Sobre la privacidad en la empresa y el email

En esta url podéis encontrar un artículo muy interesante sobre la privacidad y la posibilidad de que desde la empresa se vigilen los emails y sobre todo el contenido de los mismos.
http://www.elpais.com/articulo/internet/jefe/controla/e-mail/elpeputec/20071221elpepunet_1/Tes

Os adjunto parte del contenido del artículo, ya que parece existir algún problema con el enlace.

Según una reciente sentencia del Tribunal Supremo, las empresas pueden vigilar cómo usan sus trabajadores el correo, aunque lo tienen más difícil para leer los mensajes

(ARTÍCULO PUBLICADO EN EL PAÍS POR LORENZO CALONGE - Madrid - 21/12/2007)

¿Puede estar seguro un trabajador de que ningún ojo oculto de la empresa lee sus correos electrónicos? El mail se ha convertido en los últimos tiempos en una herramienta indispensable en la mayoría de los empleos, pero la incertidumbre sobre su uso y control ha sido grande hasta hace poco.

El panorama, por fortuna, se ha despejado bastante gracias a una reciente sentencia del Tribunal Supremo. "Las empresas pueden fiscalizar el correo profesional de sus empleados para comprobar que cumplen con sus tareas, ver el número de mensajes que envían, con qué peso... Estos controles los suele admitir la justicia sin mayores exigencias", explica Javier Aparicio Salom, socio del departamento de Propiedad Intelectual y Protección de Datos de Cuatrecasas.

Lo que tienen más complicado es acceder al contenido de los correos. "Sólo se pueden leer los e-mail cuando existen circunstancias graves, cuando no pueden utilizarse otros medios de investigación. La invasión de la intimidad debe ser siempre la mínima posible", apunta Aparicio Salom. "Cualquier sistema de control tiene que ser idóneo, proporcional y necesario", remata Javier Ribas, socio de Landwell- PricewaterhouseCoopers.

Las empresas no tienen carta blanca a la hora de vigilar. Los delitos que más persiguen (deslealtades graves, desvelar secretos a la competencia...) son "abstractos, lo que deja un gran margen a la interpretación, pero esto no significa que puedan entender lo que les convenga en cada momento, sino que deben valorar si las circunstancias son tan graves como para justificar una limitación de las libertades de los empleados", señala Javier Aparicio, de Cuatrecasas. Las compañías se mueven a menudo, pues, en terrenos pantanosos y poco claros, con el riesgo de extralimitarse en su control, con lo que eso puede suponer legalmente para ellas.

Cada vez más despidos por un mal uso

Proteger la propiedad intelectual e industrial es la preocupación principal de las compañías a la hora de ejercer unos controles que cada vez son mayores, tal como recalcan Aparicio y Ribas. Conocer a qué dedican exactamente los trabajadores su jornada laboral también importa, aunque en un segundo plano.

No existen datos oficiales, pero ambos abogados expertos en esta materia, tanto Javier Ribas como Javier Aparicio, aseguran que el número de despidos ha crecido por este motivo. La horquilla de medidas sancionadoras cuando un empleado es cazado in fraganti oscila entre no hacer nada y perseguirlo penalmente.

Los trabajadores, eso sí, tienen derecho a conocer si su correo electrónico de empresa puede ser controlado. Cómo se informa de ello depende de cada empresa. En Cuatrecasas, por ejemplo, aconsejan la firma de un documento que explique las normas de uso de las diferentes herramientas de trabajo. Ribas, por su parte, de Landwell- PricewaterhouseCoopers, cree que "es recomendable que se establezcan cláusulas específicas en los contratos de trabajo o, incluso, en los convenios".

Los correos personales, inviolables

Todos estos controles afectan a las cuentas de correo profesionales, pero nunca a las personales. Éstas se encuentran protegidas de forma total por el Código Penal, al igual que una carta tradicional o el teléfono. Se trata de un medio de comunicación absolutamente privado y personal. "Cualquier intento del empresario de acceder a su contenido sin un mandato judicial será constitutivo de delito", subraya Aparicio Salom.

La sentencia dictada por el Tribunal Supremo el pasado septiembre ha resultado clave para sentar los criterios que a partir de ahora seguirán los jueces en este asunto. "La jurisprudencia no era unívoca y ello generaba inseguridad jurídica e incertidumbre en el momento de fijar una política corporativa para el uso de los sistemas", comenta Javier Ribas. "La sentencia del Tribunal Supremo ha eliminado esta incertidumbre, pero ahora las empresas deben realizar un esfuerzo para adaptarse a los nuevos criterios, ya que en la mayoría de las compañías no hay normas", concluye el socio de Landwell- PricewaterhouseCoopers.

Cantidad o Calidad

Ja ja ja. Ya sé a que suena, pero me voy a explicar y lo entenderéis.
Estoy trabajando en la sustitución de una red LAN obsoleta y tengo que plantearme que características deseo para la nueva red en general, como sistema y en particular que voy a exigir al core y los conmutadores de acceso.
Hoy en una presentación de una exposición sobre materiales de alta tecnología, aplicados a las prácticas deportivas, uno de los oradores, enseñándonos una raqueta de tenis, nos decía: " Hoy en día, la tecnología aplicada al desarrollo de las raquetas, se esfuerza en conseguir materiales y productos más ligeros y más resistentes, pero los tenistas de élite, no usan ni las más ligeras ni las más resistentes. Esto se debe a que prefieren aquellas raquetas que les permiten tener una mayor sensación de control sobre la raqueta y sobre la pelota."
Me resultó interesante oír esto y al tiempo pensé en otro ejemplo. Es posible que a un corredor, no le interesen ni las zapatillas más ligeras, pero si aquellas que, aun con algo más de peso, sean más cómodas o mejoren el agarre al suelo, permitiéndole aumentar la velocidad.
¿Para que sirve una LAN?. Escoged vosotros:

1. Para llevar enormes cantidades de datos, de una lado a otro, a la mayor velocidad posible
2. Para llevar la información de un origen a un destino, con las mayores garantías se seguridad e integridad.

Posiblemente una mezcla de ambas es la mejor respuesta, pero ¿cual consideras más importante?.
Yo tengo una respuesta a esta pregunta, sin duda, la seguridad y la fiabilidad. Todos sabemos que en muchos casos se debe sacrificar la operatividad, para aumentar la seguridad, y estos sacrificios no dudamos en absoluto en realizarlos.

Revisando algún artículo sobre conmutación a nivel LAN, me he sorprendido de descubrir que la tecnología ha evolucionado muy poco en cuanto a la velocidad de los enlaces. Hace años, cuando compramos la primera red, se empezaba a utilizar la tecnología Gigabit, y se mencionaba la 10G, pero hoy nos encontramos, unos cuantos años después, con importantes limitaciones para garantizar que un conmutador con enlaces 10G no tenga bloqueos.
Ahora podríamos tirarnos de los pelos y decir, ¡Quiero 10G en todos mis enlaces!, pero, ¿lo vamos a utilizar?. Antes deberíamos de medir el uso de los enlaces, verificar si nuestros enlaces Gigabit, ya andan cerca de la saturación, y si no podríamos aligerar el tráfico en la red o agregar canales de enlace.

Como "afortunado" administrador de la red, hoy en día me preocupa mucho más la seguridad que la velocidad. La gente siempre podrá quejarse de que su PC va lento, incluso hay quien afirma que va más rápido que su PC, pero lo que nunca te perdonarán es que su información se pierda (resulte alterada), o que sea vulnerada la privacidad.
Considero que el esfuerzo a la hora de adquirir una nueva red LAN o de renovar la existente, debe ir orientado, principalmente a mejorar los mecanismos de control de acceso a la red y a la información, y que en un segundo plano deben quedar las latencias, los anchos de banda y demás medidas de velocidad.

Eficacia o eficiencia. Obviamente primero es la eficacia, alcanzar todos los objetivos, y después de esto, la eficiencia, alcanzarlos de la mejor manera posible, en este caso, la más veloz.

Recurriendo a otra frase publicitaria, a veces tan socorridas, a falta de memoria de nuestro excelso y fabuloso refranero: "La potencia sin control no sirve de nada". Venga, uso el refranero: "Quien mucho corre, pronto para".

Obviamente, podéis tener otras opiniones, y me gustaría que si consideráis que es más importante potenciar la velocidad de la red, que aumentar el control de acceso o control del tráfico que por ella circula, me hiciera cambiar de idea.

Un saludo y buenas noches.

Objetivo de una auditoría de seguridad

En mi empresa, por falta de tiempo, hemos encargado una auditoría de seguridad a una empresa externa.
No hemos invertido nada de tiempo en saber qué es seguridad.
La inquietud personal me ha movido a leer algo del tema y voy a reflejar en este blog mis avances y cosas que vaya descubriendo.
Perdonad me de antemano mi falta de asiduidad, pero soy muy inconstante.
Lo primero que veo del trabajo que están desarrollando esta gente es lo inútil y poco duradero que resultará. Me explico.
Esta gente, está realizando un estudio de vulnerabilidades, analizando puertos y todo lo que sigue. Nos presentan un listado de las máquinas que han estudiado y sus vulnerabilidades, eso si, explicadas.
Ahora bien, que hacemos, cerrar la herida y seguir para adelante.
Esto beneficia en corta a la empresa, y a medio y largo plazo a la consultora. La justificación es obvia, hoy resolvemos la vulnerabilidad, pero mañana habrán 'n' nuevas. ¿Que tenemos que hacer?. Claro, volver a contratarles, si lo hicieron de p. madre.
Nooooo!.
Tenemos que aprender de nuestros errores, es decir, saber como es posible que esa vulnerabilidad estuviera allí, sin darnos ni cuenta. Pero más importante aun que esto, es establecer unos procedimientos, un método de trabajo que evite que la seguridad resulte algo preocupante cuando haces los presupuestos de un año para otro o cuando crees que te han entrado hasta la cocina.
Como es el lema recientemente inaugurado de este blog, saber cómo, en este caso como evitar problemas de seguridad, es más importante que saber qué, que problemas de seguridad son los que tienes en este momento. Sabiendo cómo, evitas el problema actual y futuro, sabiendo que problemas tienes, solo ayuda a resolver los problemas que tienes ahora, en este instante, y sin una reflexión posterior, no ayuda nada a solventar futuros problemas.

Espero haber sido claro. Sé que me he repetido mucho en una sola idea, pero la considero tan básica, que creo que la volveré a reiterar en varias ocasiones.

Buenas noches.

Vulnerabilidad Solaris 10 y telnet

Hoy me he quedado sorpendido con la grave vulnerabilidad de la herramienta telnet, en el Solaris 10 y según comentan en el Solaris 11. Nunca había visto algo tan simple. Basta con ponerte en un terminal y poner: telnet -l "-froot" host.domain.com, donde host.domain.com, es la máquina a la cual pretendes acceder.

Mi sorpresa a venido al verificar que esto permitía acceder a la máquina remota con una línea de comandos como superusuario. Por lo que he leído no hay todavía solución, aunque no tardará salir el parche. La solución a día de hoy, dejar de usar el telnet, que ya va siendo hora.

Alguien me tendrá que explicar algún día, porque se empeñan algunos administradores en usar el telnet, o mantener los puertos abiertos. ¿No hace lo mismo y mejor el ssh?.
La información más detallada la podéis encontrar en esta página. Yo corregiría el título y diría, ¿No hay bastantes razones para dejar de usar el telnet?.

Ya sabemos o deberíamos de saber todos que el telnet muy vulnerable, simplemente por enviar sin cifrar nada, ni la contraseña de inicio de sesion. Esto debería de ser motivo suficiente para haber anulado este protocolo en todas las máquinas.
No será tampoco por falta de buenos clientes de ssh, el putty y el secure shell, son más que suficientes.
¿POR DIOS? Pero si guindous no tiene un comandito en el cmd que lo hace!. Será por eso que no usamos el ssh!!.

ONO y sus DNS

Yo no hago más que cambiar las DNS. Las de ONO fallan más que una escopeta de feria, no se dan cuenta que los clientes piensan que pierden la conexión y eso puede probocarles bajas. Ellos sabrán.
Hoy me esta pasando algo que no me sucedía antes. Yo me decidí por las DNS de Telefónica 80.58.X.X. Pero hoy han dejado de funcionar, al menos desde ONO.
He buscado y probado otros, y lo más interesante es que la primera consulta funcionaba y las sucesibas, fallaban. Recomendable esta lista de DNS.
Al final, me he decidodo por probar las DNS de OpenDNS. Las localicé en este blog. Estas parece que responden rápido y que no mueren en la primera consulta.

Por cierto, las DNS: 208.67.222.222 y 208.67.220.220

PD.- Los he probado poco, pero, WOW, la navegación vueeela.

Suerte y estabilidad.

Movimiento FON, ¿que puede haber detrás?

Todo el mundo nos preguntamos: ¿Como es posible?. Una idea como la de REDLibre, que no cuajó, no al menos con el exito que esta cosechando FON. Como puede ser que ahora tenga tantos apoyos, económicos y tantos promotores y seguidores.
A mi me parece que la idea es tan buena como la de RedLibre, que es cierto que no es tan altruista como ésta. Pero, claro, esto garantiza que los colaboradores-desarrolladores de FON, no se detengan ni un segundo en su progreso.

Bien, pero las empresas no son ONGs, y no creo que los "aliens" sean suficientes para pagar a tanta gente o para hacer pensar a Skype y Google, que pueden obtener retornos de la inversión.
¿Habéis visto la antena de la fonera?. La antena es más pequeña que un cigarrillo. ¿Pretenden que la cobertura sea la de un punto de acceso público?. No, seguro.
Si su objetivo no es ser un punto de acceso publico, y no ingresan dinero por ello, ¿que beneficio sacan?.
Me flipa la gente que dice: Seguro que ponen un sniffer. Que barbaridad!!. Os imagináis los datos de miles de sniffers?.
¿Robar contraseñas?. Menuda locura.

Supongo que lo sabréis, pero la Fonera es muy testaruda en cuando al uso de los DNS.
Es curioso que cualquier router, toma los DNS del ISP y los asigna al PC cliente o como mucho, reenvía los datos con su propia IP, pero siempre con los DNS proporcionados por el ISP.
¿Porque la fonera se complica la vida accediendo a DNS más lejanos que los del propio ISP?.
Cuando navegamos por Internet, siempre, siempre usamos nombres y por tanto se realizan constantemente consultas DNS.
¿Os imagináis tener datos estadísticos de accesos a Internet, correlados con horas de acceso y (OJO) correlados con la ubicación geográfica exacta.
CLARO, saber que hacemos en Internet, a que horas y desde donde.
Muchas empresas pagan fortunas por estudios de mercado. Las televisiones condicionan todo a las famosas audiencias. ¿Y si trasladamos esto a Internet?.
La información es poder y dinero.

La cuestión es: ¿cambias tu privacidad por tener acceso a Internet en cualquier "ciudad"?.

Linux y Entorno gráficos

A los que nos gusta el Linux, sabemos que nos gusta no por sus características gráficas, sino precisamente, por que a diferencia del S.O. de Bill, siempre se ha centrado más en la eficiencia del sistema que no en el aspecto del interfaz.
No osbtante, a todos nos gusta contemplar la bellleza, y por muy geeks que seamos, nos gusta más una imagen de alta resolución con muchos tonos y colores, que una pantalla negra con letras blancas.
La última rebolución a nivel gráfico es, por lo visto, las librerías XGL que aportan más posibilidades al sistema gráfico del linux, sobre equipos con tarjetas compatibles con OPEN GL.
Despues de ver un vídeo en youtube con una demo de estas posibilidades, decidi probarlo en mis equipos.
Encontré una distribución, Kororaa, basada en gentoo. Los que me conocen saben que soy uno de los fans de esta distribución.
Bueno, pues después de una enorme paciencia, ya que solo te puedes bajar la distribución como torrent, y esto no es lo más rápido del mundo, pude tostar el LiveCD.
Resultados:

1. El sistema operativo arranca perfectamente, reconociendo la tarjeta gráfico Nvidia 7600GS, de mi PC de sobremesa, pero..., esta no tiene todavia los drivers adecuados para usar el XGL. Con lo que el sistema arranca y es operativo, pero no me permite ver las nuevass y deslumbrantes funciones.
2. Al probarlo en el portatil, con una ATI Radeon 9700, descubro que, no solo a reconoce y la configura automáticamente de forma adecuada, sino que además es compatible con el XGL.

El resultado, un S.O. con unas "mariconadas" gráficas deslumbrantes. A los amantes del S.O. de Bill, teneis que probar el LiveCD del Kororaa. Si no quieres hacer nada, basta con pulsar el boton OK para que arranque y funcione.

Sobre FON y la Fonera

Mucho han dicho, de bueno y malo, del proyecto de Martin Varsavsky.
No voy a comentarlo, me parece que es un proyecto que han intentado otros muchos grupos, como la gente de red libre, pero que no han alcanzado la popularidad de FON.
Se le critica por su orientación comercial, pero ¿Hubiera sido tan popular sin esta orientación?, seguro que no.
Es cierto, aquí si voy a opinar, que no es un sistema muy abierto, pero quizá esto sea requisito imprescindible para mantener el control del sistema. Control necesario cuando hay dinero por medio.
Como todos sabéis, siempre hay gente dispuesta y destripar todo aquel sistema que no se muestra claramente. Me refiero a los hackers. La Fonera no se ha librado de la tarea necesaria de estos grupos de gente y aquí os pongo dos enlaces muy interesantes:
http://pobletewireless.blogspot.com/2006/11/fon-y-tu-red-privada-en-un-mismo.html
http://www.geek-pages.com/articles/latest/dd-wrt_-_multiple_ssids_-_1_for_fon_-_1_for_private_network.html
El primero es la traducción al castellano del segundo.
Como soy curioso y me gusta mi trabajo, no me pude resistir a investigar y probar esto.
No me gustó la idea de poner en mi router una beta de firmware. Ya pone los pelos de punta poner un firmware nuevo y no oficial, como para liarse a poner uno beta.
De la página oficial (http://www.dd-wrt.com/wiki/index.php/Instalación) de DD-WRT me bajé la última versión estable (v.23 si no me equivoco). Seguí las instrucciones de esta página y use este firmware. La versión mini es muy parecida a la oficial, la estándar me parece muy recomendable.
Bueno termino. Si destripas el código que sugieren, podemos ver que:

1. Se puede realizar la configuración del sistema de validación de usuarios mediante la solución chillispot, dentro de la pestaña de configuración HotSpot.
   
2. Hay que fijarse en detalles como: En la primera línea de comandos que tiran de NVRAM, nos indica que hay que poner en el ID del usuario radius la MAC de tu equipo, pero con guiones ('-') en lugar de dos puntos (':'). Esta MAC es muy importante, ya veremos luego.
   
3. La segunda línea de comandos que usa NVRAM, simplemente introduce los DNS para la configuración del chillispot. Esto puedes hacerlo a mano, si conoces dos DNS publicos.
   
4. La siguiente línea de código, la que crea un registro en el cron, que llaman hearbeat. Esta línea permite avisar a la gente de FON, que la MAC que empleaste anteriormente está activa. Es decir, cada cierto tiempo hay que acceder a una página, indicándole la MAC que introducirte antes.
   

Del resto no comento nada, ya que no lo use. Supongo que va orientado a crear reglas de firewall y qos para garantizar la privacidad y privacidad del tráfico propio.

En resumen, un interesante experimento. Ya estoy registrado como usuario FONERO, tipo Linus, por supuesto, he remitido una invitación para que envíen una FONERA a un amigo. Con la que supongo que experimentaremos.
Ahora se me ocurre, ¿que pasaría si en otra máquina pongo la misma línea del Cron? (obviamente con la MAC con la cual se hizo el registro en el primer acceso al sistema Radius). Ya os lo cuento si me da tiempo a probarlo.


Actualización

Ya tengo una colección de experimentos hechos y sobre todo una página sin ningún desperdicio.
El link más interesante es: http://stefans.datenbruch.de/lafonera/
En estos momentos indican en esta página que a partir de la versión de firmware 0.7.1-r2, no hay vulnerabilidades descubiertas.
La fonera realiza tres acciones fundamentales cuando se enciende, o de forma periodica:
1.- Lanza una consulta web (hearbeat) que indica a capos de FON que esta viva.
2.- Lanza una consulta web para descargar la última versión de firmware.
3.- Se conecta mediante SSH a un servidor de FON, con un puerto modificado. Segun comentan, en esta conexión se intercambian datos de configuración.

Respecto a los experimentos:
El cron que comentaba, lanzando el hearbeat desde otra ubicación diferente, no engaña a la gente de FON, sigue apareciendo la Fonera como un elemento extrano.
Posiblemente, si la fonera no realiza el proceso completo descrito con anterioridad, no sea considerada como una autentica fonera.

Posiblemente , la mejor opción si estas pendiente de saber más de tu fonera sea, dejarla apagada, hasta que los Hackers alemanes nos descubran otra vulnerabilidad y en ese momento encenderla sin conectarla a Internet (ya que esto actualizaría el firmware). Una vez encendida, conectarte a la red privada, si es que nos deja, y entonces seguir las nuevas instrucciones.

Bueno, si se te ocurre algún experimento o sabes más que lo que hay en esta página de Hacking, ya nos lo cuentas.

Actualizacion:

Por fin, la fonera al descubierto.
La última release (r2) tiene corregidos los fallos de seguridad que permitían insertar código en las sentencias PHP que habia en los formularios. Pero. después de la inestimable aportación de esta página: http://blog.folksonomy.com/?p=268 podemos decir que el problema está resuelto. Si ya has pinchado la fonera a Internet, seguro que tienes la r2. Para volver a la r1, debes resetear el router, y tras ello, se habrá vuelto a la versión r1, vulnerable a la inyección de código.
Si sigues las instrucciones de la página, veras que si puedes hacer cosas algo más interesantes que esperar que alguien use tu fonera.
Por cierto. cuando copiamos y pegamos el código de esta página, hay que modificar las dobles comillas, ya que en caso contrario no interpreta correctamente el código PHP. (reescribir las comillas y punto).
Yo no he terminado de probar todo lo que dice, espero sacar tiempo para seguir investigando.

Avatar

Creo que a esto le llaman avatar. Es una imagen creada o copiada de algún lugar, que sirve para identificarte visualmente. Se usa en foros fundamentalmente. Estoy peleandome con el Picasa, el Hello y no puedo llevarla al la cuenta de Blogger. Supongo que todavía no me he peleado lo bastante.

Inauguración

Falta el Vino de honor, pero bueno, esta es la apertura del Blog experimental de Rafa.