¿Por qué es tan difícil mandar mi declaración fiscal?

Esta semana estamos teniendo problemas con muchos clientes que intentan mandar los famosos modelos a Hacienda, el 349, el 130, el 131, ...

Muy pocos han podido hacerlo de manera normal, a la hora de hacerlo siempre surge algún imprevisto. Al usuario le da la sensación de que su ordenador no está correcto, que algo funciona mal por que nunca puede mandar los datos a la primera. 

Los problemas suelen ser los siguientes:

• Versión incompatible del navegador
• Versión incompatible de la versión de java
• Antivirus que bloquea ciertos procesos
• Certificados digitales caducados o próximos a caducar

Incluso la propia web de Hacienda tiene sus fallos:

Figura 1: aviso de la AEAT hoy, 21 de abril de 2015

El asunto a tener en cuenta no es que las actualizaciones sean un proceso engorroso que sea capricho de los programadores, sino que los fallos de seguridad (bugs) no son detectables en un entorno normal. Se van descubriendo conforme se usan las plataformas.

Las mejoras que nos traen esas actualizaciones no son casi nunca visibles por el usuario, ya que en la mayoría de los casos son mejoras de seguridad o manejo y no tanto en el entorno visual de trabajo.

Por ejemplo, hoy Chrome dejaba de ser compatible con java directamente. Quien tenga solo ese navegador y los certificados digitales instalados en el propio almacén de Chrome, no tenga copia de seguridad de los certificados o los tenga con la clave privada no exportable, ..., ufff, lo tiene muy turbio para poder trabajar con la AEAT.

Figura 2: aviso de Chrome de su incompatibilidad con java en su versión 42

Figura 3: error en Chrome al trabajar con java

Ya el 11 de diciembre de 2011, Chema publicaba en su blog una entrada sobre los problemas de java y la evolución que ha ido teniendo este complemento. Si ya por entonces nos hablaba de 4 años de fallos y fue en 2011, ahora en 2015 podemos renombrar la entrada como:

Java: 4 +4 años de actualizaciones inseguras

Figura 4: entrada con datos de fallos en java

Otro aspecto a tener en cuenta es el certificado digital emitido por la FNMT. En algunos ordenadores nos ha pasado que no puede renovarse el mismo día que caduca (en otros si). Además, la opción del pin 24 horas solo puede activarse si tienes un certificado válido y operativo a la hora de solicitarlo. También, si cuando se instaló el certificado no se marcó la opción "hacer que la clave privada sea exportable", ese certificado está ligado al navegador y no puede sacarse a otro PC ni a otro navagador del mismo PC. 

¿Hay alguna forma de tener todo actualizado y funcionando? 

La respuesta es si, pero no sabemos como estará dentro de 15 minutos. Paciencia y probad a mandar vuestras declaraciones antes del último día (por si acaso)

;-)

Saludos!

¿Anonimato en internet?

Hoy he visto un vídeo de Chema de una charla en la Fundación Telefónica. Fue grabada el 28 de octubre de 2013 y se titulada "Vivir en un Mar de Datos. Hacia una sociedad inteligente". Es un poquito antigua pero me ha parecido muy interesante viendo hacía dónde nos dirigimos en el uso de la "cloud" y de los servidores "big data". 

Usamos a diario aplicaciones web tipo Facebook, Twitter, Amazon, etc. pero la herramienta que yo creo más se usa es Google. A la hora de hacerlo, por lo que veo entre mis clientes, se hace en mayor parte desde el navegador Chrome. Chrome da la opción de navegar con nuestra cuenta personal. Es fácil pensar que si lo hacemos logueados, Google sabe exactamente quienes somos, pero, si lo hacemos sin loguearnos, ¿pasamos de modo oculto ante esta empresa?. También se puede hacer "en modo incógnito". Es tan fácil como pulsar CTRL+MAYS+N para que nuestro navegador Chrome abra una nueva ventana es este modo:

Figura 1: venta en "modo incógnito" de Chrome 

Pero, ¿que es lo que hace Chrome realmente en este modo de navegación?. La ayuda de Google nos lo muestra:

Figura 2: detalle de los datos que se guardarán al trabajar en "modo incógnito"

Así pues, nuestro ordenador no guardará esta información:

• No se registra tu historial de navegación. Las páginas web que abres y los archivos que descargas en el modo incógnito no se registran en los historiales de navegación y descargas.
• Se eliminan las cookies. Al cerrar todas las ventanas de incógnito, se borrarán todas las cookies nuevas.
• Se inhabilitan las extensiones. Las extensiones se inhabilitan automáticamente en las ventanas de incógnito. Esto se debe a que Google Chrome no controla la forma en la que las extensiones procesan tus datos personales. Si quieres que una extensión aparezca en las ventanas de incógnito, selecciona la casilla de verificación "Permitir en modo incógnito" de la extensión.

Pero las páginas que visitemos si que podrán registrar y almacenar otros datos:

• Los sitios web pueden guardar un registro de tus visitas.
• El modo de navegación de incógnito solo impide que Chrome almacene información de los sitios web que has visitado, pero estos pueden registrar tus visitas. Los archivos que guardes en tu ordenador o en tus dispositivos móviles quedarán almacenados en ellos.

Si las páginas que visitamos almacenas datos relevantes o identificativos de nuestro navegador, la versión del sistema operativo, la zona horaria del ordenador, ets. se genera una huella digital que no es única, ya que puede haber más de un usuario en el mundo con toda esa configuración idéntica a la nuestra, pero si se guarda también la característica de si usamos cookies o no, las fuentes ttf que tenemos instaladas, los plugins instalados, información de varios programas con sus versiones exactas, etc. la huella digital ya empieza a coger forma y ser un poco más "única" en el mundo. A partir de este momento que esa información queda almacenada en servidores "big data" (trabajemos en modo incógnito o en modo normal toda ella queda registrada), nuestro anonimato queda en entredicho, pues las grandes empresas pueden saber "más o menos" quien es el usuario que hay tras esa configuración. 

Chema en su charla, hace un análisis de la web https://panopticlick.eff.org, que nos da la opción de conocer cómo de únicos somos a partir de ella. He hecho la prueba con mi ordenador y este ha sido el resultado:

Figura 3: resultados de Panopticlick

El análisis ha tardado 22,3 segundos y se ha recabado mucha información. Solo os pongo 1 ventana de las 3 disponibles de información, pero trabajando sobre ella nos da un resultado de 5.163.717. Esto quiere decir que soy único en y por lo tanto identificable entre más de 5 millones de ordenadores, o lo que es lo mismo, que en España hay solamente ocho o nueve personas con la misma configuración posible que yo. Si lo trasladamos a Aragón, soy único en todo el territorio.

Os pongo el enlace del vídeo de Chema por si queréis ampliar información:

Vídeo 1: Vivir en un mar de datos: Big Data, privacidad y seguridad, del 28 de octubre de 2013

Saludos!

Análisis de una infección [II de II]

Upss. ¿De que me suena esto?. La página de inicio de Mozilla Firefox también ha sido modificada. Además, el propio Kaspersky me avisa de que la página a la que estoy intentando acceder tiene software malicioso. Todavía me queda Internet Explorer, pero no encuentro el icono por el escritorio. Haré un Inicio -> Buscar programas y archivos y así podré acceder:

Figura 13: búsqueda de Internet Explorer no encuentra el navegador

Nada, que no aparece. De Chrome no me fío, Mozilla tampoco e Internet Explorer no existe. Pues voy a Chrome y me descargo Internet Explorer, lo instalo ya podré seguir buscando información. Abro Chrome para buscar y veo esto:

Figura 14: accesos directos dentro de la página de inicio de Chrome

La página de inicio ahora está bien, pero siguen saliendo restos de las web del buscador My Start Search. De todos modos me deja seguir navegando. Busco Internet Explorer Descarga y encuentro el enlace en la web de Microsoft. 

Figura 15: descarga de Internet Explorer 11 y aviso de actualización de Java

Ya casi lo tengo, pero justo ahora me salta una alerta de que no tengo Java actualizado. A ver si se han colado los bichejos por ahí. Chema Alonso recomienda tener todo actualizado. Va a ser eso. Bueno, actualizo Java y luego instalo Internet Explorer. Pero de repente, Chrome me intenta solucionar todos mis problemas de inseguridad. Un mensaje esperanzador me avisa de que Chrome ha detectado problemas y dispone de una herramienta que lo va a arreglar todo.

Figura 16: herramienta de eliminación de software "beta" de Chrome

Y ¿que hago?. Me pide descargar algo que yo no he solicitado. Esto mismo me suena de la semana pasada y mira ahora como está mi Windows. Pero, si me lo dice Google será bueno. Además, eso de "Herramienta de eliminación de software" me suena de algo, no se, algo de alguna actualización de Windows Update que sale cada dos por tres. Que pesados los de Windows con su actualización todos los meses ahí !!! Pero esta descarga que me recomienda Chrome será mejor por que Chrome es Google y además pone "beta". Si el alfabeto empieza por alfa esto será mejor por que es beta, es como la versión 2.0 de algo.

Figura 17: descargando la aplicación

Vale, ya lo he descargado y ahora lo ejecuto a ver que pasa. Tarda un poquito en hacer un análisis y me dice que ha encontrado una amenaza, pero que la va a eliminar. Vaya, no me dice nada más. ¿Y si la amenaza está dentro de una foto de mi último viaje o dentro de ese fichero excel que llevo toda la tarde preparando? Habrá que fiarse ...

Figura 18: amenazas encontradas

Figura 19: proceso de eliminación del software sospechoso

En la Figura 18 veo que se va a enviar información de mi ordenador a Google. Voy a ver que información se manda haciendo click en el vínculo:

Figura 20: información opcional de mandar a Google

Aparentemente no hay ningún dato personal, pero no lo puedo asegurar. Nos fiaremos del software. De todos modos, si es para que sea mejor la aplicación pues será bueno que lo hagamos. Esperemos que estos datos sean los que se dice. Antes de hacerlo voy a buscar un poco de información sobre esta herramienta a ver de donde viene. En el último paso de la eliminación, hay un link a un fichero de texto inmenso, pero el comienzo del propio fichero es este:

Figura 21: información sobre el envío de información a Google

David M. Gay's floating point routineshttp://www.netlib.org/fp/
/**************************************************************** * * The author of this software is David M. Gay. * * Copyright (c) 1991, 2000, 2001 by Lucent Technologies. * * Permission to use, copy, modify, and distribute this software for any * purpose without fee is hereby granted, provided that this entire notice * is included in all copies of any software which is or includes a copy * or modification of this software and in all copies of the supporting * documentation for such software. * * THIS SOFTWARE IS BEING PROVIDED "AS IS", WITHOUT ANY EXPRESS OR IMPLIED * WARRANTY.  IN PARTICULAR, NEITHER THE AUTHOR NOR LUCENT MAKES ANY * REPRESENTATION OR WARRANTY OF ANY KIND CONCERNING THE MERCHANTABILITY * OF THIS SOFTWARE OR ITS FITNESS FOR ANY PARTICULAR PURPOSE. * ***************************************************************/

¿Será de la empresa desarrolladora? Ni idea, yo no lo se. Ahh, espera que un poco más abajo pone esto:

dynamic annotationshttp://code.google.com/p/data-race-test/wiki/DynamicAnnotations
/* Copyright (c) 2008-2009, Google Inc. * All rights reserved.

Y un poquito más abajo esto:

Paul Hsieh's SuperFastHashhttp://www.azillionmonkeys.com/qed/hash.html
Paul Hsieh OLD BSD license
Copyright (c) 2010, Paul HsiehAll rights reserved.

Y así un sinfín de nombres o empresas. ¿Van a llegar mis datos a todos ellos? Un poco raro todo esto. 

Ya llevo un rato con todas estas tareas. Quiero acabar y continuar con mi trabajo/ocio, no seguir instalando y revisando cosas. Actualizaré Java que era lo que me avisaba antes:

Figura 22: actualización de Java

Listo, a instalar Java. La instalación sale automáticamente al hacer click sobre la notificación emergente que sale abajo a la derecha, sobre el reloj de Windows. El proceso es sencillo y el asistente solo necesita que le hagamos el típico Next -> next -> instalar -> Yes -> si -> si -> que siiii. Todos sería perfecto si no supiera que se va a instalar la versión 7.75 cuando la última disponible es la 8.40 Al final de todo tampoco estaré actualizado. Además al hacer Next -> next -> instalar -> Yes -> si -> si -> que siiii no me he fijado en una ventana intermedia en la que me va a instalar un buscador extra, el ASK:

Figura 23: ventanas de la instalación que debería haber leído

Ya lo he instalado, pero en lugar de un emotivo ¡¡¡ PERFECT !!! final me sale un aviso de que Java no está actualizado. A repetir el proceso:

Figura 24: mensaje desmotivador tras actualizar Java

Ahora si, ya lo tengo actualizado. Actualizaré también Windows mediante Windows Update. Chema recomienda Windows original y tenerlo actualizado. ¿Por que no habré seguido los pasos del tío este del gorro? si al final todo de lo que advierte va a ser verdad !!! Y yo que pensaba que desprestigiaba todo lo que no fuese de Microsoft y que nos vendía la moto y va a resultar que todo es software y puede tener problemas. Si es que todo lo hacen con espagueti code!!!

Figura 25: página principal de Windows Update

Vaya, cuatro actualizaciones que estaban aquí pendientes desde el 13 de enero de este año. Claro, los martes de estos de actualizaciones de Microsoft. ¿Pero a quien se le ocurre sacar actualizaciones en martes y 13? ¿Esos días no era recomendable no encender el ordenador? ¿O eran los viernes 13? Bueno, que son 2 meses y 10 días que he tenido un bug detectado en el ordenador. Voy a ver de que se tratan que igual no son muy importantes los fallos que corrigen estas actualizaciones: 

Figura 26: descripción de fallo de seguridad 3019215

Figura 27: descripción de fallo de seguridad 3022777

Pues si que parecen importantes. Dos de ellas son, una para evitar la elevación de privilegios y otra para evitar la omisión de la característica de seguridad.

Tras todo este trabajo, reinicio, vuelvo a ejecutar Windows Update hasta que ya no salga ninguna actualización pendiente, actualizo los navegadores, vuelvo a analizar con el antivirus y veo que ya no sale nada, ... En fín, parece que ya está. Pero la informática tiene una sorpresa más para mi. Dejo el ordenador encendido un rato y me marcho a realizar otras tareas. Al cabo de media hora regreso y en la pantalla del portátil tengo un regalito en el área de notificación:

Figura 28: regalito final con publicidad

UN POPUP DE ADS !!!! ¡¿ Pero no estaba ya todo limpio ?! 

He intentado recrear esta situación desde la perspectiva de un usuario doméstico al que se le van presentando problemas e intenta ir aplicando soluciones, pero ni las soluciones son fáciles ni muchas veces ofrecen el resultado esperado. Por parte de los desarrolladores pienso que es complicado encontrar el método que sirva para usuarios domésticos, usuarios técnicos y usuarios avanzados, pero al ponerme en la piel del usuario final, veo que la guerra la están ganando los distribuidores de malware. Tendiendo el sistema operativo actualizado, un antivirus original instalado, y todo todo y todo actualizado a la última versión, estás bastante protegido, pero en cuanto se mete cualquier cosa, hay un efecto dominó que va minando el sistema y al final acaba por tomar el control.

Repito las recomendaciones a seguir de forma muy general:

• Sistema operativo original, actualizado y no discontinuado
• Programa antivirus original actualizado 
• Todas la aplicaciones de terceros actualizadas
• Sospechar de todo lo que nos diga internet

Os pongo de nuevo un vídeo de Chema en el que nos explica aspectos muy interesantes sobre los creadores de malware, su finalidad, como funcionan los zero days, para sirven las actualizaciones, etc.

Vídeo 1: Conferencia: "Thinking about Security" de Chema Alonso presentada el 20 de Diciembre de 2012 dentro del Ciclo de Conferencias de la Escuela Superior de Informática de la Universidad de Castilla-La Mancha

Saludos!

**************************************************************************************

- Análisis de una infección [I de II]

- Análisis de una infección [II de II]

**************************************************************************************

Análisis de una infección [I de II]

Hoy nos han traído a nuestro taller un ordenador portátil que funciona muy lento y salen muchas ventanas de publicidad. He decidido intentar hacer una puesta a punto sin usar "la intuición informática", sin ayuda del sexto sentido, las musas ni el Tao de la programación. Intentando limpiar y optimizar el sistema con las herramientas que pueden estar en mano de cualquier usuario dejando a un lado las técnicas que la experiencia me han llevado a depurar, como eliminación de carpetas concretas, "retoques" manuales del registro y otras cochinadas. El proceso ha sido el siguiente:

Como parece que tengo virus, compro un antivirus, lo instalo y analizo el sistema. Una vez hecho esto veo que Kaspersky ha detectado 23 amenazas y las ha eliminado. Vamos a abrir el informe del antivirus para ver cual era la infección:

Figura 1: amenaza detectada: troyano dentro de un exe con el nombre de la
serie de TV Homeland - Tercera temporada que se descargó hace unos días 

Figura 2: troyano escondido dentro de un enlace a Internet Explorer

Figura 3: troyano escondido dentro de un enlace a Mozilla Firefox

Figura 4: adWare escondido dentro de una aplicación para bloque de publicidad en Youtube

Figura 5: adWare con el complemento RoboSaver, que muestra ofertas, cupones, ...

El propio antivirus me pide reiniciar para terminar de eliminar las amenazas. Vamos a ello. Una vez de vuelta en el escritorio, veo que hay un acceso directo sin icono. Voy a ver a donde apunta:

Figura 6: icono sospechoso en el escritorio

Figura 7: detalles del icono

En el get del destino hay esta información: 

C:\Users\usuario\AppData\Local\Temp\Launcher__6063_i1479283952.exe /ver 1.1.5.26 /u http://www.amoninst.com/index.php /ver 1.1.5.26 /ci 6063 /appimageurl http://s3.amazonaws.com/refresher-bundles/amonetize/icon.png /appname Setup /appsetupurl . /ti1 28785

Veo que es una llamada al ejecutable Launcher__6063_i1479283952.exe que está en la carpeta C:\Users\usuario\AppData\Local\Temp\ y le pasa de argumento el sitio web http://www.amoninst.com/index.php y otros que identifican al icono de la web entre otros.

Huy que turbioooooo!!! . No me fío de hacer doble click, así que para seguir investigando voy a abrir en el navegador la URL para ver a donde me mandaba (http://www.amoninst.com/index.php):

Figura 8: Chrome troyanizado

Nada más abrir Chrome ya detecto que la página de inicio ha sido cambiada por otra. Yo tenía el buscador google y ahora sale el buscador "start my search". En fin, pego la URL en la barra de direcciones y me sale la siguiente ventana en Chrome:

Figura 9: alerta en Chrome

Lo que sospechaba, la URL de la web no es para nada fiable. Me alegro de no haber hecho doble click en el icono. Ahora que me he dado cuenta de que la página de inicio ha sido modificada en Chrome voy a restaurar las opciones por defecto para volver a dejarlo como estaba. Voy a configuración y veo que las extensiones también han sido modificadas, así como los motores de búsqueda de Chrome:

Figura 10: motores de búsqueda de Chrome modificados

Figura 11: extensiones de Chrome modificadas

Pongo todo esto un poco en orden, pero ahora no me fío de Chrome, ya que ha sido tan troyanizado y modificado que puede que no todas las amenazas se hayan corregido. Voy a buscar algo de información en Mozilla Firefox que es un poco más seguro para esto de los virus:

Figura 12: Mozilla Firefox troyanizado

Continúa...

**************************************************************************************

- Análisis de una infección [I de II]

- Análisis de una infección [II de II]

**************************************************************************************