Veo en GPS Business News  la interesante noticia de que  el operador móvil EMT  (se trata del operador móvil líder de Estonia,  perteneciente al Grupo  Telia Sonera)  acaba de completar con éxito las pruebas de una nueva tarjeta SIM  (producida por la empresa BlueSky Positioning)   que tiene la particularidad  (por  primera vez que yo sepa)  de equipar en la propia tarjeta SIM un receptor  GPS incluyendo la antena. 

Veo en www.theregister.co.uk/2010/02/04/wikileaks_pledge_drive/ la (buena) noticia de que Wikileaks parece haber recaudado ya los 200K US$ que necesitaba para continuar sus operaciones durante el año 2010.

Como es sabido Wikileaks es un sitio Web que se ha hecho famoso, desde su aparición en diciembre del 2006, al publicar sin ningún tipo de censura y de forma totalmente anónima documentos altamente confidenciales, normalmente sobre temas muy embarazosos para compañías comerciales, gobiernos, importantes políticos, etc. Los documentos que publica proceden de informantes anónimos.

Esta difusión “incontrolada” de documentos confidenciales ha provocado que Wikileaks haya tenido que encarar ante los tribunales mas de 100 demandas, presentadas por instituciones o personas afectadas por alguno de los referidos documentos. Hasta el punto de que uno de los tipos de donación que Wikileaks solicita son horas de abogados en ejercicio.

Cuando hace ya unos días apareció la noticia del cierre temporal de Wikileaks debido a sus problemas económicos me resulto algo desalentador, al fin y al cabo se trata de una organización que ha tenido notables éxitos y que aporta un componente de autentica libertad de prensa y de difusión libre y anónima de información mas necesarios hoy que nunca. Tampoco se trataba de grandes cantidades de dinero, el presupuesto total anual de Wikileaks es de solo 600 K US$.

Por cierto que circulan rumores de que una de las causas principales de los problemas económicos de Wikileaks ha sido la filtración y publicación de una lista con los nombres de los principales donantes que tenia previamente esta organización.

Wikileaks ha estado solicitando donaciones afortunadamente parece que con éxito. La verdad no estaba yo inicialmente tan seguro de ello.

Hace unos pocos meses la organización responsable de la Wikipedia (Wikimedia Foundation,  wikimediafoundation.org) inicio también una campaña de donaciones (que aun continua) para que siguiera siendo posible el funcionamiento de la Wikipedia en los términos actuales (sin publicidad), parece que con bastante éxito.

Seguramente todos (o casi todos) deberíamos concienciarnos de que si queremos que sigan “vivos”  sitios Web tan destacados y tan útiles para la comunidad como Wikipedia o (en su ámbito particular) Wikileaks no queda mas remedio que alguien (todos nosotros) pongamos el dinero necesario,  porque hay cosas que es mucho mejor que no financie la publicidad ni (todavía menos) los gobiernos.

Esperemos que el caso de Wikileaks tenga un final feliz y que sirva además para que entendamos mejor el gran valor de los “muchos pocos” y  el  signo positivo que a veces tiene el anonimato en Internet. 

Era cuestión de tiempo que las redes sociales, tan de moda en la actualidad, se convirtiesen en objetivos de hackers y spammers. Facebook, twitter o MySpace son algunos ejemplos de redes sociales en las que están teniendo lugar estos ataques. Por ejemplo, según el informe de Sophos un 57% de los usuarios de redes sociales afirma haber recibido publicidad no deseada (spam), lo cuál supone un aumento del 70% respecto al pasado año, crecimiento que ha tenido en igual porcentaje el envío de malware a través de redes sociales que ya sufren un 36% de los usuarios de estas redes.

La encuesta en la que participaron 500 personas también recogió opiniones acerca de cuál era considerada la red social más insegura por los usuarios. Un 60% de los encuestados respondió Facebook, un 18% MySpace, 17% Twitter y un 4% Linkedin (probablemente WindowsLive no aparece porque no es popular, porque problemas de seguridad tiene) En el Informe señalan que no debemos olvidar que Facebook es la red social más grande del mundo y que mantener la seguridad de un site con 350 millones de usuarios no debe ser fácil, aunque algunos cambios pueden ayudar a hacer facebook más seguro, como por ejemplo los recientes cambios en la privacidad de facebook que han ayudado a muchos a no compartir sus datos con cualquier desconocido.

¿Qué opinas tú? ¿Has visto un aumento de spam y malware en el último año? ¿qué red social consideras la más insegura?

¿Vulnerabilidad? ¿Algoritmos de cifrado rotos? No, de momento no.

La falla de seguridad no estaba en el algoritmo (AES de 256 bits  sigue siendo seguro), sino en la implementación del criptosistema. Más concretamente, en el proceso de autenticación (cuando el usuario introduce la contraseña para poder acceder al dispositivo de almacenamiento cifrado).  Se puede encontrar más sobre el fallo en el artículo de Bruce Schneier.

Como se menciona en los artículos citados, esto nos lleva a una pregunta. Es evidente que no todos los potenciales enemigos que puedan tener acceso a nuestros datos cifrados (imaginad cuantos pendrives, discos duros portátiles e incluso ordenadores portátiles se extravían o se dejan olvidados) tienen los conocimientos necesarios para explotar este tipo de fallas. Sin embargo, ¿cuan seguro resulta que un fabricante nos indique que su producto está certificado? ¿Deberían las certificaciones valorar la implementación? ¿Es ésta seguridad real? De nada nos sirve que nuestro software implemente algoritmos de cifrado realmente probados, si se dejan puertas abiertas para evitar estos procedimientos de cifrado.

Citando textualmente a Bruce Schneier (me quedo principalmente con la idea de que no hay que ceder a la cautivadora imagen del marketing): “The problem is that no one really understands what a FIPS 140-2 certification means. Instead they think something like: “This crypto thingy is certified, so it must be secure.” In fact, FIPS 104-2 Level 2 certification only means that certain good algorithms are used, and that there is some level of tamper resistance and tamper evidence. Marketing departments of security take advantage of this confusion — it’s not only FIPS 140, it’s all the security standards — and encourage their customers to equate conformance to the standard with security.”

Más sobre AES : especificación oficial,  explicación amena tipo cómic .

Actualización: Desde el blog de la Cátedra Telefónica de Telemedicina en la Universidad de la Laguna nos dan su visión sobre este tipo de problemas en el ámbito de la Sanidad.

El Ransomware es un tipo de malware, derivado de los desarrollos teóricos de Adam Young  y Moti Yung (artículo original, 1996). La idea básica era explorar los posibles usos de algoritmos criptográficos en materia de virus informáticos.  Aunque también había surgido algún que otro malware parecido antes (1989, un antecesor más rudimentario, en software distribuido en disquetes por correo postal), la eclosión vino después. Tras su prueba de concepto, empezaron a surgir distintos ejemplos de Ransomware que aprovechaban esas ideas.

La manera de actuar se puede resumir de manera muy sencilla: tras la infección del sistema informático, el malware toma el control y “extorsiona” . Esa extorsión suele consistir en bloquear el sistema (o el acceso a ciertas partes de él), y exigir al usuario un pago económico (vía telemática), a cambio de reestablecer la normalidad. Para ese bloqueo suele servirse de técnicas como encriptar los archivos del sistema para evitar el arranque, o encriptar los documentos personales del usuario.

Un ejemplo de malware sería el Win32/RansomSMS.AH, que bloquea el acceso a Internet, y exige el envío de un sms a un número de teléfono situado en Rusia.

Los aspectos de seguridad en los que incide el estudio van desde métodos de autenticación entre el cliente y el servidor, hasta la gestión de contraseñas y los protocolos de cifrado de datos.

La conclusión a la que se llega es que, la mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque generalmente sí se utilizan algoritmos de cifrado en las conexiones cliente-servidor. Es de destacar que la mayoría de usuarios de Twitter que optan por clientes de escritorio en lugar de por usar la web de Twitter, lo hacen sin conocer su legitimidad ni seguridad.

Con el avance de los servicios de Microblogging como Twitter, el robo de credenciales y su uso ilegítimo para suplantaciones de identidad cobra una nueva dimensión. En ocasiones, el usuario tiene un prestigio entre el resto de usuarios que sigue sus actualizaciones (como puede ser el caso de bloggers y gente famosa en el mundo de Internet, que hacen un extenso uso de éstos servicios para compartir ideas), que podría verse afectado si se suplanta su identidad.

El informe puede consultarse en la web de INTECO.

La conferencia que he preparado para la Jornada Cátedras Telefonica en UPM titulada "Nuevos Retos de Internet: Movilidad y Cloud Computing" ha constituido una excelente oportunidad para reflexionar de nuevo sobre como esta evolucionando Internet, en este caso, sobre todo lo que afecta a la movilidad, que en el mundo anglosajón denominan "mobile Internet computing", que esta configurandose como un nuevo ecosistema en plena expansion. Los datos encontrados en este excelente post de TechCrunch que me paso Joaquin Salvachua indican que su expansión es incluso mas acelerada de lo que yo en un principio imaginaba.

En este nuevo paradigma la usabilidad de las aplicaciones en las pequeñas pantallas de nuestros telefonos móviles es la clave, por lo que el iPhone y el canal de distribución o comercialización de aplicaciones creado por Apple y conocido como Apple Store, se han convertido en los 2 motores de dicha expansion.

Me ha sido muy grato corroborar que la innovación de los usuarios que siempre ha existido en Internet, sigue existiendo en el ecosistema móvil gracias a la tienda online de aplicaciones de Apple que permite que cualquier persona distribuya sus aplicaciones a cualquier usuario de iPhone en cualquier lugar del mundo.

En el otro extremo de este ecosistema de aplicaciones tenemos la nube (cloud computing), que gracias al uso de Web services tipo REST como mecanismo de acceso, facilita enormemente el dieño de las nuevas aplicaciones. Curiosamente la mejor definición de cloud computing la encontre en Twitter y no en la wikipedia, donde @dexin lo definió como "accessing scalable computing resources via Web services over a network".

Para los que esteis interesados incluyo aqui las diapositivas de mi charla, donde despues de contextualizar el momento que vivimos dentro del marco de la revolución TIC, podeis encontrar a partir de la diapositiva 11 una seleccion de los datos que mas me han impactado.

Nuevos retos de Internet: Movilidad y Cloud Computing

Otros enlaces interesantes son los consejos al respecto de las propias redes sociales, como la de Facebook, o la de MySpace .