Firesheep, sniffing para las masas

Firesheep

Probablemente muchos ya habréis leído sobre Firesheep, extensión Firefox para hacer «sniffing», capturar paquetes que circulan por la misma red local y tratar de robar sesiones abiertas por otros usuarios que estén usando la red. Lo asombroso de Firesheep es lo tremendamente fácil que pone todo el proceso, que ya estaba al alcance de muchos con unos mínimos conocimientos de seguridad informática. Como explican en Genbeta, el objetivo de su creador es crear conciencia sobre la seguridad en internet y en las redes abiertas compartidas: lo mejor siempre es tener una conexión propia que sepamos asegurada y, dado que los propios servicios online no ofrecen conexiones seguras en toda la sesión, utilizar un VPN.

El antipatrón de pedir usuario y contraseña del correo desde otros servicios para buscar contactos

Facebook te pide el correo

Si hay una práctica a erradicar en multitud de «sitios sociales» es la de pedir el usuario y contraseña del correo o de otros servicios para «invitar a tus amigos» o «darte más datos y funcionalidades». Se trata del antipatrón de diseño en programación web más extendido y popular en los últimos tiempos. No es que uno quiera sembrar miedo respecto a Tuenti, Facebook u otras redes solventes – a buen seguro que no van a almacenar contraseñas y darles un uso ilícito – pero sí dejar claro que si como usuarios aceptamos este tipo de mecanismos, estamos cogiendo muchas papeletas para sufrir phishing.

De entrada, las webs que lo implementan tienen buenas razones para hacerlo, si hay algo tedioso es replicar los contactos que uno tiene cada vez que quiere probar un nuevo servicio. Cierto que la gente normal – sólo los bloggers están todo el día registrándose en tonterías – no anda de una red social a otra continuamente, pero como servicio, cuantas menos barreras de entrada establezcas para ser utilizado, mejor. Y no sólo tenemos este caso de uso, empiezan a proliferar los clientes de todo tipo que también solicitan el usuario / contraseña para experiencias del tipo «escribe una vez y refresca el ‘status’ en una docena de sitios».

La buena noticia es que comenzamos a tener estándares y tecnologías que van a permitir la erradicación de este antipatrón a poco que las diferentes webs no se empecinen en pedirle a los usuarios las llaves de casa. Sucintamente, hay varias alternativas:

  • Los servicios de correo web más importantes ofrecen APIs. Tenemos la de Yahoo, la de Windows Live y la de Google. ¿qué permiten? Acceso a los datos del usuario pero bajo el proceso de identificación del sistema de correo, sin que la web que utilice estas APIs llegue a tener en ningún momento la contraseña.
  • La anterior propuesta significa que la «web cliente» tendría que hacer el mismo trabajo tres veces (o más si contempla otros correos) para una misma funcionalidad. Esa es la razón de ser de los estándares y ahí es donde OAuth tiene sentido. Ya hemos comentado algunas cosas sobre este sistema de identificación abierta que define un mecanismo para que una aplicación web (cliente) pueda acceder a la información de un usuario en otra (proveedor) sin tener que informar a la primera del usuario y contraseña. Al final, los tres sistemas de correo que ofrecen API y que hemos comentado podría perfectamente adoptar OAuth en lugar de sus sistemas propietarios e incompatibles. Quién más está apostando por él es Google que lo utiliza para su Friend Connect.
  • Tenemos la la API social de Google basada en XFN y FOAF, que permite acceder a los contactos de un usuarios que sean públicos en la red y siempre que la información esté expresada en el estándar adecuado.
  • Hay un proyecto interesante, Portable Contacts, cuyo objetivo es la de añadir una capa de abstracción más sobre un conjunto de estándares (vCard, OpenSocial, OAuth) para hacer más fácil la implementación de la funcionalidad «tráete a tus contactos».
  • Por último, está Facebook Connect del que tanto hemos hablado. En este caso la propuesta va más allá de la «portabilidad de datos» (que no lo es) para empezar a hablar de integración con la red social.

En definitiva, nunca ha sido buena idea dar nuestro usuario y contraseña del correo a nadie y el que sigamos viendo implementaciones de este antipatrón cada vez va a tener menos sentido. En absoluto creo que empresas como las arriba mencionadas – Tuenti o Facebook, en la captura pidiéndote usuario y contraseña, también muchas otras – vayan a almacenar nuestras contraseñas de otros servicios, pero perseverar en estos mecanismos ayuda a que los usuarios menos prudentes lo acaben viendo como normal ir dando las llaves de su casa en internet al primero que se lo pida con educación.

Firefox 2 beta 2

FireFoxApenas una mini nota para comentar que ha salido la beta 2 de Firefox 2. En mi caso – la versión 1.5 no dejaba de darme problemas y comerse los recursos – la opción era actualizarme a la beta o seguir con Opera 9, un magnífico navegador por cierto.

Ya hemos hablado de la beta 1 así que respecto a nuevas funcionalidades hay poco que añadir. Sólo comentar que la beta 2 de Firefox 2 es más comedida respecto al consumo de recursos respecto a su hermano mayor y que algunas de las nuevas características añadidas cada vez me gustan más. Es el caso del corrector ortográfico integrado (eso sí, el diccionario que he encontrado para descarga es de «español de Argentina), el manejo de canales RSS con el agregador que uno prefiera, la restauración de la sesión si el navegador se cae y las mejoras en el manejo de pestañas.

En definitiva, si lo quieres probar, ahí van los enlaces para la descarga para la versión en español:

Por cierto, respecto al tema el polémico anti-pishing. Por defecto se utiliza una lista local para verificar la autenticidad de los sitios visitados, sin envío de las páginas que visitamos a Google ni a nadie. En las opciones se permite activar el envío de páginas a Google para que compruebe su autenticidad, con el siguiente texto de advertencia:

Si elige comprobar en Google cada sitio que visite, Google recibirá las URLs de las páginas que visite para su evaluación. Cuando pulse en aceptar, rechazar o cerrar el mensaje de advertencia que la protección contra phishing le ofrece sobre una página sospechosa, Google registrará su acción y la URL de la página. Google recibirá información de registro estándar, incluyendo una cookie, como parte de este proceso. Google no asociará la información que registra la protección contra phishing con otra información personal sobre usted. Sin embargo, es posible que una URL enviada a Google pueda contener información personal. Por favor, vea la Política de privacidad de Google para más información.

Pues eso, aunque el combo para seleccionador proveedor sugiere que habrá otros además de Google, la advertencia salta en cuanto pasamos de usar la copia local a utilizar un proveedor.

Etiquetas: firefox2, opera, explorer7, beta

El anti-phising de Google en Firefox 2.0

firefox2005_icon_pngNo me gusta nada la idea. Firefox 2.0 vendrá con el anti-phishing de Google «de serie». Ya hemos hablado alguna vez de esto:

Aunque siempre se ha postergado la decisión afirmando «que sólo se estaba estudiando», ahora, según Internet News, se ha confirmado.

A priori esto convierte a Firefox 2.0 en un navegador más seguro, se comprobará que la página que se nos muestra es quien dice ser, se lo pondrán difícil a quien quiera engañarnos. Todo eso está muy bien. No habrá problemas de licencia, el componente (Google Safe Browsing) tiene licencia libre compatible con el navegador de Mozilla. Tampoco está nada mal, eso de poder verle las tripas a un elemento tan sensible de la navegación.

Pero Firefox sólo ofrecerá esta opción «de serie» con Google. ¿Por qué no con otros también? ¿Por qué no dejan una arquitectura abierta e incluyen a todas las posibilidades (Netcraft, Microsoft) como se hace con los buscadores? ¿Por qué viene instalado el envío de las webs que visito a Google y se le otorga el rol de juez independiente? ¿Y si yo no me fío de él y creo que puede tener intereses en marcar como sospechosas webs que no lo son? ¿Y si mi web es competidora de Google, también debo creer que son los chicos buenos y que me tratarán bien?

Claro que viene desactivado por defecto y que uno podría instalar como extensión cualquier otro anti-pishing (faltaría más), pero esta googlefilia antepuesta a ser una plataforma abierta no ligada a ninguna compañía – sobre todo en un tema tan sensible como es el enviar las webs que visitan sus usuarios – me parece una decisión estratégica equivocada para el navegador «libre».

Por cierto, ¿qué pensaríamos si hace lo mismo Microsoft? El tema es que lo planearon antes que Firefox+Google y vendrá en Explorer 7 (DRM, Antivirus y anti-phishing en Explorer 7).

Firefox 2 con anti-pishing ¿de Google?

firefox2005_icon_pngMás sobre lo comentado en Google Safe Browsing en Firefox. Se confirma que la próxima versión del navegador de Mozilla traerá integrado el mecanismo anti-pishing como va a tener Explorer 7 y como ya traía Opera 8. Mike Shaver, de Mozilla, afirma que no se ha elegido aún un mecanismo ni una tecnología determinada (ZdNet). Espero que tengan el buen juicio de no entregarse a Google ofreciéndole las URL de los usuarios de Firefox por defecto. Si un navegador libre quiere proveer de un mecanismo anti-pishing, debe hacerlo de forma abierta de manera que el usuario puede elegir en quien confía.

Etiquetas: ,

Google Safe Browsing en Firefox

firefox2005_icon_pngYa hablamos de la extensión Google Safe Browsing en su momento (Extensión contra el phishing en Firefox de Google) comentando que:

Con esta extensión atacan al gran problema de los navegadores, la seguridad, siendo el pishing el gran peligro para navegantes. Como siempre, en este tipo de funcionalidades hay que mirar con lupa el tema de la privacidad. Hay que tener en cuenta que para que Google analice la veracidad de una web, debe ser informado de la visita. De hecho, con Google Safe Browsing guardan si una web ha sido aceptada o rechazada por el usuario tras el aviso de la extensión y, en modo «Enhanced Protection» envía cada url que visitamos a Google. Eso sí, la empresa del buscador jura y perjura que no asocia estos datos con ninguna IP.

Pues bien, la noticia es que Firefox integrará estudia integrar en su código este Google Safe Browsing. No ya como extensión para instalar a posteriori, sino como parte inseparable del navegador. Curiosamente, este funcionalidad fue anunciada (y bastante criticada) por Microsoft para su Internet Explorer 7 (véase DRM, Antivirus y anti-phishing en Explorer 7).

Por un lado, está claro que si Explorer 7 va a proporcionar este tipo de tecnología anti-pishing «de serie», Firefox necesita dar esa seguridad para competir.

Ahora bien ¿por qué a través de Google? o, mejor dicho, ¿por qué sólo a través de Google? ¿No es mucho más razonable poder elegir proveedor de confiabilidad de la web que visito? ¿Y si alguien está cansado de la voracidad de datos de Google y no confía en él? ¿Y si prefiero que mis webs las autentique Microsoft o, mejor, una organización independiente? Hay que recordar que para que esto funcione, se envía cada web visitada para que sea verificada como auténtica. Google gana las estadísticas de visitas de millones de usuarios en el mundo ¡una información muy valiosa para el posicionamiento en buscadores!

No me gusta la pinta que tiene esto. Google se ha arrimado mucho a la fundación Mozilla e implementar el anti-phishing sólo mediante Google Safe Browsing es una traición a una filosofía abierta que deja elegir al usuario. Espero que lo aclaren y acaben diciendo que nos dejarán elegir a los usuarios (algo que ya hace hasta Microsoft en los buscadores de Explorer) porque sino acabaré preguntándome si tendrá algo que ver en este flechazo con Google los millones que este – dicen por ahí – les hace ganar cada año.

Extensión contra el phishing en Firefox de Google

firefox2005_icon_pngUna de los grandes problemas de seguridad de los navegadores hoy día es sin duda el pishing. Opera 8 ya venía con un indicador de la confiabilidad de la página que estamos visitando, Explorer 7 vendrá con anti-pishing también y a partir de hoy tenemos safebrowsing, una extensión para Firefox de Google. Esta Google Safe Browsing alerta acerca de las páginas que piden datos personales/bancarios haciéndose pasar el banco sin serlo realmente.

Google sigue potenciando Firefox como herramienta para acceder a la web que están construyendo. Echando la vista atrás, podemos recordar algunos momentos más de este «idilio»:

Con esta extensión atacan al gran problema de los navegadores, la seguridad, siendo el pishing el gran peligro para navegantes. Como siempre, en este tipo de funcionalidades hay que mirar con lupa el tema de la privacidad. Hay que tener en cuenta que para que Google analice la veracidad de una web, debe ser informado de la visita. De hecho, con Google Safe Browsing guardan si una web ha sido aceptada o rechazada por el usuario tras el aviso de la extensión y, en modo «Enhanced Protection» envía cada url que visitamos a Google. Eso sí, la empresa del buscador jura y perjura que no asocia estos datos con ninguna IP.

Sitio oficial: Safe Browsing.

Nota: Parece que impide la instalación fuera de Estados Unidos, aunque con un proxy de ese país se podría realizar.

Etiquetas: google, firefox

DRM, Antivirus y anti-phishing en Explorer 7

ExplorerMicrosoft va a apostar fuerte, muy fuerte por Explorer 7. A las ya conocidas pestañas y soporte de RSS en la nueva versión de este navegador, anucia ahora que incluirá un mecanismo «Anti-phishing» de cara a detectar webs que se hacen pasar por otras, a la vez que integrará un antivirus procediente de la adquirida Sybari. Con estos dos elementos se perfila la estrategia de Microsoft: funcionalemente llegar al nivel de sus competidores con las pestañas y el RSS, pero intentando paliar a su vez el punto débil de Internet Explorer que no es otro que la seguridad. En lo primero, tanto FireFox con su legión de extensiones, como Opera con su navegación por voz van por delante, lo segundo está por ver, ya nos vendieron Service Pack 2 para XP como una panacea para la seguridad en Internet.

Tema aparte es el añadir administración de derechos digitales a nivel de aplicación en el navegador. Sin dar muchos detalles de qué pretenden con ello (la noticia es de Top Tech News), el DRM ya sabemos a qué conduce: control de acceso a los contenidos y qué se puede hacer con ellos, además de incompatiblidad entre navegadores, a no ser que Opera o FireFox se avengan a utilizar tecnología Microsoft para ello.

Sender Id contra el spam en Hotmail

HotmailHace unos meses se produjo una batalla en toda regla por establecer un estándar en las tecnologías antispam y anti phishing en el correo electrónico. Los candidatos eran el DomainKeys de Yahoo y Sender ID de Microsoft. Este último consitía en un mecanismo para luchar contra el spam a modo de plug-in en el servidor de correo, que permitirá autenticar que el servidor del emisor del email es quien dice ser. Así se logra un método eficiente para rechazar correos emitidos por los motores SMTP de virus y gusanos y evitar la técnica del phishing utilizada por la mayoría de los spammers. El rechazo desde el software libre a su licencia de uso que lo hacía imposible de implementar desde soluciones libres fue uno de los motivos que pesó para que fuese rechazado como estándar de la IETF.

Sin embargo, por un lado van los estándares de iure (controlados y reconocidos por una organización independiente) y por otro los estándares de facto, y Microsoft está dispuesta a que Sender Id prevalezca como tecnología antispam. Así pues ha anunciado que en Noviembre su servicio de correo electrónico Hotmail adoptará Sender Id(News.com).

¿Consecuencias de esto? Pues a priori es difícil saberlas. Si se aplica en un sentido estricto, todo aquél correo cuyo servidor no lo haya firmado con un identificador válido para el protocolo Sender Id, sería clasificado como spam. Dudo mucho que lo apliquen de una manera tan extrema, pensemos que así cualquier correo que venga de la competencia directa desaparecería de la bandeja de entrada ya que tanto Yahoo Mail como GMail apuestan por DomainKeys, además de que podría tener problemas para tratar los reenvíos de correos. La respuesta, en Noviembre.

Defiende tu PC. Guía de seguridad

Sacha Fuentes ha tenido el detalle enviarme una copia de su libro Defiende tu PC, recientemente publicado y que se puede obtener desde su web. Sacha es un experto en seguridad como demuestra en su blog de Madelman y con este «Defiende tu PC. Guía de seguridad para ordenadores personales» ha pretendido glosar un buen montón de consejos dirigidos principalmente a neófitos en la materia, típicos usuarios de ordenadores personales con Windows y pocos conocimientos técnicos. El libro cumple su función con solvencia, de una manera didáctica y tomando partido (de hecho hay un capítulo titulado «cambiando de navegador: Firefox»). Está bastante actualizado, con referencias al spim o al Pishing, aunque nunca perdiéndose demasiado en aspectos técnicos, que nadie espere en este libro una guía para configurar el IpTables. El único pero importante que le puedo poner es la manía cada vez más frecuente de no utilizar el símbolo «¿» para comenzar las frases interrogativas. Al margen de este detalle, una obra interesante para ponerse al día en el tema de la seguridad para ordenadores personales.