|
Ser anónimos en la red, no protege nuestros secretos
|
|
VSantivirus No 2542 Año 11, martes 11 de setiembre de 2007
Ser anónimos en la red, no protege nuestros secretos
http://www.vsantivirus.com/11-09-07.htm
Por Angela Ruiz
angela@videosoft.net.uy
El pasado mes, Dan Egerstad, especialista de seguridad sueco, expuso las contraseñas y nombres de usuarios de más de 100 cuentas de correo electrónico pertenecientes a embajadas y servidores gubernamentales.
En su blog, Egerstad hizo pública la metodología utilizada. El empleó un software para husmear el tráfico de red (packet sniffer), en cinco nodos que operan bajo TOR.
TOR (The Onion Router), es una implementación libre de un sistema de enrutamiento llamado Onion Routing, que permite a sus usuarios comunicarse en Internet de forma anónima.
Originalmente desarrollado por la marina norteamericana y financiado por la fundación Fronteras Electrónicas, TOR está diseñado para proteger a los usuarios del análisis de tráfico y otros tipos de vigilancias en la red. Trabaja retransmitiendo las conexiones a través de una serie de servidores.
Cuando un usuario de TOR visita una página Web, la dirección IP logeada y registrada por el sitio, corresponde a uno de los nodos de TOR, y no al equipo del usuario.
Desafortunadamente, muchas personas que utilizan TOR, no se dan cuenta de que todo su tráfico al ser enviado a la red, es expuesto a los nodos de TOR. Los usuarios de TOR que no utilizan alguna clase de codificación, están exponiéndose así al robo de identidad.
Egerstad llevaba a cabo un estudio en la encriptación del correo electrónico, hasta que durante el curso de la investigación, decidió crear el packet sniffer para revelar el hecho que TOR expone información sensible cuando no es utilizado con encriptación.
Egerstad creyó que revelar privadamente sus conclusiones a las organizaciones cuyas contraseñas él obtuvo, no sería suficiente para convencer a todos a que cambiaran sus prácticas. También pensó que solo era cuestión de tiempo que otras personas llevaran a cabo la misma clase de experimento, pero con intenciones maliciosas.
De ese modo, creyó que al hacerlo público de esa manera, podría generar la suficiente atención para forzar a las personas a pensar acerca del problema.
Después que la información salió a la luz, su sitio fue dado de baja a petición de funcionarios norteamericanos. Pero poco tiempo después, volvió a estar activo. Egerstad expresó su frustración, indicando que la información ya se había esparcido a través de Internet. Dar de baja su sitio, sólo sirvió para callar su mensaje acerca de la seguridad y no para prevenir la diseminación de los datos sensibles.
Según Egerstad, la información revelada es sólo una fracción de lo que él reunió. Él continúa discutiendo que la responsabilidad por exponer esta información, debe caer en las organizaciones que fallaron al no utilizar encriptación y que él simplemente hizo un llamado de atención.
"TOR no es el problema," dice Egerstad. "Los administradores de los sistemas cuyas contraseñas fueron expuestas, son los responsables de regalar sus propios secretos."
Según Egerstad, esto no puede considerarse un error, es pura estupidez.
Pensar en el anonimato y en la seguridad de los datos transmitidos vía Internet, no puede estar asociado a la confianza en un único sistema, sino a una serie de conductas personales. La seguridad no es solo un software, sino una forma de pensamiento y de conducta.
Referencias:
Time to reveal...
http://www.derangedsecurity.com/time-to-reveal%e2%80%a6/
100 Embassies and governments hacked in global security breach
http://computersweden.idg.se/2.2683/1.118684
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|