http://www.seguridadyprivacidad.org/ en-us Nucleus CMS v3.41 � Weblog http://backend.userland.com/rss http://www.seguridadyprivacidad.org//nucleus/nucleus2.gif http://www.seguridadyprivacidad.org/ http://www.seguridadyprivacidad.org/index.php?itemid=111
Es un hack social por así llamarlo, pero también es una exhortación a tener una conciencia de calidad en nuestra profesión de sistemas.

Tambien contempla aqui las palabras de la prensa, les da por inventar sus propias historias de repente.

La caída del sistema

La más nefasta y común frase que escucharemos siempre en todos los noticieros y grillas en los consejos electorales. Esta es la peor pesadilla de los ingenieros y el máximo deseo de los políticos grilleros que saben moverse mejor en medio del caos.

El sistema siempre se cae a los ojos de cualquiera, a lo largo de los años las malas experiencias con proyectos de ingeniería desastrosos, así como la oscura nube de dimes y diretes que logran trascender desde la mesa de los políticos hasta la opinión pública se manifiesta todo con la críptica frase de "se cayó el sistema".

Como ingenieros en proyectos de software, este es el más difícil enemigo a vencer, el lograr lo que llamaremos un hack de seguridad de capa 9, el lograr que los riesgos innatos de cualquier proyecto tecnológico no lleguen a manifestarse y defender al proyecto ante los ataques de naturaleza no técnica que nos lanzaran siempre.

Recuerden siempre que un sistema no solo es hardware y software, si no verlo como nos lo enseñan en la ingeniería de software: herramientas, procesos y personas.

Con respecto a las herramientas, manejamos siempre productos tecnológicos que son de gran complejidad interna y que tienen puntos muy buenos a aprovechar, pero también tienen puntos muy débiles que pueden provocar una falla inoportuna e iniciar toda una cadena de desastres. Aunque nunca lo sabremos a ciencia cierta, las más grandes caidas de los sistemas en México que han creado mala fama a nuestra profesión se han debido seguramente a fallas en las herramientas y omisiones en su planeación y usos.

La recomendación es muy sencilla, no se va a la guerra con armas en mal estado o con armas que no sabemos usar. Cosas como tener hardware "barato" o "genérico", software pirateado, herramientas obsoletas o mal seleccionadas, solo le añaden una inmensa variable de riesgo desconocida al proyecto que se manifestaré desde formas tan desastrosas como una base de datos corrupta hasta cosas tan tontas como que se le fundió una lámpara a un cañon, y por consiguiente, la frase de pánico de "se cayó el sistema". No se rian, todo eso ya ha pasado o cosas tan tontas como que en medio de una reunión de consejeros electorales se activa el protector de pantalla de windows y no se diga el caos que empieza cuando sale un pantallazo azul.

Con respecto a los procesos, no inventen, así de sencillo, hagan los proyectos con toda la conciencia, seriedad, profesionalismo, orden, sencillez, humildad y calidad. Y para esto, los unicos que deberían de preocuparles este punto son los que son un verdadero desastre de profesionistas que todo lo hacen al hack and slash volviendo a inventar el hilo negro en cada proyecto. Todos los ingenieros en sistemas, administradores de proyectos, ciencias de la calidad, etc, pasan años, cursos completos, toneladas de libros para mostrarnos muchisimas técnicas para tener toda nuestra vida profesional en orden, o como se llama políticamente correcto en la profesión, tener un nivel de maduréz (del 1 al 5, lol). Como dice mi amiga Vanesa ( @vanessa_amaya ), "bienaventurados los que no documentan sus proyectos por que buscarán a Dios muy seguido". No se rian, me ha tocado ver a alguien pedir estampitas de la virgen para pegar en los servidores.

Con respecto a las personas, la capacitación, el entrenamiento, las pruebas constantes, la frialdad en los análisis, la humildad en las decisiones, los valores y la ética, deben de formar parte siempre de la preparación mental de la gente que formará parte de un proyecto de ingeniería como cualquier otro. Si estas realizando un proyecto pensando exclusivamente en como se puede obtener o tranzar la mayor cantidad de dinero, siempre ha pasado que esos proyectos por estar mal concecibos fallarán, y terminarán perdiendo más de lo que estaban tratando de ganar. Y los políticos, para darle salida al escándalo, para tener más munición para atacarse entre ellos, no dudarán en poner a los ingenieros en el altar de los sacrificios para apaciguar la ira de las deidades del poder, así lo dictan las reglas no escritas de la política mexicana. Selecciona bien a tu gente, recorta cabezas y quedate con las mejores, que no sean más los burócratas y oportunistas en lo alto del proyecto que la gente que de verdad esta haciendo las cosas y ofreceles una buena motivación y apoyalos preferentemente en capacitación y orden, lo peor que puedes hacer es transmitirles el estrés que se produce por haber hecho las cosas mal desde el inicio y con otras intenciones. Pon tus mejores recursos a hacer que el proyecto inicie bien y termine mejor, aunque hay mucho dinero de por medio, son proyectos de alto riesgo que necesitas evaluar prudentemente como puedes obtenerlo de forma segura.

El algoritmo

Como ingenieros de sistema, toda nuestra vida son algoritmos. Hay algoritmos para cualquier cosa, desde operaciones sencillas, hasta inteligencias artificiales complejas. Recordando la definición de libro de texto, son los pasos ordenados para lograr un objetivo, y eso es lo que nos pagan por hacer.

Pero en el contexto político es un reverendo malentendido, aderezedado con malicia y multiplicado por la ignorancia y falta de sutileza.

La palabra algoritmo es tán exótica para cualquier no técnico que cada vez que veo que alguién la menciona en público, todos los demas tragan saliva. Es porque en el contexto político, despues de tantas fallas que ha habido en diversos sistemas y luego al tratar de rescatar o defender lo que se percibe publicamente como una falla, muchos ingenieros gritan a veces que "así estaba diseñado el algoritmo".

Para mostrarlo de una forma tan sencilla, ante los sucesos que muchos califican como inexplicables o cuestionables, cuando la gente escucha que se defiende al algoritmo del sistema, lo interpretan como que dentro de la computadora hay un ente extraño, intangible, sentiente y con capacidad de tomar decisiones y actuar. Eso es lo que hace en parte un algoritmo, pero su intangibilidad y falta de comprensión es lo que lo provoca que la gente entre en pánico al escucharlo. Vean los cartones cómicos de los periodicos despues de cada elección, siempre verán que alguién dibuja a un ente raro, amorfo, antropomofizado que llaman algoritmo y que tiene algo que ver con las acciones vistas en un sistema.

Y el remate final, si alguién con poca noción sobre sistemas y programación pide que le permitan ver el diseño del algoritmo, el ingeniero del sistema dice que no lo puede mostrar "por seguridad", lo que sólo hace que los políticos y la prensa refuerzen su teoría de que dentro de la computadora se ha creado un fantasma que tiene una misión oscura que complir y nadie lo puede tocar.

Continuará en otro post con más términos...]]> Muy interesante http://www.seguridadyprivacidad.org/index.php?itemid=111 Thu, 29 Jul 2010 09:06:39 -0600 http://www.seguridadyprivacidad.org/index.php?itemid=110
Tantas cosas que ocurren a nuestro alrededor. Tantas maravillas que el mundo moderno ha puesto a nuestro alcance. Tanto avance de la tecnología, de la ciencia, del arte. Pero tambien ha habido retrocesos en la Ley, en la sociedad y la humanidad. A todos se nos olvida que navegamos en el este mismo barco que llamamos mundo, y causa tristeza que siempre estamos tratando de comernos unos a los otros.

El mundo necesita mas hackers, mas pensadores, mas gente creativa, mas gente apasionada en progresar. Los retos del mundo modernos son muchos, y parece que lo que nos enseñan en las escuelas es que lo más importante es acumular votos o dolares.

Para todos aquellos que son muy jovenes en nuestra profesion y estilo de vida. Solo recuerden que su deber es ser más listos y más inteligentes que la gente que esta por encima de ustedes y los que les precedieron.

Pero tomen siempre como advertencia, que por tener mayores capacidades intelectuales, de conciencia y sentido de acción, habrá siempre quienes querrán ponerles un alto a como de lugar. Esa es la vida del hacker.


The Hacker Manifesto

by
+++The Mentor+++
Written January 8, 1986

Another one got caught today, it's all over the papers. "Teenager Arrested in Computer Crime Scandal", "Hacker Arrested after Bank Tampering"...

Damn kids. They're all alike.

But did you, in your three-piece psychology and 1950's technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?

I am a hacker, enter my world...

Mine is a world that begins with school... I'm smarter than most of the other kids, this crap they teach us bores me...

Damn underachiever. They're all alike.

I'm in junior high or high school. I've listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. "No, Ms. Smith, I didn't show my work. I did it in my head..."

Damn kid. Probably copied it. They're all alike.

I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it's because I screwed it up. Not because it doesn't like me... Or feels threatened by me.. Or thinks I'm a smart ass.. Or doesn't like teaching and shouldn't be here...

Damn kid. All he does is play games. They're all alike.

And then it happened... a door opened to a world... rushing through the phone line like heroin through an addict's veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought... a board is found. "This is it... this is where I belong..." I know everyone here... even if I've never met them, never talked to them, may never hear from them again... I know you all...

Damn kid. Tying up the phone line again. They're all alike...

You bet your ass we're all alike... we've been spoon-fed baby food at school when we hungered for steak... the bits of meat that you did let slip through were pre-chewed and tasteless. We've been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.

This is our world now... the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn't run by profiteering gluttons, and you call us criminals. We explore... and you call us criminals. We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it's for our own good, yet we're the criminals.

Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.

I am a hacker, and this is my manifesto. You may stop this individual, but you can't stop us all... after all, we're all alike. ]]> Hacker culture http://www.seguridadyprivacidad.org/index.php?itemid=110 Sat, 17 Jul 2010 11:26:53 -0600 http://www.seguridadyprivacidad.org/index.php?itemid=109
Sin mencionar que en nuestro país ha habido muchos de estos proyectos, unos buenos otros malos, unos con un desarrollo excelente y otros con fracasos escandalosos, unos hackeados, otros sólo mal interpretados, siempre en cada periodo electoral me pongo a estudiarlos y llevo ya una buena cantidad observados.

También recientemente tuve oportunidad de ver por dentro como funciona una de las tres grandes que hacen sistemas PREP en méxico y la verdad, no vi nada excepcional de lo que veo en otros lugares, pero si preocupante, puesto que uno esperaría que tuvieran cuando menos una CMM 3 o mayor y pues no, jajajaja.

He aquí una lista de requisitos y consideraciones que yo tomaría para mi propio proyecto de PREP, y es más, no se que estoy esperando para hacer uno:

Sobre diseño del sistema:

*No enviar para la presentación de gráficas un archivo de 800kb de flash. Es decir, que sea pesadísimo para cualquier visitante y calcular la carga de visitantes por hora en un solo servidor.
*No enviar lógica de negocio a la aplicación del lado del cliente.
*No dejar marcas de comentarios o versiones sobre los componentes o fragmentos de código usados de librerías o proyectos facilmente localizables en internet. Se encontraron aparte de violaciones de licencia que se podían localizar información acerca de vulnerabilidades en librerias gracias a poder ver las anotaciones que se quedaban en el código fuente de las paginas que se descargaban al cliente.
*No dejar al alcance del público de internet el acceso a la parte administrativa de forma directa.
*No dejar de una manera tan obvia el acceso al sistema de captura por medio de añadir un /prep a la dirección de publicación.
*No hacer consultas directamente sobre la base de datos de captura para sacar reportes para el público. Replica la base de datos o lo que sea, pero no hay que cargarle estrés demás.
*Tratar de aligerar lo más que se pueda la transmisión de datos XML, HTML, imagenes, etc.
*Diseñar para distribuir la carga de trabajo en diversos componentes.
*Uso extensivo y bien diseñado de sistema de bitácoras de todos los tipos que usan en un servidor. Además de incluir un sistema de bitácoras para las operaciones del sistema tanto aciertos como errores.
*Asegurarse que las operaciones del sistema se cumplan aunque sea parcialmente y que puedan ser retomadas, o transferida a puntos de emergencia.
*Válidar absolutamente todas las entradas del lado del servidor de acuerdo a los criterios de OWASP. Pide que alguién externo al equipo de desarrollo te las audite al estilo pen-test.
*Realizar una buena interfáz de usuario para la captura. Lo estético es secundario.
*No añadir controles de seguridad excesivos que puedan hacer muy lento la operación de captura. La gente espera que para la media noche ya estes sobre el 70-80% de toda la información capturada.
*En el diseño de sistema, verifica casos de excepciones y todos los posibles estados de los datos (pequeños, grandes, fraccionarios, diferentes, negativos, letras, ceros, etc...).
*Realiza ejercicios y simulacros extensivos de preferencia todos los días, que el personal de captura este super entrenado desde mínimo un mes antes.
*Usa linux si es posible, no por que sea mejor, es por cambiar los riesgos comunes y tontos como virus, pantallas azules o cosas así inesperadas por algo que sacará de la jugada a un posible agente malicioso accidental o intencional. Pero tienes que saber lo que usas.
*Si nunca has hecho un sistema de misión crítica, o puesto un server con alta seguridad, capáz de atender más de un millón de hits en 24 horas, no seas soberbio y necio y busca integrar a tu equipo a gente que ya tenga esa experiencia. Quien sabe cuantos PREPs no han fracasado por esto mismo.
*Te van a atacar SIEMPRE, metete esa idea en la cabeza y dalo por hecho. Así que hay que tener preparativos listos. Aquí no hay espacio para omisiones, errores o negligencias. Podrás haber tenido 30 exitos antes pero tu enemigo solo necesita uno para vencerte. Recuerda que sólo un hacker puede detener a otro hacker.

Sobre las comunicaciones:

*No poner un servidor dentro del hospedaje de una compañía de cable. Se observo que su infraestructura no esta diseñada para prestar estos servicios. Buscar siempre ir sobre un datacenter diseñado justamente para eso.
*No apostarle a poner los servidores de publicación “en casa”. Es decir dentro del mismo edificio con conexiones de internet genéricas.
*No poner servidores con múltiples servicios. Ej. Web, mail, etc en la misma caja.
*No apostarle a que otros se encargarán de poner la red. Verificar que haya múltiples enlaces y no “solo un infinitum”.
*No apostarle a que “otros” hacen la seguridad. Por ejemplo, que los del datacenter dicen que se encargan. Si lees el contrato verás que solo cubren las capas bajas de comunicaciones y ni así es certero.
*Tienes que hacer del proceso de seguridad tu primer objetivo y DE FORMA PERSONAL. Hay 7 capas técnicas a cubrir más 2 capas no técnicas, 11 segmentos de la ISO17799, 10 cuerpos de conocimiento de una CISSP y cientos de cosas adicionales sin contar lo invaluable de la experiencia de alguien que ya haya peleado estas batallas. Si no sabes sobre esto, entonces te tengo malas noticias y preocupate o retirate a tiempo. Solo se pelean las batallas que de antemano se ha preparado uno para ganar (Sun-Tzu).
*Verificar que el enlace de internet no este “capeado” a X cantidad de conexiones TCP/IP simúltaneas, o que tengas una tasa de transferencia/quota fija que se pueda acabar.
*No seas aváro, si hay que gastar en fierros grandes ve por ellos. Creanme que lo que menos te va a preocupar es el dinero si las cosas se salen de control por algo imprevisto por consecuencia de la inexperiencia.
*Verificar que el proveedor de hosting este preparado/advertido de que ingresara por un periodo de 24 horas repentinamente una inmensa cantidad de visitantes. Y pedir comprobar que tenga experiencia soportando tráfico superior a los 50mbps. (Esa cantidad ha sido el pico más alto observado personalmente)
*Advertir a los equipos de vigilancia de seguridad de los proveedores de hosting que habrá gran cantidad de tráfico repentino, de forma que no entren en pánico y no realizen acciones correctivas o de bloqueos por su cuenta pensando que se trata de un ataque cibernético a gran escala.
*Absolutamente cero inalámbricas con capacidad de acceso a la parte importante de la red.
*Diseña en forma de capas toda la red. No necesitas gente merodeando en partes internas de la red. Puedes poner IDS y honeypots solo para tu propia referencia, usualmente estos temas los veo que son un poco avanzados y “oscuros” para el mundo político de forma que no recomiendo que los menciones publicamente pero que si los uses internamente.
*Redundancia y continuidad es la ley. Realiza una prueba completa cortando la energía electríca del edificio y verifica personalmente el impacto. Si hay que gastar dinero, metele lo doble de lo que necesitas.
*No usar servicios tradicionalmente reconocidos como obsoletos (FTP, Telnet, etc..) y cuida/cierra los que están ahí y aun no se usan mucho (Ipv6, DNSSEC, etc..) y endurece concientemente todos los demás.

Sobre los servicios:

*No instalar ni terminar de configurar servidores ya estando en línea y accesible desde internet. En ese periodo de tiempo son muy susceptibles a ser invadidos tempranamente.
*La vigilancia y defensa de un servidor comienza desde el momento en que se registran los dominios que usará el sistema, sean semanas o meses desde antes. La seguridad se establece para cuidar el servidor desde el primer momento que hay información acerca de su posible localización revisando los registros Whois de nuevos dominios. Nunca enfocarse a cuidar el servidor solo el día de la elección.
*Debes de estar preparado desde antes con capacidad total y de sobra. Hacer cambios de servidores, comunicaciones, código en medio del proceso de captura es excesivamente riesgoso. Solo se necesita un solo minuto que no se muestren resultados para que se desate el infierno sobre tí.
*Afina los planes de emergencia con el mismo tiempo y dedicación que el plan principal.
*Cumplir con los mandamientos de tener Firewall bien afinado en el server y tener software parchado al día.
*Cortar accesos en el Firewall para localidades que no esperas vistantes. Es decir, acotar origenes de comunicaciones y bloquear por anticipado origenes tradicionalmente latosos (china, lituania, croacia, korea, etc...)
*No experimentar con técnologia o productos nuevos por primera vez.
*Realizar todo tipo de auditorías y pruebas de penetración desde diversos puntos del sistema.
*No usar software pirateado, es impredecible saber si está en buen estado y no vaya a provocar cuando menos un pantallazo azul inesperado ante el público.


Administración de la percepción

*En las partes que verá el público, especialmente en centros de prensa y representantes de partido, usa de preferencia equipos nuevos probados previamente. No querras que te llenen de grilla por cosas tan tontas como que un cañon se le fundio la lámpara o que una pantalla ya se quemo por uso. Aunque sea de risa pero no se la acaban cuando algo así pasa.
*No incluir en el sistema el envío de mensajes de error, colores en rojo o cosas que den lugar a mostrar algo más grave de lo que realmente es.
*Haz que las cosas se vean buenas y profesionales a como de lugar ( documenta!! ). Muchos ingenieros somos del tipo hack & slash pero eso nunca nunca se ve bien en la política.
*Eres del mundo de la técnología, demuestralo!!!!, que no te vean pegando etiquetas en un checklist de cartón colgado de la pared. Por fuera del sistema le puedes hechar toda la crema a los tacos que quieras, nada más, que sean cosas que te ayuden y no te estorben o fallen.
*No dejar que los ayudantes usen sus computadoras personales en el centro de trabajo, alguién podría toparse con algo inoportuno y dar pie a largas grillas (como que a un asistente le de un pantallazo azul, toque musica inoportuna o le bote de repente una chica desnuda en la pantalla).
*No digas nunca “No falla y no fallará jamás”, esa es la infame maldición invocación al fracaso en este negocio.
*No dejes que un político se dirija a golpear a tu equipo de desarrollo, recuerda que a los ingenieros nos hacen falta muchos soft skills y esa gente son trolls profesionales. *No discutas nunca con un troll, significa que ellos ganan.
*Recuerda que tu también puedes entrar al juego de la grilla. Nada agradable pero debes de defenderte siempre. Sin embargo, debes de estar absolutamente seguro siempre que tu proyecto está hecho como la ciencia manda, si no, mejor retirate a tiempo con dignidad. Ya una vez que te metiste en esto, lo ultimo que importa es el dinero.
*Si puedes, consigue a alguien externo al equipo de desarrollo dedicado 100% del tiempo a intentar derribar el sistema. Preferible que sea uno de los tuyos a que sea un atacante a la mitad de la captura. (suerte encontrandolo, no hay muchos por ahí que no sean wannabes de hacker).
*Establece con tu gente un reglamento estricto de confidencialidad, que nadie bloguee o twittee cosas.
*Que la cara pública del proyecto sea una sola persona, pero que sepa hablar, tratar a la gente, que conozca al cliente y el proyecto por dentro y por fuera, de lo técnico y lo no técnico. También considera que siempre tu mejor defensa será cerrar la boca.
*Como todo proyecto de ingeniería de software: Caminar sobre el agua y cumplir con los requisitos del cliente es posible siempre y cuando estén congelados. Procura defender a morir que no le estén haciendo cambios a las cosas. Apunta a tener todo listo un mes antes.
*Procura que la gente este descansada y despierta sobre todo para la parte más crítica. Nos hemos aventado jornadas de trabajo de 20 horas diarias por semanas y el día más importante son al menos 36 horas seguiditas. Consigue más personal, mandalos a dormir en turnos, programales alimentación balanceada (que cruel soy T_T ) pero debes de hacer todo lo que se pueda para evitar errores humanos. Se vale tener una buena dotación a la mano de cafeína. Si hiciste todo bien, estarás listo completamente días o semanas antes, SI SE PUEDE!!!

Al final de cuentas, no tengas miedo, los políticos son solo un cliente más, la verdad, a veces nos encontramos en la industria gente más díficil.]]> Capacitación http://www.seguridadyprivacidad.org/index.php?itemid=109 Mon, 12 Jul 2010 18:16:19 -0600 http://www.seguridadyprivacidad.org/index.php?itemid=108
OK, se preguntaran que tiene que ver este tema con la seguridad, pues yo digo que mucho. Recientemente estuve muy de cerca en algo de esto y vi muchisimas cosas que dejan lecciones profesionales muy importantes.

Podrás ser un excelente técnico, un genial codesmith, un hacker vivillo, pero justamente esos puntos fuertes son nuestras principales debilidades cuando nos enfrentamos a otras personas, tenemos que admitir que nuestro propio ego de ingenieros no nos ayuda mucho profesionalmente.

Y en el mundo de la política, saben perfectamente esto, por eso desprecian mucho a los ingenieros sobre todo a los de sistemas, y saben perfectamente los puntos de donde pueden tomarnos por el cuello y doblarnos a su voluntad.

En el mundo de la política hay oportunidades importantes de hacer buenos negocios y sistemas, pero también es un ambiente muy hóstil para nosotros los ingenieros, de forma que hay que cuidar no solo las 7 capas de los sistemas, sino tembién las otras dos que no nos enseñan muy bien en las escuelas: la capa política (8) y la capa de usuario (9). Todas forman parte del sistema, todas tienen las mismas oportunidades de fallar y hacer fracasar cualquier proyecto.

- Sobre hablar con términos técnicos ante políticos. Orale, esta es la espada de doble filo, puedes ser muy elocuente y rollero y marear a cualquiera hablando en el otro idioma técnico y ser suficientemente contundente para hacer que cualquiera no te responda, pero si eres muy rollero, terminaras enredandote en tus propias palabras y es ahí donde se daran cuenta si eres de los buenos o de los que se pueden comer vivo con chile y limón. Ellos pueden oler nuestro miedo. Si vas a hablar, habla con seguridad y de las cosas que sabes. NO ESTES INVENTANDO COSAS. Si no estas seguro de algo, mejor ni lo menciones y pongas esos temas sobre la mesa. También preocupate por desarrollar la habilidad de comunicarte, asiste a cursos de oratoria y declamacion, aprende a explicar el mundo técnico a la gente no técnica con simplicidad y claridad que al final termines brindando confianza aun a la gente más brava que te pongan enfrente.

- No inventes cosas que no existen, apegate a lo que se hace y usa en nuestro negocio. No menciones que inventaste algo nuevo y que por eso es mejor que todos los demas, y peor aun, no digas que si alguien lo quiere revisar, no se lo puedes mostrar "por seguridad". Cuando dices este tipo de cosas solo te exhibes de egocentrico, inseguro y desubicado. Hace muchisimo tiempo que en nuestra profesion se maduro para pasar este tipo de cosas. Los esquemas de seguridad modernos para comunicaciones y arquitectura de sistemas se basan actualmente en que todos pueden conocer los algoritmos y procedimientos, pero la fortaleza de los sistemas radica en la resistencia y cuidados de las llaves que abren sus puertas.

- Muestra profesionalidad y madurez. Le explique esto a un cosejero electoral una vez, nuestra profesion es joven, muuuuy joven y esta en un proceso de madurez que aún no termina. Si bien en nuestro negocio hay mucho espacio para desarrollo de personas que son de genialidad asombrosa y hacen funcionar las cosas, en la práctica la mente de ese tipo de personas se aprecia desde afuera como un caos impredecible. De forma que la otra forma de desarrollar un sistema es justamente por medio de poner orden hasta las cosas mas simples. Por eso existen todos los modelos de ingenieria de software, los modelos de madurez, los estándares y certificaciones. Cumple cuando menos con lo que aprendiste en la escuela y no des espacio a que alguien dude y pregunte acerca de donde salió o porque se justificó tal idea o implementación.

- No tengas miedo a decir NO. Pero un no convincente, decir no a algo que no tienes porque no se aplica a lo que haces tiene que estar amparado por los razonamientos y conclusiones que usaste. No te limites a las conclusiones de tu propio equipo de trabajo. Nuestra profesión se basa mucho en la revisión y retroalimentación de nuestros pares colegas.

- Forma un equipo de pruebas profesional. Con todas sus reglas bien hechas. Un equipo externo al de tu desarrollo, que trabajo de forma independiente, que desarrolle su documentación y realize sus experimentos de casos de prueba. Este es un parámetro importantísimo porque podrán hacer un sanity check y un reality check sobre nosotros cuando tengamos los humos del ego hasta los cielos, y encontrar nuestras fallas antes de que alguien malicioso más lo haga y nos lo muestre enfrente de todos (especialmente enfrente de una rueda de prensa).

- Si vas a hacer algo novedoso, hazlo conforme a las reglas de la ciencia. Si vas a inventar algo, no digas que es tuyo exclusivo y que porque nadie más lo conoce es mejor. Esto siempre sera sospechoso, siempre se va a entender mal, y la política mexicana esta llena de casos asi. En nuestra profesión se respalda el avance de la tecnologia por toda una estructura de costumbres y protocolos para avalar que algo nuevo es bueno o mejor que algo que ya existe. Realiza la construcción de tu solución conforme a los protocolos básicos de investigacion científica, pide revisión de pares, demostraciones formales, publica white papers. Asi cualquier revisor o auditor que te manden, verá que hiciste las cosas bien, si no, será un clavo más con el que te crucificarán. También acepta que si ya en la industria existe y se usa una tecnología que te sirve para lo que buscas, no seas egocentrico y usala, un buen ingeniero no resuelve los mismos problemas dos veces.

- Haz las cosas con tiempo, forma tu plan de trabajo como cualquier profesión demanda. Anticipate a todo lo que puedas, haz infinidad de pruebas, ejercicios periodicos y simulacros y que la gente que te ayudara este entrenada al punto de poder hacer las cosas con los ojos vendados. No vayas a estar un día antes levantando tus servidores apenas.

- Presenta una sola cara ante el público, que quiero decir, que no hayan personas hablando y diciendo cosas por su cuenta, porque siempre caeran en contradicciones. Incluye tambien que gente de tu equipo de trabajo no este blogeando o twitteando mostrando informacion confidencial desde dentro del proyecto porque siempre los de afuera se van a enterar de eso y tendran munición para atacarte. Esa persona que hable tiene que saber presentarse, saber de relaciones publicas, saber de lo técnico y de lo administrativo y conocer a fondo el proyecto y las necesidades del cliente.

- Cuida tu reputación y credenciales. En este negocio de los sistemas, mas importante que ser bueno o malo, es parecer bueno y ser famoso. La educación y formación tienen peso, el reconocimiento de la comunidad también, las publicaciones, presentaciones con papelitos que hablan son muy importantes para ganar credibilidad, respeto y porque no, tambien imponer temor jajajajja. Pero cuida tambien las cosas negativas que se quedan sueltas, escándalos, proyectos fracasados, lo que pones en blogs y twitts. Todo lo que cae en internet nunca se borra, recuerdalo eso cuando estes buscando un nuevo trabajo.

- No les tengas miedo a las auditorias, si hiciste las cosas bien, todo estará bien. Los unicos que les temen a las revisiones son los que hicieron las cosas mal y los que tienen algo que esconder. En la seguridad, el karma es la perra mas brava y siempre muerde cuando más complicadas están las cosas. Pero eso si, si te tienen que auditar, pide que verifiquen las credenciales de quienes vendrán, porque si te envían a un novato inexperto, seguramente sabrá menos que tú y complicará todo. (Ya nos pasó una vez que nos mandaron a revisar a un técnico que ni la prepa termino y no sabia ni siquiera que era una VNC y abrio la boca diciendo una tonteria e hizo un despapaye total >_
- KISS - Keep It Simple Stupid! La máxima regla para reducir riesgo a un proyecto es poner las cosas de la forma mas sencilla posible. Hay cosas muy impresionantes y tecnología novedosa cada día, que son una tentación para ofrecer y experimentar, pero definitivamente en un proyecto con tintes políticos no es el mejor lugar para jugar con ellas.

- Estudia los antecedentes, siempre siempre revisa que cosas han ocurrido antes, que proyectos y documentación dejaron otros, que exitos y fracasos a habido. Y sobre todo, deja la documentación para los que vendrán despues de tí. También mantente siempre actualizado en tu profesión, como te menciono, es muy jóven aún y siguen apareciendo cosas nuevas y encontrando fallas en lo que ya tenemos, no vayas a resultar como un bobo que me dijo enfrente de su equipo de trabajo que desde que salio de la escuela nunca más volvió a tomar un libro.

- Seguro por diseño - siempre se debe de empezar a diseñar la arquitectura de un sistema comenzando por los requisitos de seguridad. Y sobre ellos se construye el resto de la aplicación. No cometas el error que nos meten en la cabeza las escuelas que la seguridad es un modulo más, y que si se puede, pues se la ponemos. Todos los proyectos de ese tipo son un fracaso aún antes de empezar. Y si no sabes, pide ayuda o contrata consultores que demuestren experiencia en lo que tu estas haciendo, lo peor que puedes hacer es ocultar tu ignorancia porque los agujeros que no encontraste tu en tu sistema, alguien más los explotará en el momento más critíco. Y toma en tu mente siempre esto: en cualquier proyecto con fines políticos es absolutamente certero que siempre recibirás al menos intentos de ataque, con tanto que podrá haber en juego, ten por seguro que alguién querra cuando menos intentar ver si puede hacer daño, y aqui los más perjudicados serán los que no hicieron nada para protegerse.

- Manten una correcta perspectiva, como ingenieros, cometemos el error de ver el mundo exclusivamente por el monitor. La gente afuera espera que las cosas sean perfectas, pero siempre tienes que recordar que la tecnología siempre será imperfecta y tiene una probabilidad de que va a fallar cerceramente. El sistema no podrá ser perfecto, pero tus precauciones para que no falle en el momento más crítico pueden ser completamente confiables. No escatimes ni seas aváro con esas precauciones, al final de cuentas alguien más pagara por ellas, lo unico que no se vale es que fracases en determinarlas y aplicarlas.

Como verán hay mucho que comentar sobre este punto, todo lo demás que aplica es todo lo que aprendemos en las clases de ingeniería de software y administración de proyectos, así que no queda otra mas que aceptar un poco de humildad y sentido común para hacer este tipo de proyectos, al final de cuentas, los políticos son solo un cliente más.

Todavía me falta hablar sobre los terminos y topicos satanizados de los sistemas para politicos, pero esa es otra historia.]]> Capacitación http://www.seguridadyprivacidad.org/index.php?itemid=108 Sat, 10 Jul 2010 09:44:39 -0600 http://www.seguridadyprivacidad.org/index.php?itemid=107
Aqui pongo un mirror personal para que la gente lea el documento del ACTA.]]> Privacidad http://www.seguridadyprivacidad.org/index.php?itemid=107 Wed, 21 Apr 2010 09:10:06 -0600 http://www.seguridadyprivacidad.org/index.php?itemid=106
Pues durante dias pasados se ha liberado la controvertida tecnologia WAT de windows a traves de un parche marcado como crìtico en windows 7. Lo cual a mi parecer esta un poco más tenebroso puesto que parece ser que se mete a fuerzas en el sistema a pesar de haber marcado el windows update para que no descargue parches.

El parche del WAT es un removedor de 5 cracks muy usados para piratear el windows 7, mas aparte de la instalación de un monitor para vigilar que el windows sea genuino, y no solo eso, cada 90 días llamara a casa para asegurarse que todo sea como microsoft manda.

En los casos que me han tocado atender en los ultimos tres días, se encuentran personas buscando como volver a crackear el windows (sorry ya no se puede por ahora a menos que desconectes definitivamente tu pc de la red para que no entre el parche), pero los más casos son de aquellos que compraron una PC nueva o que la llevaron a formatear al ciber de la esquina y les pusieron el windows 7 sin darse noción de que era pirata o por la novedad que lo querian pero sin pagar, bueno pues es inevitable que problemas como los que tienen ahora pues eran latentes.

Me meti algo de tiempo a ver más de cerca esta consecuencia de la instalación del WAT y en lo personal no me gusto lo que vi. El fin no justifica los medios.

- Como ya habia mencionado, parece ser que el parche se mete a las de afuerzas sin preguntarle al usuario. Incluso a los que tienen configurado el no descargar parches o descargar y preguntar antes de instalar, de repente entre el domingo y martes al apagar la pc vieron que entraba el windows en la demora mientras instala parches.

- Si detecta la presencia de un crack/activador, elimina el crack, elimina el numero de serie y comienzan a aparecer los globitos de mensaje de que el windows esta a punto de expirar el periodo de evaluacion.

- Desactiva el rearme del periodo de prueba. Cuando instalas un windows y aun no le pones el serial, entra en periodo de evaluación por 30 días, pero puedes reactivar la cuenta 3 veces dando un total de 120 días de prueba. Si el WAT detecto un crack presente, te cancela todos los rearmes de prueba que tengas disponibles.

- Entre dos y tres horas despues de que hayas iniciado la PC, se reseteara violentamente sin advertencia previa, es un reboot en frio, todo lo que tengas abierto se pierde. Inclusive puede haber daño en el sistema de archivos.

- Si entras a la configuración de mi pc y activas la opción de no reiniciar despues de una falla. vas a ver que en cada reset repentino en realidad es una pantalla azul BSOD con los codigos de error 0x0000000000098 END_OF_NT_EVALUATION_PERIOD

Que quiere decir?, que el kernel de windows intencionalmente manda un pantallazo azul con un crash violento, todo a causa de ese código de error por tener un windows caducado/pirata.

subire una imagen en cuanto logre atrapar un caso y tenga una camara a la mano.]]> Alertas de Seguridad http://www.seguridadyprivacidad.org/index.php?itemid=106 Thu, 4 Mar 2010 14:24:26 -0700 http://www.seguridadyprivacidad.org/index.php?itemid=105
CALL FOR PAPERS

M2IS 2010 (http://www.csi.org.mx/m2is) is the second Mexican Conference organized by IEEE Puebla Section, and it is motivated by previous conferences as MCIS 2006 at México City, CIBSI´2002 at Morelia City(Mexico) and CIBSI´2003 at Mexico City.

M2IS 2010 will take place in Guadalajara City (México) due that Guadalajara is one of the most beautiful cities in Mexico and it is a historic landmark. Guadalajara is the second-largest city in Mexico and it is the ultimate fusion of the past and present, and both will give you a vacation you'll be talking about for years to come. Guadalajara's heart is the Centro Historico, where meticulously preserved buildings from the colonial era provide a picturesque backdrop suitable for everything.

M2IS 2010 is intended to provide an international forum for the discussion and presentation of original ideas, recent results and achievements by researchers, students, and system developers on issues and challenges related to Informatics Security and Information Technologies. Authors are encouraged to submit both theoretical and practical results of significance. Demonstration of new tools/applications is very desirable.

The scope of the symposium includes, but is not limited to:

* Algorithms and applications on Criptography
* Algorithms and Studies relating to cryptographic protocols
* Secure Protocols
* Algorithms and applications on Steganography
* Watermarking
* Digital Forensics
* Security Policies and models
* Forensic Informatics and Hacking Forensic
* Informatics Auditing
* Juridical Informatics
* Communications and Management Security
* Web Security
* E-Business
* E-Government
* Intrusion Detection
* Authentication
* Access Control Systems
* Secure Data Bases
* Incident Response
* Education in Security

Important dates

Paper Submission Deadline: March 19, 2010 (electronic paper submission)
Notification of Acceptance: April 26, 2010
Camera Ready version due: May 14, 2010
Symposium presentation: June 20-23, 2010 in Guadalajara, Mexico

Submission Guidelines

Papers should be written in English and should not exceed 8 pages (single-spaced) in IEEE format. Authors are encouraged to submit papers in pdf or doc electronic format.

Each submission must be accompanied by the following information:

A short abstract
A complete list of authors and their affiliations
A contact person for correspondence postal and e-mail addresses.

Questions from authors may be directed to:

Program Co-Chairs:
Rubén Alejos Palomares: ruben.alejos@udlap.mx,
Héctor Manuel Pérez Meana hmperezm@ipn.mx]]> Ciencia http://www.seguridadyprivacidad.org/index.php?itemid=105 Fri, 26 Feb 2010 15:19:21 -0700 http://www.seguridadyprivacidad.org/index.php?itemid=104
Pues todo comenzo con la llamada de un cliente que decía que tenia problemas al conectar una PC a una red y que los tecnicos de la cablera local no le hacían caso. Por los sintomas que me platico, pues nos fuimos a investigar la presencia de uno de esos gusanos de red que hay muy frecuentes en esta ciudad y que alteran el sistema de drivers de red. Se le hizo todo el procedimiento de limpieza a la pc y verificamos la conectividad en nuestra red local.

Pero al regresar la PC a su red original resulto en la misma situación de que no se podía conectar a la red por medio de una NIC inalámbrica Linksys, y con otras laptops si se podía pero me comentaban que de repente tenían dificultades porque la red se cortaba o dejaba de responder por un momento.

Esos sintomas ya me sonaban conocidos puesto que ya anteriormente me toco atender un caso idéntico siendo el origen un router pirateado Ansel.

20100120-routerpiratahp2.jpg

En esta ocasión fue dificil confirmar la situación por dos motivos; el técnico que hizo la instalación de la cablera le dijo al cliente que el router marca Hewlett Packard era muy bueno y que no tenía ningún problema puesto que otras laptops si se podían conectar bien por lo que inicialmente ignoramos inspeccionar fisicamente el hardware, y segundo, porque por alguna razón el router lo dejaron instalado atrás de un mueble en un lugar inaccesible. Y ademas le hizo firmar un pagare por el router.

Al acceder a la pagina de configuración del router se noto que algo no encajaba, puesto que era una pagina muy colorida, es decir, sin los tonos habituales que usan los productos HP, sin ningun tipo de nombre o marca y aparte faltas de ortografía en diversas palabras en ingles como NETVVORK LINKLING TCPLIP etc..

Por último me llego a la mente que HP no hace routers, jaja, hace solo routers grandes para redes empresariales y aún de esos son dificil verlos en la calle. Verificamos en el sitio de HP todo el hardware ofrecido y obviamente no encontramos nada parecido a lo que teniamos en las manos.

- Lo que se pudo indentificar es que particularmente esa red inalámbrica no conectaba con ninguna tarjeta Linksys. Al parecer alguna incopatibilidad en el vector de inicialización del cifrado.
- La interrupción de la señal era facilmente provocada por mezclar los canales de RF del Wifi con alguna otra red vecina, al encender algun teléfono inalámbrico o encender un horno microondas.
- el router se calentaba con frecuencia y se colgaba.

Y pues no había otra opción más que cambiarlo por un router de los buenos.

20100120-routerpiratahp1.jpg

Nos dimos a la tarea de analizar el router un poco más a fondo y encontramos:

- Tanto el chasis del router como el circuito impreso es casi idéntico a el otro router ANSEL pirata y buscando en internet los encontramos otros routers de otras marcas identicos en forma.

20100120-routerpiratahp5.jpg

- el circuito impreso se ven los chips soldados desalineados, chips sin marcas y aparte algunas soldaduras frias.

En este caso aun cuando por arriba del chasis se ve el logotipo de HP por abajo se ve una etiqueta que dice que la marca del router es GRANDSONIC hecho en China y ensamblado en México.

20100120-routerpiratahp3.jpg

Encontramos pues algunas ofertas de ese router en mercado libre y otros minoristas en internet, en algunos de ellos lo ofrecían como router Grandsonic y otros como router HP, en algunas imagenes inclusive se ve que le borran el logotipo de HP que traen grabado. En los sitios donde lo presentaban como Grandsonic lo ofrecian a precio de 250 pesos, en los sitios donde lo presentaban como marca HP lo ofrecían en 999 pesos.

20100120-routerpiratahp4.jpg

Mi conclusión personal es que el problema de la presencia de hardware pirata en México es mucho más grande de lo que esperaba y que están cayendo todo tipo de víctimas al comprarlo por tener el precio más bajo el mercado y sobre todo por la suplantación de la marca.]]> Muy interesante http://www.seguridadyprivacidad.org/index.php?itemid=104 Wed, 20 Jan 2010 22:36:32 -0700 http://www.seguridadyprivacidad.org/index.php?itemid=103 Francisco Javier Castellón Fonseca
Acuerdo Comercial Anti-Piratería será discutido por medio de transmisión en vivo para fortalecer transparencia legislativa

Como una medida para fomentar una cultura participativa e informada en la sociedad, el senador del PRD Francisco Javier Castellón Fonseca, realizará una transmisión en vivo por internet, en la cual se analizará el Acuerdo Comercial Anti-Piratería (ACTA) y el hermetismo que se ha presentado en las negociaciones de este proyecto.

En la transmisión en vivo que se llevará a cabo el día martes 12 de enero a las 19:30 horas, el también Presidente de la Comisión de Ciencia y Tecnología, expondrá la situación que presenta el ACTA, a efecto de informar e intercambiar opiniones con la ciudadanía con respecto a este tratado.

Debido a la discusión que se tratará en esta transmisión en vivo, se considera a este suceso como uno de los más importantes a nivel nacional, dada la innovación de analizar y debatir el tema por medio de esta herramienta tecnológica.

Castellón Fonseca explicó que el Acuerdo Comercial Anti-Piratería es negociado por la Secretaría de Economía a través del Instituto Mexicano de la Propiedad Industrial (IMPI), y la Procuraduría General de la República. No obstante, estas dependencias no han dado conocer el contenido del tratado.

Comentó que dentro del marco normativo nacional del ACTA se incluyen puntos importantes para los derechos fundamentales de la ciudadanía, sin embargo, en la redacción se aprecia “un fuerte desequilibrio de intereses, ya que sólo se ha dado voz y voto a representantes de diferentes industrias”.

El legislador por Nayarit agregó que existe incertidumbre en las negociaciones respecto al tema de los prestadores de servicios en internet, “en el que estarían obligados a filtrar toda comunicación que se intercambie a través de las redes públicas de telecomunicaciones, que se percibe como un atentado grave a la privacidad de las personas”.

También indicó que en este acuerdo se plantea el derecho de autor en el entorno digital, la regulación en materia de propiedad intelectual de usuarios con obras protegidas, y el análisis al principio de legalidad y certeza jurídica que invoca la inocencia de toda persona hasta que no sea demostrado lo contrario.

Dijo que por medio de documentos filtrados se ha podido conocer el contenido de las posturas de quienes realizan este proyecto, y “no se ha dado oportunidad a la sociedad civil de participar en las negociaciones”, a pesar de que el IMPI ha convocado a consultas públicas a fin de involucrar a la población en los acuerdos, las cuales no se ha realizado Ni se ha proporcionado a la Cámara Alta la información necesaria por parte del Ejecutivo sobre el contenido del ACTA.

Ante esto, mediante un punto de acuerdo el senador del PRD pedirá al Secretario de Economía y al Director del IMPI presenten un informe detallado del contenido y alcance del texto preliminar; las provisiones que se incluirán en materia de internet; medios de soporte digital y electrónico; obligaciones que se impondrán a los servidores de internet y programa.

De igual forma, propuso a la Junta de Coordinación Política del Senado de la República se integre una subcomisión o comisión especial que se integre de manera plural que dé seguimiento a las negociaciones del Acuerdo Comercial Anti-Piratería, a efecto de realizar una evaluación del impacto, beneficio o desventajas que podría representar para el país, y haga pública la información que reciba del Poder Ejecutivo.

Dicha transmisión se podrá seguir a través de los canales:

Sitio del Senador Castellón: http://castellon.cybercast.com.mx/

Sitios de transmisión adicional:

Pagina Grupo Parlamentario PRD: www.prd.senado.gob.mx (habrá un enlace para seguirlo)
Sitio de OpenActa: http://www.openacta.org
Blog Pizu: http://pizublog.org]]> Muy interesante http://www.seguridadyprivacidad.org/index.php?itemid=103 Tue, 12 Jan 2010 08:08:17 -0700 http://www.seguridadyprivacidad.org/index.php?itemid=102
Esta regla de los 3-strikes es una propuesta que forma parte del nucleo de acciones a realizar con Anti Counterfeit Trade Agreement (ACTA) y que en México seguramente escucharemos cada vez más en público por parte de los legisladores.

De una forma muy sencilla el concepto de los 3 strikes es el siguiente: Si acumulas tres reportes por piratería de cualquier tipo a través de internet se te cortará el servicio de internet sin aviso previo y sin derecho a compensación, y en caso extremo por reincidencia, legalmente formarás parte de una lista negra y quedarás prohibido de contratar internet de nuevo.

Suena muy sencillo pero en la práctica es muy complejo y tiene agravantes que lo hacen muy serio debido a la gran cantidad de malas experiencias y equivocaciones que han sucedido ya.

- La gran pregunta es quien es quien va a ser el juez imparcial que va a determinar si lo que una persona esta transmitiendo en internet es realmente un material ilegal.

- La unica manera de que se pueda verificar que lo que uno esta haciendo en internet sea legal es que estuviera una persona vigilandote las 24 hrs. Y esto es todavia peor puesto que la privacidad de un usuario practicamente no existiria. Los derechos de autor NO estan por encima de los derechos humanos.

- Derivado del punto anterior, el esfuerzo que se requiere para vigilar a millones de usuarios es humanamente inconcebible, por lo que han existido personas que dizque desarrollaron "software especializado" para monitorear automatizadamente, pero los casos conocidos han demostrado que esas "herramientas" tienen un increiblemente alto porcentaje de equivocaciones y todos los casos han terminados ganados por el usuario, no sin antes haberles costado mucho dinero.

- En internet se usan muchas tecnologías que tienen aplicaciones novedosas y provechosas pero como toda herramienta, es la persona la que le da uso e intención a las cosas, de forma que por el simple hecho de usar por ejemplo una red P2P o estar viendo un video el H264 (flash) etc, no significa que automaticamente esté bajando algo malo. Y esto es un punto muy serio a contemplar para entender los siguientes puntos, ya que conociendo como funcionan estas tecnologías, NO ES POSIBLE darse cuenta a simple vista o asi por encimita que es lo que esa transmisión contiene y ver si es legal o ilegal, de forma que esta ignorancia sobre como funcionan las herramientas ha provocado tambien abusos y equivocaciones al buscar a los piratas. De igual manera, para poder saber que es lo que contienen esas transmisiones, se tiene que hacer una actividad de vigilancia mas intrusiva en el uso de internet del usuario.

- Al cortarle el acceso a un usuario por tener los 3-strikes, se le cortara el servicio A TODOS LAS PERSONAS que residan en esa casa. Pagaran justos por pecadores y es un castigo muy cruel que casi casi mencionaria que es un sabotaje a el avance social y economico de un país. Internet llego hace tiempo para quedarse y forma ya parte de la cultura mundial, así que retirar a la gente de internet es un retroceso para la humanidad.

- ¿Que va a hacerse con el acceso a internet de empresas y escuelas? Lo que buscan entonces el ACTA es coarcionar a que sean ellos mismos los que establezcan controles para vigilar y retirar los materiales apocrifos en sus redes y aplicar tambien los 3-strikes. Esta propuesta es muy traicionera, ya que obliga a que la empresa o escuela haga el trabajo de vigilancia de otros y absorba los costos, pero tambien es tonta, pues como va una empresa a sabotear sus propias operaciones y una escuela negar el acceso a la principal fuente de apoyo para la educación que existe.

- Quieren obligar a que sean los mismos ISPs los que realizen la vigilancia sobre sus usuarios y aplicarles los 3-strikes, pero obviamente esta idea no es de su completo agrado, puesto que tendrían que absorver los costos de realizar esa vigilancia sobre sus clientes y ademas de absorver el "costo politico" por acosar a sus clientes cuando empiezen a mandar los avisos de los primeros strikes y recibir toda la furia del cliente cuando le corte el servicio al 3er strike. Toda una tactica que va a salir disparada por la culata pero que se ve preparada para que sean otros los que reciban el fuego.

- Para poder vigilar lo que una persona hace en internet hay que monitorear las comunicaciones de su dirección IP, pero en Mexico no es asi de facil debido a la forma en que los ISPs construyen sus redes:

Ejemplo telmex

Utilizan mucho las IPs dinamicas, es decir que cambian frecuentemente la dirección IP que asignan a sus usuarios, de manera que si alguien esta vigilando que archivos esta transmitiendo un usuario pues ya de entrada existe garantizado un porcentaje de incertidumbre a ver si es la misma persona o no.

Ejemplo cableras

Utilizan una enorme configuracion de NAT sobre NAT. Practicamente se puede decir que tienen una sola IP por todos sus usuarios de una ciudad o una colonia. Desde afuera de esa red es extremadamente dificil distiguir cuales son las comunicaciones de un usuario escondido atras de NATs.

Y en ambos ejemplos para acabar de complicar más todavia tenemos los usuarios que construyen sus redes locales usando uno o varios niveles adicionales de NATs firewalleadas. Entonces es comun que haya duplicidad de segmentos de redes privadas 192.168.0.0 o 10.0.0.1 que se hacen mas dificil de monitorear entre más alejado te encuentres de ellas.

Y no se diga sobre la dificultad para detectar a los usuarios que se cuelgan de otras redes con o sin permiso del dueño, los que flashean cablemodems y los que usan tecnologías que transmiten archivos con cifrado o enmascaradas y los servicios de anonimato en internet que muchas herramientas ya incorporan, que seamos sinceros, muchos de ellos son los que realmente descargan cosas ilegales de internet obsesivamente.

En conclusión, de forma técnica el concepto de los 3-strikes es muy fragil y tiene un amplisimo margen de error para aplicarse en Mexico, que va en detrimento de la calidad del acceso a internet y de la comodidad de los usuarios. Parece más una estrategia de intimidación directo a los usuarios para que ya se porten bien, pero que esta sostenida en argumentos muy débiles, que sin embargo esta planeado el asunto para que causen un desgaste económico al usuario si se quieren defender legalmente y entonces acepten los "arreglos" como solución más atractiva.

Si tuvieramos todos IPv6 sería esto otra historia, así que mejor impulsen la transición a IPv6 e Internet2 si quieren lograr lo que quieren, todos ganamos con eso.]]> Privacidad http://www.seguridadyprivacidad.org/index.php?itemid=102 Wed, 30 Dec 2009 09:58:01 -0700