Antes ya dijimos unas palabras sobre seguridad y cómo es algo que construimos entre todos. Es hora de aprender, de concientizar a la gente, de educar… hoy en particular eso es muy cierto.
Por un lado, vía TechTear Mozilla libera una herramienta para probar software. Básicamente, toma un programa y lo hace trabajar como si alguien lo estuviese usando pero de forma aleatoria. Este tipo de software no es novedad y existe desde hace años (le llaman “Testing Difuso”), pero éste es el primero liberado para ser usado por quien lo desee y con el respaldo de la Fundación Mozilla. Quienes acertadamente dicen que la seguridad de su sistema depende de los usuarios, al liberar esta aplicación sólo les están dando más herramientas.
Sin embargo, Christen Krough, vicepresidente de Opera dice que liberar este tipo de aplicaciones es completamente contraproducente debido a los usos indebidos que se le pueda dar. Mi opinión al respecto es completamente opuesta:
si alguien puede encontrar un agujero de seguridad haciendo uso de las mismas herramientas que podemos tener nosotros nos merecemos que nos hagan lo que fuera que nos quieren hacer
Como si eso fuese poco, via Slashdot me entero que ya existe una forma de obtener acceso a una cuenta con dos clicks. Durante la conferencia de seguridad “Black Hat”, Robert Graham explicó y demostró en vivo cómo podía obtener acceso a una cuenta sin necesidad de saber el nombre de usuario o la password de quien quiera. Lo único que necesitaba hacer es capturar la información que entra y sale de la PC. Cosa que sería muy complicada de no ser por la popularidad de las conexiones WiFi, una puerta abierta para que todos vean lo que hacemos.
Graham desarrolló dos aplicaciones de uso muy específico (que serán liberadas) que permiten obtener acceso a cualquier cuenta que utilice cookies. No importa de qué servicio sea, ni quién la utilice… nisiquiera necesita la contraseña. Sólo obtiene la información de las cookies con un programita, y con otro programita duplica esa información en su propio navegador y voilà, acceso instantáneo. Obviamente, no funciona en conexiones seguras tipo SSL, VPN o sobre SSH.
Nuevamente si no tenemos cuidado sobre cómo accedemos y enviamos nuestra información no podemos pedir que no nos saquen todo.
Depende del lado que lo mires… desde el lado del usuario es un dolor-de-huevos actualmente, ya que se ve limitado en acción. Esto, solo se aplica a unos pocos… los que estamos al tanto… el resto, contentos por el mundo porque parten de la premisa ¿quien me va a querer robar la cuenta a mí?.
En cuanto a las empresas, es un tirón de orejas… una forma de decirles que se pongan las pilas… pero forzados por ese grupo diminuto del primer párrafo que exige… siendo que si no vuelcan cambios… serán pocas las bajas… y como en toda guerra, si las bajas son pocas… -no importa-.
El día que la gente tome conciencia realmente de lo que es la seguridad de sus datos… bueno.. quizás sea muy tarde.
Saludos