Noticias de Interés

28/05/2011 Publicada en el BOE la Ley que regula el juego online(PDF) 31/03/2011 Juez obliga a devolver el canon a Nokia # 24/03/2011 La Audiencia Nacional anula la normativa que regula el canon digital # 23/03/2011 Audiencia Provincial de Madrid - Caso Indicedonkey y Caso Spanishshare: Enlazar no es delito # 17/03/2011 Miembro de la Academia de Cine detenido por lucrarse colgando películas en la red de forma presuntamente ilícita # 17/03/2011 Estados Unidos bloquea exvagos.es # 03/03/2011 Sentencia contra el canon en la Audiencia Provincial de Barcelona # 15/02/2011 Se aprueba la Ley Sinde en el Congreso-Ya es definitiva # 04/02/2011 Aprobado Proyecto de Ley de Regulación del Juego ONLINE # 01/02/2011 Comisión de Economía del Senado aprueba la Ley Sinde # 26/1/2011 Twitter bloqueado en Egipto por protestas contra Mubarak # 25/1/2011 Alex de la Iglesia diimite tras nefasta Ley Sinde # 24/1/2011 PP y PSOE pactan ley SINDE # 24/1/2011 Gran operación policial contra la pedofília # 15/1/2011 Anonymous convoca ataque DDoS el 16 de enero a las 18:00 por la votación el 18 de Enero de la ley Sinde # 12/1/2011 Tribunal Constitucional: la sentencia del canon europea ha de aplicarse en España porque forma parte de nuestro derecho interno # 11/1/2011 Convocada por internet primera manifestación contra Ley Antitabaco # 11/1/2011 Victoria judicial de Rapidshare en Alemania # 8/1/2011 Manifestaciones en toda España contra Ley Sinde # 8/1/2011 Manifestación en Murcia pro Wikileaks y contra Ley Sinde # 3/1/2011 Sentencia sobre caso Chipspain.com # 23/12/2010 Detenciones de responsables de webs de descarga y grabadores de screeners # 21/12/2010 Hoy se aprueba la ley SINDE con polémica y movilizaciones # 16/12/2010 Detención y registro TaquillaDivx.com # 13-12-2010 Suspensión medidas cautelares contra PSJailbreak #

lunes, 14 de marzo de 2011

Cloud computing: riesgos y peligros

Hablé hace unos meses con entusiasmo del cloud computing pero como todo en esta vida no esta exento de visicitudes. Trataré de hacer un breve repaso de las inmediatas y dejaré para mas adelante un riesgo mediato: la neutralidad de la red.

Falta de seguridad en la transmisión de datos o en la API

Aunque el HTTPs (se añade al final la s de secure)  se esta convirtiendo en un estandar de seguridad y ya se utiliza por los principales servicios que tratan nuestros datos (los principales proveedores de webmail como google o hotmail ya lo usan, así como la banca online y muchos comercios) y hay extensiones para los extraprecavidos como HTTPSeverywhere, lo cierto es que la seguridad en la transmisión de nuestros datos es uno de los principales problemas de la computación en la nube.

Estos riesgos se dan en servicios que puedan admitir un uso anónimo, que reutilicen tokens para identificar al usuario directamente o a través de un servicio que reutilice la API o en conexiones sin cifrar (sin HTTPs).

Consejos:

- Evitar usar datos personales y contraseñas en redes abiertas o públicas, especialmente si el servicio no es HTTPS (se indica en el navegador en la parte izquierda de la barra de direcciones).

- Verificar que la conexión es por https (en algunos navegadores puede no funcionar, como por ejemplo en google chrome, hotmail (la competencia) no me establece conexión segura, pero si en firefox o opera).

- Usar contraseñas de mas de 6 caracteres que mezclen letras y números. 

- Cuidar en que ordenadores dejamos cookies.

Fallos en la gestión por la propia empresa de Cloud Computing

La nube tiene en cuanto a la seguridad en el tratamiento de nuestros datos una doble perspectiva, si bien por un lado nos aporta seguridad al tener los datos alejados de nuestros fallos informáticos, virus, averías de discos duros, incendios, etc... cabe el problema de que un error en la administración por parte de la empresa que nos suministra el servicio (por ejemplo los recientes errores de Flickr y Gmail).

En algunos casos pueden producirse filtrado de datos de unos usuarios a otros, problemas a la hora de dar la baja a un usuario, borrado de datos, etc...

Consejos:

- No dejar en la nube la única copia de nuestros datos, pero si es un excelente respaldo.

- Controlar con asiduidad los servicios en los que tenemos almacenados nuestros datos.

- Revisar nuestras bajas en servicios de pago o gratuitos y borrar previamente a la baja todos nuestros contenidos.

Usos cuasi-delictivos o delictivos de la potencia del cloud computing 

Extensión del troyano Zeus
Esto afecta principalmente a la nube como Infraestructura como servicio (LAAS) o en menor grado Plataforma como servicio (PAAS) (ver descripción en el post general).


Se han usado servicios en la nube por bots que secuestran datos mediante troyanos como ZEUS para analizar los mismos. Sólo en 2010 la empresa Symantec detectó 220.000 ordenadores infectados. El uso de estas plataformas acelera la obtención de datos y sirve para el anonimato de los crackers que los secuestran.


Consejos:


- En este caso las medidas deben ser tomadas por las empresas, pero al margen de eso la protección de cada internauta es fundamental y un antivirus en cada ordenador es esencial (al menos si estas trabajando desde windows).

- Denunciar los delitos informáticos (aunque no sean de mucha entidad) en la policía nacional, hay gente que se ha lucrado estafando 100€ a muchas personas. Individualmente no eran de entidad, pero en masa si, como el caso de los estafadores por phising que habían conseguido 320.000€ (noticia aquí).


Uso de nuestros recursos por terceros


Otro problema exclusivo de LAAS, donde otros usuarios mediante el uso de exploits o malware han accedido a recursos que no tenían contratados pasando por encima del administrador.

Consejos:

- Controlar que tenemos uso completo de los recursos contratados y notificarlo si no es así.

- Usar sistemas de autenticación férreos.

Secuestro de nuestra sesion


Mas de una vez ha pasado que de alguna forma una persona adquiere nuestras contraseñas(recuerdo hace unos años como era sencillo hurtar la contraseña de cualquier usuario de hotmail o las técnica de ingeniería social para que demos voluntariamente nuestros datos). Con la creciente importancia de la nube este problema se esta convirtiendo en un problema mayor. De hecho muchas tiendas online conservan nuestros datos bancarios, y si bien, es difícil acceder de forma completa a ellos, si se pueden realizar compras.

Hace un par de días, por ejemplo, la tienda de aplicaciones para el iPhone y iPad ha empezado a exigir en cada compra la contraseña de la cuenta, ya que en casos de extravío o hurto del terminal podía tener consecuencias desastrosas.


Consejos:

- No dar alegremente nuestras contraseñas (muy común en la era del messenger para saber si algún amigo nos bloqueaba o actualmente en tiendas online).

- Usar distintas contraseñas para distintos servicios (la cuenta de correo es la llave común de muchos servicios, pero deberíamos usar distintas contraseñas para mantener cada servicio estanco).

- Prohibir que se puedan compartir credenciales (difícil determinar después la responsabilidad).

- Que los servicios soliciten cada cierto tiempo la autenticación (sobre todo si detecta inactividad), es algo común en la banca online.

- Conectarse en redes seguras para evitar que nuestros paquetes de datos sean capturados por sniffers como Firesheep.


Problemas derivados de la localización de los datos

 Cuando trabajamos en la nube nuestros datos pueden estar situados en cualquier parte del mundo lo que puede provocar un choque entre distintas jurisdicciones, así nosotros estamos sujetos a la jurisdicción española, Google o Amazon son americanas y los datos pueden estar localizados en Finlandia.

La profundidad de esta problemática merece un tratamiento diferenciado, así que lo dejaré para mas adelante.

Posibilidad de BackUp de nuestros datos

Una de las principales ventajas de la nube es que los datos no tienen porque estar ubicados en un mismo lugar. Siempre es conveniente tener nuestros datos a resguardo de forma local, pero en el caso de que ocurra un accidente, las empresas en la nube deberían ofrecernos la posibilidad de recuperar los mismos en bloque de los datos en bruto.

No todas las empresas ofrecen esta posibilidad así que es algo a tener en cuenta a la hora de contratar un servicio u otro.

Acceso a logs de nuestra sesión

Es un servicio a tener en cuenta para poder verificar el uso de la misma.

Viabilidad a largo plazo.

Internet es un mundo reciente en el que muchas empresas comienzan pero no todas llegan a término. Por tanto, antes de adecuar nuestros datos a un determinado servicio conviene analizar su viabilidad en el tiempo.

A grandes líneas estos son los problemas que puede entrañar el cloud computing, casi todos merecen un análisis personalizado, con incidencias y explicaciones, pero sirva este entrante de motivo para la reflexión y la cautela.








 
Para saber mas:



Safe Creative #1012140013368

No hay comentarios:

Publicar un comentario