miércoles, 12 de marzo de 2014

El sistema se utilizaba en principio y La Agencia de vigilancia británica

Que opina usted? El GCHQ ha interceptado las webcams de usuarios de Yahoo! - 27/02/2014 9:30:46

" La agencia de vigilancia británica, el GCHQ, con apoyo de la NSA, ha capturado de manera indiscriminada imágenes de las webcams de los usuarios de Yahoo!, sin importar si los usuarios se encontraban bajo algún tipo de investigación o no. Así lo muestran más documentos filtrados por Edward Snowden de entre 2008 y 2010. El programa se llamaba Optic Nerve.
Este programa estuvo en funcionamiento durante seis meses de 2008, y entre las imágenes que se capturaron, como podéis imaginar, había muchas que eran sexualmente explícitas. Yahoo! ha declarado a The Guardian que no tenían conocimiento de este programa, y ha acusado a las agencias de llevar la violación de los usuarios a un nuevo nivel. Cerca de 1.800.000 de las cuentas de Yahoo! se han visto afectadas.
Lo mejor de todo el asunto es que el GHCQ no tiene manera de saber si únicamente ha capturado imágenes de ciudadanos británicos, y la legislación del Reino Unido no restringe a los servicios de inteligencia británicos acceder a imágenes de ciudadanos de fuera de sus fronteras (aunque sí tienen que pedir permiso para poder hacer búsquedas). El GCHQ no tiene obligación de anonimizar la información que recoge, como sí tiene la NSA.
¿Cómo funciona Optic Nerve?
El sistema se utilizaba en principio para experimentar con reconocimiento facial automático para monitorizar la actividad de objetivos del GCHQ, y para obtener información sobre potenciales objetivos. El funcionamiento del programa era simple: se tomaba una imagen cada cinco minutos, sobre todo para evitar sobrecargar sus sistemas.
Lo mejor de todo es que las imágenes tomadas por una Webcam, habitualmente, son de personas mirando directamente a la cámara. Suelen ser perfectas mugshots. Aunque era imposible, por otra parte, realizar consultas a las imágenes (y de hecho la agencia luchaba por hacer que las imágenes no pasaran a manos de los investigadores, sobre todo pensando en las más explícitas). Aunque han realizado pruebas basadas en técnicas de reconocimiento facial.
Como curiosidad, el documento estima que entre el 3% y el 11% de las imágenes son sexualmente explícitas. Además, no pueden utilizar reconocedores automáticos de pornografía para eliminar ese material, debido a que funcionan detectando la cantidad de piel en una imagen. Lo curioso es que una webcam tiende a estar apuntando directamente a la cara, y ésta suele ocupar casi toda la imagen.
A mí, personalmente, Optic Nerve me recuerda bastante al funcionamiento de las telepantallas de 1984: sabes que te pueden ver, pero no cuándo. Un capítulo más del verdadero culebrón al que asistimos desde hace unos cuantos meses, cuando comenzaron a destaparse las prácticas de las agencias de inteligencia de los gobiernos de todo el mundo. ¿Qué será lo próximo?
Por cierto, el mecanismo más simple para evitar este tipo de intrusiones es una pegatina delante de la cámara de nuestro portátil. Yo lo dejo caer. Máxime ahora que la criptografía no parece ser tan infalible.
Vía | The Guardian
Imagen | Defence Images (CC BY-SA)
En Genbeta | PRISM: cronología, qué es y qué explicaciones han dado los implicados
-
La noticia El GCHQ ha interceptado las webcams de usuarios de Yahoo! fue publicada originalmente en Genbeta por Manu Mateos.

Ver artículo...
" Fuente Artículo

Que opina usted? Apple y "goto fail", un fallo de seguridad en SSL/TLS y su posible relación con la NSA - 25/02/2014 2:42:42

" El viernes pasado, Apple lanzaba una actualización urgente para iOS 7. La razón: una vulnerabilidad en el sistema SSL/TLS. Y no una vulnerabilidad cualquiera, sino un fallo muy grave. La librería de Apple no verificaba correctamente la autenticidad de la conexión, de tal forma que alguien podría escuchar sin problemas conexiones aparentemente seguras.
La misma vulnerabilidad se ha descubierto también en OS X, y además se ha detectado una enorme coincidencia sobre las fechas en las que ese fallo apareció y filtraciones que conocíamos sobre la NSA y el programa PRISM. Pero no adelantemos acontecimientos.
¿En qué consiste el fallo en SSL/TLS?

Tal y como explicamos en nuestro artículo sobre el funcionamiento de HTTPS, SSL/TLS es un protocolo para cifrar y autenticar las conexiones con un servidor. Cuando te conectas a tu banco no quieres que nadie vea los datos que le estás mandando (cifrado), pero además quieres asegurarte de que estás hablando con el banco y no con un impostor (autenticación).
Para cifrar los datos, el servidor y tu navegador tienen que intercambiar una clave. Para ello, el servidor tiene que enviar unos parámetros iniciales que tienen que ir firmados digitalmente. Esto es, tienen que tener un código que asegure que es el servidor quien te envía los datos.
Esa firma hay que verificarla, y ahí es donde entra el código que veis en la imagen (podéis verlo también en el código fuente de Apple). Seguramente veáis algo raro, y es ese goto fail; duplicado. Algún programador en la sala también se habrá asustado con los gotos, aunque en este caso son una buena práctica (ver capítulo 7 de la guía de estilo de Linux).
La línea duplicada se salta la verificación de la firma y devuelve un código "ok", como si fuese siempre válida.
Frikadas informáticas aparte, expliquemos ese código. Los ifs van actualizando un hash o huella digital. Si fallan, se ejecuta la línea después del if: goto fail, que sale de la función y devuelve el código de error. Sin embargo, el goto duplicado se va a ejecutar siempre. Es decir, que en todo caso salta directamente a la salida y devuelve el código de error, que será 0 (indicativo de "todo ha ido bien").
Casualmente, el código que se salta es el encargado de verificar la firma. Esa línea duplicada se salta la verificación de la firma. Y como el código que devuelve la función es siempre 0, cualquier programa que use esa función pensará que al firma es siempre correcta.
¿Implicaciones? Que alguien podría espiar tus conexiones seguras. Hay que ejecutar un ataque MITM (man-in-the-middle o "hombre en el medio"). Un servidor intercepta las conexiones entre tu navegador y tu banco y modifica los parámetros iniciales de cifrado que te envía el banco antes de que te lleguen. La librería de Apple no verifica la firma y no detecta por lo tanto que los datos han sido modificados por el camino, y la conexión sigue como si no pasase nada. Sin embargo, ese servidor intermedio ahora sabe la clave de cifrado y puede ver qué estás enviando.
¿A quién afecta este fallo?
El fallo está en una librería de sistema de Apple usada por varias aplicaciones, por lo que muchísimos programas para OS X a partir de 10.9 y iOS a partir de la versión 6 están afectados. La actualización de iOS 6 y 7 ya está lista, la de OS X tardará algo más. El fallo no ha sido detectado hasta ahora , aunque había habido algún "aviso" de que algo no iba bien , así que es difícil que haya sido explotado por atacantes.
Para poder usar ese fallo y espiar tus conexiones, el atacante tendría que "ponerse" entre tu ordenador y el resto de Internet. Conectarse a redes WiFi inseguras es una forma de facilitarle las cosas al hacker de turno, así que, como siempre, nada de usar tranquilamente redes abiertas ni protección WEP, como dicen nuestros compañeros de Applesfera.
También podéis ver si vuestro navegador está afectado en gotofail.com. Chrome y Firefox no usan la librería de Apple, así que no deberíais de tener problemas con ellos.
Y la NSA, ¿qué pinta en todo esto?

Al principio del artículo he dicho algo de la NSA. ¿Qué tiene que ver con todo esto?
Lo cierto es que no hay ninguna prueba fehaciente, sólo circunstanciales. iOS 6, la versión en la que se introdujo el fallo, salió en septiembre de 2012. En las diapositivas filtradas de la NSA sobre el programa PRISM, la fecha en la que Apple es añadida al programa es… octubre de 2012. John Gruber plantea varios niveles de paranoia:
¿Conocía la NSA el fallo? ¿Tuvo algo que ver en su introducción?
La NSA no sabía nada.
La NSA conocía el fallo pero no lo usó.
La NSA conocía el fallo y lo explotó.
La NSA introdujo la vulnerabilidad.
Apple introdujo la vulnerabilidad a petición de la NSA.
No podemos hacer más que especular sobre qué posibilidad es la correcta. Yo personalmente apostaría por la 3, pero con matices.
El fallo es sutil, y muy posiblemente fruto de un merge (combinación de dos versiones del mismo archivo) que no se repasó bien. Un desliz. Sin embargo, es lo suficientemente grave como para ser detectado por una herramienta automática de prueba de la NSA. Y con las capacidades de la agencia, es perfectamente posible que lo hayan explotado contra sus objetivos.
Ahora bien, no creo que esto tenga que ver con el programa PRISM. La razón es simple: este programa era de recolección de datos de los servidores de las empresas. La NSA podría haber usado la vulnerabilidad para otros menesteres, como espiar a ciertos objetivos interesantes, pero es difícil que se haya usado de forma masiva, sobre todo sin que nadie se haya dado cuenta.
Lo de la NSA no deja de ser una curiosidad/casualidad. Lo que sí es más grave es que un fallo de este tipo se corrija en un sistema (iOS) y no en otro (OS X), dejando vulnerables a muchísimos usuarios. Y como siempre, la falta de transparencia de Apple al explicar esta vulnerabilidad. En Cupertino tienen un problema con la seguridad: situaciones como esta no pueden volver a ocurrir.
Más información | Imperial Violet | Ashkan Soltani
-
La noticia Apple y ""goto fail"", un fallo de seguridad en SSL/TLS y su posible relación con la NSA fue publicada originalmente en Genbeta por Guillermo Julián.

Ver artículo...
" Fuente Artículo

Es Noticia, La NSA pudo espiar más de 100.000 ordenadores en todo el mundo con radiofrecuencia - 26/01/2014 9:42:21

La NSA pudo espiar más de 100.000 ordenadores en todo el mundo con radiofrecuencia
La Agencia de Seguridad Nacional de Estados Unidos (NSA) implantó programas de vigilancia en unos 100.000 ordenadores de todo el mundo según recoge The New York Times. Los datos se han hecho públicos gracias a los documentos aportados por el ex analista Edward Snowden. La implantación de estos programas se realizó con una tecnología bastante arcaica, la radiofrecuencia, lo que implica que tuviera que hacerse de forma manual por las personas.
La cabecera norteamericana señala que los objetivos de vigilancia de la NSA son principalmente el Ejército de China, las Fuerzas Armadas de Rusia, la Policía de México e instituciones de comercio de la Unión Europea.
El sistema de radiofrecuencia utilizado, Quantum, se basaba en un canal secreto de ondas de radio transmitidas a través de tarjetas USB presentes en los ordenadores.
La NSA ha descartado hacer algún tipo de declaración sobre este sistema. "Nosotros no usamos nuestros servicios de inteligencia para robar secretos comerciales de compañías extranjeras en beneficio de las empresas de EE.UU. y su competitividad internacional", ha afirmado la portavoz de la NSA Vanee Vines.
El presidente norteamericano, Barack Obama anunciará esta semana cuál será su línea a seguir para modificar la criticada vigilancia de la NSA y que ha suscitado todo tipo de críticas y recelo por parte de diferentes gobiernos.

Compartir Fuente Artículo

Que opina usted? ¿Cómo se preparan las compañías aéreas para el uso de dispositivos móviles en los aviones? - 25/01/2014 23:50:49

¿Cómo se preparan las compañías aéreas para el uso de dispositivos móviles en los aviones?
El pasado 10 de enero entró en vigor la nueva normativa de la Agencia Estatal de Seguridad Aérea (AESA) que permite el uso de dispositivos móviles, tabletas, reproductores de música y video consolas portátiles no sólo durante el vuelo sino también durante el despegue y el aterrizaje siempre que se encuentren conectados en "modo avión".
De esta forma, se da el primer paso a que se pueda hacer realidad el sueño de muchos: hablar por teléfono y poder usar internet a bordo. A sí es como algunas de las principales aerolíneas se están preparando para poner en marcha la nueva normativa.
Iberia
La compañía tan sólo tardó 24 horas en presentar la documentación necesaria una vez se publicó la nueva normativa en el BOE para obtener la aprobación y que "nuestros clientes puedan beneficiarse cuanto antes de este cambio" explican.
En el caso de Iberia, ésta no necesita modificar sus aviones para poner en marcha esta normativa. "Sí lo estamos haciendo para ofrecer WiFi y conexión GSM a bordo en los vuelos de largo radio, una vez la agencia de seguridad aérea autorice su utilización. Ya tenemos once aviones listos. En concreto, los A330 ya vienen equipados de fábrica, y los A340-600 los estamos transformando" afirman desde la aerolínea.
Esto supone la sustitución del cableado actual por otro de fibra de óptica así como la instalación de un nuevo sistema que permitirá a los clientes utilizar sus dispositivos móviles para enviar y recibir mensajes GSM en cualquier punto de la ruta, y la instalación del sistema ALNA para tener acceso a internet.
"Para llevar a cabo este proceso tenemos un plan de retrofit de diecisiete aviones Airbus A340/600 que llega hasta el primer trimestre de 2015. Ya tenemos seis aviones transformados y podemos ofrecer wifi y conectividad en otros cinco Airbus A330 que ya han venido equipados con este sistema" añaden desde Iberia.
Air Europa
La compañía ha revisado su manual de operaciones con el fin de adaptarlo a la nueva normativa y ya lo ha enviado a la AESA para que esta dé su aprobación. "En cuanto ésta se nos notifique, se pondrá en práctica" explican desde la compañía.
Vueling
La AESA se encuentra en estos momentos estudiando la documentación presentada por la aerolínea. Fernando Val, director de Producción, señala que "esta normativa está aprobada en Reino Unido. British Airways la lleva usando un tiempo. Lo que hemos hecho es adaptar los procedimientos que esta presentó".
Aunque la adaptación del manual y los procedimientos no requieren de una inversión tangible, Vueling ya trabaja en la adaptación de los aviones al uso de WiFi, algo que hará de forma progresiva y que, en palabras de Val, "será el siguiente paso".
Lufthansa
Stefan Kreuzpaintnerem, director general de la compañía afirma que esta nueva normativa "es muy positiva y creemos que es un paso más en la buena dirección". En este caso los pasajeros aún no podrán ni llamar ni descargar datos durante el vuelo pero si podrán utilizar Lufthansa FlyNet, primer acceso a internet de banda ancha a bordo y que se encuentra disponible en el 90% de los aviones de largo recorrido de la compañía.
"Para las llamadas telefónicas de urgencia, todos los aviones de larga distancia se han equipado con teléfonos fijos, disponibles por un suplemento»" puntualizan. Desde Lufthansa señalan que se irán adaptando a la nueva normativa poco a poco a lo largo de este año "porque tenemos que pasar por un proceso de certificación específico por cada tipo de aeronave. El Boeing 747-8 ya está certificado desde el 1 de enero de 2014".
Air France y KLM
Ambas aerolíneas aseguran que se encuentran estudiando la adaptación a la normativa.
Compartir Fuente Artículo

Noticia, Havas elimina su marca MPG y reestructura sus operaciones de medios - 25/01/2014 23:43:44

Havas elimina su marca MPG y reestructura sus operaciones de medios
Havas ha decidido eliminar su marca de medios, la agencia con base en Barcelona MPG, consolidando todas sus operaciones bajo un nuevo paraguas, Havas Media Group, un movimiento que se hará efectivo a partir de la próxima semana.
De esta manera, Havas Media Group tendrá dos marcas con base en París, Havas Media y Arena Media, consolidando así una gran cantidad de recursos de MPG y pequeñas unidades especializadas, incluyendo la unidad móvil Mobext, el grupo social Socialyse, el sistema de gestión de datos Artemis y la unidad de trading Affiperf, bajo el nombre de Havas Media. Por otro lado, Havas Sports & Entertainment, Cake, Havas Event y Havas Productions se aglutinarán por su parte bajo el paraguas de Havas Media Group.
Alfonso Rodés, CEO de Havas Media, pasará a ser CEO del grupo, mientras que Dominique Delport, CEO de Havas Media France, asumirá el papel de director general de Havas Media y Havas Media Group.
"No somos la mayor división en términos de tamaño, por lo que el reto es impulsar y ganar nuevos territorios y actividades. Lo que hemos hecho hasta ahora en el ámbito digital y de contenidos alimentará todo el grupo Havas y no sólo nuestra división", explicó Delport en Ad Age. Según el nuevo director digital, el plan de un modelo fuerte e integrado está en línea con la visión del CEO de Havas David Jones, quien recientemente ha reorganizado la compañía y reajustado a sus principales talentos. "Demuestra que lo que los clientes necesitan es simplicidad, integración e innovación. Es nuestro reto. Es un largo camino", afirmó.
La reestructuración de la división de medios está hecha a imagen de la división creativa, Havas Creative, que recientemente transformó Euro RSCG en Havas Worldwide, dando luz a dos marcas diferenciadas: Havas Worldwide y Arnold.
"Esto nos ayuda a ser más coherentes y consistentes a través de los medios pagados, propios y ganados y la creatividad. Debido a la fragmentación de los medios la historia de la marca es más y más importante. Nuestra organización digital podrá lo digital en el núcleo de estas dos redes", explicó Delport.
Compartir Fuente Artículo

Es Noticia, La Agencia Española de Protección de Datos y AUTOCONTROL firman un acuerdo de colaboración para el seguimiento del uso de cookies - 25/01/2014 23:39:54

La Agencia Española de Protección de Datos y AUTOCONTROL firman un acuerdo de colaboración para el seguimiento del uso de cookies
En el día de hoy ha tenido lugar la firma del Acuerdo de colaboración entre la Agencia Española de Protección de Datos (AEPD) y AUTOCONTROL (Asociación para la Autorregulación de la Comunicación Comercial) para la cooperación mutua en el seguimiento de la correcta utilización de cookies en los dispositivos terminales de los usuarios y la detección, corrección y supresión de aquellas prácticas en este ámbito que no se adecúen a las obligaciones legales que les sean de aplicación.
En el Acuerdo se hace constar que la AEPD acoge satisfactoriamente el sistema de autorregulación de AUTOCONTROL, en particular en el ámbito de las cookies.
Asimismo, estipula que la AEPD podrá solicitar a AUTOCONTROL información sobre si una determinada página web, plataforma o aplicación ha obtenido un informe de verificación positivo en el marco del procedimiento de Cookie Advice®. Éste es un nuevo servicio de consultoría técnica y jurídica ofrecido por AUTOCONTROL para ayudar a las empresas y a los responsables de páginas web en general a adecuarse a las exigencias legales en materia de cookies. En el Acuerdo se prevé, asimismo, que la AEPD podrá solicitar información acerca de si una página web, plataforma o aplicación ha sido objeto de un procedimiento de resolución extrajudicial de controversias en el seno del Jurado de la Publicidad de AUTOCONTROL, en relación con el uso que esté haciendo de las cookies. En ambos casos, AUTOCONTROL trasladará a la AEPD una copia de las correspondientes actuaciones. Este Acuerdo de colaboración no afecta al ejercicio de las competencias de la AEPD en materia de cookies.
Por otra parte, en el documento se señala que si la AEPD realiza un requerimiento a una empresa en relación con la instalación de cookies desde una página web u otra plataforma o aplicación, ésta en su respuesta puede informar que cuenta con un informe de verificación de cookies positivo emitido por AUTOCONTROL. En tal caso, en el Acuerdo se señala que la AEPD podrá incorporar al expediente dicho informe como elemento de valoración de la responsabilidad de la empresa. El acuerdo estipula también que AUTOCONTROL informará trimestralmente a la AEPD sobre su actividad de consulta y verificación de cookies, en el marco del mencionado servicio AUTOCONTROL Cookie Advice®.
La colaboración se hará también efectiva cuando la AEPD lo requiera en cualquier cuestión relacionada con la regulación de las cookies y el control de su licitud. Por su parte, AUTOCONTROL podrá solicitar la ayuda de la AEPD para emitir dictámenes, estudios, proyectos y resoluciones que afecten a la regulación del uso de cookies. Finalmente, en el Acuerdo se señala que ambas instituciones podrán llevar a cabo cuantas acciones de divulgación, formación o estudio consideren convenientes, de común acuerdo.
Con el objetivo de hacer un seguimiento de la ejecución de este acuerdo por ambas partes, éstas se comprometen a establecer la correspondiente Comisión de Seguimiento que estará compuesta paritariamente y se reunirá de forma periódica. El acuerdo ha entrado hoy en vigor tras su firma por ambas partes y tendrá una duración indefinida.
Cabe destacar que este acuerdo de colaboración, se suma a otros 19 acuerdos de colaboración y convenios de corregulación suscritos por AUTOCONTROL con distintas administraciones competentes en materia de publicidad.
Nuevo marco legal
Este Acuerdo responde al cambio significativo que se produjo en el año 2012 en la regulación de cookies como consecuencia de la publicación, el 30 de marzo, del Real Decreto Ley 13/2012, cuyo objetivo era la trasposición en nuestro país de la reforma de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de fecha 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, llevada a cabo porla Directiva 2009/136/CE de 25 de noviembre.
En concreto, la citada norma modificó el texto del artículo 22 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico en lo relativo al modo en que los prestadores de servicios de la información deben recabar el consentimiento informado de los usuarios en cuyos dispositivos terminales se instalan cookies. En concreto el artículo 22.2 de la citada ley exige que los editores web informen sobre el uso de cookies y obtengan el consentimiento de los usuarios para su instalación.
Previo a la firma del presente Acuerdo, y también como consecuencia de la citada modificación legal, la AEPD y las asociaciones adigital, Autocontrol e IAB Spain presentaron de forma conjunta en el mes de abril la primera guía en Europa en esta materia elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria. La Guía sobre el uso de las cookies recoge las orientaciones, garantías y obligaciones que la industria se compromete a difundir y aplicar para adaptar la instalación de este tipo de archivos a la legislación vigente.
Nota de prensa
Compartir Fuente Artículo

Consulte Información de Gana Emprendedor Web La cuota de mercado y éxito
Consulte Información de Gana Emprendedor Web La capacidad creativa y el negocio
Consulte la Fuente de este Artículo
Dinero desde Internet

No hay comentarios: