Acerca de...
El equipo
Encuestas
WinTablets

Encuesta

Si las WINTABLETs no pudiesen ejecutar aplicaciones de escritorio, ¿las seguirías usando?

Cargando ... Cargando ...

últimas entradas importantes

Categorías

Archivos

13
Mar 2017
OpinionesPost-Hangout

Post-Hangout: Enlaces sobre privacidad (por Adrián Perales)

Adrían Perales que estuvo con nosotros como invitado en el hangout sobre “Privacidad”, y que tiene un interesante blog que os recomendamos leer, nos envía este estupendo artículo a modo de sumario con enlaces a temas donde se amplía la información que os dimos.

No os perdáis este estupendo resumen, hay información muy interesante en él.

 

 

En el último programa hice mi pequeña aportación sobre el tema de la privacidad. En esta entrada voy a recopilar alguno de los enlaces que mencioné en el programa.

Evidentemente, como ya se comentó allí, quien quiera espiarnos lo va a conseguir dado que son muchos los mecanismos para hacerlo, y conseguir mayor privacidad requiere de nuestra parte más que usar tres o cuatro extensiones o usar otra ROM de Android. Lo que conseguiremos con esto, sin embargo, es al menos poner una pequeña zancadilla a los que nos espían, o una mayor tranquilidad a la hora de usar nuestros aparatos, lo cual ya es mucho.

Antes de empezar

Mucho de lo que voy a comentar aquí lo he aprendido leyendo Prism-Break.org, Privacytools.io o hablando con contactos de redes libres como GNU Social, Diaspora o Pump.io. En estas redes se mueve mucha gente muy comprometida con el software libre y con la seguridad informática.

Para aprender más sobre redes libres y descentralizadas podéis visitar Comunícate libremente, donde unos compañeros y yo hemos publicado bastante material sobre las mismas.

Android

Comencemos con los dispositivos móviles, concretamente con Android, que es donde yo me muevo. Hay una versión de Android completamente libre (a excepción de la comunicación con el módem de la telefónica, claro) llamada Replicant. Solo está disponible para un número muy limitado de dispositivos, pero si contamos con alguno de ellos, es una opción.

Si no somos tan conservadores, podemos poner una ROM que no incluya los Google Play Services como CyanogenMod, o deshabilitarlos (y confiar en que realmente estén deshabilitados). Si los tenemos deshabilitados, o directamente si queremos descargar aplicaciones de Android cuyo código sea libre tenemos el repositorio aplicaciones F-droid.



Yo tengo instaladas unas cuantas aplicaciones de allí, como se puede ver en las imágenes, y hace un tiempo grabé un vídeo mostrando el uso de mi móvil anterior sin Google Play Services. Está algo desactualizado pero sigue sirviendo, tan solo hay que tener en cuenta lo siguiente:

  • Existen aplicaciones para ver YouTube sin necesidad de la oficial: NewPipe (solo búsquedas), WebTube (webapp de YouTube empotrada) y SkyTube (que permite incluso suscripción pero algunos vídeos no van).
  • Hay aplicaciones para actualizar las APK que no estén en F-droid. Además de APKTrack, comentado en el vídeo y que requiere descargar el archivo desde el navegador, hay una aplicación llamada Yalp Store que, con una credencial creada por los desarrolladores, nos permite descargar APKs directamente y actualizarlos cuando sea necesario. De esta última conviene leer bien todo lo que nos dice.

Para el navegador

A poco que uno lea, el navegador considerado más privado es Firefox. Es el que yo uso tanto en ordenador como en móvil: aunque en Android es visiblemente más lento que otros, la sincronización y sus extensiones hacen que me haya acostumbrado a él.

En PrivacyTools y Prism-Break tenéis una larga recopilación de extensiones, desde las más básicas para bloquear la publicidad como Ublock Origin hasta las que ofrecen una suite de sugirad completa como NoScript que requiere gran atención por parte del usuario. Las que uso yo son:

  • La mencionada Ublock Origin vitaminada con alguna lista anti-tracking de las que trae.
  • HTTPS Everywhere, que fuerza la conexión segura en aquellos servidores donde esté disponible.
  • Decentraleyes, que previene el envío de peticiones a servicios externos.
  • A ratos, alguna extensión anti-rastreo como Privacy Badger o Disconnect, pero como nunca me queda claro qué diferencia hay entre una u otra, al final tiro de Ublock y ya está.

Como regalito extra, hay una extensión llamada I don’t care about cookies que elimina los carteles que obliga a poner la legislación europea advirtiendo del uso de las cookies.

Sobra decir que es mucho mejor usar un buscador centrado en la privacidad como DuckDuckGo

Si queremos garantía de privacidad

Si estamos en una situación más delicada y queremos privacidad más real, además de abandonar ese dispositivo espía por múltiples frentes que es el smartphone, la opción más eficaz sería usar Tails, una distribución viva que pasa todas las conexiones por TOR. Para ello, lo recomendable es usarla en un ordenador fuera de casa, con una conexión que no sea la nuestra, y evitar cualquier página web que nos rastree.

Hay mucho más por investigar

Evidentemente, esta entrada es una pequeñísima recopilación a partir de lo que se dijo en el programa: hay muchísima más tela que cortar, dependiendo de lo que uno quiera complicarse. No he hablado del uso de PGP o de cifrado de discos porque son herramientas que yo apenas uso; tampoco he hablado de las bondades de las redes libres y descentralizadas que, al menos en un primer momento, pueden dificultar un poco el espionaje y la censura, y un larguísimo etcétera. Para todo esto hay otras fuentes que lo pueden explicar mucho mejor que yo; soy un usuario doméstico con algunos conocimientos más, pero no muchos más.

Todo esto de usar aplicaciones basadas en software libre, extensiones para el navegador, tal y Pascual puede parecer mucho trabajo así leído y al principio lo será, pero una vez encontradas las herramientas y adquirido el flujo de trabajo, uno se acostumbra a todo. Las recomendaciones que he hecho solo requieren el aprendizaje inicial, después, a disfrutar.

Todos los enlaces juntos

Dado que he dejado muchos enlaces desperdigados, dejo aquí una recopilación de los mismos para posterior consulta.

Por Mahjong | 17 Comentarios | Enlaza esta entrada

17 Comentarios

RFOG
Enviado el 13/03/2017 a las 10:14 | Permalink

Solo quiero hacer una puntualización: el usar software Open Source no te protege de absolutamente nada.

A) Lo del código fuente disponible es una falacia como un castillo: para ejemplo el caso de Interbase, varios años con un login oculto y nadie se dio cuenta.

B) ¿Estás capacitado para auditar tu mismo ese código fuente? Si no, no tienes garantías. Si sí, seguro que se te puede escapar algo.

C) ¿Qué hay de las BIOS, Pre-Boot varios, firmware de los chipsets, microcódigos de los procesadores, etc…? En caso de conseguir un hardware completamente Open Source (y en eso está que las herramientas y las máquinas para construirlo también lo sean), nadie te garantiza que no esté ocurriendo ni A) ni B)

Mi opinión:
El otro día el FBI dejó suelto a un pederasta para no desvelar… cómo monitorizan TOR… Por silogismo hipotético, hay un 75% de posibilidades que TOR esté abierto para los gobiernos. Por rfog-ismo, estoy seguro al 100% de que lo hacen. Al final, usar todas esas herramientas “libres” es una forma de complicarse la cabeza de forma innecesaria, con grandes pérdidas de tiempo que no solo no te aseguran que seas “libre”, sino que, de nuevo por el silogismo hipotético, tienes un 75% de posibilidades que por el mero hecho de usar eso, estés dentro de la lista de los monitorizados de verdad.

Y esto me recuerda que tengo que escribir una entrada post-hangout sobre el Hangout al que no asistí porque me dolía la cabeza más allá de las puertas de Tanhaüsser.

    Enviado el 13/03/2017 a las 10:21 | Permalink

    No puedo estar nada más en desacuerdo contigo. Pongamos que algunos gobiernos nos espían. OK. Incluso que algunas multinacionales también.

    No hay forma de protegernos de eso que no sea sacrificando tanto que, DE MOMENTO, no merece la pena

    Ahora bien, sí que nos protege de organizaciones de menor entidad, y eso no es despreciable en absoluto.

    Además, por más que el software libre no sea auditado en todos los casos, siempre es mejor que en ningún caso con tal de que sirva a tu necesidad.

    Estoy de acuerdo en que usar TOR te señala con el dedo. Vale. Úsalo de todas formas si te resulta útil.

    En cualquier caso, ni el gobierno americano es omnímodo. Recordad los disturbios de londres 2012, con blackberries baratas por todas partes. En aquellos días, el gobierno inglés no pudo entrar en la comunicación de los levantiscos.

    No sé, no creo que ni la agencia más poderosa esté libre de fallos

      RFOG
      Enviado el 13/03/2017 a las 10:28 | Permalink

      Nunca ha merecido la pena sacrificar nada para evitar que los gobiernos no puedan monitorizarte. En el momento que intentes algo, serás señalado con el dedo de forma automática. Desde que levantamos la primera piedra del suelo hasta ahora mismo. Con eso ya invalidas cualquier cosa.

      Protegerte de otras “organizaciones de menor entidad” no requieren todas esas seguridades. De nuevo, si una organización rival quiere algo tuyo, es tan fácil como hacer que el developer jefe se vea con una puta mientras grabas la sesión. O ponerte un pasamontañas y entrar a las 3 de la mañana, o simplemente pagarle a un drogata una dosis para que te quite la cartera de las manos mientras subes al coche.

      No, Juan Luis, cualquier intento de ocultar algo automáticamente te señala con el dedo, y las protecciones normales y de todos los días son suficientes para protegerte… y si alguien quiere saber qué haces, lo sabrá por muchas protecciones que tomes. Siempre hay un eslabón débil en algún lado. ¿Es que no has visto “Misión Imposible”= :mrgreen:

        Enviado el 13/03/2017 a las 10:33 | Permalink

        Yo seguiré usando GPG para los datos que lo requieran, o cuando me apetece… y a la otra parte también. Si se lo saltan, enhorabuena, eso que se llevan. Pero cualquiera no se lo puede saltar, y es lo que me importa

          RFOG
          Enviado el 13/03/2017 a las 10:45 | Permalink

          ¿Y eso son medidas de seguridad extraordinarias? No. Igual que tener los discos con BitLocker o usar HTTPS. Son las medidas normales de hoy en día. En eso estoy contigo.

          Pero liarte a navegar con Firefox “libre” en un Android “libre”, usando solo aplicaciones “libres” es una gilipollez como un castillo, que encima te señala directamente aunque no tengas nada que ocultar. Usar el pato para buscar porque no quiero que nadie sepa qué estoy buscando es una gilipollez como un castillo porque:

          A) Las próximas búsquedas con Google, conociendo mi perfil, me dará lo que quiero en las primeras líneas.
          B) No estoy buscando ni “mujeres con pilila” ni “hombres con tetas”, y si fuera eso lo que estuviera buscando, cuando antes vea los “hombres con tetas” y/o las “mujeres con pilila”, mejor para mi y mi saludo sexual. De hecho, la mejor política es la de Poe en su “Carta Robada”. Ahora bien, si lo que busco es “niñas menores de edad abiertas de piernas”… Ah, amigo, ahí sí que la cosa tiene su cosa. Y te digo una cosa: ni TOR, ni el android “libre” ni nada de nada te libra que este comentario vaya directamente a donde tiene que ir para que alguien mire a ver quién está buscando eso.

          Por cierto, ¿sabes que no hace poco rompieron GPG?

          Enviado el 14/03/2017 a las 09:02 | Permalink

          Depende de la clave y los algoritmos que se empleen, GPg sigue sin romperse

          RFOG
          Enviado el 14/03/2017 a las 09:05 | Permalink

          Creo que lo que se ha roto ha sido el programa. Es decir, se sabe cómo meterle mano desde fuera para que genere lo que tu quieres, enviando cadenas con formatos especiales.

    Enviado el 13/03/2017 a las 11:15 | Permalink

    El otro día uno de los documentos de Vault 7 (al menos uno de los que leí) era expresamente para atacar y tomar el control de los equipos con los que accedes a TOR.

    Si entras allí eres blanco de ellos.

    Por lo demás mi nivel de despreocupación por el tema roza lo delictivo, o lo kamikaze si quieres otra expresión.

      RFOG
      Enviado el 13/03/2017 a las 11:25 | Permalink

      Y el mío. Por eso lo digo. Hagas lo que hagas, o te vas a una montaña y te metes en pelota picada en una cueva y no sales para nada, o estás vendido… Y aun así sabrán que estás dentro de la cueva… en pelotas.

      Y cuanto más te emparanoies, peor es porque más empiezas a mirar por encima del hombro…

    Enviado el 13/03/2017 a las 15:51 | Permalink

    Con respecto al punto A, es cierto que no todo el software libre está perfectamente auditado, pero sí hay mucha seguridad en las aplicaciones más populares como Firefox, Thunderbird, LibreOffice, Eclipse y otras que son de uso masivo. No podemos pretender que un software libre usado de forma marginal esté tan auditado (o tan siquiera auditado) frente a otro que sí está extendido entre millones de usuarios.
    Con respecto al punto B, disponer del código, aunque no tenga la capacidad de auditarlo por mí mismo, SÍ permite que se pueda examinar por cualquier persona o entidad interesada en ello: la seguridad por oscurantismo es una realidad, cierto, pero en software de código cerrado hay vulnerabilidades igual. Vulnerabilidades que no conocen ni las empresas que lo han creado y son explotadas de forma activa igualmente.

      RFOG
      Enviado el 13/03/2017 a las 16:11 | Permalink

      Interbase estaba perfectamente auditado, y al cabo de dos años salió un login oculto. No un fallo de seguridad, sino un simple y triste login oculto. El que un software esté auditado no quiere decir absolutamente nada porque

      A) La empresa auditadora puede estar “comprada”.
      B) La empresa auditadora emplea a becarios.

      No puedes estar seguro.

      Respecto al punto B, básicamente lo que dices no es cierto. Te pongo el ejemplo del código de validación de los certificados de Apple. No recuerdo cuándo pasó, pero ahí estuvo el goto maldito durante muuuuuchos años sin que nadie se diera cuenta. ¿Cuándo se dieron cuenta? Cuando alguien instaló un certificado no válido y el sistema lo dio como válido. A partir de ese punto, da igual que estuviera el código fuente disponible o no: el fallo no se descubrió por el código fuente. Este simplemente confirmó el fallo de seguridad.

      Habría que contar cuántos fallos de seguridad se han encontrado auditando código fuente y cuántos probando el software. De hecho, los fallos que le encuentran a Chrome no son a través de la lectura del código fuente (que está disponible), sino probando cosas. Exactamente igual que se lo hacen a Safari, al IE y al Edge.

      De hecho, la mayoría de fallos de seguridad se descubren con herramientas de análisis de código ejecutable, combinaciones de instrucciones compiladas, análisis diferencial de ejecutables y cosas así. Se buscan llamadas a rutinas de la GLIB o CRT no seguros, y luego se mira en qué parte de la pila se ponen, y entonces se coloca ahí un break y se mira dónde se ha parado el programa a ver si es interesante o no, etc. Hoy en día hay mucha diferencia entre un código fuente y el binario generado, sobre todo con compiladores modernos como el de Visual C++, que desenrollan las secuencias de llamada y reordenan secuencias de código binario para optimizar los pipelines y demás.

        Enviado el 14/03/2017 a las 10:39 | Permalink

        Necesitas una nueva definición de “perfectamente auditado”…

          RFOG
          Enviado el 14/03/2017 a las 10:52 | Permalink

          Me peo yo en lo de “perfectamente auditado”.

          Te remito al punto A o B del comentario anterior.

          RFOG
          Enviado el 16/03/2017 a las 10:47 | Permalink

          Amigo conductor, una demostración práctica de A o B o de A y B, tautología, que díjo aquel.

          https://notepad-plus-plus.org/news/notepad-7.3.3-fix-cia-hacking-issue.html

          Demostración de que el software Open Source ****NO**** es más seguro que el privativo. Como mucho, igual de seguro (o inseguro).

Enviado el 13/03/2017 a las 12:30 | Permalink

Por no hablar del Big Data unido al Big Brother.
Lo único que no saben es que, cuando compro algo ¡no quiero más publicidad de ello!

J!T

    RFOG
    Enviado el 13/03/2017 a las 16:20 | Permalink

    Ufff, yo cada vez que hago una búsqueda de algo, me aparece luego ese algo hasta en la sopa. Y si lo compro, ya ni te digo.

    ¿Es que son incapaces de entender que si lo he comprado ya no lo voy a comprar en ningún otro lado?

      Enviado el 14/03/2017 a las 10:39 | Permalink

      Peor, busco una cosa en Amazon, lo compro en Amazon y luego Amazon sigue suguiriéndome que lo compre y me manda ofertas. Al menos no son más baratas de lo que he pagado yo :p

      J!T

Deja un comentario  

Tu email nunca se publica o se comparte. Los campos obligatorios están marcados con *

*
*
:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:
Puedes usar las siguientes etiquetas y atributos HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

contacto@wintablet.info tema WinTablet.info por Ángel García (Hal9000)