China censura diferents websites com Google

Hola a tots,

El govern Xinès ha censurat alguns dels majors websites i proveïdors per ser acusats de atacar la moralitat i propagar vulgaritat i pornografia. Entre aquests websites trobem servidors com el de Google. Segons el govern Xinès, aquests websites i proveïdors han fallat en controlar els continguts que propaguem, permeten l'accés a la seva població de materials vulgars i pornogràfics.

Aquesta campanya de censura coincideix amb els esforços del partit comunista d’apagar protestes per la desacceleració econòmica, i per evitar el forats en el sistema de censurar que molts xinesos havien trobat en molts websites i en les lleis per accedir a materials no desitjat pel govern.

El següent link recolleix més informació sobre aquesta informació:

http://tech.yahoo.com/news/nm/20090105/wr_nm/us_china_internet

Aquest tipus de campanyes no és mes que un dels moviments del govern Xinès per controlar i censurar quins continguts són accessibles a la seva població, en el que és ja una llarga llista d'intervencions en el que es pot considerar llibertat de difusió a Internet. A veure quin futur per Internet a Xina ens depara els pròxims anys

Feliç any 2009,

Jaume E.

Internet Explorer sota atac...un cop més!

Hola de nou,

La setmana passada saltaven les alarmes un cop més per un forat de seguretat en el navegador Internet Explorer de Microsoft. I el que és pitjor, Microsoft a dia d'avui encara no té solució per corregir aquesta vulnerabilitat del seu navegador. La següent noticia dona més detalls: http://www.technewsworld.com/story/viruses-malware/65496.html

Mitjançant aquest forat, una plana web maliciosa, podria executar codi en els nostres ordinadors injectant virus o qualsevol altre mena de malware. Aquests tipus de planes web que aprofiten debilitats per injectar codi maliciós reben el nom de planes de tipus "black hat". Aquestes webs normalment injecten de forma silenciosa programes per robar passwords o comptes, o per mostrar anuncis spam, o inclòs per usos més perillosos.

El cas d'aquesta vulnerabilitat descoberta és encara més perillós per la falta de patch i pel fet que s'hagi "alliberat" el forat de seguretat pels hackers uns dies després que Microsoft tregui el seu patch mensual, fet que fa que els hackers tinguin més temps per actuar.

Algunes experts en seguretat recomanen inclòs no fer servir IExplorer fins que no s'apliqui un patch de seguretat. Necessari o exageració el fet és que cíclicament assistint a aquesta lluita entre hackers i experts en seguretat...

En qualsevol cas, tingueu cura allà fora en la web...

Records,

Jaume E.

Bàrbars a les portes de MAC...o no!

Hola a tots,

Fa uns pocs dies van sortir arreu del mon varis articles sobre una nota a la plana de APPLE amb una recomanació animant als usuaris de MAC a emprar software de antivirus. Aquest nota que va aparèixer el 21 de novembre ja existia com un article a la plana de suport de APPLE des del 2007.

La nota en qüestió a la plana de APPLE, i l'article que estava des del 2007, deia el següent:

“Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent, thus making the whole virus-writing process more difficult"

L’article del PAIS del 2 de desembre és un del molts que van recollir aquest “pèrdua de virginitat” del MAC en matèria de seguretat davant les hordes bàrbares d’antivirus i malware.

Curiosament, davant el rebombori d’articles, APPLE va sortir al pas immediatament esborren la nota de la seva plana web i afirmant que els sistemes MAC són segurs, encara que matisant que cap sistema és 100% segurs i que emprar antivirus pot donar seguretat addicional. Un article del PAIS del dia 3 de desembre recull això (un dia després del seu anterior article).

Més enllà de favoritisme o adoració per un sistema operatiu, el cert és que cercant per internet es troben suficients referències de atacs i virus existents per MAC, tot i que és cert que són molt minoritaris en comparació a les hordes bàrbares que amenacen a Windows.

De totes formes, com algun expert afirma, a mesura que els MAC guanya popularitat i quota de mercat, els creadors de virus i cibercriminals agafant major interès per dedicar-se a fer noves creacions orientades a MAC. I per tant, d’alguna forma, la edat de la innocència per MAC és part del passat...o pogué no...

Records,

Jaume E.

Google flu trends, privacitat i altres dimonis

Hola a tots,

La sortida aparentment innòcua d’un nou servei de Google, el Google Flu Trends, torna a recordar-nos el perill a la nostra privacitat que podria arribar a suposar un mal ús de traçar la nostra activitat a la xarxa.

A partir d’ara sembla que n’hi haurà un nou símptoma per la grip, aquest serà la pròpia cerca dels usuaris de paraules relacionades amb la grip i els seu símptomes. D’aquesta manera Google mitjançant l’anàlisi de la activitat dels usuaris del seu cercador i traçant paraules com termòmetre, símptomes de grip, dolor de músculs, congestió al pit i altres pot detectar quan en una àrea o regió sembla que hi ha activitat de la grip.

Sembla que el aquest model de Google ha estat validat i que es tant eficaç o més com l’anàlisi que és pot fer al serveis d’urgència dels hospitals. De fet, inclòs pot detectar uns dies abans quan la activitat de la grip està creixent en una àrea.

Apart dels beneficis potencials d’aquest nou servei, altres neguits relacionats amb la privacitat sorgeixen. Durant la recol·lecció de dades que poden fer empreses com Google, s’emmagatzemen la traça de les cerques realitzades per milions de persones per un gran període de temps. Aquestes traces normalment inclouen la IP i podrien arribar a identificar a un individu. El cas de la grip pogué no és el cas més important, però poder arribar a desvelar potencials malalties d’una persona podria ser una molt estimatitzador o molt interessant per companyies com asseguradores.

En aquest sentit, Google afirma que no hi ha cap perill per la privacitat ja que mantindrà la informació individual confidencial, i que pels seu serveis, com el Google Flu Trends, només farà servir dades agregades i anònimes generades a partir de les cerques individuals.

En qualsevol cas, el debat sobre la privacitat continua més obert que mai...

Records,

Jaume E.

A propòsit del GPGWin

Hola de nou,

A propòsit del software GPGWin he recordat els inicis del PGP o Pretty Good Privacy Phil Zimmermann al 1991. El GPG (del que forma part el GPGWin) és una versió lliure i sota llicencia GNU inspirada en el famós PGP.

Recordo bé com pels anys noranta, quan començava a sonar el PGP a la facultat d'Informàtica, ho feia amb un seguit de llegenda negra sobre si el govern americà havia obligat al seu creador per ficar una "porta de darrera" per poder desencriptar missatges. Això mai es va demostrar, però realitat o ficció ha estat unes sospites sempre al voltant de quasi tot software d'encriptació.

En el cas del PGP sembla que el seu autor, activista anti-nuclear, el va crear per poder donar una forma de comunicació segura en BBS o emprant fitxers encriptats. Ràpidament es va estendre per Internet i per tant va anar fora també de les fronteres d'Estats Units. En aquella època havia una restricció d'exportació de software fora de USA que uses encriptació amb claus superiors a 40bits. Evidentment PGP violava aquest límit. Això i el fet que estes donat un sistema d'encriptació segur a tot el món va provocar investigacions per part del govern americà tot i que al final el cas va quedar arxivat, i amb això encara es va augmentar més la llegenda de si el seu autor va cedir a pressions per posar una "porta de darrera".

Per un altre costat, també es cert que el seu autor per evitar incomplir les lleis d'exportació americanes va publicar un llibre, on les tapes del qual tenien el codi font del algoritme d'encriptació del PGP.

A Internet podeu trobar molta més informació, tant real com llegendes urbanes...

Records,

Jaume E.

Una miqueta més sobre la Enginyeria Social

Hola a tots de nou,

L'altre dia estava buscant una miqueta més d'informació sobre l'enginyeria social, i vaig trobar uns articles sobre el Kevin Mitnick. Aquest personatge és probablement el hacker més conegut de l’historia i que més rellevància han tingut les seves accions i la seva detenció.


Kevin Mitnick va hackejar nombrosos sistemes informàtics durant la seva trajectòria i quasi sempre emprant la enginyeria social més que altres recursos tecnològics. Com el mateix diu és molt més fàcil enganyar a una persona per que et doni el seu password que fer l'esforç de hackejar-lo.






Sobre la vida de Kevin Mitnick i sobre la seva detenció s'han escrit un parell de llibres:

- Takedown de John Markoff i Tsutomu Shimomura

- The Fugitive Game de Jonathan Littman


El propi Kevin Mitnick després d'haver complit la seva condemna i d'haver tingut restringit durant molts anys l'accés a qualsevol ordinador, té ara una consultaria sobre seguretat informàtica. A més ha escrit un parell d'interessants llibres sobre aquest tema:

- The Art of Deception

- The Art of Intrusion

En aquests llibres es dona molta informació sobre potencials atacs d'enginyeria social o de hacking.

Ens veiem en la pròxima entrada del blog!

Records,

Jaume E.

Presentació

Hola a tots,

Sóc el Jaume i comencen aquí la nostra intervenció en aquest Blog dedicat a l'assignatura de Fonaments Tecnològics de la Societat de la Informació, dintre del marc del Màster oficial en Societat de la Informació i el Coneixement de la UOC.

En aquesta primera intervenció, i un cop ja hem estat introduïts en els conceptes tècnics de Internet i en el tema de seguretat, voldríem aportar quelcom addicional especialment sobre això últim, la seguretat a Internet.

Hem vist tota mena d'algoritmes d'encriptació, tècniques criptogràfiques, sistemes de marcatge als materials de l'assignatura i altres conceptes sobre seguretat, però hi ha una branca de la seguretat que s'ha mencionat molt per sobre als materials i que suposa, en la meva opinió, un tema molt important i apassionat. Hem refereixo, a la "Enginyeria social".

L'enginyeria social, des d'un punt de vista de seguretat informàtica, és una pràctica que busca superar qualsevol mecanisme de seguretat informàtic mitjançant la manipulació de persones o usuaris legítims, i per tant des d'un punt de vista més psicològic. D'alguna manera es pot dir que l'enginyeria social basa la seva raó de ser en la màxima que en un sistema informàtic el ésser humà és el “eslabón” més dèbil. Us deixo un enllaç a la Wikipedia ja que sens dubte s'explica millor que jo:

Wikipedia - Ingeniería Social (seguridad_informática)

En qualsevol cas, la enginyeria social està present moltes vegades en la nostre dia a dia a , i per tant, no està de més conèixer en quines formes normalment es presenta.

Només per posar un exemple, segur que tots heu rebut correus electrònics suposadament d'entitats reals (com bancs) o websites (on esteu subscrits) demanant-vos les vostres dades personals o números de compte o passwords. Jo per exemple he rebut milers de correus suposadament de Ebay on demanaven el meu password per una comprovació de rutina. 99% de les vegades aquests correus són falsos i només cerquen informació sensible. Normalment aquests atacs es coneixen com a phishing i serien una forma d'enginyeria social. Us deixo un altre enllaç sobre això:

Wikipedia - Phishing

I també una tira còmica relaciona (en àngles, sorry!):






De moment acabo aquí aquesta primera intervenció, però tornaré amb més informació sobr la enginyeria social, que és un tema que trobo apassionant.
Records,

Jaume E.