Archivo etiqueta Seguridad
¿Por qué se puede copiar un disco digital?
Por ivan - Retro-informática, Seguridad y Privacidad - 22/may/2009
Disco digital
Esta pregunta no tiene fácil respuesta. Llevo días intentando entender cómo hemos llegado a donde estamos: la copia digital de archivos musicales y películas de vídeo resulta trivial. Los magnates de la producción de CDs y DVDs deben ser, o muy tontos, o todo lo contrario y se les fue la mano (se pasaron de listos).
Empecemos por el CD o compact disc. El primer disco óptico vio la luz comercialmente en el año 1982, y se desarrolló desde el principio como un medio de almacenamiento de audio en formato digital (lo que llegó incluso a condicionar su capacidad de almacenamiento, que se adaptó a la duración de la Novena Sinfonía de Beethoven). El estándar que normalizó este formato se conoce como Red Book, y aunque hoy resulta difícil de creer, no se incluyó en él ningún mecanismo de protección de la información digital almacenada.
Se trata de un error excusable. En la década de los 80 el ordenador personal estaba dando sus primeros pasos (el IBM PC nació en 1981). Su capacidad de proceso era insuficiente para tratar los archivos de audio contenidos en el CD. No existía tampoco forma de comprimir el audio en un tamaño que fuera fácilmente manipulable. No existía tampoco Internet (el embrión de Internet, ARPANET, había nacido hace unos pocos años). En este contexto, sólo un gurú habría podido prever la necesidad de proteger lo que realmente contiene un compact disc: una copia maestra digital de cada canción. Y aún habiendo sido capaz de preverlo, ¿era el estado del arte de la tecnología de aquella época suficiente como para desarrollar un sistema de protección eficaz? Probablemente, no.
Y llegamos al DVD. Este formato de almacenamiento fue concebido como una evolución natural del CD. En este caso, se partía de la experiencia adquirida con el formato anterior, y se buscaba una solución de mayor capacidad, que sirviera tanto para almacenar contenido audiovisual (DVD vídeo y DVD audio), como archivos de ordenador (DVD ROM). Los primeros DVDs se comercializaron a finales de la década de los 90.
En esta ocasión, el grupo de trabajo encargado de definir el estándar consideró necesario proteger el contenido, para lo que se adoptó el esquema de cifrado conocido como CSS (Content Scramble System). El cifrado propietario introducido con este sistema era poco robusto. Se basaba además en un conjunto de claves únicas distribuidas entre todos los fabricantes de equipos reproductores de DVD. Al parecer, uno de los fabricantes no protegió lo suficiente su clave, lo que permitió que un grupo de hackers tuviera acceso a ella y rompiera el algoritmo de cifrado, desarrollando después un programa para descifrar el contenido de cualquier DVD (lo que conocemos como DVD rip). Esto sucedió en 1999, sólo dos años después del lanzamiento del formato.
Probablemente, el hecho de que sólo se utilizaran claves de 40 bits facilitó la tarea. En el momento de definir el formato del DVD, las leyes americanas prohibían la exportación de sistemas criptográficos que emplearan claves de más de 40 bits. También se apunta que el algoritmo de cifrado tenía un diseño tan débil, que con la potencia de cálculo de los ordenadores de finales de los 90, un ataque de fuerza bruta lo hubiera roto en pocos días (y con la actual, en pocos segundos).
Esta historia se está repitiendo ahora con el Blue-ray Disc. La falta de visión y los errores técnicos en la concepción de los sistemas de protección han posibilitado la copia digital del audio y del vídeo contenido en los soportes diseñados y fabricados para satisfacer las necesidades de la industria audivisual. Ellos mismos cavaron su propia tumba; la tecnología informática e Internet únicamente dieron un empujocito.
¿Quién sigue usando el Internet Explorer?
Por ivan - Sociedad y Tecnología - 16/may/2009
Logo del IE prohibido
La respuesta, cuantitativamente hablando, es simple: 2 de cada 3 internautas. Hemos podido leerlo en un artículo publicado por Asa Dotzler, de la Mozilla Corporation, bajo el título Longterm browser trends (Tendencias de navegadores a largo plazo) , y que recopila en un gráfico bastante elocuente la información que recoge Net Applications desde los sites que gestiona.
El gráfico elaborado por Asa Dotzler muestra información desde el año 2004, cuando se liberó Firefox 1.0, hasta hoy. Las primera conclusión es que el navegador más usado sigue siendo el Ineternet Explorer, de Microsoft, con una cuota superior al 60% (agregando los datos de todas sus versiones). La segunda conclusión, apuntada por el autor del artículo, es la pérdida progresiva y lineal de usuarios que experimenta el IE, en favor del Firefox. La linealidad es tan clara, que Mashable vaticina en uno de sus artículos que el Internet Explorer desaparecrá en el año 2021 (matizando después que se trata sólo de una especulación, dado que los factores que influyen en la elección de un software en detrimento de otro son variables e impredecibles).
Bromas a parte, me resulta difícil entender que aún haya dos tercios de la población confiando su experiencia de navegación a un software cuya reputación tocó fondo hace ya varios años. No en vano, la versión 6 del Internet Explorer fue elegida uno de los 25 peores productos tecnológicos de todos los tiempos, según PCWorld. Entre los argumentos que pueden esgrimirse para concederle tan dudoso honor, destacaríamos los cientos de agujeros de seguridad documentados para este navegador (y corregidos por Microsoft en sucesivos parches).
Más aún: la versión 6 no sólo no soportaba los estándares de Internet de forma correcta, sino que los despreciaba añadiendo elementos propietarios que posteriormente se fueron abandonando, y que actualmente no hacen sino lastrar los desarrollos que se atrevieron a utilizarlos.
El peso específico de este navegador ha sido tan grande durante años, que buena parte de las aplicaciones diseñadas para la web se han visto obligadas a adaptarse a él. La forma errónea en la que el IE interpreta las hojas de estilo CSS y el DOM ha obligado a utilizar trucos e incluso librerías diseñadas para hacer que las páginas que siguen los estándares se vean de forma correcta en él.
Y aún así, sabiendo que el IE 8 no es más que el heredero de un browser plagado de problemas de seguridad e incapaz de cumplir los estándares del W3C, nos encontramos con la tozuda realidad: 2 de cada 3 presonas siguen atadas a él. Quizá sea simple inercia de sistemas operativos instalados en máquinas antiguas, PCs corporativos que no pueden actualizarse, o usuarios que no tienen conocimientos técnicos suficientes para comparar y cambiar de navegador. Si esto es así, aún me queda la esperanza de que el tiempo ponga al Internet Explorer en su sitio: la papelera de reciclaje.
Privacidad en el intercambio P2P
Por ivan - Seguridad y Privacidad - 4/may/2009
Transmission: lista de peers conectados
Tras instalar y configurar el programa P2P Transmission, decidí seleccionar la opción “Prefer encrypted peers” (que traducido al español sería algo así como “Utilizar preferentemente peers cifrados”), para ver hasta qué punto esto podía añadir cierta privacidad al proceso de descarga de archivos. Ingenuo de mí, acaba de cometer un error básico: confundir confidencialidad con privacidad.
Ciertamente, la comunicación con peers que soporten mecanismos de cifrado hace que el chorro de bits que fluyen entre mi PC y el peer al que estoy conectado sea un amasijo indescifrable de ceros y unos, es decir, un mensaje cifrado. De ser interceptado por terceras partes (el famoso man in the middle), sería ilegible. Pero no, eso no aporta privacidad.
La privacidad es algo totalmente diferente. Está relacionada con la imposiblidad de obtener de una persona información sobre sí misma que ella no quiere revelar. Un ejemplo habitual es el relacionado con las compras on-line, en las que es necesario que se garantice la privacidad de las transacciones: la entidad que gestiona el pago por internet no debe conocer el objeto de la transacción.
La privacidad en las redes P2P es, simplemente, nula. Basta con observar la ventana de Transmission que me da la información de los peers a los que estoy conectado para descargar el openSuse (por poner un ejemplo). Podemos ver la larga lista de direcciones IP, que identifican a los equipos que están descargando o compartiendo ese mismo fichero. Y podemos ver también el cliente BitTorrent que utilizan y su versión.
Podríamos pensar que la dirección IP no es suficiente para identificar unívocamente con quién nos estamos conectando, puesto que puede tratarse de la dirección de un proxy, o bien puede ser una dirección IP asignada mediante DHCP (y que por tanto cambia dinámicamente). Esto es cierto, pero también lo es que, en virtud de la LSSI (Ley de Servicios de la Sociedad de la Información), los opeardores están obligados a guardar ficheros de log donde se registre para cada comunicación los datos necesarios para identificar a las partes.
La revelación de la información almacenada por los operadores de telecomunicaciones sólo es por mandato judicial, lo que podría hacernos pensar que estamos protegidos. Esto es así en lo que se referiere a poder determinar nuestra identidad a partir de una dirección IP. Pero a veces no hace falta saber quién está detras de una dirección IP, basta con saber que ha vuelto a conectarse. Con técnicas de data-mining es factible establecer patrones y hábitos de descarga a partir del tráfico P2P, y determinar, por ejemplo, qué IPs comparten películas de Disney o cuáles son aficionadas a la música de los Beatles. El resto, forma parte de la historia reciente de Amazon o Google, expertos en el marketing personalizado.
Esa misma información podría utlizarse, por cierto, para emprender acciones legales contra quienes se descargan archivos de redes P2P, suponiendo que esto fuera ilegal (que no lo es). Pero esta es ya otra historia, de la que hablaremos más adelante.
La resolución de conflictos según PayPal
Por ivan - Seguridad y Privacidad - 30/abr/2009
Banner de paypalsucks.com
Mi última experiencia en eBay no hizo sino confirmar lo que antes había podido leer en varios foros: PayPal sucks. Y este es precisamente el lema (y dominio) de una página web dedicada a mostrar las “bondades” de PayPal, con pelos y señales. Pero no es la única. Bajo el título de PayPal – Horror Stories, Lawsuits, PayPal Problems & Information, el sitio AboutPayPal desgrana cientos de malas y muy malas experiencias con el medio de pago más conocido de Internet.
Mi historia es como la de muchos otros: vendo un artículo en eBay (una memoria de PC, concretamente), la envío por correo ordinario (tal y como se indicaba en el anuncio), y Correos pierde el paquete (eufemismo para decir que el paquete se lo queda alguien, porque le pareció que aquello podía serle útil).
Al no recibir el artículo, el comprador decidió abrir una disputa en el Centro de Resolución de Conflictos de PayPal. Antes habíamos intercambiado ya varios correos electrónicos, en los que le expliqué que debía haber elegido una modalidad de envío certificada si consideraba que el importe de la venta lo justificaba. No sirvió de nada.
El Centro de Resolución de Disputas congela el importe de la transacción inmediatamente (obsérvese la confianza que tiene PayPal en sus vendedores, que al fin y al cabo son los que le pagan las comisiones que constituyen su negocio). A la vez, facilita que comprador y vendedor se intercambien mensajes para aclarar las cosas (algo inútil, naturalmente, dado que el comprador ha abierto una disputa).
Terminado el turno de los mensajes, PayPal ofrece al vendedor 3 opciones para resolver el conflicto:
- Devolver el importe al comprador sin más (es decir, reonocer que no se ha realizado el envío)
- Probar que ya se ha devuelto el importe (más de lo mismo)
- Demostrar que efectivamente se ha realizado el envío.
Eligiendo una de las dos primeras opciones, el comprador tiene que asumir que es un estafador. No existe, por ejemplo, una opción para indicar que no se tiene nada que ver con esa transacción, y que es un error de alguien que ha puesto mal la dirección de correo electrónico del vendedor (cosa que también me sucedió en otra ocasión).
La opción 3 te lleva a un formulario donde hay que introducir, ineludiblemente, el código de seguimiento del envío. Si no existe tal código, no hay forma de continuar. De esta forma, si el envío se ha realizado por correo ordinario sin certificar, o el artículo se ha entregado en mano, no existe forma de justificarlo usando el Centro de Resolución de Disputas. Y no hay alternativa.
El fin de la histora es que PayPal resuelve que el comprador tiene razón (aún sigo preguntándome cómo el compardor pudo demostrar que no había recibido el artículo). Por alguna razón misteriosa, la transacción estaba cubierta por cierta garantía de PayPal, lo que hizo que yo no tuviera que devolver el importe. PayPal se lo reintegró el comprador (o al menos eso es lo que se indicaba en el último email que recibí).
Moraleja: si vendes algo en eBay y admites PayPal, el envío siempre certificado. O mejor aún: si vendes algo en eBay, no uses PayPal.
La inseguridad por defecto
Por ivan - Seguridad y Privacidad - 29/abr/2009
Firewall del Leopard en mi PC
Ayer estuve un rato en modo paranoico, debido a lo que supongo fue sólo un cuelgue de mi router. El caso es que, de pronto, no había forma de cargar ninguna página en el navegador. Pero a la vez, tenía al Cyberduck (mi cliente FTP) dando caña, descargando en mi PC el blog desde elcodigo.com (tenía ganas de investigar un poco).
Me pareció extraño y pensé por un momento que algo iba mal, que igual había sido infectado por alguna clase de troyano maligno que no me dejaba navegar por Inernet, pero que sí me dejaba conectar con el servidor FTP de mi proveedor de hosting. Así que me puse a revisar las reglas del firewall del PC y las del firewall del router. Curiosamente, la web de administración del router no indicaba por ningún lado que el cortafuegos estuviera habilitado. Así que decidí hacer una prueba desde las páginas de PC Flank, un sitio web que proporciona diversas herramientas para verificar hasta que punto nuestro PC está siendo protegido. Y fue cuando me llevé la sorpresa.
Los chicos de la empresa con la que tengo contratado el ADSL son muy eficientes a la hora de proporcionar un router que se configure sólo, y en el que no haya que tocar absolutamente nada para comenzar a navegar desde el primer día. Son partidarios, como otros muchos proveedores, de la simplicidad, y por tanto, la web de administración del dispositivo ofrece las mínimas opciones de configuración. Pero al parecer, también son partidarios de la inseguridad por defecto. Así, mi router tiene abiertos dos puertos que se consideran extremadamente peligrosos, desde el punto de vista de la seguridad: el puerto 80 (HTTP) y el puerto 23 (TELNET).
El TELNET es una reliquia del pasado, cuyo historial de brechas de seguridad hace que sea el primer servicio a desactivar, y el primer puerto a bloquear, en toda máquina conectada a Internet que se desee tenga una vida feliz y tranquila. No está justificado que haya puertos abiertos en mi router, salvo los imprescindibles para la resolución de incidencias y la configuración remota. Y aún así, incluso éstos se podrían habilitar bajo demanada, desde la interfaz web (si esa opción de configuración no estuviera capada, claro).
Así las cosas, tengo un dispositivo configurado de forma insegura y que no puedo reconfigurar. Supongo que es mejor así, ya que de esta forma, tampoco lo puedo configurar mal. Pero sinceramente, prefiero ser yo el que rompa las cosas, a que me las rompan los demás.