HTTPS no añade legitimidad o credibilidad a una Web, brinda seguridad

Share on Google+Share on FacebookTweet about this on Twitter

Llevo ya días que al despertarme me topo con alguna noticia relativa a HTTPS, supongo que los responsables son Mozilla y Google, que desde primeros de años decidieron aplicar algunas medidas coercitivas en sus navegadores, lo que sucede es que como siempre si el usuario medio no entiende lo que quiere decirle un cartel de advertencia, al final da igual.

 

Brevemente, sobre el mensaje “nuevo” que estas dos compañías han instaurado. Es un ejemplo más que muestra el trabajo que cuesta a veces a los usuarios de perfil medio la diferencia entre seguridad y legitimidad de una página. Muchos empezaron a decir incluso que Google iba a advertir con mensajes a los usuarios sobre que una web no era segura… no tiene nada que ver con eso, de echo tanto Firefox como Chrome muestran exactamente lo que tienen que mostrar, la lectura que otros le quieran dar es diferente:

La primera es el mensaje que muestra Firefox, el segundo Chrome, este último también traslada un mensaje en la URL. En esencia dicen exactamente lo mismo. Ambas compañías simplemente muestran en pantalla ese mensaje cuando se dan dos circunstancias: La primera, estamos en un formulario que se reconoce un campo de contraseña donde vamos a introducirla. La segunda es que la Web en cuestión en la que vamos a introducir dicha contraseña no está bajo HTTPS con un certificado válido. Dicho de otro modo, al no estar la web bajo HTTPS, los datos que pongamos tanto en la contraseña como en el nombre de usuario, es posible que sean enviados en “texto plano”, es decir, tal como los introducimos, y por ende podrían ser potencialmente interceptados por alguien que “pinchase” la conexión en cualquier punto de esta.

Hay que entenderlo, no significa que la web sea insegura realmente, o que no sea legítimas. Lo que nos avisa es que si nuestra red no es segura (nos están robando WIFI, tenemos un familiar/amigo travieso conectado a ella, usamos una red pública…), alguien podría potencialmente leer ese tráfico, y claro… a lo mejor no importa tanto saber que visitas una web concreta o incluso el contenido de ella, pero si importa y mucho si lo que capturan es la contraseña de tu correo electrónico, de acceso a un servicio. Pero repito, nada tiene que ver con legitimidad o fiabilidad, y es más, esa advertencia puede no ser importante si sabemos perfectamente desde donde nos conectamos.

 

Volviendo al asunto original del artículo, estoy aburrido de leer “noticias” sobre HTTPS, Certificados TLS/SSL, “seguridad”… y casi todos ellos sesgados. El último ha sido esta tarde… no me gusta tirar tierra a nadie y respeto el trabajo de cualquiera, pero creo que hay que ser más riguroso en lo que se escribe, y por citarlos, hablo de un artículo en Xataka. A veces una coma o el modo de decir las cosas no importa y se sobre entiende, pero otras veces el significado es muy diferente sólo con que falte un acento. En este caso, y cito textualmente encontramos el problema de siempre, algunas frases muy poco afortunadas:

“Esto quiere decir, que una dirección web en la que tengas que empezar escribiendo https:// en vez del clásico http:// será siempre mucho más segura, ya que certifica que la web visitada es legítima…”

“Chrome están empezando a señalar como inseguras todas las páginas que no lo utilicen”

Leer Más...

¿Son realmente necesarios los Antivirus? ¿Causan más mal que bien?

Share on Google+Share on FacebookTweet about this on Twitter

Buenas compañeros.

Es de estas veces que… digamos que estás haciendo alguna cosa sin demasiada importancia y sin necesidad de atención, mientras lees algunas publicaciones aquí o allí. Y de pronto me he topado con un artículo publicado por Robert O’Callahan, persona bien conocida (en el mundillo) y que sigo desde hace tiempo, con un gran talento como ingeniero de software, y un poco siempre controvertido. Robert O’Callahan ha sido Ingeniero de Mozilla durante muchos años, siendo una pieza fundamental de ellos, un gran programador, experto en seguridad y bueno… creerme, es cierto que siempre ha sido políticamente incorrecto, pero sabe de lo que habla.

El artículo no tenía desperdicio, animo a todos a leerlo: “ Disable Your Antivirus Software (Except Microsoft’s)“. Cuando cualquiera escribe sobre temas que conoce (o cree conocer), sus palabras pueden ser más o menos escuchadas y tenidas en cuenta por un grupo de seguidores o lectores, pero cuando personas de cierto y conocidas por su trabajo hacen comentarios tan tajantes, se arma un revuelo… y no es para menos.

Para quien no quiera leerse el artículo o vaya regular en Ingles, se lo resumo de forma sencilla:

En primer lugar, O’Callahan aprovecha para recordar que al no estar de momento en Mozilla (espero sinceramente que vuelva), tiene “libertad” en poder expresarse de forma abierta ya que a fin de cuenta no representa ni la opinión ni palabras de Mozilla y está desvinculado de ellos. Esto nos dice que muy posiblemente Mozilla piensa igual en general, sólo que como es normal no puede hacer afirmaciones tales por las repercusiones que tiene, como veremos luego.

A continuación, hace un pequeño resumen exponiendo que los Antivirus, lejos de hacer nuestros sistemas más seguros, por lo general lo que logran es hacerlo más inseguros, crearle agujeros de seguridad, son invasivos, matan el rendimiento y generalmente por raro que parezca no cumplen las normativas básicas de seguridad de software, con un código mal optimizado y problemático. Y desde el punto de vista de ellos como desarrolladores de software, específicamente navegadores Webs, afirma también que una parte muy importante del tiempo dedicado por los desarrolladores es precisamente tener que lidiar con los fallos de seguridad y otros de los propios antivirus, por supuesto da ejemplos de ello.

Muchos han visto esto como un guiño a Microsoft, por Windows Defender, pero en lo personal no creo que sea así, y en parte lo explica. La gran diferencia entre Windows Defender (En Windows) y cualquier otro AV como pueda ser Symantec, Avira, Avast… (pongo 3, pero en general cualquiera), es que Defender en primer lugar está integrado en el sistema y mucho más optimizado, en segundo lugar Microsoft por política somete a todo su software a estrictos controles de seguridad y estándares que deben de seguir, cosa que la mayoría de empresas de software no hacen, y en tercer lugar porque para lo que sirve un AV, Defender cumple con lo que necesita cualquiera. Dicho de otro modo… Windows ya tiene su propio AV/AntiMalware que funciona bien, para que usar software de terceros que puede provocar todo tipo de problemas.

Bien… cualquier que me conozca, sabrá lo que pienso al respecto: Estoy totalmente de acuerdo con sus palabras.

Es complicado hacer este tipo de afirmaciones y más para ellos, como bien dice. los desarrolladores de Software tienen que trabajar a fin de … Leer Más...

Let’s Encrypt

Share on Google+Share on FacebookTweet about this on Twitter

le-logo-wide

Llevo ya un tiempo queriendo escribir algunas palabras sobre esto por dos motivos. El primero, debido a la gran importancia que a día de hoy debería de ser mantener las comunicaciones seguras entre los equipos de los usuarios y los servidores remotos, y en segundo lugar por lo que, desde mi opinión claro está, es la gran labor que han llevado a cabo y están realizando todos los que están detrás del proyecto de “Let’s Encrypt”.

Como es costumbre, vamos a hacer una pequeña introducción para explicar en primer lugar un poquito de todo esto para quienes no sepan de ello, y para los que sepan y aun estén recelosos clarar algunas dudas.

 

¿Que es Let’s Encrypt?

La versión corta y reducida es la que podemos encontrar en su propia web: https://letsencrypt.org/:

“Let’s Encrypt is a new Certificate Authority: It’s free, automated, and open” (Let’s Encyrpt es una nueva Autoridad de Certificación. es gratuito, automatizado y abierto).

Internet no se construyó en su origen para ser seguro, de tal modo que en su versión simplista se trataba de poder enviar información desde un punto a otro. Los años, y más los tiempos que corren, demostraron que eso está muy bien, pero se hacía necesario algún sistema de cifrado punto-a-punto que asegurase dicha comunicación. Los cifrados punto-a-punto se denominan así (ahora de moda con las aplicaciones de mensajería instantánea) porque el contenido se cifra/descifra en los extremos, es decir… se cifra en nuestros dispositivos y circula de ese modo hasta llegar al destino, haciendo que sea, en teoría siempre, poder “leer” dicho tráfico si alguien intercepta la comunicación en cualquier punto de dicha travesía. De este modo tan solo el origen y el destino de dicha comunicación podrían entender lo que están enviando/recibiendo. Esto fue vital para Internet, y así nació HTTPS, que todos estamos hartos de ver.

HTTPS se fundamenta en el uso de los protocolos TLS y SSL, los cuales a su vez su funcionamiento radica en el uso de lo que llamamos certificados digitales para poder crear un entorno de cifrado asimétrico (ya sea RSA, ECC…). Esto ya hablé bastante en su día, así que no voy a repetir el grueso de todo aquello, quien le interese, creo que estaba en el artículo de Seguridad: Encriptación y Autentificación (cap 4). Abreviando mucho, digamos que, al menos, el servidor al cual los usuarios se conectan para iniciar su comunicación de forma segura debe de poseer un certificado digital que será enviado al cliente al iniciar la conexión y que le dará a este toda la información necesaria para realizar esa conexión, como la clave pública que usará el cliente para cifrar la clave simétrica de sesión, los algoritmos a usar para el cifrado… e igualmente importante, los datos necesarios para que el usuario PUEDA VERIFICAR LA CORRECTA IDENTIDAD DEL SERVIDOR AL QUE SE CONECTA, empezando por el CA (Autoridad de Certificación) que emite dicho certificado.

El cifrado es esencial si queremos que nuestras comunicaciones no puedan ser leídas en ningún punto hasta su destino (evidentemente sobre todo cuando estamos transmitiendo información que pueda ser confidencial o importante como usuarios/contraseñas, tarjetas de créditos, datos personales..). Esto no es un problema para TLS/SSL, y a día de hoy si la implementación TLS/SSL es buena y usando las versiones más actuales y otros, el cifrado es, en la práctica, imposible … Leer Más...

Google I/O 2016

Share on Google+Share on FacebookTweet about this on Twitter

De nuevo, otro año más, volvemos a la carga, y de nuevo antes de las vacaciones de verano. En esta ocasión parece ser que que el Keynote será retransmitido en 360º, así que ya tenemos la primera novedad de todas. Está claro que este año se va a seguir apostando por la realidad virtual, y casi con toda seguridad veamos un nuevo CardBoard (o la evolución de este). Pero… que más??

Está claro que se van a hablar de muchas cosas, pero creo que al final podemos resumir las novedades en dos grupos:

El primero y quizás más importante son aquellas que van enfocadas directamente a los productos actuales y que afectan o pueden afectar desde hoy. Recordemos el gran éxito que fue Google Photos y sus novedades el año pasado.

El segundo son productos igualmente interesantes o servicios que podremos tener más cerca. Quizás un nuevo Cardboard?? Quizás unas nuevas Google Glass?? Un ChromeCast?? o mejor aun, alguna novedad que ahora mismo no podemos siquiera hacernos idea ¿?

Bien, comienza la cuenta atrás, en unas horas lo sabremos. Lo mejor de todo es que por suerte o desgracia, y aunque suene mal decirlo por el poder que ostenta Google en ello, de lo que salga esta tarde del Keynote tendrá una repercusión directa y enorme en la gran mayoría, a fin de cuenta, quien es capaz de decir a día de hoy que no usa algún servicio de Google 😉

 

Leer Más...

eMail: SPF+DKIM = DMARC

Share on Google+Share on FacebookTweet about this on Twitter

Una pequeña reflexión antes de empezar

No sé como evolucionará la tecnología en el modo que nos relacionaremos unos con otros digitalmente dentro de unos años, pero me gustaría pensar que el eMail seguirá teniendo ese papel imprescindible. No son pocos los que año tras años auguran su muerte en pos de la mensajería instantánea. Es cierto que para la mayoría de adolescentes y jóvenes, el uso que puedan darle al correo electrónico es anecdótico, y generalmente para realizar reservas, compras y otros. Llamadme nostálgico o de la vieja escuela, pero pese a las virtudes que nos brinda la mensajería instantánea (la cual por supuesto uso de forma constante), lo único que supera a un buen correo electrónico cargado de contenido es una carta matasellada. Por supuesto no entramos en el mundo laboral/escolar/empresarial, donde a día de hoy el eMail sigue siendo completamente indiscutible.

Dicho esto, recordemos que el eMail no es algo nuevo, que data al menos desde 1970!! y poco cambiado desde entonces. Eso son casi 50 años, y evidentemente desde entonces todo ha cambiado.

 

Como funciona a groso modo el eMail

Como siempre, antes de entrar en materia “pesada”, para los que aun andan un poco despistados, un pequeño resumen rápido de como funciona el eMail, importantísimo para comprender la importancia de tecnologías como SPF, DKIM o DMARK.

El eMail, pese a que pueda parecer algo complejo es un sistema de mensajería tremendamente sencillo, se basa posiblemente en unos de los protocolos más simples que podemos encontrar a día de hoy como puede serlo SMTP. Otra cuestión que la mayoría desconoce es que pese a que tenemos proveedores de eMail a lo largo y ancho de todo el mundo, en realidad cualquiera puede enviar un eMail sin tener siquiera una cuenta propia, y que incluso podría crearse una sin demasiada complicación. Esto es así porque el eMail se creó como modo de comunicación sencilla, sin mirar cuestiones de seguridad o las posibilidades en la suplantación de identidad o…

La Wikipedia nos deja una imagen que ilustra bastante bien el funcionamiento del eMail:

correo

Un usuario envía un texto correctamente formateado a un servidor SMTP para que realice el envío (1), indicando entre otras cosas quien lo manda y a quien se lo mandamos. Este servidor SMTP lo primero que hace es consultar el destino de dicho correo, para lo cual lee el realm de la dirección de destino, es decir, el dominio al cual se envía, la parte derecha de la dirección, y realiza una consulta DNS al registro MX de dicho dominio, pues dicho registro se usa precisamente para ello, para conocer donde se encuentra el servidor de Correos de dicho dominio (2). El servidor DNS de dicho dominio devuelve la dirección de su servidor de correos (3) al servidor SMTP. Este al conocer ya el servidor al que debe de enviarlo, conecta directamente con el y entrega el correo en dicho servidor (4). Dicho servidor debería de reconocer la dirección de correo a la que está destinado, así que lo colocaría en su bandeja, a la espera de que el destino lo reclamase por medio de POP/IMAP (5).

Esta otra imagen muestra lo que sería un esquema más real de todo ello, más completo (no tenía muchas ganas de crear un esquema propio, así que espero que no se moleste oasis-open.org)

howemailworks

El usuario envía un correo … Leer Más...

Volver a arriba

Sobre Mí

Cambiar a la versión para móviles

Creative Commons License
Alma Oscura por Theliel is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 3.0 Unported License.
Basado en el trabajo de blog.theliel.es.
Para otros permisos que puedan exceder el ámbito de esta licencia, contactar en blog.theliel.es/about/contactar.