Danielside

Nubarrones

Y mira que no quiero seguir siendo especialmente cansino con esta moda de subirlo todo a la nube: TUS datos, TUS programas, TUS contraseñas, etc. pero es que no se puede confiar en ninguna empresa.

Viene al caso por por el caso -valga la redundancia- de Adobe: robo de información personal de casi 3 millones de clientes. Pero es aun peor.

Normalmente las contraseñas se deben almacenar en base de datos con una función, denominada hash, que es irreversible. Es decir, si el algoritmo de hash no está comprometido, saber el valor que hay en la base de datos no sirve absolutamente de nada. Alguien que tenga acceso a la base de datos nunca podrá saber tu contraseña.

Pues bien, gracias al excelente análisis de hispasec me entero de que Adobe, el gigante, no utiliza una técnica así en el almacenamiento de sus contraseñas. Una técnica que todo programador novato conoce o debería conocer. En su lugar almacenaba las contraseñas cifradas, lo que quiere decir que se pueden descifrar y por tanto quien tiene acceso a la base de datos tiene acceso a las contraseñas. Empeorado por el hecho de haber elegido un algoritmo de cifrado ya comprometido. Esto puede querer decir tres cosas:

• Los de Adobe son increiblemente inconscientes
• Los de Adobe son increiblemente estúpidos
• Los de Adobe quieren reservarse una manera de conocer en cualquier momento la contraseña de un cliente

¿seguimos confiando en las nubes o viene tormenta?

El software y hardware libre crean riqueza. Caso raspberrypi.

Dos puntos son los que quiero exponer: que el software -y ahora también el hardware- libres crean una riqueza impresionante y que el sistema de patentes es caduco, inútil y solo sirve para proteger los intereses de los patent-trolls y nada hace para proteger los intereses de los inventores. Y que si alguna vez protegió sus derechos hoy no lo hace, al menos en el mundo de la Informática.

Seguir leyendo…

Me voy a mi nube (II)

(Enlace a Me voy a mi nube I)

Nos habíamos quedado en instalar todas las actualizaciones disponibles para el servidor, pero antes de continuar me gustaría evaluar después de un par de meses el servicio que presta Edis.

Seguir leyendo…

Me voy a mi nube (I)

Aunque pueda parecer oportunista debido a los casos recientes de obtención masiva de datos por parte del Gobierno, de las principales compañías de Internet (facebook, google, twitter, etc.) es algo que llevo madurando desde hace bastante más tiempo. Los eventos recientes me dan el impulso definitivo. Quiero tener el control de los programas que uso y de mis datos, pero por supuesto que no quiero renunciar a las ventajas de «la nube».

Seguir leyendo…

Perdiendo diversión y libertad en la Informática Personal

La «experiencia de usuario» por encima de todo se está imponiendo poco a poco en las decisiones de compra en informática personal, que están haciendo que la compra de de un dispositivo informático sea más una cuestión parecida a la compra de un electrodoméstico -fácil de usar, comportamiento esperable, bonito- que a la de un ordenador personal en el sentido tradicional.

Seguir leyendo…

WhatsApp, un coladero

No voy a afirmar que la única aplicación insegura que existe es WhatsApp, pero su gravedad sube conforme crece la popularidad. Y no deja de asombrarme la ligereza con la que el gran público adopta aplicaciones de forma masiva sin pararse a considerar ni medio minuto el peligro de suplantación de identidad, por citar el menos grave de los casos que se pueden presentar. Por ejemplo, una aplicación de comunicación malvada o mal diseñada más un entorno de pago desde el movil que también estuviera mal diseñado podría crear un coctel interesante…

Seguir leyendo…

La Guerra: en los Sistemas de Información Críticos

Leyendo el último boletín del CCN-CERT parece claro que los soldados de un futuro no muy lejano son ingenieros en informática especializados en seguridad en sistemas y redes.

Seguir leyendo…

Por una Industria Española de la Informática y las Nuevas Tecnologías

Me gustaría enlazar con una interesante propuesta-manifiesto mucho más relevante que el manifiesto por los derechos de Internet tan famoso, a.k.a. «quiero seguir descargando contenidos a cascoporro» que se disfrazó de derecho a la libre expresión y a la Cultura.

En su lugar este documento hace sangre sobre la realidad de un pais en el que Unos hacen un estropicio, Otros llevan toda su vida trabajando bien, pero se ayuda a los Unos a costa de los Otros. Por ejemplo: «Banco llevan años en beneficios, Investigadores llevan años malviviendo, Bancos y Compañía crean la crisis, ayudamos a los Bancos y recortamos fondos a Investigadores». Si es que es de cajón.

Seguir leyendo…

Excesivos poderes y permisos para aplicaciones Android

Ésto era lo que me pedía -poder hacer- ahora mismo una aplicación de chat usando la conexión de Internet, que iba a instalar en mi HTC con Android:

• Tu información personal: escribir datos de contacto, leer los datos de contacto.
• Servicios por los que tienes que pagar: enviar mensajes SMS, llamar directamente a números de teléfono.
• Tu ubicación: precisar la ubicación (GPS), ubicación común (basada en red).
• Tus mensajes: recibir SMS.
• Comunicación de red: acceso íntegro a Internet.
• Tus cuentas: actuar como autenticador de cuentas, administrar lista de cuentas, utilizar las credenciales de autenticación de una cuenta.
• Almacenamiento: modificar/borrar contenido de la tarjeta SD.
• Controles de hardware: grabar sonido.
• Llamadas de teléfono: leer la identidad y el estado del teléfono.
• Herramientas del sistema: escribir ajustes de sincronización, impedir que el teléfono entre en modo de suspensión, leer archivos del registro del sistema, modificar los ajustes globales del sistema, recuperar aplicaciones en ejecución.

Y esos sólo eran los que el sistema consideraba peligrosos.

Y le dije que que si quería también mi dirección, número de cuenta, número de tarjeta de crédito, fotocopia del DNI y talla de gayumbos y que para eso mejor me decía donde estaba y le enviaba mi teléfono directamente.

Cuidado con los troyanos encubiertos, estamos obteniendo unos supuestos beneficios a cambio de que una aplicación pueda tomar el práctico control del móvil.