domingo, julio 31, 2016

La red TOR y su segureidad: algunas sospechas e investigaciones al respecto

La pregunta es frecuente, y todos quieren saber ¿es la red TOR (The Onion Router) segura para ocultar mi IP?. La respuesta se puede ver en el primer capítulo de la serie Mr. Robot, pero claro, ahí muestra uno de los problemas que tiene los usuarios al usar la red. Básicamente la red TOR es un intermediario y como tal puede hacer distintos tipos de ataques.

OK, pero ¿que tan segura es esa red? Siempre han habido sospechas, en general, los problemas que tienen los usuarios al usar la red es que dejan "huellas" de forma paralela en los accesos que permiten sacar la máscara de anonimato por correlación de datos, eso fue lo que pasó por ejemplo en el caso Silk Road.

Bueno... pero ¿me puedes decir si TOR es seguro o no? bueno, podemos contestar esa pregunta con un extracto de una entrevista que le hizo Página 12 al criptólogo argentino Hugo Scolnik

–En un punto matemática, seguridad informática e intereses económicos convergen.

–Todo el mundo se ha enamorado de la Internet invisible, de la Internet oscura. Lo que se propagó es una Internet que no es a la que se accede con Google. El sistema más difundido para navegar así es Tor, un sistema para que puedas mandar mails, disimulando tu dirección IP, que no se vea, poder navegar en forma invisible y acceder a muchos lugares; hay desde narcotraficantes hasta científicos en la Internet oscura. Y ahora se descubrió que el principal servidor de Tor está en Chicago y lo maneja ¿quien? La NSA.

Vamos que me estás evadiendo. ¿Es TOR seguro?, pues para responder eso basta decir que una reciente investigación ha descubierto que dentro de la red TOR hay al menos 110 servidores maliciosos a la vez que otra investigación determinó que una gran cantidad de webs dentro de la red TOR pueden delatar las direcciones IP reales de quiénes lo alojan.

Entonces ¿TOR es Seguro?.... ¡¿Quién lo sabe?!

jueves, julio 28, 2016

¿Qué puede ver nuestro ISP?

Muchas veces surge el interrogante si nuestras comunicaciones viajan de forma segura por Internet o no. Pues bien, según el texto "What ISPs Can See" lamentablemente la noticia es que no, es posible que nuestro proveedor de Internet tenga acceso a gran cantidad de información sobre nosotros.


Incluso aunque naveguemos por páginas seguras (HTTPS) lo cierto es que es posible saber por la información de DNS que sitio navegamos... y aunque usemos VPN no es la solución mágica dado que estaremos entregando la información a otros proveedores e incluso malas configuraciones podrían entregar información a nuestro ISP.

En conclusión es importante tener conciencia de lo que nuestros ISPs pueden ver, para así saber que información visualizar.

martes, julio 26, 2016

NoMoreRansom: sitio de la Europol para combatir el Secuestro de Archivos

La Europol, la policía de Holanda, empresas como Intel y Kaspersky han colaborado para combatir el ransomware, un mal que está afectando a cada vez más usuarios.

En el sitio se dan distintos consejos así como la posibilidad de subir archivos para identificar por cual ransomware se está infectado y da las opciones para recuperarlos.



Si bien no se encuentran soluciones para todos los malware de este tipo, esta iniciativa busca desalentar el uso del ransomware justamente evitando que los usuarios paguen por el rescate.

El sitio cuenta con preguntas frecuentes, consejos preventivos, soluciones y un análisis para poder determinar el tipo de ransom que afectó a los archivos.

Puede acceder entrando en NoMoreRansom.

Verizon compra Yahoo!

4800 millones de dolares es el precio por el cual la empresa de telecomunicaciones de Estados Unidos Verizon adquiere Yahoo!, un sitio histórico de Internet.

De esta forma Yahoo, que se encontraba en una crisis financiera, dejará de ser una empresa independiente siendo parte de la empresa Verizon.

En momentos de grandes ventas, como el caso de Linkedin por parte de Microsoft, lo que uno se vuelve a plantear es que pasará con los usuarios y los servicios que utilizan, esperemos que se siga prestando los servicios sin interrupciones.

Gobierno Argentino emite resolución para obtener Datos Personales de los ciudadanos con fines Comunicacionales

El Gobierno argentino mediante la resolución Resolución 166 - E/2016 de la Jefatura de Gabinetes de Ministros ha establecido un Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social (ANSES) y la Secretaría de Comunicación.

Los datos que se buscan transferir, según el ANEXO 1, con fines de comunicaciones de gobierno son:
  • Nombre y Apellido,
  • DNI,
  • CUIT/CUIL,
  • Domicilio,
  • Teléfono,
  • Correo electrónico,
  • Fecha de Nacimiento,
  • Estado Civil,
  • Estudios.
Debido a que son datos de carácter personal se han levantado criticas por afectar la ley de Protección de Datos Personales (Ley 25.326) específicamente en su art. 4 inc. 3:

ARTICULO 4° — (Calidad de los datos).

(...)

3. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. (...)
Aún no hay información oficial sobre la rectificación dado que la resolución salió hoy en el Boletín Oficial, pero ya despertó varias críticas.

domingo, julio 24, 2016

Encuesta escala salarial tecnoloigía "segundo semestre 2016" para Latinoamérica

Sysarmy ha abierto la encuesta salarial del segundo semestre para la región. Así como en su momento se habló sobre los distintos salarios en el rubro tecnología a partir de distintas fuentes, esta es una buena oportunidad para añadir en una encuesta una referencia más.

En breve se publicarán los resultados en el blog de Sysarmy, por ahora puede completar la encuesta accediendo al enlace de la entrada en el blog oficial.

sábado, julio 23, 2016

Dropbox libera algoritmo de compresión de imagen sin perdida 22% más eficiente que los JPEG

La empresa de almacenamiento en la nube ha anunciado la liberación bajo licencia código abierto de Lepton, un algoritmo de compresión sin perdida un 22% más eficiente que los algoritmos estándards.

De esta forma se logra reducir los archivos alojados en dispositivos a la vez que se puede recuperar una copia 100% igual al orginal.

El código fuente se puede encontrar en Github cómo el anuncio en su blog.

jueves, julio 21, 2016

Datos Abiertos en el Gobierno Argentino

Hace tiempo ya se comentó de proyectos que buscaban hacer públicos los datos gubernamentales como por ejemplo VozData de La Nación. Pues el gobierno que ha asumido el año pasado en la República Argentina ha apostado a la tendencia de OpenData y ha liberado varios Sets de Datos Abiertos para que cualquiera los pueda reutilizar.

Entre ellos están los datos de funcionarios públicos y de empleados contratados, por ejemplo.



El marco normativo que regula estas publicaciones es el siguiente:
  • Decreto 117/2016 
  • Resolución 538/2013 
  • Decreto 1172/2003 

Y algunos sets de datos disponibles son:

  • Solicitudes de Acceso a la Información Pública
  • Sistema de Contrataciones Electrónicas (Argentina Compra)
  • Declaraciones Juradas Patrimoniales Integrales
  • Registro Central de Personas Contratadas
  • Ejecución Presupuestaria de la Administración Pública Nacional
  • Estructura Orgánica y Autoridades del Poder Ejecutivo Nacional
  • Registro Único de Audiencias de Gestión de Intereses

Se puede acceder a los datos desde la web oficial: datos.gob.ar

jueves, julio 14, 2016

Vuelve Mr. Robot, la serie más fidedigna de Seguridad Informática

El cine, las series y la seguridad informática nunca se llevan de la mano. Pantallas con animaciones, interfaces extrañas e inverosímiles, comandos inexistentes suele ser lo común. Pero ahí surgió algo diferente: Mr. Robot, la serie más fidedigna en lo que respecta a Seguridad Informática.

La serie trata sobre el Elliot. Un personaje con varios problemas emocionales, afectivos, de salud, pero tiene un problema mayor: quiere arreglar problemas ajenos. ¿Cómo lo hace? mediante sus conocimientos informáticos. Elliot critica tanto a la sociedad en la que vive que prácticamente vive aislado si no fuera por las pocas personas que lo aprecian (o aprecian su conocimiento).

Con el correr de los capítulos de la primer temporada al trama se va desarrollando con el fin de hacer un sabotaje y cada personaje muestra más y más de lo que es capaz de hacer.

Ya empezó la segunda temporada y con el éxito que fue la primera hay grandes expectativas.

Sobre los ataques que se muestran en la serie, si. Son posibles. La mayor cantidad de la serie esta basado en noticias reales de ataques, y la misma es realizada con asesores en seguridad informática.

Si se desea ver una serie verosímil desde el punto de vista técnico, esta es la serie indicada.

Listado de Juegos para LAN Party

Hace tiempo que no se ven muchos cybers donde la gente se juntaba para jugar a videojuegos en una red LAN, generalmente eran cybercafes donde además había máquinas con juegos.

Luego muchos utilizaron la posibilidad de transportar las máquinas y así jugar de forma local en LAN Partys ya sea en casas particulares como eventos acordes.

Pues bien, una muy interesante lista de juegos se puede encontrar en LAN Game List que permite filtrar y ordenar según sea el gusto de cada uno.


Una muy interesante propuesta cuando se tiene gran número de máquinas conectadas a una red local y se le quiere dar alguna utilidad, descargando los juegos en un servidor compartido se podrá dar un nuevo uso.

También se pueden agregar nuevos juegos a la lista.

miércoles, julio 06, 2016

Analizando Seguridad de cabeceras HTTP (o como mejorar la seguridad de tu sitio web)

La tecnología web es sumamente compleja, y si bien tener un sitio web parece algo sencillo la realidad es que hay varios aspectos a tener en cuenta. Uno de estos son los aspectos de seguridad y dentro de esto distintas cuestiones, como por ejemplo las cabeceras HTTP.

Cuando uno hace una petición a un servidor web la misma es devuelta con un "header" (o cabecera) y el contenido. Este "header" le informa al navegador (browser) como actuar ante distintas circunstancias. Configurando ciertas opciones en el servidor o se puede mejorar la seguridad y esto en ciertas ocasiones puede ser considerado para la optimización en buscadores (SEO).

Para poder verificar una herramienta muy interesante es securityheaders.io la cual nos permite verificar si nuestro sitio se encuentra con dichas optimizaciones y además nos proporciona información de porqué se debe configurar y como hacerlo.


Tiene un esquema muy similar que SSL Server Test en el cual se puede ingresar una web y muestra la información, a su vez muestra tres listados con los distintos rankings. También permite que no se liste nuestra web en los citados rankings.

Sobre conexiones HTTP verifica:
  • Content-Security-Policy,
  • X-Content-Type-Options,
  • X-Frame-Options y
  • X-XSS-Protection.

Y sobre conexiones cifradas (HTTPS) verifica además:
  • Strict-Transport-Security y
  • Public-Key-Pins.
Recibe las actualizaciones en tu correo