultorPC) en PC Actual, titulado ¿Ya no son seguras las redes WiFi?, que contiene unas afirmaciones que me gustaría comentar. En concreto, todo se resume en la siguiente frase:

Cabe preguntarse si son justas las estrictas normas de protección de datos que se les está exigiendo actualmente a las empresas y organismos, cuando el principal estándar de encriptación comercializado [WPA/WPA2] es perfectamente accesible en pocas horas con unas cuantas tarjetas gráficas en paralelo.
[…]
Este razonamiento, o sistema de medición de la seguridad de las encriptaciones, que cumplía WPA en 1995 cuando se presentó, no parece muy válido actualmente si tenemos en cuenta que en sólo trece años la tecnología de procesamiento ha avanzado tanto como para echarlo abajo con un sistema de ámbito doméstico.

En primer lugar, hay que destacar que ni la LOPD ni el RDLOPD exigen tales “estrictas” normas de protección. Se habla de registros y control de accesos, de cifrado, de copias de seguridad, de caducidad de contraseñas, de seguridad física, todas ellas medidas de seguridad más que razonables, habida cuenta del estado de la tecnología. No cabe, por tanto, relacionar un aspecto con otro, teniendo en cuenta además que la LOPD no es un capricho legislativo sino la aplicación de un derecho de las personas. Ni la ley ni su reglamento requieren la instalación de sofisticados programas, ni dispositivos extraños ultrasofisticados; en general el cumplimiento de las medidas técnicas es bastante sencillo, y son las medidas de carácter organizativo las que son más complicadas de cumplir.

En segundo lugar, la afirmación de que WPA y WPA2 son accesibles en pocas horas con unas cuantas tarjetas en paralelo o con un sistema doméstico es ciertamente gratuita y muy aventurada. En mi opinión, se trata básicamente de un error de concepto. Destaquemos varios datos:

(a) Los procesadores actuales mas potentes (utilizando el algoritmo de Aircrack) pueden a lo sumo barrer 400 palabras por segundo, si no disponemos de la tabla precomputada. Si multiplicamos por 100, tal y como plantea Elcomsoft, tenemos 40.000 palabras por segundo.

(b) Si disponemos de la tabla precomputada, la cual depende del SSID, y por lo tanto no siempre está lista para ser utilizada, podemos incrementar esa velocidad hasta 40.000 palabras por segundo. Si multiplicamos por 100, tal y como plantea Elcomsoft, tenemos 4.000.000 palabras por segundo.

(c) La longitud mínima de una PSK de WPA o WPA2 es de 8 caracteres y el alfabeto manejado es de [A-Za-z0-9Sym32], tenemos (29+29+10+32)8 = 10.000.000.000.000.000 posibles palabras del lenguaje. En el caso medio, por tanto, tenemos 5.000.000.000.000.000 de palabras.

Con estos datos, sí, si disponen ustedes de la tabla precomputada, la PSK es parte de un diccionario, y tienen suerte, efectivamente en unas cuantas horas podrán ustedes explotar la clave de la red Wifi. Y probablemente no les haga falta tirar de Elcomsoft ni de GPUs en paralelo. Francamente, eso pasa con prácticamente cualquier algoritmo de cifrado sobre el que se aplique fuerza bruta, y no dice demasiado sobre su fortaleza. Elijan ustedes ‘patata’ como contraseña de su cuenta de correo y una persona avispada con un poco de vista y algo de suerte la adivinará en cuestión de segundos. ¿Nos da eso alguna información del algoritmo utilizado para cifrar dicha clave? No. Lo único que nos dice es que la persona que eligió ‘patata’ como contraseña no estaba siguiendo buenas prácticas. Y eso es todo.

Escojan una PSK de 12, 16 o 20 letras, números y símbolos, la apuntan en un papel y la pegan con celo debajo del router (entorno doméstico, por supuesto; en el corporativo, en el aplicativo que utilicen para la gestión de contraseñas). Después de todo, no es algo que vayan a necesitar todos los días. La SSID, cojan la que quieran, pero si además se inventan un nombre poco común, aun mejor. Pueden estar seguros de que, hoy por hoy, y con estas simples medidas, su Wifi estará a salvo de cualquier ataque de fuerza bruta o diccionario mediante GPUs… y de que esta es la última entrada sobre el tema en cuestión.

José María tiene una estupenda entrada en su blog dónde indica todo lo que hay que saber para configurar de manera segura tu router.

Lumension Device ControlTM: Administración de Dispositivos Móviles/Extraíbles

1 de marzo de 2009 Por

En esta entrada me gustaría comentar un software de la compañía Lumension (antes SecureWave) denominado Lumension Device ControlTM (antes Sanctuary), que forma parte de una amplia gama de productos orientados a la seguridad activa, y que resulta muy útil a la hora de administrar el uso de dispositivos móviles en cualquier empresa y controlar el tráfico de información confidencial.

Esta aplicación nos permite discriminar qué usuarios y/o equipos pueden ejecutar contenidos en dispositivos de almacenamiento como memorias USB, Pda’s, Blackberry, etc. Tiene también una peculiaridad bastante interesante que es la de llevar un registro de todo lo que se copia, mueve o se borra de cualquier dispositivo externo, aspecto importantísimo a la hora de controlar qué datos confidenciales o de uso interno se están utilizando y evitar así que dicha información se transmita sin control alguno.

Este aplicativo se implanta de forma muy positiva y sobre todo, de manera muy sencilla y casi transparente a los usuarios. A continuación, se indican una serie de características a tener en cuenta:

1. Fácil instalación y Administración del servidor.

La instalación es bastante sencilla, puesto que sólo hay que configurar el usuario encargado de arrancar el servicio de la aplicación, en nuestro caso el usuario Administrador del Dominio. En lo referente a la Administración, se utilizan dos utilidades: la consola y el distribuidor de paquetes.

a) La consola se utiliza para la administración de políticas, concesión de permisos y el registro de nuevos dispositivos en la red. Su manejo es muy simple, con un único punto, el uso de políticas, que puede resultar más controvertido pero sin llegar a influir en una administración intuitiva.

b) El distribuidor de paquetes se utiliza para enviar a los equipos clientes el agente de comunicación y las directivas aplicadas en el servidor. Sin este agente instalado en las máquinas, el servicio no funciona.

2. Posibilidad de Cifrar tanto dispositivos USB como CD’s/DVD’s.

Al instalar el agente en cualquier máquina, tenemos la posibilidad de aplicar cifrado en todo tipo de dispositivos USB, e incluso CD’s o DVD’s, simplemente utilizando una pequeña aplicación copiada en dichos dispositivos.

3. Posibilidad de registrar toda la información transmitida en los dispositivos móviles.

Esto puede resultar muy útil a la hora de controlar, especialmente, el tránsito de información confidencial o de uso interno, o también, para ver qué usuario/s han accedido a dicha información (cuestión que resulta muy interesante en el ámbito de la LOPD). Es más, no sólo podemos saber qué archivos se están ejecutando, sino incluso abrir esos ficheros y ver las modificaciones que se han hecho.

En conclusión, creo que es una herramienta muy interesante a tener en cuenta, si estamos pensando en llevar a cabo un control de nuestros dispositivos o impedir que ciertos usuarios tengan la posibilidad de guardarla en dispositivos no autorizados.

Evidentemente, sigue habiendo una vía de escape más difícil de controlar que es el correo electrónico, pero con esta aplicación, podemos minimizar la posibilidad de que datos privados o comprometidos circulen a su libre elección.

Economía en tiempos de guerra

26 de febrero de 2009 Por

Pasamos una época complicada en el tema económico, en la que diversos estudios aseguran que aumentan las depresiones y las visitas al psicólogo, mientras que otros destacan el aumento del dinero destinado a juegos de azar por parte de las familias. Una de las alternativas de estos juegos de azar que muchos de ustedes conocerán son las apuestas por Internet, que quizá algunos incluso hayan probado.

El procedimiento de uso suele ser sencillo: un registro, un depósito monetario mediante tarjeta de crédito o similares y a buscar rentabilidad en las apuestas (no se preocupen, que ya les hablaré de eso otro día). Supongo que convendrán conmigo en que en esta época en la que el tema de la seguridad informática es tan candente, se le debe dar mucha importancia a las compañías que demuestran rigor al menos en la seguridad de sus portales. Al fin y al cabo parte de los ahorros —o no— de los usuarios va estar un tiempo en sus cuentas bancarias, hasta que éstos puedan recuperarlo.

Como medidas de seguridad, estos portales suelen ofrecen páginas cifradas con https, algunas incluso incorporan algún tipo de mecanismo de comprobación de fortaleza de contraseña en el registro, y en general, ofrecen la apariencia de preocuparse por el tema de la seguridad. Sin embargo, lo que para un usuario puede ser la diferencia para gastar o no su dinero, para las compañías parece no tener importancia. Entre otras cosas, no es extraño que los operadores que atienden el chat de ayuda de alguna de estas casas online soliciten la contraseña del usuario, lo que me hace suponer que almacenan las contraseñas en claro. No parece muy seguro, ¿verdad?

Por ejemplo, ¿realizarían algún tipo de transacción económica con una página que muestra el siguiente mensaje cuando se accede a su portal como un simple invitado?

query: DELETE FROM shoppingcart WHERE NOT EXISTS (SELECT 1 FROM session WHERE session.UserAccount_UserAccountID = shoppingcart.UserAccount_UserAccountID) -> Deadlock found when trying to get lock; try restarting transaction

Dejando a un lado estas pequeñas muestras de lo que no se debe hacer si se quiere ganar la confianza del usuario, y relacionado con el punto anterior, si me lo permiten me gustaría plantearles la siguiente cuestión, que será la encuesta de la semana y a la que podrán contestar a lo largo de esta semana:

[poll id=”6″]

* * *

(N.d.E.) En relación con la encuesta de la semana pasada, los resultados se muestran debajo, dando como resultado que una gran parte de las personas tienen una relativa concienciación de la seguridad, pero sin llegar al modo paranoico. En cualquier caso, la muestra no puede considerarse representativa, y no sólo por el número, sino también por el público objetivo de este blog.

[poll id=”5″]

Por lo demás, buen fin de semana a todos. Nos vemos el lunes, más y mejor.

¿Uifi? ¿Uep? ¿Uvepeá? ¿Y eso qué é lo que é, señor agente?

25 de febrero de 2009 Por

Leía hoy una interesante entrada en el blog de Javier Cao acerca de la falta de concienciación de las contraseñas, y a través de ésta llegaba a la noticia de que la AEPD había absuelto a un usuario denunciado por colgar imágenes vejatorias en la web debido a que éste alegaba que tenía la web desprotegida [bandaancha.eu].

Aparte de algunas anotaciones muy acertadas por parte de bandaancha.eu, como es el hecho de que como indica el abogado David Maeztu, los datos de tráfico de una persona física o jurídica no pueden ser cedidos por una operadora de telecomunicaciones a la AEPD si no es previa solicitud judicial (solicitud judicial que a menudo no existe), me llama la atención que el hecho de tener la Wifi abierta pueda servir de atenuante e incluso ser una razón suficiente para absolver de una sanción de la AEPD.

Al respecto, y sin extenderme demasiado, creo que hay que destacar varios aspectos. El primero es que confiar en que tener la Wifi desprotegida pueda servirte como escudo es como poco jugársela a los dados; yo no confiaría en que la AEPD resuelva siempre positivamente, e incluso si fuese a través posibilidad de un recurso favorable, eso podría suponer unas molestias considerables. El segundo es que, a pesar de la resolución de la AEPD, en caso de tener que enfrentar una acusación de un delito mayor como podría ser pederastia, amenazas, o pertenencia a banda armada (asusta, ¿eh?), no estoy seguro de que este argumento fuese suficiente, sin mencionar las más que previsibles molestias que tal situación acarrearía independientemente de la culpabilidad o no. Tengan en cuenta, no obstante, que no soy abogado y estoy simplemente especulando, por lo que podría estar terriblemente equivocado (o depender del juez y las circunstancias del caso); en definitiva, lo que vengo a apoyar, como ya hice en su momento, es que nadie debería confiar en que tener la Wifi abierta pueda salvarle de un problema si a través de la línea de la que es titular se cometen delitos de cierta gravedad.

Hasta aquí, la cruz. La cara es que, al menos en el caso de Telefónica (por mi experiencia), y apuesto a que esto se cumple en la mayoría de proveedores, los routers de acceso a Internet se proporcionan configurados con el protocolo WEP, totalmente vulnerable y fácilmente explotable en cuestión de segundos por cualquier persona con un poco de interés; nadie con conocimientos técnicos puede alegar desconocimiento de este hecho, y menos el proveedor del dispositivo. Es más, en el caso de Telefónica dicho operador ni siquiera proporciona las claves de acceso al dispositivo, ya que su gestión se realiza por defecto —esto puede cambiarse— a través del portal “Alejandra”, aspecto que no averigua uno hasta que indaga un poco. Me apuesto un brazo con ustedes a que cualquier solicitud de asistencia técnica orientada a incrementar el nivel de seguridad de tu dispositivo (i.e. cambiar de WEP a WPA/WPA2) es (a) descartada directamente por el operador de turno, y/o (b) cobrada rigurosamente, dependiendo de la insistencia (quizá lo pruebe). En cualquier caso, y como es lógico, la mayoría de las personas que disponen de acceso ADSL a Internet carecen de los conocimientos técnicos para cambiar el protocolo de seguridad del router, y aunque uno disponga de los conocimientos (lo que podría representar un problema si el titular de la línea ha modificado la configuración pero no el protocolo de seguridad, aunque en ese caso, volvemos a las mismas), puede alegar que el dispositivo venía configurado con un protocolo vulnerable y que por precaución no lo modificó.

A la vista de las dos opciones, ¿ustedes qué opinan? ¿Es razonable preocuparse por la seguridad de la propia red para evitar delitos por parte de vecinos y/o afines, o no hacerlo es en realidad la mejor medida de seguridad?

(De todas formas, tampoco se fíen. Como ya les comentamos hace tiempo, no todo el mundo e güeno y las cosas no son siempre lo que parecen.)

El Diablo está en los detalles

24 de febrero de 2009 Por

La portada de uno de los periódicos que conservo por casa reza en un gran titular “Obama inagura el primer gobierno 2.0 del mundo”, y a nadie se le escapa, en efecto, que el nuevo presidente norteamericano ha hecho de Internet y la web 2.0 una de sus principales bazas para llegar al Capitolio. Pero aunque eso lo hace indudablemente más real y cercano a la realidad de los ciudadanos, desde el principio han surgido voces críticas con el uso que se le da a algunos servicios, que van en la línea de las críticas a la privacidad de las redes sociales y el gigante Google.

En este caso no vengo a hablarles de la reticencia a desprenderse de su Blackberry, aspecto que ya comentamos hace unas semanas, sino de un par de cuestiones que Steve M. Bellovin y Christopher Soghoian entre otros, han puesto de relevancia en los últimos tiempos, y es el uso que la Oficina Ejecutiva del Presidente de los Estados Unidos hace de terceras partes para la provisión de servicios web, violando directivas federales, y proporcionando una valiosa información de orientacion política e ideológica a empresas privadas “afines”.

Empecemos por el principio. Hace algo más de un mes se puso en marcha una iniciativa por la que cualquier miembro del Congreso y del Senado norteamericano dispondría de un espacio en YouTube para colgar sus videos y exponer sus ideas a los ciudadanos, algo totalmente elogiable. Si no recuerdo mal, en la campaña electoral española se hizo algo similar, aunque ignoro con qué porcentaje de éxito. Como apunta Bellovin, el problema de esta iniciativa es que aunque aprovecha la tecnología para acercar los representantes a los ciudadanos, lo hace pagando un precio nada despreciable, como es la cesión de una información muy valiosa a una compañía privada como es Google. Francamente, a estas alturas de la historia, y una vez abandonado hace tiempo el lema Don’t be evil, proporcionarle al buscador información de carácter ideológico y político de los ciudadanos para que la utilice en su propio provecho, con el beneplácito y la connivencia del gobierno estadounidense, me parece una falta de concienciación y de la importancia de la privacidad en el mundo 2.0.

En segundo lugar, y para entender lo que sigue, cabe distinguir entre lo que son cookies de sesión y cookies persistentes. Mientras que las primeras son utilizadas mientras el navegador permanece abierto, y son eliminadas al cerrarlo, las segundas no se borran, sino que permanecen en el navegador, permitiendo al “propietario” de la cookie conocer información sobre la última visita o la información que hemos visitado en el pasado. En este último caso, páginas como YouTube han llegado a un nivel de sofisticación que permiten a Google conocer, bajo ciertas condiciones, las páginas y blogs que un usuario está visitando con la sola presencia de un video de YouTube en la página, aun cuando el usuario no “clickee” sobre el video.

Tras esto, déjenme introducirles con un fragmento del Memorando M-00-13, Privacy Policies and Data Collection on Federal Web Sites, de la Office of Management and Budget of the Executive Office of the President of the United States, que se abrevia como OMB. Disculpen si las traducciones no son demasiado apropiadas; lo que sigue es el cuarto y quinto párrafo del dicho memorando, que data del 22 de junio de 2000:

Las inquietudes particulares sobre privacidad deben ser tenidas en cuenta cuando el uso de tecnologías web pueda permitir seguir las actividades de usuarios a través del tiempo y entre páginas web diferentes. Estas preocupaciones son especialmente importantes cuando los individuos que han llegado a las páginas gubernamentales no tienen un aviso claro y visible de cualesquiera actividades de seguimiento. […]

[…] la presunción debe ser que las “cookies” no serán utilizadas en las páginas web federales. Bajo esta nueva política federal, las “cookies” no deben ser utilizadas en las páginas web federales, o por los contratistas que gestionen páginas web en nombre de las agencias, a menos que, además de existir un aviso claro y visible, se cumplan las condiciones siguientes: una necesidad imperante que obligue a recopilar los datos sobre el sitio; protecciones de la privacidad apropiadas y públicas para el manejo de la información derivada de las “cookies”; y aprobación personal por el jefe de la agencia. […]

Dicho memorando fue modificado posteriormente, el 26 de Septiembre de 2003, por el memorando M-03-22, OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002 introduciendo las siguientes modificaciones (Anexo D):

1. Tracking technology prohibitions:

a. Agencies are prohibited from using persistent cookies or any other means (e.g., web beacons) to track visitors’ activity on the Internet except as provided in subsection (b) below;

b. Agency heads may approve, or may authorize the heads of sub-agencies or senior official(s) reporting directly to the agency head to approve, the use of persistent tracking technology for a compelling need. When used, agency’s must post clear notice in the agency’s privacy policy of:

      * the nature of the information collected;
      * the purpose and use for the information;
      * whether and to whom the information will be disclosed; and
      * the privacy safeguards applied to the information collected.

Dicho de otra forma (y en castellano), el uso de cookies persistentes está terminentemente prohibido, salvo que haya una necesidad de peso para ello. En tales casos, debe informarse de la información recogida, finalidad, destinatarios y medidas de seguridad aplicables, y esto aplica tanto a las agencias como a cualquier contratista que gestione contenidos en nombre de las agencias. No obstante, y aquí vuelven de nuevo los “pero’s”, si acceden a algunas de las entradas del blog de La Casa Blanca, verán que algunas de ellas contienen videos incrustados que apuntan a YouTube, y que los videos también se encuentran alojados en Vimeo, para lo cual la política de privacidad ha sido modificada convenientemente, incluyendo los siguientes párrafos:

For videos that are visible on WhiteHouse.gov, a ‘persistent cookie’ is set by third party providers when you click to play a video. […]

This persistent cookie is used by some third party providers to help maintain the integrity of video statistics. A waiver has been issued by the White House Counsel’s office to allow for the use of this persistent cookie.

Esta excepción (waiver) al uso de cookies persistentes ha sido duramente criticada, ya que no parece existir ninguna base fundamentada ni razón de peso para su existencia, y la utilización de proveedores de video externos no sólo les envía un nada despreciable flujo de visitantes, algunos de los cuales continuarán en el website externo, sino que sobre todo les proporciona, igual que comentábamos antes, información sobre los visitantes de varias páginas gubernamentales.

Como apunta Soghoian, no es comprensible que a estas alturas, y dado el presupuesto que La Casa Blanca maneja, se siga utilizando un website externo para el alojamiento de videos gubernamentales, cuando existen múltiples opciones comerciales de video streaming que podrían gestionarse internamente de manera autónoma, tal y como hace America.gov. Como aspecto positivo, el uso de una técnica similar al script MyTube de la Electronic Frontier Foundation para evitar algunas cookies persistentes, o las recientes modificaciones de la política de privacidad parece que apuntan a un creciente concienciamiento sobre la importancia de la privacidad, aunque es todavía claramente insuficiente. Si tenemos que escoger entre la privacidad y la web 2.0, creo que la elección no deja lugar a dudas; no podemos supeditar la primera a la segunda, por mucho que la web 2.0 traiga innumerables e inmensas ventajas. Nunca sabe uno dónde puede estar el punto de no retorno, y eso es algo que todos deberíamos tener presente, ya que jugamos en contra de los intereses de las grandes multinacionales de Internet. Por fortuna, la tecnología y las leyes permiten que no tengamos que escoger… siempre que nos dejen escoger.

En la línea de lo dicho en el anterior párrafo, seguramente a algunos lectores les parezca que puedo estar rozando la paranoia, entrando en este nivel de detalle, y más cuando no soy un ciudadano estadounidense. Sin embargo, aunque no descarto la existencia de una manía persecutoria, a estas alturas creo francamente en ese dicho que titula esta entrada y que dice que el Diablo está en los detalles. No sólo está en esa política de privacidad que deja la puerta abierta a una retención de datos para “usos legítimos de negocio”, en esa frase sutilmente introducida que exime (principalmente) a YouTube de la prohibición expresa de hacer uso de cookies persistentes en una página gubernamental, o en la aparente insignificancia que tienen los registros de visitantes al “canal de Internet” de un representante político. Está también en esa regla del cortafuegos “ANY:ANY” que alguien puso para una “demo” un día antes de irse a casa, en esa petición de acceso que por prisas y favores no sigue los cauces procedimentados, o en esa hoja Excel que mantiene Recursos Humanos, que contiene el personal con minusvalía y de la que el Responsable de Seguridad no sabe nada. Casi siempre, desde la superficie se ve todo impoluto. Rasquen un poco con la uña, y verán quién hay detrás.

* * *

Referencias:

Steve M. Bellovin: YouTube, the Government, and Privacy; More on YouTube, the Government, and Privacy.
Christopher Soghoian: Why Obama should ditch YouTube; White House exempts YouTube from privacy rules; White House acts to limit YouTube cookie tracking.
About.com: Federal Web Sites Violate Privacy Rules.
Electronic Frontier Foundation: Embedded Video and Your Privacy.
Whitehouse.org: Online Privacy Policy (24/02/2009).
OMB: OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002 (M-03-22); Privacy Policies and Data Collection on Federal Web Sites (M-00-13).

Seguridad semántica

23 de febrero de 2009 Por

No deja de sorprenderme la confianza o la poco preocupación por la veracidad que tiene mucha gente sobre la información que circula en la red. Recientemente ha llegado a mi correo electrónico un mensaje con una presentación que contiene algunos cálculos sobre un hipotético reparto del dinero puesto en circulación por los gobiernos para tratar de paliar la crisis. Me resulta sorprendente que a la gente le llegue el correo, lo lea y ni siquiera se pare a pensar si su contenido es correcto, reenviándolo a continuación a su lista de amigos, conocidos, compañeros… Y no me refiero a una valoración subjetiva sobre la intencionalidad del mismo y sobre si uno puede estar de acuerdo o no con las medidas tomadas para combatir la crisis, me refiero más bien a algo tan elemental como realizar una división.

[Read more…]

Idiota del mes

19 de febrero de 2009 Por

Sin ánimo de querer inagurar una nueva sección, la de “Idiota del mes”, aquí a su izquierda les presento a D. Sol Trujillo, CEO de Telstra y flamante poseedor, hasta que se la robaron —no está claro si a él o a un asistente suyo— hace unas horas (asumo que no la perdió ni se la dejó en un taxi, ni que se la vendió a la competencia de Microsoft, porque eso —sobre todo esto último— sería mucho peor), de un prototipo de HTC Touch Diamond2 (o Pro2, no está claro) con un prototipo de Windows Mobile 6.5. Tal y como lo expresa ALT1040, “un teléfono que aún no se vende con un sistema operativo que aún no está disponible en el mercado“. Para que se hagan una idea de la importancia del bicho en cuestión (aunque seguramente ya se la hacen), en el último Mobile World Congress no se dejó que nadie tocase el dispositivo para no exponer más información de la necesaria de su funcionamiento. Y ahora va este hombre y lo pierde.

Claro que a pesar de ello, Microsoft dice que está tranquilo. Tranquilo como un flan, imagino, ¿qué otra cosa van a decir? Rezando estarán para que lo haya robado un “simple” carterista por casualidad y no alguien de la competencia.

Por cierto, ¿se imaginan a alguien comprando este trasto en un chiringuito cualquiera de Barcelona por 50 euros?

PD: Si a alguien le preocupa lo de “idiota”, estoy seguro de que eso es lo más suave que le han dicho en las últimas horas…

Para este jueves, la encuesta de la semana es la siguiente:

[poll id=”5″]

Y el resultado de la anterior es la siguiente:

[poll id=”4″]

¿Qué hay de nuevo, Facebook?

17 de febrero de 2009 Por

Cada vez que uno plantea en público, ya sea en este u otros blogs, dudas y cuestiones sobre las políticas de privacidad (y afines) de las compañías 2.0 “habituales”, tiene que hacer un esfuerzo por no acabar invadido por una terrible sensación de paranoia; ¿soy yo, o son ellos? ¿es normal tener dudas razonables, o soy simplemente un desconfiado? Ahora verán porque se lo pregunto. Les cuento.

Facebook cambió hace un par de semanas sus Términos de uso, que actualmente recogen esta interesante cláusula:

You are solely responsible for the User Content that you Post on or through the Facebook Service. You hereby grant Facebook an irrevocable, perpetual, non-exclusive, transferable, fully paid, worldwide license (with the right to sublicense) to

(a) use, copy, publish, stream, store, retain, publicly perform or display, transmit, scan, reformat, modify, edit, frame, translate, excerpt, adapt, create derivative works and distribute (through multiple tiers), any User Content you

    (i) Post on or in connection with the Facebook Service or the promotion thereof subject only to your configuraciones de privacidad or

    (ii) enable a user to Post, including by offering a Share Link on your website and

(b) to use your name, likeness and image for any purpose, including commercial or advertising,

each of (a) and (b) on or in connection with the Facebook Service or the promotion thereof. […]

[Read more…]