Todos a encriptar: chao HTTP hola HTTPS

La mayoría de sitios web suelen empezar con “http://”, mientras que un selecto grupo empiezan con “https://”. Ese selecto grupo solía estar reservado a sitios de compra en línea, bancos y una que otra institución pública. La razón es simple, cuando se ingresa a estos sistemas hay que estar seguros que nadie pueda espiar la información que se envía y recibe de estos sistemas. Por ejemplo, el usuario y la clave de un sistema de banca en línea.

La diferencia entre http y https, es que en el primero nuestra comunicación puede ser fácilmente interceptada sin que nos demos cuenta, mientras que con https esto va a ser muy difícil que suceda. ¿Existe alguna razón por la cuál nuestra actividad en línea pueda ser espiada por terceros? Considero que no, motivo por el cuál hace poco migré este sitio web de http a https. Fue bastante fácil y espero que otros también lo hagan.

¡Este 2017 todos a encriptar! Sigue leyendo

Artículos relacionados

Subgraph OS para la privacidad y anonimato

Me encuentro cursando la maestría de Seguridad Informática en la Universidad de Buenos Aires. Dentro del programa tuve la clase de Sistemas Operativos donde realicé un trabajo de investigación. Aproveché este trabajo para aprender sobre la Distribución Subgraph OS que esta orientada en dar privacidad y anonimato. Más allá de la distribución que todavía se encuentra en una etapa temprana de desarrollo. Existen herramientas que vienen en la misma que nos pueden permitir mejorar la privacidad en cualquier otra distirbución como Tor, cifrado de disco duro, chat cifrado, correo cifrado y más.

El conocimiento debe ser accesible para la mayor cantidad de persona, por lo que comparto este documento con licencia Creative Commons Compartir igual por si alguien quiere mejorarlo.

Artículos relacionados

Interceptan SMS de Telegram para espiar a usuarios en Irán

Según Reuters, usuarios de Telegram fueron vulnerados en Irán. Parte del ataque consistió, con el apoyo de las operadoras de telefonía,  en interceptar mensajes SMS de autenticación cuando se añade un nuevo dispositivo. El SMS que se envía con un número cuando se activa o se cambia de teléfono en servicios como Telegram,WhatsApp, Signal u otros similares.

Una vez hecho esto se puede acceder a los contactos, historial de mensajes guardados en la “nube” ,chats de grupo etcétera. Entendería yo que los mensajes “secretos” estarían a salvo ya que se cifran en el celular.

Telegram publicó su versión y recomienda configurar una contraseña para no depender exclusivamente del SMS de verificación. Sin embargo, al igual que el chat seguro (“chat secreto”), este no es el comportamiento deseado desde el principio.

Artículos relacionados

Acceder a un Computador a través de Tor sin IP Público

Poder acceder a un computador personal de forma remota es muy conveniente, sin un IP pública puede resultar complicado. Sin embargo, se puede utilizar un servicio oculto de Tor y acceder a la computadora a través de ssh y la red Tor.

La configuración es bastante sencilla. Instalamos y configuramos Tor en nuestro PC o servidor para configurar un servicio oculto. Habilitamos el servicio de ssh para ser escuchado como un servicio .onion. Para esto editamos el archivo /etc/tor/torrc y añadimos las siguientes líneas:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 22 127.0.0.1:22

Para saber nuestro url .onion:

# cat /var/lib/tor/hidden_service/hostname
adn6xndfyhgcpl5o.onion Sigue leyendo

Artículos relacionados

#juevesdetertulia sobre Software Libre, Privacidad e Internet

Gracias a las revelaciones hechas por Edward Snowden  sabemos que todos los usuarios de Internet somos espiados por varias de las principales empresas más grandes de la red en conjunto con la Agencia de Seguridad de los EEUU (NSA). ¿Qué podemos hacer para defendernos del espionaje masivo?

La dependencia tecnológica es una de las principales causas por las que somos vulnerables al espionaje. Tenemos que buscar tener soberanía tecnológica en nuestras comunicaciones y esto lo podemos hacer a través del software libre. De esta manera los usuarios tienen control sobre la tecnología que usan y no deben tener fe ciega en los creadores del software propietario o proveedores de servicios en la nube.

El software libre es indispensable para tener privacidad en Internet, pero no es suficiente. A más de software libre se debe aprender a encriptar las comunicaciones para que estas no sean espiadas. Según Julian Assange estamos en una situación parecida a cuando se descubrieron las bacterias y la gente tuvo que aprender a lavarse las manos con jabón. Hoy en día si queremos usar el Internet y tener privacidad, debemos aprender a usar software libre y encriptar las comunicaciones.

Los días jueves a las 20h15 (GMT -5), Fander Falconí organiza debates por Twitter bajo el hashtag #juevesdetertulia. El día de mañana hablaremos sobre #softwarelibre, #privacidad e #Internet. Si bien el evento se lo organiza desde Ecuador, el tema es relevante para toda América Latina, así que espero la participación de varios compañeros de la región compartiendo sus experiencias.

Artículos relacionados

Indignación en América Latina por Espionaje Informático

Actualización 24/jun/2013: El Ecuador se encuentra analizando la petición de asilo de Edward Snowden

En el Mundo Ideal

Luego de las revelaciones hechas por Edward Snowden sobre el espionaje masivo en Internet hecho por la “Agencia de Seguridad de Estados Unidos” (NSA), existe indignación general en América Latina.

La mayoría del tráfico de Internet pasa por EEUU.

La mayoría del tráfico de Internet pasa por EEUU.

Prácticamente todo el tráfico de Internet desde América Latina hacia el resto del mundo viaja a través de los EEUU y por este motivo es susceptible al espionaje. Las gobiernos UNASUR buscan acelerar los trabajos para tener lo antes posible listo el anillo de fibra óptica de la región y buscar conexiones directas a otros continentes. Sigue leyendo

Artículos relacionados

Presentación: Software Libre, Criptografía y Privacidad #spaceapps_ecu

El día de ayer estuve en Guayaquil en la sede del Space Apps Ecuador. Paralelo al hackathon, donde se programaban aplicaciones libres para la investigación espacial, hubo una seria de conferencias llamadas DrabConf.

Cuando me preguntaron de qué quería hablar, pedí hablar sobre los riesgos que tenemos con la privacidad y lo que debemos hacer para protegernos con Software Libre y Criptografía:

Artículos relacionados

Chat Encriptado con Pidgin y OTR

Pidgin es un programa de mensajería instantánea muy popular en el mundo de software libre. Tiene versiones para Linux, Windows y Mac. Con Pidgin se puede utilizar cuentas de chat en los principales servicios ofertados. Esto quiere decir que se puede utilizar Gmail, messenger, Facebook, etc…  Sin embargo, si en realidad nos interesa la privacidad deberíamos utilizar un servidor Jabber. En todo caso vamos un paso a la vez.

Pidgin por si solo no nos da mucha seguridad. Existen 2 plugins de pidgin que permite encriptar el chat a nivel de cliente. Esto es muy bueno porque podemos usar cualquier protocolo de chat y la información pasará encriptada por los servidores. Es decir solo el que escribe y el que recibe podrán leer la información. Hace mucho tiempo escribí un tutorial para utilizar Pidgin con el plugin pidgin-encription.  En este artículo explicaré como utilizar el plugin pidgin-otr que es más seguro.

Si bien la primera parte del artículo se habla sobre como instalar en las principales distribuciones GNU/Linux, la segunda parte sobre configuración de OTR y Pidgin es relevante para Windows. Los usuarios de Mac deberían instalar Adium y buscar la opción de OTR.

Los usuarios de celulares deberían buscar aplicaciones libres que soporten OTR.

Instalar Pidgin y OTR

Aquí explicaré como instalar a través de comandos en distribuciones que usan apt y yum. Utilizo la línea de comando para instalar, pero es probable que lo pueda hacer con las herramientas de paquetería gráficas buscando pidgin y pidgin-otr.

Para instalar Pidgin y OTR en distribuciones basades en apt (Ubuntu, Debian, etc…) bastará con:

sudo apt-get install pidgin pidgin-otr

Supongo que para distribuciones basadas en RPM tipo Fedora se debería poner:

yum install pidgin pidgin.otr

Listo con eso esta instalado Pidgin y OTR. Al abrir la aplicación se debe crear una cuenta. Siga el procedimiento para el sistema de mensajería instantánea que usted utilice. Sigue leyendo

Artículos relacionados

El Espionaje Informático y Wikileaks

La semana pasada escribí un artículo sobre los problemas de privacidad que tenemos en Internet y como el software libre puede ayudarnos a defendernos. Recientemente encontré este video donde en los primeros 50 segundos habla Julian Assange sobre la filtración de documentos Spy Files y dice más o menos los siguiente:

Quién tiene aquí un iPhone? Quién tiene aquí un BlackBerry? Quién aquí usa Gmail? están todos jodidos.

El resto del video es publicidad de la empresa Italiana Hack Team sobre la venta de sus servicios y técnicas de espionaje informático. Un sistema infectado puede prender la cámara, el micrófono, saber las teclas que estamos escribiendo y mucho más. Les invito a buscar 12 minutos de su tiempo para ver el video. Sigue leyendo

Artículos relacionados