¿De verdad crees que estás totalmente seguro en Internet?

Iniciado por wolfbcn, 27 Agosto 2012, 14:16 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

A veces parece que estamos protegidos en Internet, cuando en realidad es sólo una ilusión.

A veces, nuestra percepción de que algo es seguro en Internet se basa simplemente en un icono o una palabra. "Datos cifrados", "Conexión segura"... Y pensamos que entonces todo está bien, que estamos protegidos con nivel casi militar. Sin embargo, esto no es siempre así: hoy vamos a comentar dos casos muy comunes, en los que parece que estamos protegidos cuando en realidad no es así. Y los ejemplos los conoceréis y probablemente usaréis: son Amazon y Dropbox.

Conexión segura sólo para poner usuario y contraseña: sigues siendo vulnerable
Todo parece muy seguro, ¿verdad? Veremos que no es así en realidad.

Esta es una práctica demasiado extendida, por desgracia. La sensación de seguridad te la da el candado y las señales de "Página segura" cuando pones tu usuario y contraseña en una página para identificarte. Perfecto. Gracias a eso nadie podrá interceptar ni tu usuario ni tu contraseña.

Lo malo viene después. Una vez que has entrado en tu cuenta, la página vuelve a HTTP normal. Tus datos se envían sin cifrar por el aire. ¿Qué tiene de malo? Pues que te pueden robar la sesión. Cualquiera que intercepte esos datos de sesión (almacenados en las cookies) podrá ponerlos en su navegador y suplantar tu identidad en esa web.

Y no es un procedimiento difícil. De hecho, si tenéis ganas y un poco de paciencia, podéis hacerlo vosotros mismos con una de las webs más conocidas de todas: Amazon. Sí, efectivamente, cualquiera podría suplantaros en Amazon con no mucha dificultad. ¿Cómo conseguirlo?

Primero, entrad con vuestra cuenta en Amazon. En vuestro navegador, abrid el inspector de cookies (en Chrome, clic derecho en la página, inspeccionar elemento y pulsad "Recursos"). Buscad las cookies de Amazon: habrá unos cuantos pares de un nombre y un valor. Entonces, abrid una ventana de incógnito o en otro navegador donde no estéis identificados en Amazon.

Por cada uno de los pares de cookies que haya en el inspector, poned en la barra de direcciones del navegador el siguiente código: javascript:document.cookie="nombre=valor";, sustituyendo nombre y _valor por lo que corresponda, pulsando Intro y actualizando si la página de Amazon desaparece. Cuando hayáis acabado con todas, enhorabuena, habéis entrado en vuestra cuenta sin poner ni una sola contraseña. Como comprenderéis, hacer esto de forma automática no sería nada difícil para un atacante más experimentado que yo (es decir, para el 99.99% de los hackers de por ahí).

Como conclusión: los sitios web tienen que darte una conexión segura desde el momento en el que te identificas hasta que sales de él. Si no, toda esa seguridad aparente no sirve para nada.

Mis datos están cifrados, pero, ¿quién tiene la clave?
Quien tiene la llave, tiene el poder.

Imagino que todos sabréis más o menos cómo funciona el cifrado de datos. Tenemos un algoritmo de cifrado al que le pasamos los datos junto con una clave. Tras hacer una serie de operaciones, el algoritmo nos devuelve unos datos cifrados, que sólo se pueden descifrar y volver a leer si tienes la clave.

Bien, ahora que tenemos lo básico vamos a hablar de los muchísimos servicios de almacenamiento online que nos dicen que nuestros datos están cifrados. Pongo como ejemplo Dropbox porque es de los más usados, aunque también entran SkyDrive y Google Drive entre otros.

La pregunta que hay que hacerse es: ¿alguno de vosotros ha visto alguna vez esa clave de cifrado? (Y no, no es vuestra contraseña) Nadie, ¿verdad?

Y ese es el problema. ¿De qué me sirve que mis datos estén cifrados en la nube si es Dropbox el que tiene la clave? Si algún atacante entra en su servidor y encuentra las claves estás vendido. Además, esto también tiene un problema de privacidad: como es el proveedor y no tú quien tiene las claves, ellos pueden descifrar y leer tus archivos. Aunque no lo hagan sistemáticamente, pueden hacerlo.

La solución sería tener lo que se llama "Client Side Encryption", o cifrado en cliente. Pero, como por desgracia suele ocurrir, más seguridad traería más inconvenientes: tendrías que instalar tu clave de cifrado en cualquier ordenador que sincronice con el servidor, y además crear clientes móviles y web sería más difícil.

Además, las subidas incrementales (cuando sólo has modificado una pequeña parte de un archivo y no subes todo el archivo entero) o evitando duplicados (cuando el servidor ya tiene una copia de un archivo que quieres subir, no hace falta subirlo de nuevo) serían mucho más complicadas de hacer ya que no podrían descifrar y analizar esos archivos.

Es importante que tengáis en cuenta todo esto a la hora de elegir un servicio de almacenamiento en la nube. Puede que este nivel de seguridad os sirva a muchos, pero si realmente estáis preocupados podéis usar otros servicios más blindados, como Wuala, por ejemplo.

Sólo he puesto dos ejemplos, pero estoy seguro de que hay muchísimos más casos de seguridad aparente, donde a pesar de que tenemos la sensación de estar protegidos seguimos siendo vulnerables. Si conocéis alguno, estaremos encantados de discutirlo en los comentarios.

Imagen | Bohman

FUENTE :http://www.genbeta.com/seguridad/de-verdad-crees-que-estas-totalmente-seguro-en-internet
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

WIитX

Esta claro que internet no es seguro, hace un tiempo un hacker que llevava la seguridad, era español y eran como preguntas que le hacian y el mismo dijo que nunca estaremos seguros en internet puedes estar seguro pero nunca totalmente.

Buen aporte.

PD: El video lo vi en youtube
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)

chocola

Yo actualmente uso Dropbox para el almacenamiento online, pero cuales es servicio de almacenamiento mas seguro y fiable actualmente ?

Gracias.

#!drvy

#3
Que pena me dan los de genbeta y su desinformación en muchas áreas...

CitarY ese es el problema. ¿De qué me sirve que mis datos estén cifrados en la nube si es Dropbox el que tiene la clave? Si algún atacante entra en su servidor y encuentra las claves estás vendido. Además, esto también tiene un problema de privacidad: como es el proveedor y no tú quien tiene las claves, ellos pueden descifrar y leer tus archivos. Aunque no lo hagan sistemáticamente, pueden hacerlo.

Solo tu tienes la clave. Al guardar la clave se cifra al igual que todos los archivos que tienes.. por eso si te olvidas de la contraseña te mandan una nueva.. porque esta cifrada y no la saben... si no te mandarían la actual que tienes y pista...

Por eso en Firefox Sync si pierdes la clave perdiste todos tus datos...

Saludos

crazykenny

Esto me recuerda a una imagen que vi hace cosa de unos años en una revista de informatica (las cuales, por cierto, compro "muy" de vez en cuando), en la cual salia una frase la cual decia algo asi como; "no tienes privacidad en internet" u algo asi, no se, puesto que hace mucho que vi la imagen con su respectiva frase.
Muchas gracias por vuestra atencion.
Saludos.
A nivel personal, lo que me da mas miedo no son los planteamientos y acciones individuales, sino las realizadas en grupo, ya que estas ultimas pueden acabar con consecuencias especialmente nefastas para todos.
Se responsable, consecuente y da ejemplo.
http://informaticayotrostemas.blogspot.com.es/2013/12/situacion-de-la-educacion-actual-en.html
https://informaticayotrostemas.blogspot.com/

-- KiLiaN --

"El único sistema totalmente seguro es aquel que no está conectado"
Entren al chat de elhacker.net
    
   

@kln13

beholdthe

Cita de: -- KiLiaN -- en 27 Agosto 2012, 15:50 PM
"El único sistema totalmente seguro es aquel que no está conectado"
Mentira, ese tampoco :D mira lo que paso con STUXNET, si mal no lo recuerdo (tengo mala memoria) se propago en el objetivo mediante Memorias USB, quiero decir con esto que aunque no tengas acceso a Internet, no quiere decir que tu equipo no este infectado de algún modo y eso haga que tenga un comportamiento anómalo, sin ser este necesariamente controlado por una tercera persona a su antojo.

-- KiLiaN --

Bueeeno...modifico "El único sistema seguro es el que no se toca" xD
Entren al chat de elhacker.net
    
   

@kln13

kaiserr

#8
Cita de: -- KiLiaN -- en 27 Agosto 2012, 22:01 PM
Bueeeno...modifico "El único sistema seguro es el que no se toca" xD

Ni aun asi xD a alguien se le ocurriria algun metodo

Hay un dicho que dice que el unico ordenador seguro es quel que esta desconectado enterrado bajo tierra en un cofre sellado y con minas alrededor y blablabla

Era algo asi, seguramente me habre inventado alguna parte

d(-_-)b

Cita de: chocola en 27 Agosto 2012, 15:13 PM
Yo actualmente uso Dropbox para el almacenamiento online, pero cuales es servicio de almacenamiento mas seguro y fiable actualmente ?

Gracias.

a nivel de almacenamiento nada mejor que administrar  tus disco duros y archivos, el almacenamiento online no es nada seguro porque tus archivos estan en no se donde y en mano de quien ?. mira lo que paso con MU.
Max 400; caracteres restantes: 366