Internet de Nueva Generación (UPM)

Veo en GPS Business News  la interesante noticia de que  el operador móvil EMT  (se trata del operador móvil líder de Estonia,  perteneciente al Grupo  Telia Sonera)  acaba de completar con éxito las pruebas de una nueva tarjeta SIM  (producida por la empresa BlueSky Positioning)   que tiene la particularidad  (por  primera vez que yo sepa)  de equipar en la propia tarjeta SIM un receptor  GPS incluyendo la antena. 

Veo en www.theregister.co.uk/2010/02/04/wikileaks_pledge_drive/ la (buena) noticia de que Wikileaks parece haber recaudado ya los 200K US$ que necesitaba para continuar sus operaciones durante el año 2010.

Como es sabido Wikileaks es un sitio Web que se ha hecho famoso, desde su aparición en diciembre del 2006, al publicar sin ningún tipo de censura y de forma totalmente anónima documentos altamente confidenciales, normalmente sobre temas muy embarazosos para compañías comerciales, gobiernos, importantes políticos, etc. Los documentos que publica proceden de informantes anónimos.

Esta difusión “incontrolada” de documentos confidenciales ha provocado que Wikileaks haya tenido que encarar ante los tribunales mas de 100 demandas, presentadas por instituciones o personas afectadas por alguno de los referidos documentos. Hasta el punto de que uno de los tipos de donación que Wikileaks solicita son horas de abogados en ejercicio.

Cuando hace ya unos días apareció la noticia del cierre temporal de Wikileaks debido a sus problemas económicos me resulto algo desalentador, al fin y al cabo se trata de una organización que ha tenido notables éxitos y que aporta un componente de autentica libertad de prensa y de difusión libre y anónima de información mas necesarios hoy que nunca. Tampoco se trataba de grandes cantidades de dinero, el presupuesto total anual de Wikileaks es de solo 600 K US$.

Por cierto que circulan rumores de que una de las causas principales de los problemas económicos de Wikileaks ha sido la filtración y publicación de una lista con los nombres de los principales donantes que tenia previamente esta organización.

Wikileaks ha estado solicitando donaciones afortunadamente parece que con éxito. La verdad no estaba yo inicialmente tan seguro de ello.

Hace unos pocos meses la organización responsable de la Wikipedia (Wikimedia Foundation,  wikimediafoundation.org) inicio también una campaña de donaciones (que aun continua) para que siguiera siendo posible el funcionamiento de la Wikipedia en los términos actuales (sin publicidad), parece que con bastante éxito.

Seguramente todos (o casi todos) deberíamos concienciarnos de que si queremos que sigan “vivos”  sitios Web tan destacados y tan útiles para la comunidad como Wikipedia o (en su ámbito particular) Wikileaks no queda mas remedio que alguien (todos nosotros) pongamos el dinero necesario,  porque hay cosas que es mucho mejor que no financie la publicidad ni (todavía menos) los gobiernos.

Esperemos que el caso de Wikileaks tenga un final feliz y que sirva además para que entendamos mejor el gran valor de los “muchos pocos” y  el  signo positivo que a veces tiene el anonimato en Internet. 

Según un informe de Sophos el riesgo y la inseguridad en las redes sociales ha crecido en un 70%.

Era cuestión de tiempo que las redes sociales, tan de moda en la actualidad, se convirtiesen en objetivos de hackers y spammers. Facebook, twitter o MySpace son algunos ejemplos de redes sociales en las que están teniendo lugar estos ataques. Por ejemplo, según el informe de Sophos un 57% de los usuarios de redes sociales afirma haber recibido publicidad no deseada (spam), lo cuál supone un aumento del 70% respecto al pasado año, crecimiento que ha tenido en igual porcentaje el envío de malware a través de redes sociales que ya sufren un 36% de los usuarios de estas redes.

La encuesta en la que participaron 500 personas también recogió opiniones acerca de cuál era considerada la red social más insegura por los usuarios. Un 60% de los encuestados respondió Facebook, un 18% MySpace, 17% Twitter y un 4% Linkedin (probablemente WindowsLive no aparece porque no es popular, porque problemas de seguridad tiene) En el Informe señalan que no debemos olvidar que Facebook es la red social más grande del mundo y que mantener la seguridad de un site con 350 millones de usuarios no debe ser fácil, aunque algunos cambios pueden ayudar a hacer facebook más seguro, como por ejemplo los recientes cambios en la privacidad de facebook que han ayudado a muchos a no compartir sus datos con cualquier desconocido.

¿Qué opinas tú? ¿Has visto un aumento de spam y malware en el último año? ¿qué red social consideras la más insegura?

Leo aquí un post de Sergio Hernando, que se hace eco de una notica aparecida hace un par de días: la vulneración de la seguridad de ciertos pendrives que estaban certificados con el nivel de certificación FIPS 140-2 (certificación, explicación de Wikipedia). Estos pendrives no estaban fabricados por cualquiera, sino que pertenecen a fabricantes destacados en este área.

¿Vulnerabilidad? ¿Algoritmos de cifrado rotos? No, de momento no.

La falla de seguridad no estaba en el algoritmo (AES de 256 bits  sigue siendo seguro), sino en la implementación del criptosistema. Más concretamente, en el proceso de autenticación (cuando el usuario introduce la contraseña para poder acceder al dispositivo de almacenamiento cifrado).  Se puede encontrar más sobre el fallo en el artículo de Bruce Schneier.

Como se menciona en los artículos citados, esto nos lleva a una pregunta. Es evidente que no todos los potenciales enemigos que puedan tener acceso a nuestros datos cifrados (imaginad cuantos pendrives, discos duros portátiles e incluso ordenadores portátiles se extravían o se dejan olvidados) tienen los conocimientos necesarios para explotar este tipo de fallas. Sin embargo, ¿cuan seguro resulta que un fabricante nos indique que su producto está certificado? ¿Deberían las certificaciones valorar la implementación? ¿Es ésta seguridad real? De nada nos sirve que nuestro software implemente algoritmos de cifrado realmente probados, si se dejan puertas abiertas para evitar estos procedimientos de cifrado.

Citando textualmente a Bruce Schneier (me quedo principalmente con la idea de que no hay que ceder a la cautivadora imagen del marketing): “The problem is that no one really understands what a FIPS 140-2 certification means. Instead they think something like: “This crypto thingy is certified, so it must be secure.” In fact, FIPS 104-2 Level 2 certification only means that certain good algorithms are used, and that there is some level of tamper resistance and tamper evidence. Marketing departments of security take advantage of this confusion — it’s not only FIPS 140, it’s all the security standards — and encourage their customers to equate conformance to the standard with security.”

Más sobre AES : especificación oficial,  explicación amena tipo cómic .

Actualización: Desde el blog de la Cátedra Telefónica de Telemedicina en la Universidad de la Laguna nos dan su visión sobre este tipo de problemas en el ámbito de la Sanidad.

Al hilo de esta noticia, en la que se alerta de nuevas amenazas en el terreno de la seguridad informática, no estaría de más comentar el concepto de “Ransomware“.

El Ransomware es un tipo de malware, derivado de los desarrollos teóricos de Adam Young  y Moti Yung (artículo original, 1996). La idea básica era explorar los posibles usos de algoritmos criptográficos en materia de virus informáticos.  Aunque también había surgido algún que otro malware parecido antes (1989, un antecesor más rudimentario, en software distribuido en disquetes por correo postal), la eclosión vino después. Tras su prueba de concepto, empezaron a surgir distintos ejemplos de Ransomware que aprovechaban esas ideas.

La manera de actuar se puede resumir de manera muy sencilla: tras la infección del sistema informático, el malware toma el control y “extorsiona” . Esa extorsión suele consistir en bloquear el sistema (o el acceso a ciertas partes de él), y exigir al usuario un pago económico (vía telemática), a cambio de reestablecer la normalidad. Para ese bloqueo suele servirse de técnicas como encriptar los archivos del sistema para evitar el arranque, o encriptar los documentos personales del usuario.

Un ejemplo de malware sería el Win32/RansomSMS.AH, que bloquea el acceso a Internet, y exige el envío de un sms a un número de teléfono situado en Rusia.

Inteco-CERT ha publicado un informe en el que analiza la seguridad de los principales clientes de Twitter para múltiples plataformas (Windows, Linux, MacOS, iPhone, Android y Blackberry). 

Los aspectos de seguridad en los que incide el estudio van desde métodos de autenticación entre el cliente y el servidor, hasta la gestión de contraseñas y los protocolos de cifrado de datos.

La conclusión a la que se llega es que, la mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque generalmente sí se utilizan algoritmos de cifrado en las conexiones cliente-servidor. Es de destacar que la mayoría de usuarios de Twitter que optan por clientes de escritorio en lugar de por usar la web de Twitter, lo hacen sin conocer su legitimidad ni seguridad.

Con el avance de los servicios de Microblogging como Twitter, el robo de credenciales y su uso ilegítimo para suplantaciones de identidad cobra una nueva dimensión. En ocasiones, el usuario tiene un prestigio entre el resto de usuarios que sigue sus actualizaciones (como puede ser el caso de bloggers y gente famosa en el mundo de Internet, que hacen un extenso uso de éstos servicios para compartir ideas), que podría verse afectado si se suplanta su identidad.

El informe puede consultarse en la web de INTECO.

Ya se ha publicado el estudio "Aplicaciones de las TIC en la Educación – Tendencias ", elaborado por Pedro Luis Chas Alonso y Antonio Fumero, investigadores de la Cátedra Telefónica de Internet de Nueva Generación en la ETSIT-UPM. Este estudio tiene como objetivo describir algunas de las que pueden considerarse principales tendencias en lo relativo a las aplicaciones de las TIC en la Educación, y puede ser descargado aquí .

En el momento actual, en el que proliferan las Redes Sociales, y el usuario medio tiene, usualmente, cuentas en varias de ellas, se hace necesario un control adecuado de la privacidad de los datos que se publican en ellas. La Oficina de Seguridad del Internauta (OSI), de Inteco, publica una serie de consejos, fáciles de seguir, para proteger la privacidad del usuario, y para prevenir hechos delictivos como el robo de identidad. También, medidas contra el bullying, que son importantes debido a la enorme facilidad de acceso que tienen los menores a las nuevas tecnologías.

Otros enlaces interesantes son los consejos al respecto de las propias redes sociales, como la de Facebook, o la de MySpace .