Que opina? Así es cómo Chrome puede escuchar lo que dices mientras usas el navegador - 23/06/2015 9:10:16
" ¿Estás usando Chrome o algún canal de desarrolladores de ese navegador? Abre este enlace de preferencias y echa un vistazo a los ajustes que hay ahí: hay cosas crípticas, pero se adivina un micrófono activado y permisos concedidos para ""capturar audio"". Se deduce rápidamente que esto sirve para poder hacer el comando de voz ""Ok, Google"" cuando queramos, pero según Rick Falkvinge hay otras intenciones en un segundo plano.Esas intenciones se percibieron en el reporte de un bug en Chromium, la versión de código abierto de Chrome. En dicho reporte un usuario se quejaba de que Chromium descargaba unos binarios sin permiso llamados ""Chrome Hotword Shared Module"" y sin ofrecer la opción de no descargarlos.
Eso choca de frente con los métodos que tienen en los repositorios de software libre: cuando quieres subir algo en ellos, el código abierto se revisa por la propia comunidad para verificar que hace lo que dice que hace. Los responsables de Chromium, sin embargo, tienen una posición privilegiada y pueden saltarse esas verificaciones para publicar el código sin que nadie lo revise.
Los desarrolladores de Chromium llegaron a admitir que instalaban módulos binarios sin que el usuario lo sepa en la versión abierta de Chrome
El resultado: que de repente nos encontremos con partes de software que se instalan sin que el usuario se dé cuenta. La comunidad pidió explicaciones, y en Chromium lanzaron un parche que ofrecía poder denegar la instalación de esos binarios. Más tarde también admitieron que sí, esos binarios se instalaban sin que el usuario se diese cuenta y sí, sirven para activar el micrófono y escuchar lo que dice el usuario. La excusa era que esos módulos forman parte de ""la experiencia básica"" de Chromium, y que habían optado por no detallarlo.
En Chromium se ha podido tratar, pero en Chrome es inevitable
Claro, una cosa es querer reconocer las palabras ""Ok Google"" para iniciar una búsqueda por voz, pero otra muy diferente es estar escuchando permanentemente lo que ocurre en una sala donde haya alguien usando Chrome. Google podría estar usándolo o no, no podemos saberlo, pero las herramientas para poder hacerlo ya están ahí.
Porque tengamos en cuenta otra cosa: esto se ha detectado en la versión Chromium. En Chrome, estos módulos de los que hablamos vienen instalados y activados por defecto sin que el usuario pueda hacer nada. O sí, pero ya recurrimos a medidas como tapar el micrófono de alguna forma física. De ahí que Falkvinge defienda medidas como poder desactivar mediante hardware los micrófonos de todos los dispositivos que tengan uno integrado. Porque a través del software, según él, ya no es fiable según qué aplicaciones usemos.
Imagen | Paul Hudson
En Genbeta | DuckDuckGo sigue apostando por la privacidad y asegura haber crecido un 600% en dos años
También te recomendamos
Canadá sabe lo que descargas si utilizas Rapidshare o similares
Los 7 mejores cursos online para completar tus estudios en verano
17 expertos, blogs y newsletter a seguir si de verdad te interesan seguridad y privacidad
-
La noticia Así es cómo Chrome puede escuchar lo que dices mientras usas el navegador fue publicada originalmente en Genbeta por Miguel López .
Ver artículo...
" Fuente Artículo
Interesante, LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL - 23/04/2014 0:01:15
" Un fenómeno habitual en el mundo de la seguridad, especialmente en el software libre, es el del descubrimiento en cascada de vulnerabilidades. Pasó hace un tiempo con Rails (un framework de desarrollo web) y ha pasado ahora con OpenSSL. Se descubre una vulnerabilidad grave que llevaban meses o incluso años ocultas, lo que llama la atención de investigadores que exploran más a fondo ese software y acaban descubriendo vulnerabilidades adicionales.Después del descubrimiento de Heartbleed, los desarrolladores de OpenBSD, un sistema operativo tipo Unix, empezaron a explorar el código de OpenSSL. Lo normal suele ser que se descubran más vulnerabilidades y se reporten. En este caso no ha sido así: han visto fallos tan flagrantes y un código tan malo que han decidido directamente hacer un fork: LibreSSL.
A diferencia de otros forks de proyectos libres, LibreSSL no nace por problemas de licencias, como MariaSQL, ni porque el proyecto original cambie de dueños (véase el caso de OpenOffice y LibreOffice). La razón de ser este fork es la pérdida de confianza en OpenSSL y en sus desarrolladores.
Lo cierto es que LibreSSL no es estrictamente nuevo. Los desarrolladores de OpenBSD, muy centrados en la seguridad de sus productos, llevan unos días en una carrera para revisar - más bien purgar - el código de OpenSSL, quitando partes superfluas, adoptando buenas prácticas de programación y en general mejorándolo para hacerlo más fácil de mantener y más seguro. El blog OpenSSLRampage ha estado recopilando algunos de los cambios realizados: no hace falta saber programar para ver cómo valoran al código y a los otros desarrolladores de OpenSSL.
¿Cuestión de conocimientos o también de dinero?
Así es la página de LibreSSL. Usan Comic Sans como protección anti-hipsters.
A la hora de valorar un fork nos fijamos en varias cosas. La primera es si hay una razón para dividir esfuerzos en lugar de unirse en un mismo proyecto: viendo el historial de ambos desarrolladores, sí parece mejor que sea OpenBSD quien tome directamente las riendas en lugar de quedarse a un lado como colaborador.
Lo segundo en lo que nos fijamos es en sí el fork sobrevivirá. La respuesta a esta pregunta es obvia. OpenBSD es un sistema enfocado a la seguridad y por lo tanto tiene mucho interés en tener una librería SSL segura (o al menos una en la que puedan confiar): no va a dejar LibreSSL de lado así como así.
Una cuestión más importante es si conseguirá mantenerse al día en cuanto a seguridad y funcionalidades. De momento el foco está en lo primero: durante las primeras etapas, LibreSSL perderá características y, lo más importante, portabilidad. Sólo estará desarrollado para OpenBSD, el soporte para otros sistemas como Linux, OS X o Windows llegará más tarde (si llega).
Sin embargo, aquí entra en juego algo más que los conocimientos, algo central en todos los proyectos de esta envergadura: el dinero.Ya lo hemos dicho alguna vez: el software libre no es gratis. No se puede mantener un software tan complejo como OpenSSL sin pagar a los desarrolladores por su tiempo (aunque sólo sea el mínimo para su subsistencia), y por supuesto olvidémonos de realizar auditorías de seguridad. La fundación OpenSSL recibe de media 2000 dólares en donaciones al año, una cifra irrisoria. Para incrementar los ingresos, los desarrolladores realizan trabajos de consultoría relacionada con OpenSSL, y aunque esas tareas aportan dinero no sirven necesariamente para mejorar la librería.
No parece tan claro que OpenBSD tenga el músculo financiero suficiente como para mantener sin problemas LibreSSL. Para que os hagáis una idea, a principios de año estuvieron pidiendo donaciones para pagar la factura de sus servidores (que, todo sea dicho, no es precisamente barata). Puede que tras este anuncio el flujo de donaciones aumente o que más empresas patrocinen el desarrollo, pero de momento las perspectivas no son buenas.
Al final, la lección más importante de Heartbleed no es ni si la librería es mala o buena, ni si hace falta un fork o no. La lección que deberíamos extraer es que hay que tomar conciencia de las herramientas que usamos. Hay muchísimas empresas que funcionan en gran parte gracias a software libre como OpenSSL y que después no contribuyen de vuelta a la comunidad (ya sea económicamente, corrigiendo errores o creando más software libre). El software libre no es un regalo totalmente altruista: si es posible, debería ""pagarse"" de alguna forma a la comunidad por él. Esperemos que Heartbleed sea capaz de abrir un debate sobre este problema y que todos (especialmente las empresas) tratemos de corregirlo.
-
La noticia LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL fue publicada originalmente en Genbeta por Guillermo Julián.
Ver artículo...
" Fuente Artículo
Consulte Información de Gana lo que quieras El consumidor, el gran perdedor y WhatsApp Messenger, nuevamente gratuito para iOS
Consulte Información de Gana Emprendedor Web MediaFire quiere dejar atrás su pasado añadiendo sincronización de fotos en Android y Snapchat quiere meterse en las grandes ligas de las startups
Consulte la Fuente de este Artículo
No hay comentarios:
Publicar un comentario