miércoles, abril 26, 2017

Chat Web Efímeros: para chatear sin dejar rastros (o al menos sin tatnos rastros)

Si uno desea chatear existen muchas opciones, pero todas en mayor o menor medida dejan rastros. Si bien es cierto que no existe la solución a todos los problemas, para determinadas circunstancias algunas herramientas son las más acordes.

Anteriormente se habían comentados sitios que permitías enviar mensajes que se auto destruían, que aunque son muy útiles, lo cierto es que también pueden ser engorrosos.

Ahora comparto dos alternativas que permiten chatear mediante un sistema de chats temporales, acá van los servicios:


Ambos funcionan sobre HTTPS y si se desea tener más seguridad se puede entrar en "modo privado" del navegador.

¿Sabemos si el servicio almacena la información? Realmente no ni tenemos forma de saberlo.

jueves, abril 20, 2017

FLISoL 2017: este sábado 22 de Abril

El 13º Festival Latinoamericano de Instalación de Software Libre se realizará el Sábado 22 de abril 2017.

Ya se comentó un poco de que va este evento y dado que es de entrada libre y gratuita muchos pueden estar interesados en ir a las distintas charlas convocadas en las distintas sedes así como animarse a instalar un sistema operativo libre (si aún no lo han hecho).

Toda la información con los enlaces a las distintas sedes se puede ver acá: http://flisol.info/

Bugs curiosos solamente con el teclado en GRUB, LUKS y BitLocker

Así es, simplemente utilizando el teclado se puede saltear protecciones de gestores de arranque como GRUB así como sistemas de cifrado como BitLocker y LUKS.

Veamos que se requería para explotar estos bugs:
  • GRUB: presionar 28 veces la tecla retroceso.
  • LUKS: mantener presionado por 70 segundos.
  • BitLocker: durante el proceso de actualización presionar Shift+F10.
La pregunta que todos se hacen... ¿estos son Bugs o Características (features)?

miércoles, abril 12, 2017

Cámaras IP el eslabón débil de los sistemas de CCTV

El Internet de las Cosas (IoT) cada vez está sonando más fuerte y pocos se ponen a analizar sus riesgos: sistemas embebidos con actualizaciones casi nulas conectados a internet.

Pues bien, ya existen varias muestras que al menos las cámaras de CCTV con tecnología IP trae más problemas que soluciones.

Distintos fabricantes como Avtech o Siemens tuvieron fallas, incluso algunos dispositivos permitían ser parte de una botnet.

Soluciones:
Aislarlos de Internet. O tenerlo bajo control en una red aislada. Distintas técnicas como VLAN, VPN, Port Knocking, Reglas de IP por Firewall, etc. permiten tener un mejor control para mitigar algunos de estos problemas que pueden traer este tipo de dispositivos.

sábado, abril 08, 2017

Mumuki: aprendiendo a programar desde 0

Mumuki es un interesante proyecto que busca enseñar programación desde distintos paradigmas.
Es muy interesante si uno quiere aprender a programar desde cero o al si quiere ver nuevas formas de programar.

Los capítulos son los siguientes:
  • Capítulo 1: Fundamentos (Gobstones)
  • Capítulo 2: Programación Imperativa(JavaScript)
  • Capítulo 3: Programación Funcional (Haskell)
  • Capítulo 4: Programación Lógica (Prolog)
  • Capítulo 5: Metaprogramación (Ruby)
Se puede acceder al material libremente así como también conocer las fuentes en Github.

Tal vez también te pueda interesar esta entrada.

miércoles, abril 05, 2017

TOX una alternativa a Bittorrent Chat / Bleep

Si bien hace un tiempo se comento sobre el nuevo programa de mensajería instantánea de bittorrent (hasta ese momento conocido como Bittorrent Chat pero actualmente renombrado como Bittorrent Bleep).

La cuestión es que surgió una alternativa llamada TOX las cuales tienen muchas características similares que este software, se enfoca al cifrado y tiene características de video llamada, una cuestión interesante es la utilización de UDP vs. TCP para poder realizar el llamado UDP hole punching.

Si bien no hay una versión final se puede descargar una versión aún con posibles bugs, eso si tiene un gran wiki con información y desarrollos para distintas plataformas. Ha lo más importante: es código abierto.

domingo, abril 02, 2017

Tu empleador probablemente te esté espiando con un proxy transparente... ¿cómo eludirlo?

Es verdad, la gran mayoría no es consiente de lo que sucede cuando navegamos por Internet. Pero trataré de explicarlo brevemente: es una gran red donde la información viaja entre distintas computadoras y cada una de estas tiene capacidad de almacene esta información.

La utopía de John Perry Barlow nunca se logrará, la independencia del Cyberespacio nunca existirá mientras tengamos que depender de terceros que fabriquen los equipos y que nos permitan la conectividad.

Y esos terceros existen, existieron y existirán.
Natalia Zuazo lo describió claramente en su libro "Guerras de Internet", la política está en el medio. Nos guste o no.


No ser ingenuo es un primer paso, conocer la tecnología otro importante, analizar contramedidas puede ser fundamental. Vamos al punto: es muy probable que tu empleador esté espiando lo que navegas.

No, no es una cuestión conspiranoia. Sino algo fácilmente comprobable.
Si estás trabajando en una empresa mediana o grande, en general se utilizan servidores proxy-cache que permiten ahorrarle bastante plata al empleador en lo referente a ancho de banda.

Esto trae una prestación adicional, y es que cada página que se visite queda almacenada en un registro indicando la dirección IP local así como otros datos relevantes.

Esta información de tráfico le permite a, quien tenga acceso, saber que sitios navegamos, que noticias leímos, e incluso hacer un análisis proyectivo para determinar medidas a tomar. El anonimato es difícil de lograr, y un excelente ejemplo es lo descripto por Adrian Paenza en su artículo para Página 12. Aunque si bien, también es cierto que esta falta de anonimato (y estas mismas herramientas) se pueden utilizar defensivamente.

El precedente establecido por el fallo Halabi en la Argentina ha sido muy importante, donde más allá de diferenciar la información de datos de la de tráfico (metadatos), trajo la Acción de Clase y nos permite entender que la privacidad afecta a todos por igual.

¿Que control por oposición de intereses se realiza sobre los datos almacenados en los proxys? ¿cómo nos permite saber que quién tiene acceso a esa información no la utilizará en contra de alguien? En general no es algo que se pueda vislumbrar.

¿Qué medidas podemos tomar?
Pues el cifrado puede ser una solución, y si bien en general no es más que una cuestión de confianza al momento no hay más cosas que uno pueda hacer.

Una alternativa es la utilización del navegador Opear habilitando el uso de VPN. En caso de estar en entorno corporativo y no poder instalar programas existe una versión portable.


De esta forma se tuneliza todo el tráfico y sale por una conexión externa, si bien esto puede levantar sospechas no es en sí algo ilegítimo a menos claro de incumplir con alguna normativa interna de la empresa.

Tampoco esto es la solución a todo, dado que no es más que la implementación de un Man-in-the-middle legítimo, que (en caso de que la web no vaya por HTTPS), podría modificar los contenidos y así añadir publicidad o capturar información (la cual podría ser menos relevante que a nuestro propio empleador).

Muchas veces se utiliza el argumento falaz de "si no has hecho nada malo, no tienes nada que esconder" para defender una intromisión potencial a la privacidad, incluso negando la posibilidad de una auditoría o la implementación de controles para asegurar el correcto tratamiento de dicha información.

En los tiempos actuales, si bien no se analiza desde la perspectiva de los derechos del empleado, tal vez a futuro si, más teniendo en cuenta su relación con la protección de los datos personales.

Si vamos a los ejemplos prácticos, la utilización de un proxy cache que loguee la información de navegación de los usuarios, puede permitir obtener un perfil de los intereses de estos. Si específicamente se focaliza en los diarios (por ejemplo hay muchos que no implementan SSL/TLS) podrán saber que noticias lee, a cuales les presta atención e incluso el tiempo de navegación de cada noticia.

Esto luego puede ser utilizado en su contra, o al menos para coaccionarlo.
¿Es posible que pase? ¿que probabilidades existe?. Si, es posible. Las probabilidades dependen del entorno.

La seguridad en defensa de la privacidad poco a poco se debe ir fortaleciendo y ser tenida en cuenta, sino llegará un punto en que muchos sepan más de nosotros que nosotros mismos.
Recibe las actualizaciones en tu correo