Feb 5 2014

La misión ¿imposible? de convertir usuarios de Whatsapp a Telegram

Gabolonte Blasfemus
"Nosotros te cuidamos, y para eso necesitamos ver todas tus fotos, videos y charlas subidas de tono. Es por tu seguridad..."

“Nosotros te protegemos del terrorismo, y para eso necesitamos ver todas tus fotos, videos y charlas subidas de tono. Es por tu seguridad…”

Un tiempo después de que la gran bomba de la NSA explotó, un fuerte deseo de dejar que la misma continúe empernándose al planeta entero comenzó a surgir en todos sus rincones, y eso dio lugar a varios proyectos (la mayoría ubicados fuera del país de la libertad vigilada) que intentan brindar algún canal de comunicación libre de los men in black.

En el campo de lo que podríamos calificar como mensajería por smartphone, todos sabemos que hace tiempo Whatsapp ganó la batalla como el reemplazo definitivo a los arcaicos SMSs. Algunas de sus virtudes para hacerlo no son las más loables pero tampoco podemos desmerecerlo: Lo hizo por una combinación de factores como ser uno de los primeros, ser multiplataforma desde el principio, gratis (siempre amenazan que van a cobrar pero siguen sin hacerlo porque saben que ahí se les pianta el ganado), usar una interfaz limpia y sin publicidad, pero por sobre todo, funcionar y haber tenido versiones hasta para teléfonos económicos como los viejos semi-smartphones Serie 40 de Nokia.

El problema con Whatsapp, además de que aún sueñan con algún día hacerte pasar por caja, es que en sus condiciones de servicio (que aprobaste sólo por usarlo) estás en falta desde el vamos y jamás le prestó atención a la seguridad, lo que hace que al día de hoy, incluso cuando se supone que desde hace un tiempo cifran los mensajes, aún sea posible espiarlos a todos. Imaginen entonces la papa que es para la agencia más querida del mundo mirar lo que se le antoje.

Continue reading


Feb 2 2014

Disco rígido con mente propia = ideas impropias

Gabolonte Blasfemus

wdImaginate que, de la manera que sea, descubrís que infectaron tu PC. Ninguna solución antimalware parece erradicar los malos bits, por lo que procedés, mecánicamente, al mismo paso que cualquier haría: Formateo de disco y reinstalación de cero del SO. Cuando finalizás la instalación, descubrís que el malware de la instalación original continúa ejecutándose en la nueva. Ya, algo nervioso, procurás el medio de instalación más confiable que consigas y, luego de asegurarte de haber eliminado todas las particiones del disco, haber sobrescrito la MBR 2 veces, y haber reinstalado nuevamente el sistema sin siquiera haber copiado en el ni un solo archivo de la instalación original, volvés a encontrarte con el rostro del mal en tu propia computadora. Puede ser tranquilamente la pesadilla de todo geek, y ahora también sabemos que puede ser una realidad para algunos.

El especialista en seguridad Bruce Schneier es uno de los que le dedican completa atención a los ya famosos archivos filtrados de la NSA, y regularmente viene listando diversos artilugios de espionaje que figuraban en el catálogo del 2008 de la infame agencia, con nombres tan creativos como sus funciones, y que parecen sacados de una película de 007. Uno de ellos es IRATEMONK (que traducido al español sería algo como Monje Furioso), y se trata ni más ni menos de uno de esos fantasmas temibles cuyos cuentos espeluznantes nos quitan el sueño a quienes estamos en IT: Malware implantado en el firmware. Pero lo que hace especial a este monje es que no se refugia en un lugar ya común de la paranoia como el BIOS del motherboard de una PC, sino que lo hace en un lugar prácticamente ignorado y desconocido por la mayoría: La electrónica del disco rígido. Desde ahí, puede asegurarse que no importa cuantos reparticionados, formateos o instalaciones sufra, el sistema finalmente instalado siempre terminará teniéndola adentro. Eso significa que un blanco de espionaje, en tanto y en cuanto siga con su misma máquina y/o disco rígido, siempre tendrá su equipo comprometido, no importa cuántas veces instale desde cero el software.

Continue reading


Mar 31 2013

Un día especial para reflexionar

Gabolonte Blasfemus

World Backup DayHoy es un día muy especial, y no por celebrar nuevamente hábitos consumistas basados en festejos religiosos, sino porque es el World Backup Day, un día creado para crear conciencia sobre la necesidad de tomar precauciones y resguardar un aspecto de nuestra vida cada día más importante: Nuestra información digital, que comprende aspectos tan relevantes de nuestra persona que van desde fotos y videos familiares a documentos laborales.

El World Backup Day (Día Mundial de la Copia de Seguridad), una iniciativa surgida de un conjunto de geeks en Reddit, intenta impulsar a todo el mundo a realizar, mantener y, no menos importante, verificar las copias de seguridad de todos sus datos, ya que si existe algo casi tan malo pero más devastador psicológicamente que no tener backups, es creer que se los tiene pero en realidad no sirvan.

Este día de verdad importante para la reflexión de individuos y naciones se celebra todos los 31 de Marzo, y todos deberíamos prestarle unos minutos de atención a pensar: ¿Cuándo fue la última vez que hicimos una copia de seguridad de nuestra información? ¿Lo hacemos frecuentemente? ¿De absolutamente todo lo que nos importa?

17643878En el ámbito informático muchas veces ocurre algo parecido al caso del médico que se cree inmune a todo: Creemos que lo controlamos y sabemos todo y que a nosotros nunca nos va a pasar, aunque posiblemente la última vez que hicimos una copia de nuestras cosas fue hace un año, y ni siquiera sabemos en qué estado se encuentra el medio que la contiene. Es importante seguir nosotros mismos los mismos consejos que le daríamos a cualquiera, y copiar, con frecuencia, con redundancia, y no olvidarnos de comprobar regularmente que lo estamos haciendo bien.

filenotfound

Formas de hacerlo sobran, ciertamente. Copias directas, programadas o manuales, a un pen drive o a discos rígidos extraíbles; aplicaciones gratuitas específicas para empaquetar todo y mandarlo a otro equipo o servidor en la red, como Cobian Backup (al menos por ahora, mientras no lo compre alguien con fines muy lucrativos, ya que su creador lo puso en venta); o incluso combos aplicación/servicio en la nube como CrashPlan, uno de los sponsors de este año del World Backup Day, y que ofrece la posibilidad de realizar resguardos automáticos y seguros en la nube o incluso entre equipos propios o de amigos.

Redundancy

Así que, consejo de un amigo (amor? de lo ajeno? “eeh amigooo…”?), largá los huevos de chocolate y ponete a resguardar tu vida digital si aún no lo hiciste, antes de que sea tarde!


Feb 25 2013

Navegación segura desde Android en redes Wi-Fi públicas

Gabolonte Blasfemus

Un túnel VPNSiempre tuve en Geekotic una gran asignatura pendiente con respecto a Android, que algunos lectores me habían solicitado, y esta era ni más ni menos que cómo conectar Android mediante un túnel para saltar la inseguridad implícita que se sufre al estar conectado a través de una red inalámbrica pública como puede ser en un café, hotel o aeropuerto, algo que ya habíamos visto como hacer pero en una PC con Windows. Me resistía a hacerlo porque realmente no existe una respuesta universal y fácil de implementar, sino demasiadas opciones y todas con sus contras y limitaciones. Hoy existen algunas más, y pretendo listarlas a todas para que cada uno decida cuál se le ajusta mejor. Pero antes que nada…

¿Es necesario realmente preocuparse por esto? ¿Que acaso no van todas las conexiones en Android por SSL?

Contestando a la primer pregunta, la respuesta debería ser sí, pero depende del nivel de paranoia/preocupación de cada uno. Sobre la segunda, supuestamente todo va por SSL… hasta que se descubre que no. Además existen los problemas de las autoridades certificantes (CA) comprometidas, algo que no es muy fácil de arreglar en Android. Después, por supuesto, tenemos los protocolos de siempre inherentemente inseguros, como por ejemplo navegar un sitio web donde almacenemos información personal y todo vaya por HTTP, o chequear correo de un servidor por POP3. Todo esto nos lleva a que es verdaderamente necesario preocuparse y tomar precauciones, aunque nos moleste tener que hacer varios pasos extra cada vez que nos conectamos a un hotspot. A continuación voy a detallar las mejores opciones disponibles para establecer una conexión tipo túnel desde un dispositivo Android.

Continue reading


Ago 10 2012

Reconexión automática a VPN en Ubuntu Linux

Gabolonte Blasfemus

Aquellos que osadamente urgan en este repositorio de pecaminosas incongruencias saben bien que la seguridad al conectarse en redes Wi-Fi es un tema que siempre me interesó, llegando a dejar algunos consejos para una navegación más segura.

Desde hace ya algunos años que mi método de seguridad rutinario a la hora de conectarme desde mi portátil, ya sea desde Windows o Ubuntu, es a través de una VPN. En particular uso OpenVPN, que me parece excelente por una larga serie de motivos, entre los que cuento:

  1. Open Source.
  2. Clientes para casi todas las plataformas, incluidas las móviles; aunque ahí el mayor problema es el soporte de los fabricantes ya que en Android o iOS no alcanza con instalar una aplicación.
  3. Servidor también multiplataforma, aunque lo más recomendable es hacerlo desde Linux.
  4. Y tal vez lo más importante, no usa ningún protocolo raro que vaya a dar problemas con routers hogareños y demás; va por UDP o por TCP, y hasta podemos configurarlo para elegir uno o el otro, incluso cambiar el puerto por defecto. Esto es especialmente útil para los access points de lugares como StarBucks donde tienen ortivamente bloqueados todos los puertos de salida con excepción de los necesarios para navegar, el 80 que corresponde a http, y el 443 para su contraparte segura el https, y sólo en TCP. En este caso podemos levantar nuestro servidor OpenVPN en cualquiera de estos dos puertos con TCP y hacerles pito catalán lo más panchos.

Sin embargo, dentro de toda esta maravilla tenía un pequeño problema. Es muy normal que a veces la conexión VPN se interrumpa, generalmente por microcortes en la red inalámbrica. En el caso de OpenVPN GUI, la interfaz gráfica para gestionar las conexiones del cliente para Windows, esto no es un gran problema, ya que automáticamente reintenta hasta que vuelve a establecer el túnel VPN. En Linux, al menos si utilizamos para conectarnos el Network Manager de Gnome que incorporan distros como Ubuntu, al ocurrir la interrupción la conexión no vuelve a resumirse, y nuestro único aviso es el pequeño y diminuto icono del candado que desaparece del icono del Network Manager y un temporal mensaje que nos avisa del evento. Si estábamos absortos en algo o no mirábamos a la pantalla es fácil obviarlo, y continuar con nuestra sesión ya sin contar con la protección necesaria para no encontrarse a merced de ojos ajenos. Y aunque los diálogos de configuración de Network Manager contemplan la posibilidad de marcar la conexión para que se realice automáticamente, esta opción sencillamente aún no funciona para las conexiones VPN.

Vi que existen otros métodos para resolver este problema, pero el que realmente me funcionó tiene que ver con la genial posibilidad que poseen las versiones más recientes del Network Manager de controlarlo desde la consola a través del comando nmcli. Esto abre las puertas a una solución simple y sucia de scripting como la que vi en este hilo de AskUbuntu.

#! /bin/bash

REQUIRED_CONNECTION_NAME="name-of-connection"
VPN_CONNECTION_NAME="name-of-vpn-connection"
activ_con=$(nmcli con status | grep "${REQUIRED_CONNECTION_NAME}")
activ_vpn=$(nmcli con status | grep "${VPN_CONNECTION_NAME}")
if [ "${activ_con}" -a ! "${activ_vpn}" ];
then
     nmcli con up id "${VPN_CONNECTION_NAME}"
fi

Este script básicamente conecta la VPN definida sólo cuando determinada conexión de red, que puede ser inalámbrica, por cable, o 3G, se vuelve activa. En este caso, name-of-connection es el nombre que lleva en Network Manager la conexión de red sobre la cual queremos establecer la conexión VPN, por ejemplo una conexión a una red Wi-Fi; name-of-vpn-connection es por otro lado el nombre que lleva la conexión VPN que deseamos usar, no importa si es por OpenVPN u otro estándar. Pero para mi menester necesito algo aún mucho más simple, yo sólo necesito que la conexión VPN a la que decidí conectarme vuelva a reconectarse automáticamente en caso de corte, por lo que mi script quedó, desde mi poco pulidos conocimientos, así:

#! /bin/bash

NUNCA=1
VPN_CONNECTION_NAME="name-of-vpn-connection"
while [ $NUNCA ]; do
     activ_vpn=$(nmcli con status | grep "${VPN_CONNECTION_NAME}")
     if [ ! "${activ_vpn}" ];
     then
          nmcli con up id "${VPN_CONNECTION_NAME}"
     fi
     sleep 5
done

El anterior es un script que podemos ejecutar desde cualquier ventana de terminal y dejarlo corriendo todo el tiempo que lo necesitemos de fondo. Al ejecutarlo lo único que hace es entrar en un loop interminable donde chequea si la conexión VPN definida está levantada, y si no lo está la activa; luego espera 5 segundos y vuelve a comenzar. Se puede refinar muchísimo más la idea pero si lo queremos hacer simple y rápido podemos tener una copia de este script para cada perfil VPN que usemos, y luego ya no hará falta conectarse desde el icono del Network Manager a la VPN, simplemente ejecutamos el script seleccionado y mientras no lo interrumpamos con un Ctrl+C o cerrando la ventana se va a encargar de mantener siempre arriba el enlace VPN.