DNS Over HTTPS/TLS: Encriptado del tráfico DNS

 

A lo largo de los años, la mayoría de los protocolos “base” con los que se constituyó el Internet que hoy conocemos han ido evolucionando, algunos más algunos menos. Es cierto que la base en la que se sostiene es a groso modo la misma, pero no así los protocolos que están encima de la mesa. El mejor ejemplo es el propio protocolo HTTP, que aunque parezca muy antiguo, realmente su primera especificación es de 1991. Vale, son 27 años, pero Internet podemos datarla más o menos por 1980. Sí, a día de hoy el protocolo HTTP es la base de toda la Internet navegable, pero muy poco queda de esa primera especificación de 1991. En 1996 aparecería la especificación HTTP/1.0, en 1999 HTTP/1.1 (la más usada a día de hoy) y en 2015 HTTP/2.0. HTTP ha evolucionado y es posible que continúe haciéndolo, y HTTP/2.0 ofrece grandes mejoras en todos los aspectos frente a especificaciones más viejas.

HTTPS apareció en 1992, un modo ingenioso, práctico y seguro de poder enviar/recibir la información HTTP de forma cifrada punto a punto, es decir, se cifra y descifra en origen, permitiendo conocer si ha existido manipulación en medio y además añadiendo identificación de las partes por medio de certificados digitales. Ahora, en 2018, HTTPS lo vemos como imprescindible, y con los certificados digitales más a mano que nunca hemos visto como el % de webs que lo han implementado se han disparado. ¿Por qué? Porque después de años de hartazgo de las propias instituciones gubernamentales, de fallos de seguridad, de robos de datos… ahora somos más desconfiados que nunca, y nos gusta pensar que, aunque lo que estemos mirando en Internet sea donde comprar un colchón, nadie va a poder saberlo (Bueno, todo tiene sus limitaciones, claro). Realmente su importancia principal fue y ha sido y será, debido al intercambio de datos privados entre usuario y servidores. Desde usuarios y contraseñas, direcciones postales, tarjetas de crédito, expedientes médicos… todo. Cualquier información que no vaya cifrada punto a punto corre el riesgo de ser leída… y ya no solo por posibles “cucarachas” que se conecten a nuestra red interna, sino (y siendo un poco conspiranoicos), gobiernos, entidades, los mismos ISP…

Pero si existe otro protocolo de igual importancia en Internet, o incluso más, es sin duda el protocolo DNS (siempre por supuesto hablando de protocolos a nivel de aplicación).

 

DNS

Lo primero que debemos de tener en Internet es, como todo el mundo sabe, una IP. Una IP es un identificador numérico que no solo nos hace accesible desde el exterior, sino también poder ir a cualquier rincón de Internet. Las IPs son las verdaderas direcciones en Internet, pero en cambio rara vez tenemos que usarlas. El 99% del tiempo que estamos en Internet, nos valemos de un sistema de nombres (aka dominios) para poder acceder a un servicio/sitio u otro. ¿Por qué? Porque nuestra mente, nuestro cerebro, se le da infinitamente mejor recordar nombres o cadenas de caracteres que una sucesión de números. Para nosotros es infinitamente más sencillo recordar “google.es” que “216.58.201.163”. Basados en esta premisa fundamentalmente, se creó un sistema de nombres (de dominios), llamado DNS (Domain Name System).

Posiblemente el protocolo DNS es de los más sencillos de entender. DNS funciona como un “traductor”, algo así como unas páginas amarillas gigantes. Cuando introducimos un … Leer Más...

¿Que es el nuevo Reglamento General de Protección de Datos (RGPD), que no está dejando títere con cabeza?

 

LOPD (antigua) Vs RGPD

El día 25 de Mayo de 2018 será recordado, con bastante seguridad, por ser un antes y un después, porque han cambiado las reglas del juego, las reglas de un juego en el que el producto era el propio ciudadano, y el vendedor y el comprador empresas de medio mundo. Pero antes de entrar en detalles… ¿Que diablos es la RGPD?

En España llevamos años rigiéndonos por la Ley Orgánica de Protección de Datos (LOPD), supervisada por la agencia de protección de datos. Este organismo ha tenido un papel fundamental en los últimos años, sobre todo si tenemos en cuenta que cada año que pasa nos metemos más de lleno en una sociedad totalmente “tecnologizada”, en una sociedad donde cada vez vale más nuestra información, lo que hacemos, lo que nos gusta, todo. Y si tengo que ser justo, tengo que decir que al contrario de la opinión que tengo sobre como funcionan la mayoría de las cosas aquí en España, la agencia de protección de datos a cumplido con su cometido, ha sido tanto comprensible,  flexible, firme como implacable, en función de las irregularidades, y más importante, de la intencionalidad.

El Reglamento General de Protección de Datos (RGPD) no es una ley ni un reglamento Español, tiene un alcance Europeo, es el acuerdo de años de trabajo de la UE, y digamos que sienta las bases, unas nuevas bases, de como se deben de tratar, recolectar, vender… cualquier dato/información de carácter personal de sus ciudadanos. Esto no va (solo) del mundo digital, ojo, esto se aplica absolutamente a todo. En España, el RGPD sustituye/modificará por tanto la LOPD actual, para darle cabida. Y sí, es de obligado cumplimiento para todos. Nuestra ya vieja LOPD, si bien es cierto que en algunas cosas era más restrictiva, en muchas otras se quedaba corta. El RGPD unifica en territorio europeo las nuevas reglas del juego de los datos personales.

El que más o el que menos ya sabe lo que es la RGPD. Vale, puede que desconociesen lo que estaba detrás, pero lo lleva viviendo cuanto menos desde el 25 de Mayo de este año. Hay que tener bien claro que el RGPD se aprobó hace ya dos años, el 25 de Mayo de 2016, lo que sucede es que se dio un plazo de 2 años para que absolutamente todo el mundo pudiese adecuarse al nuevo reglamento, y la fecha del 25 de Mayo de 2018 sería la fecha límite para empezar a aplicarlo por obligación. Pero como pasa siempre, y pese a esos 2 años de plazo, ha cogido a una cantidad ingente de compañías, entidades, organismos… con un pie fuera, y con dos también. Mientras escribo esto es 6 de Junio, han pasado solo 12 días desde la fecha límite, y os puedo asegurar que la sacudida, la relevancia que está teniendo es épica.

¿Pero que tiene el nuevo RGPD tan “especial” como para afectar tanto? ¿Es tan diferente a la actual LOPD? La LOPD actual ha sido una ley muy positiva, que no siempre se ha cumplido sobre todo a un nivel más de calle, pero tuvo un impacto bastante bueno. El RGPD básicamente no solo devuelve el derecho sobre nuestros propios datos, sino que obliga a cualquiera que los recopile/use/venda/comparta… a:

1º. Especificar de un modo claro, entendible y … Leer Más...

Vuelve a pasar, “un carácter de la muerte” vuelve a los equipos de Apple

Para quien no esté al corriente de otras ocasiones, digamos que actualmente cualquier dispositivo de Apple (iOS o MacOS) por actualizado que esté (excepto versiones betas) provocará el cierre/bloqueo de la aplicación si esta tiene que renderizar un carácter concreto. En este caso es un carácter Telegu, un dialecto Indio: జ్ఞ‌ా

Sí, eso significa que incluso este mismo post producirá el bloqueo/cierre de la aplicación que lo abra en los dispositivos de Apple. Pero esto no es nuevo. Hace ya algunos años pudimos ver algo similar, aunque en aquella ocasión era más bien una cadena de texto: “سمَـَّوُوُحخ ̷̴̐خ ̷̴̐خ ̷̴̐خ امارتيخ ̷̴̐خ”. Ya en su día escribí un pequeño artículo al respecto:

La Cadena de la Muerte

La historia es la misma, de echo todo lo que puse en ese post se podría volver a poner aquí. La única salvedad es que en esta ocasión es un carácter, en vez de una pequeña cadena.

Vemos fallos de seguridad y bugs a diario, nadie se salva de ellos. La mayoría no suelen tener una gran transcendencia por grave que sean debido a que explotarlos es algo complicado. Es aquí donde este tipo de errores alcanza una importancia capital, aunque sea algo inocuo y que no afecte demasiado. Es decir, para que un fallo de seguridad o un bug sea realmente importante se deben de dar una de estas dos premisas: O que el grado de peligrosidad, a lo que afecta, sea enorme aunque sea muy complicado usarlo, o que con independencia de lo peligroso que sea, sea extremadamente sencillo disparar el fallo.

Algo similar vimos hace poco cuando se descubrió que cualquier usuario de MacOS podía resetear la contraseña de administrador de forma extremadamente sencilla, sin conocerla, sin tener los credenciales necesarios. En dicho caso, la peligrosidad, al margen del efecto logrado, es que era algo tan simple como hacer clic dos veces en un botón.

Vivimos ahora mismo en el mundo de las comunicaciones. Es más, la mayoría que lea este artículo lo hará posiblemente desde un teléfono. La mayoría del tiempo que pasamos con nuestros dispositivos es usando aplicaciones de mensajería instantánea, redes sociales, webs… es decir, precisamente los vectores por donde cualquiera, repito cualquiera, podría usar dicho carácter. Muchos podrán pensar que bueno, es cuanto menos “divertido” pero realmente no tiene mucha importancia, quien ha visto alguna vez ese carácter, y que en nuestros círculos no va a suceder. El problema es que mientras que Apple lance la actualización o no, y más sitios se hagan eco, más copias de dicho carácter veremos, en todos lados.

Usas WhatsApp?? No importa, como alguien lo use de esto, los usuarios de iOS que lo tengan a él en la agenda y vea la lista de estos no podrán abrirlo. Y en grupos?? Prueba y verás la gracia. No es peligroso desde el punto de vista que no van a robarte información ni acceder a ella, ni van a producir un daño a tu dispositivo irreparable, ese no es el problema. El problema es que sencillamente cualquiera puede dejarte inutilizada la mayoría de aplicaciones que se usan a día de hoy, ya sea por diversión, a modo de prueba…

Actualmente, como he dicho, no hay solución. Sólo la versión Beta de iOS última parece solucionarlo. Pasarán posiblemente días o alguna semana antes de que Apple lance una … Leer Más...

Cómo me “enamoré” de Xiaomi

No hay demasiadas “actitudes” que me den más pena que el fanatismo que existe a día de hoy; prácticamente sobre cualquier cosa. Siempre he creído que se puede ser fan de cualquier cosa, pero hay que tener cuidado de no convertirse en un fanático. Para mi la diferencia radica en que el fanático se deja llevar ya no sólo de un modo desmedido, sino sin atener a razones, motivos, números, explicaciones… Cuantos fanáticos conocemos, adoradores de alguna marca, que año tras año, y como si fuese un sectarismo, se acude a la misma por razones que por lo general son en el mejor de los casos vagas, sin sostenerse (las razones), dejándose llevar por el marketing o las opiniones del de al lado, y no mirando las verdaderas necesidades que uno pueda tener.

Antes que nada, y para evitar aquellos mal pensados, quiero dejar claro que jamás he recibido hasta la fecha un sólo céntimo (ni directa ni indirectamente) por parte de Xiaomi, ni regalías ni favores. Todo lo que expongo a continuación es mi mera opinión basada en estos últimos años. Como he hecho otras veces, antes que Xiaomi, cuando una compañía hace las cosas bien, creo que también hay que decirlo. Repito, es mi experiencia, estoy seguro que no habrá sido la misma para todos, y por supuesto respetando a cualquiera que pueda tener otra idea de ello.

 

Dejadme, a modo introductorio, contaros una historia

Aun a día de hoy hay quienes dicen que soy demasiado crítico con algunas empresas/marcas, especialmente con Apple. Bueno, para quien no lo sepa, mi blog original lo creé porque estaba cansado de aguantar algunas censuras y restricciones que tenía en, no recuerdo ya siquiera cual fue, foro precisamente sobre iPod Touch/iPhone. Puedo decir que adquirí el mío mucho antes de que se comercializasen aquí en España, y como me ha pasado siempre, empecé a destriparlo todo lo que pude, y a estudiarlo. Pero iPhone no era lo que es hoy, ni tampoco Apple. Lo más gracioso de todo es que la inmensa mayoría le da el éxito de los terminales actuales a Apple, y la historia es bien diferente, al menos para los que la conocen. Por aquel entonces no podía instalarse absolutamente nada en el dispositivo, no había una AppStore, no había SDK para crear aplicaciones, no había nada. El iPod Touch era un iPod de nueva generación con gran pantalla y táctil, y el iPhone lo mismo pero con posibilidad de realizar llamadas. Tampoco fue un gran shock, y habría quedado ahí si no fuese por los verdaderos autores del “boom”.

¿Que sucedió? que un buen día se logró de forma “sencilla” acceder como root al terminal, y ahí empezó todo. La curiosidad permitió crear aplicaciones nativas simples como servidores SSH, pequeñas utilidades… y poco a poco gracias a ingeniería inversa y la dedicación de la comunidad, aplicaciones con interfaz propia. Ya no sólo podíamos hacer llamadas y tener un teléfono que realmente poco o nada nos daba en comparación a la competencia, ahora podíamos instalar algunas utilidades extras, muy útil e interesante desde el punto de vista de los amantes en tecnología. Y entonces apareció él, para mí siempre será el “padre” de los móviles de hoy en día,  y no precisamente porque se dedicase a fabricar hardware, sino porque fue quien logró que se … Leer Más...

¿Un fallo de seguridad en High Sierra (MacOS) permite acceso Root a cualquiera? Sí, y más simple imposible

Generalmente no suelo hacer eco de estas noticias a menos que el fallo de seguridad (o el exploit) tenga una relevancia/peligrosidad tan elevada. Y es que creo que a estas alturas el que más o el que menos (y si tiene High Sierra espero que seguro) que esté en el “mundillo” habrá escuchado las noticias por todos lados. Sinceramente, creo que nos tenemos que remontar a la famosa “Cadena de la Muerte“, en 2013, para encontrar algo tan flagrante, y en esta ocasión Apple se ha superado, lo ha logrado, nadie lo sabe bien pero lo ha conseguido, basta invocar la cuenta Root en el sistema para que este la cree en ese momento y le asigne una contraseña en blanco. Dicho de otro modo, si cualquiera se pone delante del sistema tenga la cuenta que tenga e intenta entrar/usar el usuario “root”, sin especificar ninguna contraseña, al segundo intento generalmente entra (El primero la crea, el segundo accede).

Bien, no hace falta decir que el usuario root es por lo general la cuenta/usuario maestro en casi todos los sistemas UNIX/Linux, el super administrador. Es decir, que como tal usuario tendremos acceso total al sistema. La cosa es aun peor, porque si el equipo tiene habilitados servicios de acceso remoto, la gracia se puede mascar en el aire.

No es un exploit remoto que permita ejecución arbitraria de código, es un bug en principio con alcance local, y como tal requiere acceso físico al equipo. No obstante a nadie se le escapa la gravedad del asunto. Para usuarios particulares que usen el equipo en entornos digamos de confianza o familiares o… generalmente no va a suponer un gran problema si los que nos rodean tenían acceso igualmente al equipo de forma indiscriminada, pero en entornos más empresariales, equipos portátiles que en cualquier momento puede ser “dejado” en cualquier lugar, el problema no tiene parangón.

La cosa es aun peor, y es posiblemente una de esas políticas que tanto tiempo llevo recriminando a Apple con más intensidad. La falta de actuación y transparencia. Este fallo no ha sido descubierto hoy, Apple lleva tiempo con conocimiento de ello. Es más, hace más de dos semanas se comentaba abiertamente en los foros de soporte, e incluso por lo que dicen, se daba como solución a usuarios que necesitaban acceder a sus propios equipos como Root. En cambio, como siempre, silencio. Hoy, por el motivo que sea a saltado a la prensa, y nos hemos enterado la mayoría (personalmente no tenía constancia de ello), y como Apple hace siempre, es cuando lanza un comunicado diciendo que tendrán la actualización lista para solucionarlo “pronto”. No dudo en absoluto que lo solucionen pronto, eso no me preocupa, ni siquiera en realidad este bug por grave que sea, lo que me preocupa es la falta de inacción por parte de Apple, y que sólo se pone las pilas cuando el problema se escala a los medios de comunicación. La “cadena de la muerte” estuvo funcionando durante semanas sin que se solucionase incluso siendo ya un “vox populi”. Dicho de otro modo… si algo tan sencillo y tan absurdo como este bug (y tan grave) lleva semanas rondando por los foros oficiales de Apple y no han hecho nada, ¿qué exploits/bugs habrá en la trastienda (con conocimientos o sin ellos por parte … Leer Más...

Volver a arriba

Sobre Mí

Alma Oscura por Theliel is licensed under a Creative Commons Reconocimiento-No comercial-Sin obras derivadas 3.0 Unported License.
Política de Privacidad.
Para otros permisos que puedan exceder el ámbito de esta licencia, contactar en blog.theliel.es/about/contactar.