23 de septiembre de 2008

Seguridad de la recuperación de contraseñas olvidadas

Cuando las barbas de Sarah Palin veas cortar, pon las tuyas a remojar...

Hace unos días saltaba la noticia de que una cuenta de correo que Sarah Palin (candidata a vicepresidenta de EEUU) tenía en Yahoo había sido hackeada. Los periodistas, amigos de titulares impactantes, hablaban del 'ataque del siglo'.

La realidad era bastante más sencilla. El intruso utilizó el sistema de recuperación de contraseñas olvidadas de Yahoo, que te obliga a responder a una serie de preguntas personales que rellenó en el momento de crear la cuenta. Si todas las preguntas son respondidas correctamente, te permite cambiar la contraseña. En el caso de Sarah, las preguntas eran relativas a su vida personal, y, cómo no, la Wikipedia tenía las respuestas.

Servicios como Yahoo, Google, Hotmail y otros ofrecen dos tipos de sistemas para restaurar una contraseña de acceso olvidad:

  • Preguntas sobre datos personales, o sobre una lista de preguntas fijas, o dándonos la posibilidad de poner nuestra propia pregunta/respuesta
  • Dirección de correo secundaria, a la que nos enviarán un mensaje con un enlace que nos permitirá cambiar la contraseña

Yo personalmente prefiero el segundo sistema, siempre que uses como respaldo una cuenta de correo segura, en la que tengas una contraseña diferente.

En ocasiones, no es posible desactivar el sistema de pregunta/respuesta, y el problema es que la respuesta a esta pregunta debería ser tan secreta o compleja como la propia contraseña a la que protege.

En este caso, mi recomendación sería poner una respuesta imposible de adivinar (un montón de caracteres tecleados 'a loco'). Con esta contraseña imposible, podemos hacer dos cosas, olvidarla completamente o guardarla en una aplicación como Password Safe, que nos permite guardar nuestros secretos de forma segura protegidos por una única contraseña.

 

image

19 de septiembre de 2008

Windows: cambio rápido de configuraciones de red

Una característica que siempre se olvida a los chicos de Microsoft es la posibilidad de gestionar perfiles de red, múltiples configuraciones de una tarjeta para adaptarse a la configuración de diferentes ubicaciones. Mac Os X tiene una interfaz muy sencilla y útil que alguien debería fisgar.

Windows Vista tiene una característica llamada Ubicaciones, pero sólo sirve para activar o desactivar una configuración más restrictiva del cortafuego, la única utilidad que le veo es para cuando nos conectamos en redes públicas, inseguras, eligiendo un perfil público quedamos asegurados.

Hay aplicaciones que nos permiten gestionar esto, pero las que funcionan son de pago.

Hay una forma gratuita y sencilla de cambiar rápidamente nuestras configuraciones, con un fichero .bat de los de toda la vida y la ayuda de netsh, un comando de Windows que permite gestionar las comunicaciones.

Tendremos que crear un fichero .bat para cada configuración que queramos. Antes de crearlo, debemos comprobar el nombre que tiene cada tarjeta de red, en el panel de control de XP o en el centro de redes de Vista. Típicamente, son "Conexión de área local" y "Conexión de red inalámbrica".

En el fichero .bat meteremos los siguientes comandos, ajustando el nombre a lo que se llame la tarjeta de red que queremos configurar.

Importante: cada comando netsh debe ir en una línea completa

Para una conexión con IP fija o estática:

netsh interface ip set address "Conexión de área local" static 192.168.0.22 255.255.255.0 192.168.0.1
netsh interface ip add dns "Conexión de área local" 80.21.33.1 index=1
netsh interface ip add dns "Conexión de área local" 80.21.33.2 index=2

En la primera línea se define la configuración de red, dirección IP, máscara de red y puerta de enlace. En las otras dos, se definen los servidores DNS, podemos tener uno o dos.

Y para una con IP dinámica o DHCP:

netsh interface ip set address "Conexión de área local" dhcp
netsh interface ip set dns "Conexión de área local" source=dhcp

De esta forma, hacemos que tanto la dirección IP como los servidores DNS se configuren dinámicamente.

Una vez guardado, basta ejecutar el .bat. Es necesario tener permisos de administrador para ejecutarlo, por lo que si estamos en Vista, debemos pulsar con el botón derecho del ratón sobre el icono y elegir la opción "Ejecutar como administrador".

image

15 de septiembre de 2008

Probando Live Mesh

Los servicios 'en la nube' son cada vez más habituales y útiles. Olvidarnos de las ataduras de usar un equipo concreto para acceder al correo, documentos o noticias es algo muy útil, y cobra especial importancia cuando se trabajan con varios equipos conectados, ordenador en el trabajo, en casa, portátil, teléfono móvil...

Hay varias consideraciones a tener en cuenta:

  • Seguridad: no todos los contenidos son igual de importantes, no son lo mismo las noticias RSS que nuestros documentos. Al ponerlos en la red, todos quedan 'a tiro de un password'. Hay que protegerlos con una buena contraseña y asegurarse de usar conexiones seguras en todos los accesos.
  • Capacidad: es necesario tener mucho almacenamiento para guardar nuestros documentos, servicios como DropBox y otros proporcionan una media de 2 GB de almacenamiento, pero puede no ser suficiente.
  • Accesibilidad: qué necesitamos para acceder a nuestros contenidos, un navegador, una aplicación concreta, qué velocidad de conexión, qué sistemas operativos???
  • Y nuestros equipos?: los datos son necesarios, pero a veces, el problema es usar una aplicación que sólo está disponible en un determinado equipo.

Este es un campo de mucha actividad e innovación, en el que salen servicios nuevos casi a diario. Yo pruebo bastantes, pero salvo las cosas que rodean a Google, por su integración, la verdad es que pruebo y olvido, y vuelvo a cargar con mi portátil y sus copias de seguridad.

Microsoft Live Mesh puede ser diferente. Veamos por qué.

image

  • Ofrece 5 GB de almacenamiento online
  • Se puede acceder
    • desde un navegador, funciona en todos los habituales
    • desde un cliente de escritorio, por ahora, para Windows, en breve para Mac y Windows Mobile
  • Permite sincronizar contenidos:
    • una carpeta del escritorio del Mesh con uno o varios dispositivos (tira de los 5 Gb de cuota)
    • una carpeta de un dispositivo con el escritorio del Mesh y con otros dispositivos (tira de los 5 Gb de cuota)
    • una carpeta de un dispositivo con otros dispositivos. Esto es muy interesante, ya que podemos replicar carpetas muy grandes entre equipos, sin las limitaciones de la cuota, una especie de P2P personal. Los ficheros se sincronizan cuando los dispositivos están todos conectados.
  • Ofrece acceso remoto al escritorio de los dispositivos conectados
  • Permite compartir carpetas con otros usuarios, sin más que indicar su email. Recibirán un correo indicando los pasos para registrarse en Mesh

En resumen, podemos:

  • podemos hacer copias de seguridad continuas de nuestros datos en la red, con 5 GB de capacidad
  • acceder a estas copias desde un navegador
  • replicarlas en cualquier otro ordenador
  • replicar carpetas entre ordenadores, sin almacenarlas en la red
  • compartir contenidos con otros usuarios
  • acceder al escritorio de nuestros equipos de forma remota

El uso es muy sencillo. Accedemos a http://www.mesh.com para registrarse. Se necesita una cuenta Live,y por ahora, durante el periodo de prueba, el acceso está limitado a algunos países, el más cercano, Reino Unido. Hace tiempo que no lo pruebo, pero con este post de Marcelino Madrigal conseguí crear una cuenta Live en UK.

Al entrar, sólo tenemos el Live Desktop, donde podemos crear carpetas y subir ficheros.

En la opción "Add device", podemos descargar el software para instalarlo en otro dispositivo. Esto permitirá que este equipo sincronice carpetas, y podamos acceder a el por control remoto. Antes de instalar el software en el ordenador, es necesario cambiar temporalmente la configuración regional a Estados Unidos (Panel de control, configuración regional). Después de instalarlo, se puede dejar la configuración previa.

image

Entrando en Live Desktop, accedemos a una vista de carpetas similar a la de Windows Vista, en la que podemos acceder a cualquier fichero sincronizado en el Mesh, o cambiar las opciones de sincronización.

image

Al seleccionar un dispositivo, tenemos la opción de conectarnos a su escritorio.

image

Cosas que me gustan:

  • Rápido, fácil de usar
  • Multidispositivo (esperemos)
  • Buen control remoto
  • Mucha capacidad
  • Posibilidad de sincronizar entre equipos, sin límites del almacenamiento online
  • Copias de seguridad INSTANTANEAS de ficheros, sin intervención del usuario!

Cosas a mejorar:

  • Se echa en falta alguna opción extra de autentificación, sólo se ofrece con una cuenta Live, pero sería interesante tener algo más seguro, con certificados
  • También sería interesante tener algún aviso por email de eventos importantes, como cuando se usa el acceso remoto o se produce algún fallo de autentificación
  • No sincroniza algunos tipos de ficheros, como los pst de Outlook, y no avisa de ello
  • No es posible acceder a ficheros concretos de un dispositivo, salvo sincronizando. Sería interesante poder explorar ficheros, sin necesidad de sincronizar todo
  • Programa de beta técnica no disponible en todos los países. Nosotros también queremos!

Podéis encontrar más información en el blog de Live Mesh: http://blogs.msdn.com/livemesh/

Lectores de noticias y ficheros OPML

Cada vez es más habitual acceder a nuestros blogs o páginas de interés a través de sus suscripciones RSS, que informan, a modo de bitácora de cambios, de los nuevos contenidos publicados en el sitio, de forma cronológica, y en muchos casos, clasificados por temáticas.

Hay dos tipos de lectores de suscripciones RSS (también llamados agregadores), los que se usan desde una página Web (Google Reader, Bloglines, Netvibes...) y los que usan una aplicación de escritorio, que debemos instalar y configurar (internet explorer, Outlook 2007, NewsGator, RSS Bandit...). Google tiene un extenso directorio de lectores, clasificados por tipo.

Las aplicaciones de escritorio se están viendo superadas cada vez más por las aplicaciones web, que ofrecen la posibilidad de leer nuestras noticias desde cualquier lugar con conexión, algo muy cómodo y que se adapta al nivel de seguridad bajo de los contenidos que leemos.

Mi elección es Google Reader, rápido y sencillo, y con una excelente integración para iPhone y Windows Mobile. Con Gears, podemos además convertirlo en un lector 'de escritorio' para trabajar desconectados, ya que puede sincronizar en el disco duro las noticias.

Casi todos ellos tienen algo en común: OPML. Se trata de un formato de fichero en el que guardar todas nuestras suscripciones, que almacena además las categorías o carpetas en las que las tengamos clasificadas.

Es conveniente guardar de cuando en cuando una exportación OPML de nuestras suscripciones, a través de los menús de configuración de nuestro lector, en la opción 'exportar OPML'.

Esto nos permite, aparte de hacer una copia de seguridad, poder probar cualquier otro lector de noticias con nuestros contenidos personalizados, importándolos a través del menú 'importar OPML' correspondiente.

7 de septiembre de 2008

Hackers y piratería: motivación y estrategia

Anoche hacía ganas de dormir viendo una interesante presentación, The Xbox 360 Security System and its Weaknesses, en la que dos hackers contaban paso a paso las diferentes técnicas que permitían hackear consolas de videojuegos, y cómo Microsoft había conseguido diseñar un excelente sistema de seguridad, roto al fin tras encontrar unos pequeños fallos.

La presentación toca técnicas de protección hardware y software, pero casi al final, plantean que la mejor protección debe venir de una buena estrategia.

Para ello, analizaban las motivaciones que los hackers tenían para atacar uno de estos sistemas, que se reducen generalmente a dos, instalar sistemas operativos diferentes (generalmente Linux) o permitir el homebrew, juegos o aplicaciones desarrollados por los usuarios fuera del control del fabricante.

En ambos casos, el efecto colateral de esos ataques es la piratería, ya que se consigue romper la protección que impide ejecutar cualquier disco no legal.

Sin embargo, Sony siguió una estrategia diferente con la PS3, dejar abierta la posibilidad de ejecutar Linux, aplicaciones de usuario... y a la vez, diseñar un buen sistema de seguridad para controlar la piratería.

El resultado: sin motivación para romper las protecciones, no se investiga, y no se consigue el efecto colateral de la piratería.

Una buena estrategia debe complementar siempre a una buena tecnología.

image

Estos son los dos 'fieras' que dan la charla, interesante curriculum:

  • Michael Steil has been involved with various embedded systems hacking projects, like the Xbox, the Xbox 360 and the GameCube. In 2006, he has spoken at Google about the flaws in the security system of the original Xbox.
  • Felix Domke is the principal author of the Xbox 360 hack and the Linux port. He has also significantly contributed to hacking the dbox2, the GameCube and the Wii, and porting Linux to the respective platforms.

4 de septiembre de 2008

Microsoft: tirando piedras a su propio tejado

No es nuevo, pero se me había pasado publicarlo. Recibo un correo muy simpático del equipo de XBOX, anunciando novedades en juegos, formato HTML a tope, muy bonito. Pero el correo tiene una leyenda en la primera línea que dice:

Lee este ejemplar online si no puedes ver las imágenes o si utilizas Outlook 2007

image

Creo que hay dos equipos de producto en Microsoft que no se llevan muy bien. La causa: Outlook 2007 decidió utilizar el motor de presentación de HTML de Word 2007 (el mismo que usa para componer páginas), en lugar de usar Internet Explorer como otras veces, imagino que por temas de seguridad.

El caso es que este motor es mucho más limitado que el otro, por lo que montones de efectos razonables en una página HTML actual no pueden ser vistos correctamente en un correo HTML con Outlook 2007, cuando Outlook 2003 los mostraba sin problemas. Esto afecta mucho a las empresas que desarrollan campañas de marketing por correos, que tienen que adaptar y limitar sus diseños a una presentación más pobre.

3 de septiembre de 2008

Picasa: detección de caras en fotografías

Google no para en su continuo goteo de nuevas aplicaciones o mejoras en las existentes. El mismo día que se puede descargar Chrome, anuncian cambios en Picasa Web, su 'clon' de Flickr.

Las características de Picasa no son demasiado sobresalientes, y en general, Flickr le mejora en todos los aspectos. La diferencia más interesante era la posibilidad de descargar Picasa, un programa de edición y catalogación de imágenes para Windows, completo y fácil de usar.

Pues bien, hoy presentan varias mejoras, algunos cambios en Picasa web y una 3.0 beta de la aplicación de escritorio.

Sin embargo, hay algo realmente nuevo y que resulta muy interesante. Picasa Web integra una nueva tecnología de reconocimiento de caras, que permite analizar todas nuestras fotografías, identificar las caras y ponerlas nombre, de forma que se puedan hacer búsquedas sobre ellas.

Para probarlo, hay que asegurarse de entrar con la url http://picasaweb.google.com y de tener la interfaz de usuario en inglés. Nos informará de este nuevo servicio y de la posibilidad de activarlo. Una vez hecho, un proceso analizará las fotos, identificando caras y similitudes. Se toma su tiempo (el 86% es eterno...), dependiendo del número de fotos que tengamos.

Y.... funciona!! comete errores, que podemos solucionar desmarcando fotografías y asignando a otras el mismo nombre, para que las agrupe.

Al tratarse de un servicio Web, creo que la utilidad es limitada, ya que es lento y obliga a subir todas nuestras fotos a Picasa, pero si se integra en una aplicación de escritorio, será muy útil.

image