13 de agosto de 2011

El ataque "hombre en el medio" y por qué debería importarte.

Recientemente en Facebook (perro) apareció un mensaje de aquellos que se esparcen ("por favor, copie y pegue en su muro"), advirtiendo acerca de la necesidad de configurar esta plataforma social para que use conexiones seguras (HTTPS). Dado mi interés por el tema de seguridad y privacidad, y luego de que me llegaran varias preguntas al respecto, decidí contar por qué este tema es importante.

Al hacer cualquier operación en Internet, ya sea leer correos, visitar páginas web, pagar cuentas, etc., hay que tener en cuenta lo siguiente: Ninguna de estas operaciones es directa. Con esto quiero decir que los datos enviados no van directo desde el computador hasta el servidor al cual uno se conecta. Los datos siempre pasan por nodos (servidores, ruteadores) intermedios, los cuales redireccionan la información dependiendo de su destino final. Es parecido a ir desde un lugar a otro. Si quieres ir desde, por ejemplo, el Museo de Bellas Artes hasta la Plaza de Armas, no podrás hacerlo en forma directa. inevitablemente tendrás que doblar en una o varias esquinas (Mosqueto con Ismael Valdés Vergara, Mosqueto con Monjitas, Monjitas con Phillips...).

Ejemplo caminando desde el Museo de Bellas Artes hasta Plaza de Armas.

De la misma manera, tus datos pasan por varios de estos nodos antes de llegar a destino. Por ejemplo, de partida pasan por el acceso Wi-Fi que instaló tu compañía de telecomunicaciones (TELCO) en tu casa, de ahí a un distribuidor de tu TELCO, de ahí hasta el distribuidor de la TELCO del servidor de destino, de ahí al enrutador del servidor de destino, y termina el viaje en el servidor de destino.

Recorrido de tus datos.

Hasta ahí, todo bien. Pero, supongamos que ya no estás en la seguridad de tu propia casa, sino que conectándote al acceso Wi-Fi ofrecido por algún café, estación de Metro, restaurant, o algun acceso abierto (sin clave) que pillaste por ahí. Quien administra ese acceso puede ser el administrador del local, el encargado de la TELCO que instaló el acceso, o incluso, alguien malicioso, el cual configura ese acceso de manera tal de que, cada vez que pase una conexión por él, detecte si pasa información sensible (login/password, datos personales, etc.) y la guarde para su uso ilícito en el futuro. Esa es la escencia del ataque llamado "hombre en el medio". Un administrador inescrupuloso que se interpone entre tu computador y el servidor para robarte datos.

Ataque de "Hombre en el medio"

¿Cómo defenderte? Al momento de acceder a un servidor HTTPS, antes del envío de cualquier dato, se realiza una negociación, en la cual se define que la conexión irá encriptada, esto quiere decir que, aunque el atacante pueda ver lo que tú estás enviando, no podrá saber de qué se trata su contenido.

Mitigación del ataque usando una conexión encriptada.

Por eso, la principal recomendación para evitar este tipo de ataques es que siempre te asegures de que, para conexiones que manejan información sensible (tu correo electrónico, transacciones bancarias, Twitter, Facebook, redes sociales en general, etc.) en la barra de dirección de tu navegador aparezca https://www.servidor.com y/o un candado.

Mantente seguro siempre. Hasta la próxima.

20 de junio de 2011

¿La forma orwelliana de gobernar?

Bastante revuelo ha vausado durante los últimos días la adjudicación de una licitación para el monitoreo de las opiniones de los chilenos en Internet acerca del gobierno, a partir de diferentes fuentes: sitios web, blogs y redes sociales. De acuerdo con lo reportado por Radio Bío-Bío, los detractores de esta iniciativa hablan de "mal uso de recursos públicos" e "intromisión en la libertad de expresión de cada persona".

Por una parte, es una práctica cuestionable. Se podría hacer el paralelo en el mundo real (fuera del PC, tablet o smartphone) de que es como gritar en público y que un funcionario del gobierno te escuche. Pero el problema no radica tanto en qué gritaste en la red, si no que cuántas veces.

Tomemos un ejemplo. Que tú digas en la red "No a Hidroaysén" una vez puede que no signifique nada. Pero si lo dices varias veces indica que tienes una opinión al respecto. Si lo dices a ciertas horas del día puede indicar que te estás tomando un break del trabajo a esas horas. Si lo dices en lugares determinados puede ser antecedente de que vas a las marchas contra la central eléctrica. Si lo dices mientras tienes mucha gente que te sigue en Twitter eres considerado como alguien que (potencialmente) influye en las opiniones de otros. Y si te retwittean harto, con mayor razón. Si dices que Hidroaysén es una herramienta del neoliberalismo podrías quedar como alguien proclive a la izquierda política. Si dices que Hidroaysén destruirá el ecosistema de la Patagonia podrías ser considerado como un ecologista.

Existen herramientas matemáticas y computacionales que permiten determinar esos factores. La más importante de todas se conoce como Web Mining. Web Mining es un conjunto de técnicas que permite determinar patrones a partir de contenidos publicados en la web. De la misma forma en que las empresas pueden extraer información útil como preferencia de ciertos productos en base a grandes volumenes de información de ventas, se pueden determinar ciertos patrones a partir de lo publicado en Internet.

Mi duda va por ¿Y qué planean hacer con esa información? ¿Hacer un perfil online de cada uno de nosotros? ¿Determinar si uno es de izquierda o de derecha en base a lo que opinamos? ¿Si aprobamos la gestión del ejecutivo o la rechazamos? ¿Controlar lo que pensamos?

Aún no lo sabemos. Todo lo que he leido al respecto son especulaciones. Lo que sí sé, y eso en base a lo que he visto en el mundo empresarial y lo que he leido, es que esto tiene el potencial de causar problemas de invasión a la privacidad, discriminación por opinión política, entrega de información en forma indebida, etc.

Ahora la otra parte: ¿Cómo defendernos ante esta potencial amenaza? Hay 2 hechos a considerar acá:

  1. Nuestra participación en las redes sociales alimenta nuestro ego, y queremos darnos a conocer al mundo
  2. Las leyes informáticas en Chile son muy pobres, y por si fuera poco, nuestra clase política no se caracteriza por su proactividad. Tiene que haber un desastre mayor para que se acuerden de hacer la pega.
Por esto mismo, nuestro rango de opciones es bastante limitado, aún así no es nulo. Aquí van algunas recomendaciones:
  • No publiques información personal en tus perfiles online. Con tu primer nombre y tu primer apellido basta para que te identifiquen. Nunca publiques información como RUT, teléfono, dirección, e-mail, cuentas de mensajería instantánea (MSN, GTalk, etc). Si quieres que te contacten, que usen los servicios de mensajería de tales redes.
  • Sé cuidadoso al linkear tus redes sociales. Me explico: Cuando pones en tu perfil de Facebook tus direcciones de Twitter, LinkedIn, Blogger, Wordpress, etc., les das más posibilidades a las herramientas de Web Mining de saber acerca de tí. En lo posible limita la visibilidad de esa información a tus cercanos.
  • Twitter no tiene controles de privacidad. Sólo puedes controlar si tu cuenta es pública (cualquiera puede leer tus twitts) o privada (sólo tus seguidores aprobados la pueden leer). Aún así, si tus twitts son privados, eso no te asegura que alguno de tus seguidores que tenga su cuenta pública retwittee (RT) algo que tú hayas posteado en privado y lo exponga.
  • Facebook (perro) no es precisamente la herramienta más honorable en términos de privacidad. Recientemente lanzó una función de auto-etiquetado de fotos sin avisarle a nadie. Mantente atento, conoce los controles de privacidad de Facebook, limita la visibilidad de tu información a tus amigos y no aceptes a cualquier persona en tu red de amigos.
La seguridad 100% no existe. Sólo puedes ponerle trabas a los inescrupulosos y dificultarles la pega hasta el punto que les salga demasiado costoso como para seguir. Sigue estos consejos y le harás más dificil la pega al "Gran Hermano Digital".

7 de abril de 2011

Golborne y la falta de empatía de los gerentes.

"Si Chile pudiera (...) en su trabajo reconocer el gerente al obrero... si el obrero pudiera reconocer a su jefe, Chile sería otro Chile"
Coco Legrand, Festival de Viña 2006.

Entre medio del caso de la "Intendenta rebelde" que ha acaparado la atención pública durante las últimas semanas, he estado siguiendo otros temas importantes, como el de la postergación del cambio de hora en Chile por parte de la administración actual.

¿Y de qué más voy a hablar que ya se ha mencionado hasta el cansancio? ¿A favor del retraso? No. ¿En contra del retraso? Tampoco. ¿Los problemas a nivel de administración de sistemas informáticos? Quizás. Pero hay otro tema que se deriva de esto último que es lo que realmente concita mi atención.

Ante el vendaval de críticas que mis colegas informáticos hicieron al Biministro de Energía y Minería, Laurence Golborne, respecto de los problemas de configuración de zona horaria tanto en servidores como en equipos de escritorio, el biministro se defiende con esta joyita:

"No es para tanto...yo trabajé años en informática así que algo conozco el tema. ¿No están parametrizados los sistemas?"
Laurence Golborne a través de Twitter, 28 de Marzo de 2011

Esa frasecita de "¿No están parametrizados los sistemas?" me recordó instantáneamente a esas frases clásicas de gerentes o ingenieros comerciales/industriales que para afuera (clientes, proveedores) se venden como expertos en gestión informática, pero para dentro (equipos de desarrollo, administradores de sistemas) parecen no tener la menor idea de cómo se hacen las cosas en computación:
  • "Ah, pero entiendo que se puede hacer con sólo un SELECT DISTINCT"
  • "Un sitio así lo hacemos en 2 días"
  • "Pero si eso es tan simple como poner un botón para cambiar de idioma"
  • "¿No están parametrizados los sistemas?"
  • etc.
Decidí echar una mirada al currículum del biministro. Ingeniero Civil Industrial en la PUC, OK. Estudios de administración de empresas en Northwestern y Stanford. Bien. Ningún estudio formal en informática ni computación. Partimos mal. "Yo trabajé años en informática", a ver qué dice su currículum al respecto... "... emigró a Orden S.A., firma de software donde fue gerente comercial". Eso no ayuda mucho a la causa. "En 1990 ingresó a Chilgener como subgerente de sistemas y comunicaciones" ¿Habrá tenido contacto con gente del rubro computacional?. Entonces resumiendo, la experiencia en informática del ministro se resume en haber sido gerente comercial y subgerente de sistemas.

¿Habrá programado el ministro alguna vez alguna línea de código? ¿Configurado un servidor? ¿Instalado algun software de administración? ¿Fuera de las tareas, trabajos o proyectos en la Universidad? ¿Habrá escuchado realmente a sus analistas de sistemas, programadores, administradores de sistemas e ingenieros en Orden y Chilgener cuando le decían "Esto estará listo en 1 semana, no en 2 días"?

A lo que voy es que Golborne adolece de un problema clásico de gerentes y administradores: El de minimizar el trabajo de sus colaboradores en informática. Las frases que enumeré arriba son clásicas de gente que nunca ha tocado código o hardware en su vida, o no le dio la atención suficiente para saber que las cosas no salen en tiempo gerencial, sino que en tiempo de ingeniería. Como el caso del cambio de hora. No es llegar y cambiar un simple parámetro. Hay que probarlo, hay que verificar que el cambio no afecte a otros parámetros del sistema. Probar casos de borde. ¿Está el código listo para recibir parámetros que salgan de la norma? ¿Cómo debe reaccionar ante tales eventos? ¿El parámetro "huso horario" tiene que ser un entero? ¿Qué se hace por ejemplo en el caso de Venezuela, país donde el huso horario es UTC-4.5?

Empatía, señores gerentes. Eso es lo que siempre he pensado que, de una manera u otra, se desenseña en las escuelas de administración. Reconocer el gerente al obrero pasa también por escucharlo, tomar en consideración su esfuerzo y el tiempo que le toma desarrollar una tarea. Si Usted cree que el proyecto debería salir mañana, y el ingeniero o técnico le dice que tomará 3 días, no es de flojo, es por que él sí sabe. Usted sabe cómo vender proyectos. Antes de venderlos sepa cuánto tiempo y esfuerzo tomarán, escuche y tome consideración. Así se evitará malos ratos tanto con sus clientes (por entregar productos/servicios con retraso o con baja calidad) como con sus colaboradores (por horas extras trabajadas, stress, desmotivación).

7 de octubre de 2010

El insulto del CNTV

- JACK: El lunes habrá una conferencia de prensa anunciando que ustedes se harán cargo de Studio 60. Sólo puedo esperar que contesten las preguntas de forma que no avergüencen al NBS.
- MATT: No creo que sea problema para nadie... ya que si tú apuntaras una cámara a dos personas masturbándose eso sería de las cosas menos vergonzosas para el NBS.
Matt Albie v/s Jack Rudolph, "Studio 60 on the Sunset Strip"

La noticia del fallo reciente del CNTV que condenó un sketch del programa "El Club de la Comedia" haciendo una parodia a Jesucristo es simplemente horrenda. No soy de los ya ubicuos "líderes de opinión" que pululan en blogs y redes sociales que aprovechan de despotricar de una ante eventos de este tipo. Mi rechazo al fallo pasa por un tema no de lo que hayan hecho los miembros del CNTV, o los argumentos dados, la libertad de expresión ni nada de eso, sino que por un tema de omisión.

"¿Omisión? ¿Qué más podría haberle faltado a ese fallo para cagarla aún más?" Se preguntará más de alguno. Vi la entrevista a Herman Chadwick en CNN Chile y me sorprendió que el presidente del CNTV dijera la frase: "queremos velar por la educación de los niños", como parte de sus motivaciones para amonestar a CHV por la parodia. Ya, y programas como SQP, Primer Plano, CQC, MQH, en fín, todos los programas de farándula nacionales ¿no atentan acaso contra la educación de los niños? ¿No atentan acaso contra los valores cristianos al promover antivalores como el chaqueteo, la envidia, el odio y el escándalo? Ahí es donde clarísimamente el CNTV peca de omisión.

No soy un cura. Dejé de ir a misa hace tiempo. Pero sé de los valores cristianos. Durante 7 años fui miembro de la pastoral de una congregación parroquial católica, así que no soy un recien llegado a la hora de dar mi opinión al respecto. Por lo mismo me siento insultado por el CNTV y sus acciones. Me siento insultado como ciudadano. Me siento insultado como telespectador. Me siento insultado como cristiano.