23 diciembre 2009

Cuando la privacidad importa


En los tiempos que corren existe una inquietud cada vez mas creciente sobre la privacidad, por poder tener la certeza de que una comunicación no está siendo 'escuchada' por quien no debe y mantener a salvo nuestros datos.

Supongo que cosas como SITEL ayudan bastante a que ese nivel de conciencia crezca e introduce interesantes reflexiones sobre la libertad real que nos ofrece Internet.

Pero el caso es que este artículo no quiero que esté escrito 'con el papel albal en la cabeza' mayormente porque creo, sinceramente, que ese tipo de enfoques han convertido el concepto de 'la privacidad' o el uso de herramientas de cifrado en algo de nicho, dotándolo de un halo de misterio que ha hecho mas mal que bien. Parece que si alguien se molesta en cifrar sus correos y conexiones es porque 'tiene algo que esconder' o el otro tan manido tópico '¿a mi quien me va a espiar?'.

Ya va siendo hora de tirar por tierra esos enfoques caducos y trasnochados, el concepto de privacidad y cifrado, en un mundo ultra-móvil, donde es muy frecuente que al cabo de la semana hayas usado el correo, chateado o navegado por la web del banco desde múltiples ubicaciones, resulta iluso pensar que no estamos corriendo riesgos.

¿Te fías de la WIFI del hotel, compartiendo direccionamiento con X personas mas? Yo, No y es mas, te podría contar casos de gente normal, como tu y como yo que han tenido serios disgustos por no tomar precauciones en entornos aparentemente 'seguros'


¿Crees de verdad que una red ethernet corporativa es un entorno seguro? Entonces es que no conoces Cain&Abel

Al hilo de todo esto, quiero presentar un servicio que me ha entusiasmado por su concepto y por la forma en la que está implementado (con magnificas guías, convirtiendo lo difícil en algo realmente sencillo).

Lo han implementado un grupo de Españoles y se llama Tu VPN.

Básicamente lo que ofrecen es un servicio de VPN compatible con Windows / Mac y Linux que permite obtener una conexión con cifrado fuerte desde tu extremo hasta un servidor localizado en diferentes puntos geográficos (Rumanía, Suiza, Inglaterra y EEUU)

Creo que es un servicio muy muy interesante para usuarios con un perfil de movilidad medio / alto que necesitan estar 'siempre conectados' y no por ello han de sacrificar su seguridad.

Posiblemente alguien crea que TOR 'hace lo mismo' y conceptualmente lo es, pero no olvidemos que TOR está formado por maquinas de las que nada se sabe y ya se han dado casos de nodos falsos que han sido usados para robar credenciales.

8 comments :

Anónimo dijo...

Le veo dos problemas. El primero es obvio: es de pago ^^

El segundo ya va a gustos, pero a mi no me gusta que las cosas esten centralizadas. Si se han de pedir datos es demasiado fácil saber a quien pedírselos!

Saludos y gracias por la información!

P.D.: También estaria bien tratar los emas de nodos fraudulentos en al red TOR! un tema manido pero que creo que da de si ^^

Newlog

admin dijo...

Yo llevo unas semanas pensando en contratar un servicio de este tipo. De momento he estado probando itshidden.com (la cuenta gratuita) y salvo la velocidad, parece funcionar bastante bien. A ver si pruebo la cuenta de pago y os cuento.

Un saludo

Anónimo dijo...

En el mejor de los casos, lo mejor es usar una VPN. Los de TuVPN creo que usan exactamente lo mismo que los de UltraVPN.
Hasta donde he podido investigar para ver como lo tenían montado, montan un servidor VPN con OpenVPN, en el cual también instalan algun tipo de servidor proxy, el cual al conectar a la vpn, tu conexion se redirige al proxy y a partir de ahí a navegar seguro! :D

OJO, esto es hasta donde he podido investigar, lo mismo me dejo algo o es totalmente distinto (quien sabe).
Si alguien supiera algo al respecto, estaría de coña que aportase, ya que para mi, sería mucho mejor montarme uno en mi "jaus" que contratar alguno de TuVPN o UltraVPN.

Un saludo!!

RoMaNSoFt dijo...

Aparte del posible problema de privacidad que ha comentado el primer anónimo (aunque sinceramente yo me fiaría más de un servicio así que de salir a las bravas por una wifi pública), a efectos prácticos de usabilidad, cuando lo que se busca es, por ejemplo, saltarse un proxy corporativo, este tipo de sistemas tiene un talón de Aquiles: los nodos son limitados, y por tanto, serían fácilmente identificables y filtrables, siendo fácil para un administrador cortar/bloquear este tipo de servicio. Ya se que éste no es el objetivo último de la solución pero es una limitación que merma el potencial de estos o similares servicios (que de todas formas siguen siendo interesantes y tienen su utilidad).

-r

Anónimo dijo...

i love how you express in your publishing, i plead fan number one of you, Nai.

Anónimo dijo...

Ese incidente de robo de credenciales con nodos "falsos" de TOR es de hace algún año ya, y si no me equivoco el problema era debido a que esa gente usaba servicios que no requerían servicios cifrados (contraseñas que se transmitian en claro, etc) con total despreocupación.

Si a la vez que se usa T0R se procura usar servicios que le añadan una capa de cifrado a la comunicación (SSL, HTTPS, etc), el robo de credenciales ya no es algo tan trivial, porque sí, los nodos falsos podrán seguir haciendo de sniffer, pero el asunto ya requiere un trabajo bastante más considerable que el simplemente ir guardando los user y password en un log.

Saludos.

Anónimo dijo...

Estoy usando TuVPN desde hace un par de meses. Tienen en cada servidor PPTP y OpenVPN, con lo que tienes dos opciones de conexión VPN según para qué lo quieras y donde lo uses. Yo uso PPTP en mi móvil y OpenVPN desde mi portátil.

De momento sin problemas ni complicaciones. Viajo mucho y lo uso principalmente para proteger conexiones en hotspots.

Respecto a Tor, definitivamente prefiero pagar 8€ y saber concretamente quien maneja mi información privada.

Por cierto, lo que comenta el último anónimo sobre proteger el tráfico TOR con SSL para evitar problemas, interesante leer:http://blog.phishme.com/2009/02/moxie-marlinspike-un-masks-tor-users/. Ataque man in the middle usando un nodo falso de Tor obteniendo usarios, passwords ... para todo tipo de servicios "protegidos" por SSL ...


Saludos !

Anónimo dijo...

Los nodos Tor tmb son facilmente identificables, desde su página publican una lista con todos ellos.