El blog de los empleados
de Telefónica I+D

Autor: Antonio Manuel Amaya

Este está siendo un año particularmente… interesante para Sony. Interesante en el sentido de la maldición china. Primero se hizo público que quien quiera que implementase la función de firma electrónica de los archivos que la PS3 podía ejecutar, evidentemente no se había molestado en leerse las molestas notas al pie del algoritmo que usaron, con el resultado de que la clave de firma se hizo pública. Después, decidieron solucionar el problema técnico denunciando al hacker que había publicado la susodicha clave.

Pero la denuncia tal vez sirva para que el próximo hacker no haga público escarnio de la compañía y en su lugar distribuya la clave de forma más discreta, pero no sirve para evitar que se use. Es difícil hacer desaparecer la información de la red una vez se ha publicado, particularmente si los propios directivos ficticios de la compañía se dedican a re-twittearla:

Así, de forma independiente al trasiego judicial empezaron a aparecer firmwares cocinados para la PS3. ¿Qué es un firmware cocinado, además de uno que se graba en un DVD y se mete en el microondas, con efectos perjudiciales para el DVD, el microondas y el mobiliario cercano? Pues es una versión del firmware de un aparato, en este caso la PS3, que ha sido retocado por alguien distinto del fabricante del aparato para alterar alguna función del mismo. Por ejemplo, para que el firmware ejecute alegremente cualquier cosa que el usuario le pida, sin verificar que el ejecutable está aprobado por el fabricante del aparato.

Evidentemente, un firmware que permite la ejecución de cualquier aplicación, además de permitir la ejecución de código homebrew (aplicaciones desarrolladas por aficionados, no aprobadas por el fabricante de la consola) permite la ejecución de copias de respaldo de juegos legítimos. O copias piratas, para entendernos. Lo cual no es bueno para los desarrolladores de juegos, y no es bueno para Sony. Y ese es el principal motivo por el que a Sony no le gusta que su consola ejecute cualquier aplicación, de forma lógica por otra parte.

El modelo de negocio de Sony con la PS3 (en versión Supercoco, y sin entrar en el papel de la PS3 en la guerra Blueray-HDDVD) podemos decir que tiene tres patas:

• Por una parte está la venta de la consola en si… si es que ya han conseguido fabricarla con un coste por debajo del precio de venta.
• Por otra parte está la venta de juegos de terceros. Para ejecutar los juegos en la consola, Sony tiene que firmar el ejecutable, y de esta forma Sony se asegura cobrar una parte de cada copia de cada juego que se vende para la PS3.
• Y la tercera pata es la red: PSN (Playstation Network). PSN es por una parte una tienda online donde los propietarios de PS3 pueden comprar juegos y servicios (juegos para descargar directamente a la consola, y servicios digitales), y por otra parte es un servicio que se ofrece a desarrolladores y usuarios de juegos multijugador. Digamos que ofrece un punto de registro y punto de encuentro para los jugadores, de forma que, para un juego concreto, puedan encontrar de forma sencilla a otros jugadores del mismo juego e iniciar partidas en red.

La primera pata del modelo de negocio es, o directamenente ruinosa, o en el mejor de los casos no muy rentable. Con el hardware o pierden dinero o ganan muy poco, y además se cobra solo una vez. La segunda pata está tocada por la publicación de la clave de firma, como comentaba antes.

¿Y la tercera pata? Pues para acabar un año redondo (y solo estamos en abril), hace una semana PSN (Playstation Network) sufrió un ataque y, de forma preventiva, Sony decidió cortar el ataque por lo sano, cortando el servicio mientras evaluaban el alcance del ataque y le ponían un tapón al agujero usado por los hackers. Para entender la importancia de cerrar el servicio, recordemos que cerrar PSN es igual a no poder comprar juegos online (y posiblemente no poder acceder a aquellos que ya hubieses comprado) y es igual a no poder jugar en red.

Y eso no tiene muy contentos a los usuarios, claro:

Ahora, una semana después de cortar el servicio, Sony ha ‘descubierto’ que durante el ataque se ha producido una fuga de datos de sus usuarios. De todos los datos, de todos sus usuarios. Datos que, puesto que PSN además de un punto de contacto es también una tienda, incluyen números de tarjetas de crédito.

Ni Sony ni los atacantes han dado detalles de cómo se ha producido el ataque, pero los rumores apuntan a que en la base del ataque hay un fallo en la cadena de confianza en la arquitectura de seguridad de Sony. ¿Que es la cadena de confianza de la arquitectura de seguridad? Pues es un término que, hasta donde sé, me acabo de inventar, y cuya explicación da para otro artículo.

En este, más que el medio, me parece más interesante destacar que lecciones se puede aprender de esta fuga de datos masiva, porque creo que ninguno queremos el papel de Sony en esta historia. Lecciones que, para cualquier servicio que trate con datos personales, o económicos, podríamos resumir en algunas nociones que no por obvias dejan de ser válidas:

1. El modelo de uso de datos no es opcional. Es imprescindible definir, al mismo tiempo que definimos el servicio, un modelo de uso de datos. Es decir, al mismo tiempo que definimos la función que un componente va a realizar definimos que datos necesita ese componente. Los datos imprescindibles que necesita.
2. Los datos que se usan en sitios distintos, se almacenan en sitios distintos. El modelo de uso de datos nos debe servir para particionar los datos. Si por motivos de arquitectura, o porque en realidad es más práctico queremos tener todos los datos juntos en una tabla, para que no se nos constipen, entonces es necesario que el acceso a la tabla esté particionado. De forma que, por ejemplo, si para una parte del servicio sólo nos hace falta el nombre del usuario, entonces desde esa parte sólo se pueda extraer el nombre del usuario.
3. El que almacena los datos impone las normas. Es decir, no vale con que sepamos que el módulo A, que por diseño solo necesita el nombre, por implementación solo va a pedir el nombre y ya hemos cumplido. Debemos dar por hecho que todos los componentes del servicio (y particularmente los expuestos hacia el exterior) pueden y van a ser comprometidos. Y que nuestro módulo A, totalmente confiable y al que tenemos un gran cariño va a ser suplantado por un módulo A’ al que no conocen ni en su casa a la hora de comer.
4. El sentido importa. No todos los módulos que pueden escribir un dato tienen derecho a leerlo. Y hay datos que pueden (y deben) ser de ’solo escritura’ por lo que respecta a los componentes del servicio. Un ejemplo fácil de este tipo de datos son los datos bancarios. Los clientes del servicio introducirán sus datos bancarios a través de un componente que tendrá permiso de escritura de ese dato. Pero ese componente no tiene que tener permiso de lectura de los datos bancarios. Los clientes ya saben su número de tarjeta o de cuenta corriente, no tenemos que recordárselo.
5. La contraseña no se le dice a nadie. Ningún módulo con el que los clientes interactúen necesita acceso de lectura a la contraseña. ¿Cómo hacemos entonces la validación de contraseñas? Implementando un módulo interno de autenticación que recibe una contraseña en claro, o un hash, y devuelve sí (es válida) o no (es válida).
6. Usa la criptografía con juicio. Hay algoritmos bastante eficientes y seguros de cifrado de datos. Aquellos datos que son particularmente sensibles y que, además, no van a ser objeto de búsquedas (ejemplo sencillo, de nuevo los datos bancarios) pueden ser almacenados cifrados, de forma que aunque alguien se lleve un volcado en bruto de la base de datos no le valgan de nada.

Con estos puntos sigue siendo probable que alguien pueda robar algunos datos de algunos usuarios. O incluso algunos datos de todos los usuarios. ¿Pero robar todos los datos de todos los usuarios, como ha pasado en el caso de Sony? Eso exigiría el compromiso del módulo de almacenamiento y el módulo de cifrado, y en nuestro diseño estos módulos no están accesibles desde el exterior… ¿verdad?

Entre los días 3 y 5 de marzo ha tenido lugar en Madrid el congreso de Seguridad “Rooted CON 2011” (http://www.rootedcon.es/).

Congreso cuyo objetivo es fomentar el conocimiento en materia de Seguridad entre sus más de 600 asistentes, entre los que se encuentran profesionales con un alto perfil técnico del mercado de la Seguridad, distintas instituciones y organismos, Fuerzas y Cuerpos de Seguridad del Estado, servicio secreto e incluso representantes del lado oscuro.

Si no lo es ya (ésta ha sido su segunda edición y lo importante ahora será asentarse), la Rooted se va a convertir en el congreso de seguridad informática más importante de España ¿Por qué? Porque impresiona ver un auditorio lleno (más o menos 600 personas) con un nivel de atención hacia los ponentes que ya quisieran muchos profesores de universidad.

En la Rooted se han reunido amantes de la seguridad (y de la in-seguridad) informática. Patrocinadores como Tefefónica, Hex-Rays, alienvault, Blueliv, S21Sec, Deloitte e Interdominios. Colaboradores como ISMS Forum, Criptored, DevSide, Informática64, 48bits ¿A alguien se le ocurre mejor representación para el lado de la in-seguridad?, !dsR, 0z0ne, Security By Default, Inteco. Y entre los ponentes, profesionales de empresas como Hispasec, Taddong, SIA, Riscure o Wintercore.

Dos miembros del equipo de hacking ético de Telefónica I+D participaron como ponentes con una presentación titulada “Cloud Malware Distribution: DNS will be your friend”. (http://www.rootedcon.es/congreso/ponencias.html#cloudmalware)

A continuación os ofrecemos una pequeña reseña de algunas de las ponencias que se pudieron ver en el congreso. Para poder ver el material mostrado durante las mimas, podéis dirigiros a SlideShare (http://www.slideshare.net/rootedcon/presentations).

MALWARE/BOTNETs:

• Alberto García de Dios nos presentó en su ponencia “Virus: por qué el arte de crearlos no debería ser negocio” un “overview” sobre malware y Botnets.

• José Miguel Esparza, con su ponencia “Obfuscation and (non-)detection of malicious PDF files” nos mostró técnicas para el ocultamiento de código malicioso en PDFs y la ofuscación del mismo.

• Jaime Blasco y Pablo Rincón nos mostraron un análisis en profundidad de un troyano para el sistema Android en su ponencia “Lost in translation: WTF is happening inside my Android pone”.

• Sergi Álvarez y Roi Martín presentaron Radare2. La cantidad de funcionalidades y opciones de esta herramienta hicieron que los 50 minutos de charla se quedaran realmente cortos.
• Rubén Santamarta cerró el congreso mostrando cómo realizar un “hipotético” ataque sobre sistemas SCADA en su ponencia “SCADA Trojans: Attacking the Grid”.

HACKING/PENTEST:

• Eloi Sanfelix mostró cómo es posible realizar ataques laterales sobre dispositivos hardware en su poenencia “Hardware security: Side Channel Attacks”.

• Blueliv, uno de los patrocinadores, presentó la herramienta OPTOS, utilizada para recabar información, que será liberada en Septiembre.
• José Selvi reivindicó la Post-Explotación en su ponencia “Unprivileged Network Post-Exploitation” en los test de intrusión.
• Uno de los miembros de Painsec, David López Paz,  presentó  Hookle en su ponencia “Global Warfare”. Un rastreador de servidores Web que por ahora no será liberado.

• Raúl Siles nos presentó su propuesta para renombrar los conocidos XSS, WCI. Además nos mostró como se enfada la vaca de BeEf.
• Jaime Peñalba nos mostró las bondades de los WarGame. Como las protecciones y normas.
• Jacobo Van Leeuwen y su “iPrueba” planteó, desde un punto cuasi legal, la recolección de pruebas digitales en un análisis forense.
• Deloitte, como patrocinador, no quiso quedarse atrás y mostró como con poco dinero y algo más de tiempo podemos ver lo que otros ven gracias al maravilloso mundo de las “ondas”.
• Vins Villaplana nos llevó de la mano por la capa 2. Menos mal que alguien se acordó un poco más de las redes y los protocolos… entre tanto malware.
• Chema Alonso y Alejandro Martín presentaron DUST. Quizás sea interesante probarlo e incluso contribuir en la medida de lo posible. Más información en el lado del mal.
• Alejandro Ramos sabe muy bien qué hacer con una buena tarjeta gráfica sin necesidad de utilizar ningún juego.
• Eloi Sanfelix mostró lo “indie” que puede llegar a ser el hacking que realiza sobre hardware.
• Con “La Gestión de la Seguridad de la Información ante las nuevas amenazas tecnológicas en la era de la web 3.0” Gianluca D’Antonio nos mostró las posibilidades que se pueden dar para las organizaciones con la situación actual de la seguridad.
• José Ramón Palanco con su ponencia “NoSQL Security” mostró que no todo es SQL y completo por tanto el ámbito de la charla de Joxean Koret.

• David Pérez y José Pico nos mostraron en directo como se puede realizar un ataque de MiTM sobre un dispositivo móvil con un presupuesto relativamente bajo.
• Joxean Koret nos enseñó la poca seguridad de los “SGDB” y animó a los asistentes a interesarse por ellos.
• Gabriel Gonzalez nos mostró el ataque nombrado “Man in Remote”. Una manera de aprovechar las posibilidades del DNIe.
• Hernan Ochoa nos mostró todo el trabajo realizado para completar su herramienta:  WCE v1.0, capaz de recuperar información “importante” de la memoria de los sistemas Windows.

OFFTopic:

• Marisol Salanova puso la nota discordante y desconectó al público de los ceros y los unos. Interesante viaje por la intimidad pública disponible en la red.

Toda la información sobre las conferencias en www.rootedcon.es y en @rootedcon.
Esperamos veros el año que viene en la RootedCON2012!

Deus ex machina (lat. AFI: [ˈdeːus eks ˈmaːkʰina]) es una expresiónlatina que significa «dios surgido de la máquina», traducción de laexpresión griega «απò μηχανῆς θεóς» (apò mēchanḗs theós). Se origina en el teatro griego y romano, cuando una grúa (machina) introduce una deidad (deus) proveniente de fuera del escenario para resolver una situación.

Fuente: Wikipedia

En una novela, o en una película, Deus ex machina es cuando el novelista o guionista tras haber puesto a los personajes en una situación de la  que no tiene muy claro como sacarlos. Y como no tiene muy claro como solventar la situación, pues hace trampa. La trampa, aparentemente, puede tomar muchas formas: desde darle habilidades nuevas a los personajes (¡puedo volar!) hasta cambiar por completo la situación (¡solo era un sueño!). Estos días estaba leyendo una serie de novelas de ciencia ficción en la que el autor ha hecho del Deus ex machina su modo de solventar prácticamente todos los problemas de los personajes, que ganan o pierden habilidades con una facilidad pasmosa.

¿Porque hablamos de literatura en un blog de seguridad? En el último artículo del blog, hablábamos de los problemas de seguridad de Sony con la Playstation 3. Problemas que pueden afectar a su modelo de negocio. Y problemas que, al igual que los de los protagonistas de los libros que estaba leyendo, tienen una mala solución sin hacer trampas. Y Deus ex machina es el término que se me vino a la cabeza cuando leí un rumor en GameGuru Mania, sobre la aproximación que puede tomar Sony para solventar sus problemas con la Playstation 3:

For those who are curious about the new PS3 security, it seems Sony has implemented something in 3.56 I mentioned here a few weeks ago that is the same as Microsoft uses to detect and ban 360’s. Mathieulh just posted about it on IRC. Essentially Sony can now remotely execute code on the PS3 as soon as you connect. This can do whatever Sony wants it to do such as verifying system files or searching for homebrew. Sony can change the code and add new detection methods without any firmware updates and as the code executes remotely there is no reliable way to forge the replies. Whilst it is possible to patch or remove this code from the firmware this will likely mean the end of playing CFW online (as PSN can just check before login that this is active) or at the very least mean it will be even easier for Sony to detect and ban users. Judging from the fact that people can still connect using the proxy method it seems Sony hasn’t activated any of this yet but the functions are there in the new firmware.

Bueno, Deus ex machina fue la segunda cosa que se me vino a la mente. La primera fue que  el autor del post, evidentemente, no sabe lo que es unrootkit, y porqué en cualquier caso es absurdo decir que el fabricante de un Sistema Operativo necesita un rootkit.

En cualquier caso, y volviendo al ‘Deus ex machina‘, la aproximación que describe el artículo se parece mucho a la forma de solventar los problemas de los novelistas vagos:  la consola, al igual que los protagonistas de la novela, gana nuevos poderes según se vayan necesitando.

Y a primera vista parece una buena idea, y la solución para todos los problemas de seguridad del universo conocido: un sistema operativo capaz de descargar en tiempo de ejecución módulos de autocontrol. El único problema es que, irónicamente, solo se puede garantizar que la solución es efectiva si el sistema operativo donde se va a ejecutar no ha sido modificado. Es decir,  si el sistema operativo no ha sido modificado, entonces podremos afirmar con certeza que el sistema operativo no ha sido modificado. En cambio, si el sistema operativo ha sido modificado, en algunos casos podremos afirmar con certeza que ha sido modificado pero no podremos afirmar con certeza que no ha sido modificado.

¿Porqué? Si imaginamos las distintas capas de software en un sistema como círculos concéntricos, siendo el círculo interno el Hardware, y los demás círculos capas de software que se apoyan en la capa más interna, entonces el único sentido en el que podemos hacer análisis fiables es el que aparece en la imagen: de dentro a fuera. Desde una capa más interna podemos evaluar alguna característica de una capa más interna, con la confianza de que el valor que obtengamos va a ser correcto. Pero eso no es cierto cuando el análisis se hace desde una capa externa a una capa interna, ni tampoco cuando el análisis se hace dentro de la misma capa.

Y el hipotético código descargable de verificación se ejecutaría, como mucho, al mismo nivel que el software que lo descarga, el sistema operativo. Por eso no puede hacer aseveraciones fiables sobre la salud del sistema operativo, porque está en la misma capa. Por ejemplo, sería posible que el sistema operativo modificado descargase el código y no lo ejecutase, limitándose a responder lo que el servidor espera. También sería posible descargar el código y ejecutarlo en un entorno controlado, donde no pudiese ‘ver’ nada extraño (por ejemplo, una máquina virtual dentro de la máquina física creada con el único propósito de obtener acceso a la red).

Desde el punto de vista de Sony podemos considerar que una consola con un sistema operativo no oficial es equivalente a un ordenador infectado por algún tipo de malware. Y si este mecanismo de identificación/limpieza funcionase de una forma efectiva para solventar infecciones a posteriori hace años que Microsoft hubiese acabado con el problema del malware en Windows. Y Sony, en este caso, tiene un problema adicional sobre Microsoft: mientras que los clientes de Microsoft, en lo que respecta a la identificación y limpieza de infecciones, son colaboradores de Microsoft, los clientes de Sony, en lo que respecta a la identificación y limpieza de ‘infecciones’ son enemigos de Sony.

Fuente:

• Wikipedia
• GameGuru Mania

Post extraído de la red de blogs de Telefónica I+D. Autor: Antonio Manuel Amaya Calvo

Por Santiago Pérez

Una imagen vale más que mil palabras, así que hagamos caso al dicho. Veamos dos capturas de pantalla de dos páginas Web.

La primera es:

http://www.readwriteweb.com/archives/facebook_wants_to_be_your_one_true_login.php

y la segunda es:

http://www.facebook.com/login.php

¿En qué se parecen ambas páginas Web? En nada, supongo que estaréis de acuerdo conmigo. ¿a que sí?

La primera es una página un blog comentando un acuerdo entre Facebook y AOL, mientras que la segunda es la página principal de acceso a la red social Facebook. Desde un punto de vista visual muestran aspectos muy diferentes: fondo rojo la primera y fondo azul la página de Facebook.
¿Cómo es posible que cientos de usuarios puedan confundir un blog con la página principal de acceso a Facebook?

Pues la verdad es que es posible y esto ha sucedido hace unas cuantas semanas.
ReadWriteWeb es un blog especializado en tecnologías de información. Así que no es nada extraño que el 11 de febrero Mike Melanson escribiese un post sobre un acuerdo entre Facebook y AOL para integrar los contactos de Facebook con los contactos de la mensajería instantánea de AOL y la pretensión de Facebook de convertirse en un login único para otras aplicaciones.

Al cabo de una hora dicha entrada estaba recibiendo un número espectacular de visitas. Miles de usuarios estaban viendo ese post y además estaban dejando comentarios!!

Los comentarios decían cosas como éstas:

• ok cool now can I get to facebook
• The new facebook sucks> NOW LET ME IN.
• when can we log in?
• I just want to sign in…………
• I just want to log in to Facebook – what with the red color and all? LOLLLOLOL!!!!!111
• I JUST WANT TO LOGIN IN TO FACEBOOK!

¿Qué es lo que estaba sucediendo? ¿Cómo es posible que tantos usuarios estuviesen confundiendo Facebook con un artículo hablando sobre Facebook en un blog de tecnología?

La explicación está en Google y la página de resultados de este buscador. Una búsqueda en Google de los términos “facebook login” estaba mostrando entre las primeras entradas este artículo sobre el “one true login” de Facebook. Así que muchos usuarios pinchaban en dicha URL, veían una imagen con el icono de Facebook, ignoraban el resto del contenido que aparecía en su pantalla (?) y esperaban acceder a Facebook.

Al no lograr acceder descargaban su frustración en los comentarios.

El autor del post acabó por incluir una nota que decía así:

Sin dejar de pensar en que es realmente gracioso, uno se da cuenta de por qué Facebook tiene 400 millones de usuarios. Facebook es inmensamente popular y eso implica que un porcentaje importante de los usuarios de esta red social (millones de usuarios) no tienen unos mínimos conocimientos de informática (como para escribir facebook.com en la barra de direcciones de su navegador, ni para utilizar los bookmarks de su navegador), pero sí los suficientes para encender el ordenador, utilizar Google y acceder a Facebook.

Actualmente Internet es utilizada por millones de usuarios y el hecho de que haya llegado al gran público es un éxito. A veces, los frikies que nos dedicamos a trabajar en tecnologías de la información no somos conscientes de este hecho, pero es un hecho incontestable.

Y vosotros diréis, ¿Cuál es la relación de este suceso con los aspectos de seguridad?

Cuando he visto esta noticia a mí se me ha venido a la mente el difícil equilibrio entre seguridad y usabilidad. Por ejemplo me acuerdo de las implicaciones desde el punto de vista de la seguridad y de la psicología de la respuesta a los ataques de phishing.

La respuesta fundamental que se ha dado tradicionalmente para luchar contra el phishing es la educación de los usuarios. Un ejemplo de este intento de educar a los usuarios se puede encontrar en el Anti-Phishing Working Group (http://www.antiphishing.org/).  Por cierto que Telefónica es miembro de este grupo de trabajo.

Pues bien, en la página http://www.antiphishing.org/consumer_recs.html se dan algunas recomendaciones para evitar caer víctimas del phishing. Yo las leo, las entiendo y a pesar de ello me doy cuenta de lo incomprensibles que deben resultar para un usuario común. Existe una versión más simple y más “usable” de estas recomendaciones en http://education.apwg.org/r/en/index.htm. Veámosla en la siguiente figura.

La verdad es que este resumen está mucho mejor que la lista de recomendaciones de la URL anterior que usa una jerga técnica poco comprensible. Sin embargo, cuando veo el punto 4 que dice “teclea la dirección del sitio web en el navegador” me doy cuenta de que incluso esta lista tan simple de 6 puntos quizás sea “pedir demasiado” para millones de usuarios comunes de Internet.

Y no es que lo diga yo, sobre la dificultad de establecer recomendaciones para evitar ser víctimas del phishing también ha escrito un experto en seguridad tan reconocido como Ross Anderson (explicándolo mucho mejor que yo, of course) cuando habla de educación de los usuarios dentro del apartado de medidas contra el phishing en su libro Security Engineering 2ed pag 45 que dice:

Banks have put some effort into trying to train their customer to look for certain features in websites. This has partly been due diligence -seeing to it that customers who don’t understand or can’t follow instructions can be held liable-  and partly a bona fide attempt at risk reduction. However, the general pattern is that as soon as customers are trained to follow some particular rule, the phisherman exploit this, as the reasons for the rule are not adequately explained.

Un poco más adelante completa la argumentación diciendo:

The countermeasures become so complex and counterintuitive that they confuse more and more users -exactly what the phishermen need. The safety and usability communities have known for years that ‘blame and train’ is not the way to deal with unusable systems- the only remedy is to make the systems properly usable in the first place.

La lección que uno aprende de todo esto es que nos queda mucho camino por mejorar y que el objetivo es conseguir que las medidas de seguridad sean realmente intuitivas y fáciles de usar, que un niño de cuatro años pueda usarlas. Mejor todavía en un mundo ideal las medidas de seguridad deberían ser tan transparentes que el usuario ni siquiera fuese consciente de que están ahí, de modo que un abuelo de 85 años no necesitase saber nada para navegar de forma segura en Internet.

En primera instancia los buscadores como Google deberían intentar que los resultados de las búsquedas sean realmente relevantes para el usuario  y que los primeros resultados no sean enlaces repletos de malware que han sido colocados artificialmente en los primeros puestos del ranking de búsquedas por cibercriminales como estos casos:

• http://isc.sans.org/diary.html?storyid=8383
• http://www.sophos.com/pressoffice/news/articles/2010/03/hackers-exploit-oscars.html
• http://isc.sans.org/diary.html?storyid=8425

Todos ellos casos muy recientes de marzo de 2010.

Tanto los proveedores de acceso a Internet como aquellas empresas que prestan servicios online, como es el caso de Telefónica, deberían esforzarse más en que los servicios sean fáciles de usar y también en que las medidas de seguridad estén bien integradas con el servicio.

Esto implica dedicar más recursos a las pruebas de las aplicaciones online. Dichas pruebas deberían cubrir tanto los aspectos de seguridad  como la usabilidad, viendo estas dos vertientes como complementarias y no como antagónicas. En el primer caso el punto de vista es el de un usuario potencialmente malicioso, mientras que en el segundo caso se adopta el punto de vista de un usuario poco hábil con la tecnología. Al fin y al cabo una aplicación online deberá estar preparada para enfrentarse tanto a usuarios de un tipo como del otro.

En fin, que los que nos dedicamos a temas de seguridad tenemos mucho trabajo por delante.

Por Jose Enrique López

Sin ánimo de tratar de redefinir el término “huella 2.0″, podemos entenderlo como la serie de pistas que, sobre nosotros mismos, vamos dejando en Internet bajo la forma de cuentas en sites, contenidos que subimos, búsquedas lanzadas, etc. A estas habría que añadir otras menos obvias como las citadas en el post “¿Cómo de anónimos somos realmente?“, que hacen referencia a nuestro historial de navegación y las posibilidades de consulta por parte de terceros que tiene. Esta huella 2.0, recopilada convenientemente, podría llegar a identificarnos, o al menos, podría llegar a ser utilizada para dar respuesta a preguntas sobre nuestra condición, nuestros gustos o nuestra pertenencia a grupos, por poner algunos ejemplos realmente inquietantes. Es decir, un tremendo dolor de cabeza para los que se preocupan de la privacidad en Internet.

Pues bien, hoy presentamos una nueva de estas “pistas”: la “firma única” que se puede extraer de nuestro navegador cuando surfeamos por ahí.

Ciertamente, se podría pensar que el navegador de uno es prácticamente idéntico al de miles y miles de otros usuarios, pero por lo visto no es así cuando nos ponemos a echar un vistazo en la información del sistema operativo que es accesible a través de él, en los plug-ins que lleva instalados, en ciertos datos de configuración públicos y otros datos aparentemente inofensivos, desde el punto de vista de la privacidad, como el tamaño de la pantalla. EFF (una asociación independiente para la protección de los derechos de los usuarios en Internet), tiene un servicio web llamado Panopticlick, que pone de manifiesto que la información que se puede extraer de nuestro navegador, sin necesidad de comprometerlo, ya es suficiente como para que actúe como una firma única allá donde se navegue con él (de ahí a hacer un compendio de nuestros hábitos de navegación hay un paso).

El resultado del test de Panopticlick invita a la reflexión, pues aplicado sobre el navegador del autor de este post ha arrojado la siguiente información:

“Your browser fingerprint appears to be unique among the 597,411 tested so far. Currently, we estimate that your browser has a fingerprint that conveys at least 19.19 bits of identifying information.”

Es decir, que esta gente asegura que la firma de mi navegador ¡es única! entre casi 600.000 que han cotejado, y que mi navegador ofrece alegremente casi 20 bits de información que permiten identificarlo unívocamente.

Esto no es ciencia ficción, pues técnicas similares ya son usadas por empresas de publicidad… ¡y todo eso sin que nuestro navegador esté comprometido! Parece evidente que desabilitar cookies hace mucho tiempo que dejó de ser una medida suficiente, por lo que los navegadores debería empezar a diseñarse para que fueran menos “chivatos”: Da miedo pensar que estos mismos navegadores van a convertirse en verdaderos sistemas operativos cuando empiecen a trabajar en serio sobre aplicaciones Cloud…

Como complemento a la entrada sobre lo más destacado de 2009, aquí tenemos parte de lo que los mismos expertos de Telefónica I+D han destacado para 2010:

Internet móvil, uno de los temas más destacados:

• Despegue de los LBS (Location Based Services)
• SO abiertos, especialmente en terminales móviles y sistemas empotrados: sobre todo LiMo, y con más dudas, Moblin
• Quizá aún pronto para la comercialización de sistemas de micropagos en el móvil
• Más realidad aumentada móvil y mucho  más 3D
• Despliegues serios de HSPA+ con 64QAM, MIMO y Dual-carrier.
• Será el año del despliegue de LTE con varias iniciativas en curso en todo el mundo

En tecnologías ópticas de comunicaciones habrá mucha actividad en torno a la conmutación óptica: DWDM, OBS. OFDM.

Los servicios de voz. Podría ser un año con un extraño protagonismo para la voz:

• Las llamadas entre redes sociales ya están aquí y parece que sus usuarios hacen un uso sustitutivo cada vez mayor frente a alternativas convencionales
• Potencial gran impacto de proveedores de servicios Internet entrando en las llamadas de voz convencionales.

Multimedia y entretenimiento:

• Veremos HD en abierto (al menos en España)
• ¿Modelo similares a Spotify en video? De momento hay un piloto de Voddler (http://www.voddler.com)
• Explosión de los prosumers multimedia con contenido de mayor calidad
• Será el momento de valorar el verdadero impacto de OnLive y de posibles iniciativas surgidas bajo este modelo.
• Aparición de terminales móviles comerciales con capacidad de grabación de video HD. Esto tendría posibles consecuencias en el enlace ascendente
• Será el momento de valorar el impacto de Netflix e iniciativas similares

Dispositivos y SO

• Será el año decisivo de los libros electrónicos. Aparecerán nuevos dispositivos y será el momento de ver si se consolidan como una alternativa estable al papel. También será un año crítico para su modelo de tienda de contenidos
• ¿Tendremos un PC táctil todo en uno? Windows 7 ha puesto las bases para ello. Algunos incorporarían ya la TDT y se comportarían casi como una TV táctil. Además hay que contar con un hipotético movimiento de Apple ¿iTablet?
• Próximo movimiento de los fabricantes de consolas
  • Habrá un posible sustituto de la Wii (¿Zii?) Al tiempo que se agota la vida de la actual generación de consolas.
  • Veremos los resultados del proyecto Natal de Microsoft
  • Se consolidará el uso de los gestos como interface de usuario
• WebTV, o Internet directamente en la TV
• Inicio del despegue de los SO en red
• Veremos una nueva generación de procesadores (Intel y AMD) y su implicación en los nuevos dispositivos
• Despegue de los navegadores GPS conectados a Internet
• Primeras consecuencia de la unificación del interface de carga de los móviles a microUSB
• En 2010 acabará llegando el malware de manera masiva a los dispositivos móviles.

2010 Trends Map (según What’s Next)

Otros temas de interés en este año serían:

• 2010 podría ser el año del despegue servicios financieros desde el móvil con NFC como posible enabler y catalizador. Podría verse la integración de la lógica de las tarjetas inteligentes en la SIM/UICC
• Progresiva adopción de las tecnologías semántica y sobre todo en nichos como buscadores
• Popularización del concepto de Cloud Computing y llegada al mundo de la empresa
• Iniciativas de virtualización de funcionalidades de dispositivos de cliente a nodos de red: ¿será un regreso al concepto de terminales tontos y red inteligente?
• Explosión de iniciativas M2M.
• En cuanto a energía, veremos muchos movimientos, como la difusión de las iniciativas de gestión de consumo personal.
• Saturación en la información social. Va a generar un ruido enorme que precisará de medios de filtrado
• La privacidad como característica omnipresente en todas las soluciones que tengan que ver con contenidos de usuario en la red

Un año muy interesante por delante, y con muchas expectativas, que está siendo muy intenso en novedades desde su arranque.

Se acerca el fin de año y van apareciendo más y más recopilaciones de tendencias y predicciones para el año próximo y más allá. Por ejemplo, la del blog técnico Noupe, “The Future Of The Web: Where Will We Be In Five Years?“, que enumera 15 predicciones concretas sobre la Web de 2015, y que complementa con recursos adicionales:

• Micropagos para contenidos de calidad. Los micropagos llevan 15 años esperando su oportunidad y en algún momento tendrá que llegar. A pesar de las últimas acciones de Amazon y PayPal, sigo viendo con expecticismo su popularización.
• Monitores más anchos, y contenido adaptado a ellos. Es cierto que hay una clara tendencia hacia nmonitores cada vez mayores (recientemente Apple presentó un equipo con uno de 27 pulgadas) para el público y no sólo para profesionales, y todos esos monitores han adoptado formatos panorámicos o widescreen. En el futuro veremos como se saca mayor partido de esa nueva disposición y tamaño con contenidos pensados para hacer un desplazamiento horizontal en pantalla.
• Revistas en formatos interactivos. Además de la progresiva desaparición del formato papel, se irán añadiendo más elementos interactivos en las versiones electrónicas de revistas y otras publicaciones, como el video y herramientas colaborativas tipo wiki.
• Más contenido colaborativo y en tiempo real. Si es así, Google ha acertado con Wave. No es sólo el éxito de proyectos como la Wikipedia, o el de herramientas como Zoho o Google Docs, es que además hay cada vez más funcionalidades colaborativas en herramientas sociales.

Un curisoso diagrama según el Trend Book 2010

• Más contenido semántico y herramientas para explotarlo. Se apuesta por que la red semántica sea algo cada vez más generalizado y no sólo una aplicación de nicho.  Propiciado por una mayor presencia de contenido semántico en las páginas web (semantic tagging) y por funcionalidades semánticas presentes en buscadores especializados (como Wolfram Alpha) y generalistas (como Bing).
• Realidad aumentada en aplicaciones móviles. Parece que pasado el hype actual, la realidad aumentada se consolidará y mostrará su verdadera utilidad para sus usuarios.
• Mayor adopción de estándares Web. Algo que ya está ocurriendo hoy en día, en la que los distintos implicados van dejando de lado particularidades para abrirse a estándares reconocidos universalmente, como puede ocurrir con HTML 5.
• Seguridad mejorada contra spam, phishing y scams. Aquí siento ser excéptico: posiblemente mejore la seguridad frente a las amenazas actuales, pero va a ser difícil que se pueda batir a las futuras.
• Más aplicaciones sociales. E incluso más matiz “social” en todo tipo de aplicaciones. Redes sociales especializadas, y a medida la agregación en interoperatibilidad de redes serán las características futuras, junto a la incorporación de funciones sociales a todo tipo de aplicaciones.
• Más programación de calidad de “TV” online. La web como medio de acceso a contenidos audiovisuales se va a nutrir de un catálogo más amplio de contenidos de calidad y exclusivos, como webisodios actuales.
• Las aplicaciones web estarán más presentes en la vida diaria. Especialmente las móviles, y todo ello complementado con la migración de servicios y aplicaciones a la red.
• La optimización de los buscadores será menos importante. En su lugar se apuesta por la recomendación y la búsqueda dentro de las redes sociales.
• Los sistemas operativos estarán en la red. PCs, smartphones y otros dispositivos de acceso serán cada vez más terminales de funciones ofrecidas desde la red. Chrome OS sería uno de los pioneros en esta tendencia.
• Interfaces personalizados. Componentes como Greasemonkey para Firefox mostraría el camino. Se trata de contar con medios que facilitarían la adaptación de una web a las preferencias de un usuario, por encima de lo que el proveedor haya decidido.
• La web será el centro de distribución de información y contenidos. Y lo sería por encima de medios más tradicionales como la prensa, o la distribución tradicional de contenidos audiovisuales en soportes físicos.

En general, buena parte de estas tendencias se están manifestando hoy en día y no es descabellado esperar una evolución en el sentido manifestado. Hay una buena dosis de optimismo, como suele ser habitual en este tipo de predicciones, pero poca anticipación disruptiva también.

Hoy, en la última sesión del WWW 2009,  hemos podido asistir a la keynote de Pablo Rodriguez, colega de Telefónica I+D, sobre el futuro de la infraestructura de Internet. No es un tema menor, aunque parezca que la atención se la dedicamos siempre a los nuevos servicios, a la velocidad de acceso o a la riqueza y variedad de contenidos, lo cierto es que todo ese mundo rutilante está soportado por una infraestructura de redes, servidores, equipos, sistemas, y arquitecturas diseñadas originalmente con un propósito bien distinto, no desde luego para mover videos, o soportar comunicaciones enriquecidas en tiempo real.

La situación actual de la infraestructura Web se caracteriza por el uso de sistemas de Web caching. Hemos aprendido en los últimos años que es un elemento de la infraestructura, y que ha adquirido una enorme dimensión de la mano de operadores como Akamai.
Sin embargo es cada vez más complejo tratar con contenido multimedia, animaciones, videos, o imágenes cada vez más grandes, sobre todo si tenemos en cuenta que Internet no estaba preparada originalmente para este tipo de materiales. Y lo cierto es que este contenido no deja de crecer, de hecho se multiplica por 6 cada 4 años. Y se trata de una información cada vez con una componente más social.
Así, buena parte de la infraestructura actual se ha ido creando sobre la marcha en respuesta a las necesidades según iban apareciendo.

La localización y gestión de los contenidos es el primer tema abordado. Pablo habla de olas en el networking sepadas por un espacio de 30 años, y caracterizadas por la voz, el acceso a datos, y, desde 1990, la Web, dominada por los contenidos.
El diseño de Internet no se optimizó para una aplicación determinada, si no con la idea de permitir que todo tipo de aplicaciones puedan funcionar sobre ella.
Lo cierto es que a día de hoy nos preocupamos más por los servicios que por los contenidos. Eso hace que sea difícil localizarlos, ya que las búsquedas se basan en enlaces que pueden variar, no en el contenido en sí; el mismo contenido se copia y distribuye una y otra vez ya que se identifica por direcciones que pueden variar; y se dificulta la trazabilidad ¿qué uso se hace de un contenido determinado?
Content Networtking es la tendencia de futuro. Una Internet organizada en torno al contenido, que pasa a ser el objeto principal. Siempre hay la duda de que el siguiente paso sea una evolución o revolución. Desde un punto de visto revolucionario podemos imaginar Internet como una base de datos. Una visión más evolutiva se fijaría en lo mucho que podemos aprender de otras experiencias muy exitosas como el P2P.

La distribución de esos contenidos no es, sin embargo, fácil.
Para empezar, los contenidos son cada vez mayores, y eso que aún buena parte de los contenidos multimedia siguen siendo distribuidos con medios convencionales (postales).
Hay un fuerte impacto de la distancia en los tiempos de acceso a contenidos, sobre todo los grandes.
El problema central de Internet es que está diseñada para contenidos cortos y accesos instantáneos, pero no para grandes descargas.
Lo cierto es que las empresas postales invierten muchos recursos en el diseño de su red de distribución y almacenaje, pero en Internet hemos ido resolviendo los problemas según aparecían.
Podríamos acabar teniendo una especie de “Internet postal Service” reutilizando buenas ideas como los almacenes intermedios.

En ese sentido parece que hay un papel para los Data Center Clouds. Las nubes de computación (Clouds) permiten crear economías de escala, en las que la virtualización es un elemento clave. Las clouds tienen mucho que ver con la infraestructura de los datacenters: servidores, espacio ocupado, energía consumida. De hecho, la energía (refrigeración, electricidad) se ha vuelto más importante que el propio coste de los servidores. Se ha tratado de modularizar los Data Centers para reducir su impacto y optimizar su distribución.

Todo ellos nos lleva hacia Clouds para las “Online Social Networks” (OSN), que han cambiado la forma en la que interactúa la gente, y también afectan a la infraestructura debido a sus crecimientos exponenciales.

El tráfico ha evolucionando progresivamente: en la primera generación Web, el contenido iba desde los servidores directamente a los usuarios; más adelante aparecieron las redes P2P que permitían un tráfico directo entre usuarios; con las OSN, el tráfico puede ir entre usuarios pero en clusters, o grupos de usaurios afines.

Tenemos una serie de temas abiertos que afectan y mucho al diseño: contar con la capacidad de predecir qué contenidos serán más populares; ser capaces de organizar la infraestructura para ser capaces de hacer frente a las puntuales avalanchas de trafico; y  la seguridad

Podríamos albergar las OSN en nubes distribuidas. Hay que tener en cuenta el efecto que determinadas acciones tienen al ser capaces de provocar “cascadas sociales”; también que las estructuras de datos resultantes ya no pueden ser albergadas en un único servidor, lo que nos va a obligar a particionar la información, aunque eso suponga problemas de consistencia y latencia.

Como conclusión, todo resulta cada vez más complejo, quiza sea tiempo de pensar un nuevo diseño. Podríamos pensar que el diseño de la infraestructura Web debería estar embebido en el diseño de la proipia Internet pero ¿podrían separarse como líneas de desarrollo? ¿Hay elementos de la web suficientemente maduros como para que formen parte de las capas inferiores para facilitar los servicios superiores? Es decir, ¿podríamos convertir servicios actuales o partes de ellos en un componente de la infraestructura de Internet?
La Web ha llevado a sus límites a la infraestructura de Internet. La localizacion, gestión, y distribución aún previsan de una solución satisfactoria. Y tanto las tendencias “Green” como las OSN van a redefinir la infraestructura de Internet una vez más.

El grupo Information Systems Technology del MIT Lincoln Laboratory organiza en esta semana dos eventos relacionados con las tecnologías de seguridad y visualización: RAID2008 (11th International Symposium on Recent Advances in Intrusion Detection) y VizSec2008 (5th International Workshop on Visualization for Cyber Security). Investigadores de este mismo centro, bajo la dirección de Richard Lippman, han desarrollado NetSPA (Network Security Planning Architecture).

NetSpa encuentra las vulnerabilidades más críticas combinando la información que proviene de los escaner y reglas de filtrado definidas, así como la estructura física de la red. El resultado del análisis es una representación gráfica de los patrones de ataque más probables y una lista de acciones recomendadas que los administradores de sistemas deberían realizar para prevenir los riesgos de ataque más críticos.

Aplicar esta tecnología a sistemas de red en tiempo real es un gran reto. De hecho, la versión original de NetSpa tenía una limitación de 17 ordenadores por red. Los investigadores están ahora optimizando su capacidad de proceso modificando el algoritmo de simulación.

Lincoln Laboratory tiene patentado (US7194769B2) el tipo de ataque “predictive attack graph” y ha solicitado la patente para otro tipo de ataque denominado “multiple prerequisite attack graph”. Además, un grupo de estudiantes del MIT ha elaborado un plan de negocio para explotar comercialmente esta tecnología bajo la marca de la recién creada empresa CyberAnalytix. Dicho plan de negocio ganó un premio de 10.000 dólares en la competición MIT $100K Entrepreneurship.

Richard Watson, que está detrás de la web What’s next, del libro Future Files: A History of the Next 50 Years, y del blog What’s Next: Top Trends, ha publicado, tras una consulta abierta a sus lectores, las que considera 10 principales tendencias de futuro en el campo de IT.

El mapa de extinciones entre 1950 y 2050. Detalle

Éstas son:

1. Green IT: la tendencia hacia eficiencia energética, el ahorro, el reciclado, … Parece que hay un acuerdo muy generalizado sobre su relevancia
2. Data Risk & Security: puede que la preocupación sobre la seguridad en las comunicaciones y la informática no esté tan presente como en el pasado en los medios, pero las amenazas no dejan de crecer, y han ganado en sofisticación y amplitud. Será una fuente de preocupaciones (y negocio) en el futuro.
3. Data Mining: el aumento exponencial de la información gestionada por las organizaciones hace necesarias fuertes inversiones y nuevas técnicas para su tratamiento. Parece un campo llamado a tener un gran desarrollo futuro, y eso que no se puede decir que se trate de un terreno nuevo.
4. Virtualisation: en el sentido de reuniones virtuales, clases virtuales o espacios de trabajo virtual. Muy relacionada con la primera por su componente de ecoeficiencia, (reducción de emisiones y “carbon footprint”) supone el desarrollo de campos con la telepresencia y los metaversos.
5. Shopping 2.0: para Watson, se trata de la incorporación de capacidades sociales al comercio electrónico. En el fondo es revisar el tradicional ejercicio de buscar recomendaciones de compra entre amigos y conocidos. También supondría una mejora en la experiencia virtual de compra con el uso de nuevos interfaces.
6. Open Innovation: redes abiertas de innovación que buscan ideas más allá de los empleados de una empresa, involucrando a clientes y otras fuentes externas. Watson lo presenta como un modelo fuertemente inspirando en el open source. Open Telefónica sería nuestra particular forma de entender esa open innovation.
7. Rise of the Machines: el concepto puede sonar un poco amenazante, pero se refiere, en realidad, a una versión inteligente de la llamada Internet of Things. Es decir, computación y comunicaciones embebidas (e inteligentes) en toda clase de objetos, lo que supone control, seguimiento, sensores, y toda una nueva gama de servicios de todo tipo.
8. Process automation: curiosamente ha quedado huérfana de explicación esta tendencia, aunque uno puede aventurar que se refiera a conceptos como autonomic computing, derivados del hecho de que el tamaño y complejidad de los data centers aumente de tal manera que sea inabordable una gestión convencional (y manual) por lo que habrá que delegar en procesos de gestión autónoma de redes y sistemas.
9. Too Much Information: el exceso de información está haciendo que, como dice Watson, “Information is no longer power“. La única forma de parar esa avalancha de datos (sensores, localización, UGC, …) es contar con medios de análisis de la información. El exceso de opciones, paraliza la toma de decisiones. La recomendación, personalización, técnicas de minería de datos y análisis de información, son algunas de las herramientas para tratar con un flujo desmesurado de datos.
10. Simplicity: en parte un complemento de la anterior. Los productos, los servicios, los dispositivos, los espacios web, … son tan complejos, cuentan con tantas opciones, requieren una dedicación tal para conocer todas sus posibilidades, que hacen que los usuarios se confundan y resistan a su uso. La simplicidad es uno de los valores más apreciados por el público, y afecta también a las empresas, cuya gestión se complica, y a las administraciones públicas que navegan entre mares de competencias, legislaciones y organismos.

Citando a:

• La Cofa (“‘Green software’: hasta un 85% del código podría ser reutilizado“, “Las nuevas tecnologías como soporte a la reducción de las emisiones de CO2: tendencias que implican mucho más de lo aparente…“, “De tiendas por la Red“, “Otro paso más hacia la telepresencia“, “Web 2.0 y Web 3.0 para empresas: de los datos al conocimiento“, “Web Mining or The Wisdom of Crowds“)
• What’s Next Top Trends (“IT Trends“, y toda la serie dedicada a explicarlas)