El acta de patriotismo ha expirado temporalmente

Hoy es noticia que el acta de patriotismo de EE.UU. ha expirado esta noche a las 00:00 horas por la falta de un voto que aunque no era necesario para renovarla hará que la ley esté sin amparo legal durante unos días o unas horas.

Tras los atentados del 11S, solo 6 semanas después de los hechos, se aprobó la ley de 343 páginas en las que el gobierno de los EEUU podía legalmente recopilar y analizar información relativa a las comunicaciones de los ciudadanos: datos como direcciones IP de las conexiones, hora y duración de las llamadas, número de origen y destino, ..., pueden ser recopilados y analizados por la NSA (National Security Agency), así como otras muchas normas no relacionadas con las TIC. Aunque aparentemente no pueden guardar el contenido de las llamadas, si que se puede obtener mucha información haciendo un análisis de los metadatos que acompañan esas comunicaciones, ampliando esa información haciendo un cruce de datos.  En el año 2003, se redactó y aprobó la ley del patriota II, en la que estás normas se recrudecían todavía más para el ciudadano,

Figura 1: el acta de patriotismo ha expirado

La votación en el congreso ha estado claramente del lado de la renovación, ya que no ha sido renovada con 77 votos a favor y 17 en contra, pero no a tiempo, por lo que estará durante unas horas o días sin el amparo legal. 

El pasado 25 de mayo, 47 empresas americanas del sector de la TIC, redactaron una carta solicitando al presidente Obama que esta ley dejase de estar en vigor, ya que las secciones 214 y 215 de la misma, relativas a los registros de llamadas y a la recolección de metadatos debieran de  estar limitadas para proteger los derechos y la privacidad de los usuarios. Según varias fuentes de internet, se asegura que Google, Apple y Microsoft también apoyan el contenido de la carta, pero tal vez una posición más precavida sin saber el resultado de la votación de esta noche pasada les ha hecho no figurar expresamente en la firma de la misma.

Este es el contenido traducido de dicha carta:

Los abajo firmantes representamos a una amplia gama de la privacidad y los derechos humanos, los defensores de las empresas de tecnología, y las asociaciones comerciales que mantienen una igualmente amplia gama de posiciones sobre el tema de la reforma de vigilancia. Muchos de nosotros tenemos diferentes puntos de vista sobre exactamente lo que las reformas deben ser incluidas en cualquier proyecto de ley reautorización de la Ley Patriota de los EE.UU. Sección 215, que actualmente sirve como la base jurídica para la recolección a granel de la Agencia de Seguridad Nacional de los metadatos de teléfono y se vence el 01 de junio 2015 . Dicho esto, nuestra coalición amplio, diverso y bipartidista cree que el statu quo es insostenible y que es urgente que el Congreso avanzar con la reforma.

Juntos, estamos de acuerdo en que los siguientes elementos son esenciales para cualquier esfuerzo legislativo o de la Administración para reformar las leyes de vigilancia de nuestra nación:

• Debe haber un final claro, fuerte y eficaz de las prácticas de recolección a granel bajo la Ley Patriota de los EE.UU., incluyendo bajo la Sección 215 registros de autoridad y la autoridad en relación con la Sección 214 registros de la pluma y dispositivos de trampa y traza. Cualquier colección que no se producen en esas autoridades deben tener las garantías adecuadas para proteger los derechos de privacidad y los usuarios.

• El proyecto de ley debe contener mecanismos de transparencia y rendición de cuentas para el gobierno y la presentación de informes de la empresa, así como un régimen de desclasificación apropiado para las decisiones del Tribunal de Vigilancia de Inteligencia Extranjera.

Creemos abordar lo anterior debe ser parte de cualquier paquete de reformas, aunque hay otras reformas que nuestros grupos y compañías daría la bienvenida, y en algunos casos, creen que son esenciales para cualquier legislación. También instamos al Congreso a evitar la adición de nuevos mandatos que son controversiales y podrían descarrilar los esfuerzos de reforma.

Han pasado casi dos años desde que las primeras noticias revelaron el alcance de las actividades de vigilancia y recolección a granel de los Estados Unidos. Ahora es el momento de asumir las reformas legislativas significativas a los programas de vigilancia de la nación que mantienen la seguridad nacional, preservando la privacidad, la transparencia y la rendición de cuentas. Alentamos firmemente tanto la Casa Blanca y miembros del Congreso para apoyar las reformas anteriores y oponerse a cualquier esfuerzos para promulgar una legislación que no se ocupa de ellos.

Veremos lo que sucede con el paso de los días.

Para ampliar información de como se ejecuta la recogida de datos masivos, os pongo unos enlaces al blog de Chema elladodelmal.com donde hace varios análisis sobre ello:

• 15 de enero de 2014: 49 productos de ciberspionaje de la NSA creados por ANT

Figura 2: elladodelmal.com: 49 productos de ciberespionaje de la NSA

• 6 de diciembre de 2014: Cómo la NSA espía las llamadas de teléfono y la regulación de las medidas de investigación tecnológicas en España

Figura 3: elladodelmal.com: como la NSA espía las llamadas

• 8 de septiembre de 2013: 0wn3d! (o cómo la NSA mató el espíritu de Internet)

Figura 4: elladodelmal.com: como la NSA mató el espíritu de Internet

Como reflexión final:

• ¿como afectará este nuevo estado de la ley a los agreement de los programas de empresas americanas que tenemos instalados y usamos?
• ¿habrá que aceptar unas nuevas políticas de uso para estas próximas horas o días?

Saludos!

¿Es seguro conectarme a una red wifi abierta?

Hoy he estado en un centro comercial de Zaragoza, Puerto Venecia. Como tenía un poquito de tiempo de espera, me he ido a darme una vuelta por el Apple Store. Nunca había entrado en uno. La impresión que me he llevado es que había muchísima gente, más de lo que me esperaba, cada uno de ellos con un equipo entre sus manos.

Figura 1: Apple Store, tiene continuamente usuarios usando su wifi

En cada mesa había 6 portátiles y 6 tablets. Yo iba calculando: 6 portátiles de 600€ en cada mesa, 6 tablets de 400€ en cada mesa, 8 mesas, ..., uff, cuantos euros aquí reunidos. Me he preguntado si todos los posibles clientes estaban interesados en comprar un equipo, pero me he ido fijando y me he llevado una sorpresa. 

Una chica estaba probando a abrir un documento ofimático de su propio pen!!! Al ver que podía, se lo ha dicho a su novio y se han alegrado efusivamente los dos, ¿?

Figura 2: chica conectando su pen a un portátil de la exposición

Un chico joven estaba jugando a un juego de aviones.

Figura 3: un chico jugando en un portátil de la exposición

Una chica joven estaba viendo un vídeo en youtube.

Figura 4: una chica viendo vídeos de Youtube en un ordenador de la exposición

En ese momento he visto todas las posibles amenazas de malware y ciberdelincuentes que podrían estar en su salsa en ese momento si se conectaran a esa red. Pero ¿Apple Store tiene wifi abierta? Me he salido fuera y en la propia puerta hay una zona de relax. Nada más llegar veo a muchísimos usuarios todos con el móvil en la mano. Es mucha casualidad que en la puerta del Apple Store se congregue tanta gente con el móvil si no es por algo común. He deducido que era para aprovechar la wifi.

Figura 5: usuarios posiblemente conectados a una wifi abierta

Figura 6: usuarios posiblemente conectados a una wifi abierta

Figura 7: usuarios posiblemente conectados a una wifi abierta

Con mi propio móvil es hecho algunas pruebas de wifi. En esa zona hay varias redes wifi disponibles, y dos de ellas abiertas: Apple Store y Puerto Venecia:

Figura 8: lista de redes wifi disponibles, 2 de ellas abiertas

Arriesgando la seguridad de mi propio smartphone, me he conectado a esas dos redes, y en la información de la conexión me sale la propia dirección IP que el servidor DHCP me ha dado:

Figura 9: mi dirección IP dentro de la red de PUERTO VENECIA

Figura 10: mi dirección IP dentro de la red de APPLE STORE

Hay que destacar que dentro del apartado "seguridad", mi teléfono me dice "ninguna", SEGURIDAD NINGUNA es la frase completa. Más claro , el agua.

Cualquier persona con un portátil y un sniffer de paquetes podría estar viendo en su pantalla no solo las páginas que son pedidas al servidor, sino los datos post de los formularios, o sea, los nombres de usuario y contraseñas que los usuarios mandan al conectarse a Facebook, Twitter, Gmail, Hotmail, ... así como el asunto, en contenido del mensaje y las imágenes o vídeos de whatsapp, por poner algunos ejemplos. Que turbio!!!

Los niveles de seguridad son esos: NINGUNO. Lo chungo es que mi teléfono, me notifica como una hazaña u oportunidad que no puedo dejar pasar el disponer de una red wifi abierta, sin ningún otro tipo de advertencia ni warning ni ventanita de color rojo:

Figura 11: aviso en mi smartphone de que existen redes abiertas

Figura 12: aviso en mi smartphone de que existen redes abiertas,
CORRE, CONÉCTATE, NO LO DEJES PASAR !!!

ACLARACIÓN TÉCNICA IMPORTANTE:
La clave que escribimos para conectarnos a una wifi, no solo es para evitar que nuestro vecino se conecte a nuestra adsl y se aproveche de la conexión sin pagar, su misión principal es la proporcionar a la conexión una clave de cifrado para que todo lo que se emite y se recibe entre el router y nuestro portátil, tablet o smartphone, viaje cifrado, encriptado, oculto, ... con el fin de que no pueda ser capturado por usuarios ajenos, o que si son capturados, no puedan ser "leídos".

La encriptación WEP ya no es segura a día de hoy. La WPA tampoco. Las que no tienen cifrado como son estas dos que he analizado no es que su seguridad sea ineficaz, sino es que no tiene seguridad. Hay que tener una seguridad de cifrado WPA2 con AES, para estar "más seguro", pero tampoco es infalible.

Una vez fuera de la zona comercial, he vuelto a revisar las redes disponibles y me han parecido graciosos un par de nombres de redes (SSID) que posiblemente el "administrador de turno" a puesto para evitar que la gente se conecte a ellas:

Figura 13: SSIDs por lo menos "chocantes", "caca" y "posible_virus"

Y ahora vamos a "hackear" la wifi!!! :

Figura 14: antena especial para wifis, ;-)

;-)

Para terminar, os pongo un enlace a un vídeo de Chema en el que explica un poco todo esto, en una entrevista con Jordi Évole en el aerupoerto de Madrid, Barajas:

Vídeo 1: Nos Espían, programa de Salvados TV,
entrevista que Jordi Evole tuvo con Chema Alonso
sobre la privacidad en Internet y las Redes
Sociales, emitido el pasado 18 de noviembre de 2013.

Conclusión, USA TU PROPIO 3G EN LUGARES PÚBLICOS !!!

Saludos!

Microsoft vs Apple vs Google

En el mundo de la informática desde hace muchos años parece que hay que elegir un bando como en el fútbol, no puedes ser de dos equipos a la vez. O eres de Microsoft, o de Apple o de software libre (Línux, Freedos, ...) o amas a Google o lo odias, ... Viéndolo un poco desde fuera parece dar la sensación de que esta elección está estereotipada desde los orígenes de los tiempos:

• Microsoft es una compañía mala, con afán de lucrarse y cobrar y cobrar y cobrar. Además no saben hacerlo bien por que salen ventanas azules y está todo lleno de virus. Parece que Bill Gates se rige por la norma de "si no sabes hacerlo bien, por lo menos hazlo bonito". Y como Windows está muy mal hecho pues lo embellece, con ventanitas y gadgets y sombras y transparencias en las ventanas. Bill Gates (por que además es él el que programa todas las versiones de Windows) acaparó el mercado dejando que todo el mundo se instalase gratis Windows 95 y Windows 98, y cuando todos los equipos del mundo tenían instalado estos sistemas operativos, sacó Windows XP y quiso que lo comprásemos.
• Apple es una compañía innovadora. Toda la tecnología ha sido inventada por ellos y los demás solo han copiado. Además no tiene virus. Existe un aire de superperfección que llevan a cada uno de sus diseños. El iPad, el iPod, iTunes, ... todo innovación propia. Si no tiene una manzana no es suficientemente bueno. Y han logrado todo esto luchando contra la presión ejercida por Bill Gates. La calidad es muy alta. Ahora, en 2015, los PCs empiezan a estar a la altura de lo que hacían los Macintosh en 1984 con programas de edición gráfica.
• Línux es una idea, una meta, un ideal de trabajo y cooperación. El software ha de ser libre, abierto para que todo el mundo pueda contribuir y mejorar las opciones. No hay virus por que Línux lo usan los hackers malos para hacer virus para Windows, entonces no van a fastidiarse entre ellos. Es un poco complicado de manejar pero ahora ya casi no hay problemas para instalar juegos e impresoras, aunque los juegos que tiene mucha gente que conoces no valen por que son para Windows.
• Google es internet. Si no funciona Google es que no te va internet. Siempre ha estado ahí. ¿Como entras en internet?¿con que navegador?: yo hago click en google. ¿Y si desaparece Google?: pues se borran todas las páginas de internet. Además son muy listos y lo ponen todo al alcance del usuario. Si buscas una cosa, al cabo de una semana te sigue ofreciendo sugerencias mejores. Y corre el rumor de que nos espían, pero no puede ser cierto ¿a quien le puede interesar lo que yo busco en internet?

Figura 1: Fight !!!

Voy a intentar desmitificar algunas de estas ideas que he ido oyendo a lo largo de tratar con mucha gente y con sus sistemas operativos y programas. Unos conceptos serán más o menos acertados que otros, incluso si buscas en internet, estamos en un mundo tan sobreinformado que podemos encontrar una idea y su contraria en dos sitios y las dos teorías has sido aceptadas.

• Microsoft
• ¿Bueno?¿malo?. Yo uso windows desde Windows 3.1. La verdad es que liarte a instalar drivers en floppy en un Windows 95 no era fácil, pero tampoco configurar las frecuencias de la ram y la cpu con switches y había que hacerlo. Windows 98 y Windows Millenium tuvieron la fama de ser muy malos por los pantallazos azules, aunque Windows 98 Segunda Edición era un poco más estable. Xp fue bueno, el mejor. Luego Vista, que fue muy malo. Yo creo que estaba demasiado "acicalado" para las máquinas de entonces. Al cabo de 2 años salió Windows 7 y funcionaba mejor, pero, y esto es una sospecha personal, era muy similar a Windows Vista internamente pero como los componentes de hardware habían duplicado las prestaciones en ese tiempo, pues marchaba bien. Si en un equipo actual, un i3 o un Dual Core con 4Gb de Ram DDR3 instalas Windows Vista, Windows Vista va genial.
• Es el sistema operativo más utilizado, entonces, solo por compatibilidades entre compañeros de trabajo y familiares, se usa ese sistema.
• Las instalaciones de programas son fáciles, tal vez demasiado. Vas a internet, buscas, pregunta de Ejecutar o Guardar, todos le damos a Ejecutar sin analizar con antivirus ni nada y ya está instalado.
• Windows 8 tocaba malo, por esa regla de Windows 95 bueno, 98 malo, XP bueno, Vista malo, 7 bueno, pues 8 malo. Todos nos asustamos con el nuevo Modern UI, pero con la actualización de Windows 8.1 volvemos a tener el botón inicio y otras características tipo XP.
• Windows 10 saldrá a finales de este año 2015. Será un sistema anfibio, para PCs, portátiles, tablets, smartphones, ..., se podrá actualizar desde Windows 8 y 7, supongo que el precio será menor que en versiones anteriores y traerá el navegador Spartan en vez de Internet Explorer. Este final de año creo que Microsoft volverá a ser el Microsoft de los 90 y recuperará parte de ese liderazgo tecnológico que lleva años perdiendo.

Figura 2: tema Modern UI en Windows 8

• Apple
• Lo que yo más escucho de la gente es que Apple es caro. Es muy bueno pero muy caro. Los ratones del MacBook cuestan 79€ y hay poca elección. Pero lo sacas de la caja y casi se instala solo. La calidad es tremenda, pero 1 ratón vale o que 10 para PC. Las reparaciones también son caras, pues el sistema de piezas de recambio sigue siendo muy centralizado y dependemos de Apple y su servicio técnico para conseguir los componentes de sustitución.
• Se dice que no hay virus. 

Figura 3: precios en la tienda Apple

Figura 4: precios de los mismos o similares componentes pero para PC

• Línux
• al principio era el sistema operativo por excelencia para desarrolladores, programadores y todo aquel que quería sacar el máximo jugo a su ordenador. No necesita de una gran máquina para funcionar
• para un usuario doméstico resulta difícil poder configurar dispositivos y programas
• Google
• Google es internet
• si no sabes algo, búscalo en Google
• ahora mismo Google engloba un sinfín de utilidades: búsqueda, correo electrónico, mapas, callejero, localización de empresas, calendario, traductor, buscador de noticias (que ahora no funciona en España), ... AL usar todo esto ¿estaremos da´ndoles demasiada información de nuestros intereses?

Resumiendo, usa el sistema operativo con el que te sientas más cómodo, con el que puedas pasar mejores ratos y disfrutes de trabajar con él. Según necesidades tendrás que elegir uno u otro, o según tu nivel económico. Todos son buenos y todos tienen su parte negativa.

Os paso unos enlaces a varios vídeos de Chema hablando del tema:

Vídeo 1: el Maligno explica un poco esa corriente anti.Microsoft

Vídeo 2: explicaciones generales sobre programas o sistemas a usar

Saludos!

Hello Barbie y seguridad informática

Hace unos días en el programa "En el aire" de Buenafuente hicieron un comentario acerca de la nueva muñeca de la empresa Mattel que permitiría mantener conversaciones con los niños. He estado indagando un poquito en diferentes medios de comunicación para comprobar exactamente de que se trataba. Por lo visto, la muñeca saldrá a la venta a mediados de septiembre de este año 2015 en EEUU a un precio de $74,95. Dispone de un software que al pulsar un botoncito de su cinturón permite que reconozca la conversación y responda, adaptándose a la propia conversación. Sus creadores aseguran que con el tiempo y el uso irá aprendiendo, y se ajustará a los temas de conversación que más le interesen al menor, que se supone será quien usará la muñeca.

Podéis ver un vídeo demostrativo de este juguete:

Vídeo 1: demostración Hello Barbie

Ahora os daré mis conclusiones técnicas referentes a la informática y la seguridad:

1. La conexión
   El envío de datos se hará a través de wifi, pero será la wifi de nuestra casa, por lo que habrá que configurar la muñeca para que pueda conectarse a nuestro router. Supongo que vendrá con algún tipo de software y un cable usb para poder conectarla al ordenador y poderle meter nuestra clave del wifi, igual que lo podemos hacer con nuestro smartphone, tablet, portátil, etc., por lo que la seguridad del envío de datos dependerá de la seguridad de nuestra propia conexión. Si la tenemos configurada con WEP o con WPA/WPA2 sin cambiar la clave por defecto, podremos sufrir robos de información con un Man In The Middle y todo el audio enviado podrá ser capturado. ¿Qué pasará si conectamos la muñeca a la wifi del hotel, del Starbucks, Mcdonalds, del aeropuerto, ...? Otra opción es que sea por medio del WPS, con sus conocidos fallos de seguridad.
   
2. El software
   Según las webs que he visitado para informarme, se comenta que lleva instalado un software que permite las conversaciones. Esto puede llevar a pensar que dispone de algún tipo de programa interno de Inteligencia Artificial. ¿Os acordáis del Dr. Herbie? Siempre respondía con contenido trivial que podía parecer que entendía lo que le decías, pero ahora este tipo de programas envían directamente los audios a una web que es la que procesa esa información y va adaptándose a los nuevos entornos. No creo que la muñeca tenga un procesador interno lo suficientemente avanzado como para reconocer la voz y ofrecer respuestas elocuentes. Si no lo hace Siri de Apple en un smartphone de 500 dólares, no creo que lo haga este juguete.
   
   
3. El almacenamiento
   Por lo visto Mattel delega el almacenamiento de los audios a la empresa ToyTalk. En su Política de Privacidad que podéis leer en la web https://www.toytalk.com/legal/, se puede leer que para poder hacer uso de esta característica, habrá que crear una cuenta de "administrador" que harán los padres para los niños menores de 13 años. Y ¿que uso se le dará a estos audios?: lo saco de la propia web:
   
   
   ¿Qué controles tienen los padres sobre información de la cuenta y el contenido?
   Los niños menores de 13 años no están autorizados a crear sus propias cuentas, sino que debe utilizar la cuenta de su padre. Por lo tanto, los padres tienen el control total de toda la información de la cuenta y el contenido para niños menores de 13. Los padres pueden revisar y borrar fotos o archivos de audio en su cuenta y también pueden eliminar definitivamente sus cuentas a través de la página de configuración en la página web de ToyTalk. Puede evitar las aplicaciones de tomar y almacenar fotos apagando "Permitir Fotos" a través de la página Configuración de la zona de control parental las aplicaciones.
   
   
   ¿Cómo son las grabaciones y fotografías compartidas con terceros?
   Compartimos grabaciones de audio con los proveedores de terceros que nos ayudan con el reconocimiento de voz. Estos vendedores no tienen acceso a su información de cuenta y han acordado no conservar ninguna copia de estos archivos de audio. Los vendedores podrán ser autorizados a utilizar los datos y transcripciones derivadas que no contienen archivos de audio o información personal para sus propios fines de investigación y desarrollo.
   
   
   Sólo los titulares de las cuentas pueden compartir grabaciones y fotos creadas a través de su cuenta a través de correo electrónico o en páginas de terceros como Facebook, YouTube y Twitter. Los niños menores de 13 años no están autorizados los titulares de cuentas y por lo tanto no se les permite compartir grabaciones o fotos con terceros, a menos que un padre les acciones en su nombre.
   
   
   ¿Cómo son las grabaciones y fotografías compartidas con terceros?
   Podemos usar, almacenar, procesar y transcribir las grabaciones con el fin de proporcionar y mantener el servicio, para realizar, prueba o mejorar la tecnología de reconocimiento de voz y algoritmos de inteligencia artificial, o para otros fines de análisis de datos de la investigación y el desarrollo y. En el caso de que los niños voluntariamente información personal adicional al interactuar con ToyTalk y dicha información es capturada en una grabación, cualquier información personal contenida en el mismo no se utiliza para ponerse en contacto con los niños o para cualquier otro propósito.
   
   (traducido del inglés con el traductor de Google)
   
4. Datos almacenados dentro de la propia muñeca¿y si pierdes las muñeca? toda esa configuración inicial de la wifi, el usuario, los parámetros internos, etc. ¿están cifrados dentro de la memoria interna de la muñeca? no creo que ni el software interno ni el hardware lleguen a este nivel de privacidad.

Conclusión: así de primeras parece que la idea a modo de juguete tecnológico esta muy bien, un juguete al que le hablo y me contesta. Desde el punto de vista de la seguridad informática, tiene varios frentes abiertos:

• cuando el padre no esté delante no se sabe que es lo que propio niño puede estar diciéndole al juguete
• el propio juguete irá adaptándose a la conversación. ¿y si le da al juguete por hacer preguntas comprometidas tipo cual es tu teléfono, como te llamas, como se llama tu papá o mamá, ...?
• ¿y estas respuestas?, aunque no se guarde información personal de los audios que los relacionen con la cuenta de "adulto" desde la que se enviaron, lo niños pueden dar su nombre, dirección, teléfono, etc. y eso no quedaría vinculado al audio, si no que quedará DENTRO DEL PROPIO AUDIO.
• y respecto al malware, ¿este tipo de juguete tendrá algún software antimalware, firewall, políticas de usuario, ...?

Ya para terminar, os pongo unos enlaces a sitios con información relevante a este tema:

Figura 1: entrada del blog de Chema en la que habla de Siri

• http://www.elladodelmal.com/2012/11/dile-cositas-bonitas-al-oido-los-chicos.html

El capítulo 235 de los Simpson, es una crítica de hasta donde las empresas de juguetes llegan para estudiar los gustos y atracciones de los niños. Os pongo mas información de wikipedia:

Figura 2: entrada de Wikipedia con información sobre los estudios de mercado
en un capítulo de los Simpson (capítulo 235, emitido en la temporada 11)

• http://es.wikipedia.org/wiki/Grift_of_the_Magi

Saludos!