Ser anónimos en la red, no protege nuestros secretos
Por Angela Ruiz
[email protected]
El pasado mes, Dan Egerstad, especialista de seguridad sueco, expuso las contraseñas y nombres de usuarios de más de 100 cuentas de correo electrónico pertenecientes a embajadas y servidores gubernamentales.
En su blog, Egerstad hizo pública la metodología utilizada.
El empleó un software para husmear el tráfico de red (packet sniffer), en cinco nodos que operan bajo TOR.
TOR (The Onion Router), es una implementación libre de un sistema de enrutamiento llamado Onion Routing, que permite a sus usuarios comunicarse en Internet de forma anónima.
Originalmente desarrollado por la marina norteamericana y financiado por la fundación Fronteras Electrónicas, TOR está diseñado para proteger a los usuarios del análisis de tráfico y otros tipos de vigilancias en la red. Trabaja retransmitiendo las conexiones a través de una serie de servidores.
Cuando un usuario de TOR visita una página Web, la dirección
IP logeada y registrada por el sitio, corresponde a uno de
los nodos de TOR, y no al equipo del usuario.
Desafortunadamente, muchas personas que utilizan TOR, no se
dan cuenta de que todo su tráfico al ser enviado a la red, es
expuesto a los nodos de TOR. Los usuarios de TOR que no
utilizan alguna clase de codificación, están exponiéndose así
al robo de identidad.
Egerstad llevaba a cabo un estudio en la encriptación del
correo electrónico, hasta que durante el curso de la
investigación, decidió crear el packet sniffer para revelar
el hecho que TOR expone información sensible cuando no es
utilizado con encriptación.
Egerstad creyó que revelar privadamente sus conclusiones a
las organizaciones cuyas contraseñas él obtuvo, no sería
suficiente para convencer a todos a que cambiaran sus
prácticas. También pensó que solo era cuestión de tiempo que
otras personas llevaran a cabo la misma clase de experimento,
pero con intenciones maliciosas.
De ese modo, creyó que al hacerlo público de esa manera,
podría generar la suficiente atención para forzar a las
personas a pensar acerca del problema.
Después que la información salió a la luz, su sitio fue dado
de baja a petición de funcionarios norteamericanos. Pero poco
tiempo después, volvió a estar activo. Egerstad expresó su
frustración, indicando que la información ya se había
esparcido a través de Internet. Dar de baja su sitio, sólo
sirvió para callar su mensaje acerca de la seguridad y no
para prevenir la diseminación de los datos sensibles.
Según Egerstad, la información revelada es sólo una fracción
de lo que él reunió. Él continúa discutiendo que la
responsabilidad por exponer esta información, debe caer en
las organizaciones que fallaron al no utilizar encriptación y
que él simplemente hizo un llamado de atención.
"TOR no es el problema," dice Egerstad. "Los administradores
de los sistemas cuyas contraseñas fueron expuestas, son los
responsables de regalar sus propios secretos."
Según Egerstad, esto no puede considerarse un error, es pura
estupidez.
Pensar en el anonimato y en la seguridad de los datostransmitidos vía Internet, no uede estar asociado a la confianza en un único sistema, sino a una serie de conductas
personales. La seguridad no es solo un software, sino una forma de pensamiento y de conducta.
* Referencias:
Time to reveal...
http://www.derangedsecurity.com/time-to-reveal%e2%80%a6/
100 Embassies and governments hacked in global security breach
http://computersweden.idg.se/2.2683/1.118684
Fuente: http://www.vsantivirus.com/11-09-07.htm
[email protected]
El pasado mes, Dan Egerstad, especialista de seguridad sueco, expuso las contraseñas y nombres de usuarios de más de 100 cuentas de correo electrónico pertenecientes a embajadas y servidores gubernamentales.
En su blog, Egerstad hizo pública la metodología utilizada.
El empleó un software para husmear el tráfico de red (packet sniffer), en cinco nodos que operan bajo TOR.
TOR (The Onion Router), es una implementación libre de un sistema de enrutamiento llamado Onion Routing, que permite a sus usuarios comunicarse en Internet de forma anónima.
Originalmente desarrollado por la marina norteamericana y financiado por la fundación Fronteras Electrónicas, TOR está diseñado para proteger a los usuarios del análisis de tráfico y otros tipos de vigilancias en la red. Trabaja retransmitiendo las conexiones a través de una serie de servidores.
Cuando un usuario de TOR visita una página Web, la dirección
IP logeada y registrada por el sitio, corresponde a uno de
los nodos de TOR, y no al equipo del usuario.
Desafortunadamente, muchas personas que utilizan TOR, no se
dan cuenta de que todo su tráfico al ser enviado a la red, es
expuesto a los nodos de TOR. Los usuarios de TOR que no
utilizan alguna clase de codificación, están exponiéndose así
al robo de identidad.
Egerstad llevaba a cabo un estudio en la encriptación del
correo electrónico, hasta que durante el curso de la
investigación, decidió crear el packet sniffer para revelar
el hecho que TOR expone información sensible cuando no es
utilizado con encriptación.
Egerstad creyó que revelar privadamente sus conclusiones a
las organizaciones cuyas contraseñas él obtuvo, no sería
suficiente para convencer a todos a que cambiaran sus
prácticas. También pensó que solo era cuestión de tiempo que
otras personas llevaran a cabo la misma clase de experimento,
pero con intenciones maliciosas.
De ese modo, creyó que al hacerlo público de esa manera,
podría generar la suficiente atención para forzar a las
personas a pensar acerca del problema.
Después que la información salió a la luz, su sitio fue dado
de baja a petición de funcionarios norteamericanos. Pero poco
tiempo después, volvió a estar activo. Egerstad expresó su
frustración, indicando que la información ya se había
esparcido a través de Internet. Dar de baja su sitio, sólo
sirvió para callar su mensaje acerca de la seguridad y no
para prevenir la diseminación de los datos sensibles.
Según Egerstad, la información revelada es sólo una fracción
de lo que él reunió. Él continúa discutiendo que la
responsabilidad por exponer esta información, debe caer en
las organizaciones que fallaron al no utilizar encriptación y
que él simplemente hizo un llamado de atención.
"TOR no es el problema," dice Egerstad. "Los administradores
de los sistemas cuyas contraseñas fueron expuestas, son los
responsables de regalar sus propios secretos."
Según Egerstad, esto no puede considerarse un error, es pura
estupidez.
Pensar en el anonimato y en la seguridad de los datostransmitidos vía Internet, no uede estar asociado a la confianza en un único sistema, sino a una serie de conductas
personales. La seguridad no es solo un software, sino una forma de pensamiento y de conducta.
* Referencias:
Time to reveal...
http://www.derangedsecurity.com/time-to-reveal%e2%80%a6/
100 Embassies and governments hacked in global security breach
http://computersweden.idg.se/2.2683/1.118684
Fuente: http://www.vsantivirus.com/11-09-07.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!