Archivo de la categoría: Seguridad

Seguridad "presencial" con Bluetooth en Linux

Estoy aprovechando estos días para “maquear” un portátil nuevo que me han dado en el curro, y he dado con un programa curioso: blueproximity.

¿Cuántas veces os habéis levantado de delante del ordenador sin bloquear la pantalla y algún compañero gracioso os ha gastado alguna jugarreta (enviar un mail con vuestra cuenta expresando vuestro amor incondicional por el resto de la plantilla, definir un alias ls=”rm -ri /”, o algo así)? ¿O estando en un cliente, se ha quedado información sensible en la pantalla mientras habéis ido a por el café? A mi ya me han gastado más de una de estas con lo que ya tengo el hábito de antes de levantarme, bloquear yo la pantalla. Sin embargo una solución automática no está de más.

La idea detrás de blueproximity es sencilla: bloquear automáticamente la pantalla si no estáis cerca, emparejándose con un dispositivo bluetooth (vuestro móvil) y en función de su proximidad activar o desactivar el salvapantallas. Simple y efectivo. Ahora el problema es si os olvidáis de coger el móvil al bajar a por el café. XD

Gestión del firewall en MacOS X

[spanish]

Vía Applesfera doy con dos aplicaciones de Hanynet para gestionar el firewall que viene incorporado (aunque oculto y poco accesible) en Leopard:

  • NoobProof, fácil de usar para el usuario medio, y
  • WaterRoof (qué caña de nombre XD), más detallado para usuarios más técnicos

Muy recomendables ambos.
[/spanish]
[english]

Via Applesfera I’ve learnt about two applications developed by Hanynet that allow you to manage the internal firewall on MacOS X Leopard:

  • NoobProof, easier to use for the average user, and
  • WaterRoof (cool name XD), more detailed, for the technically-savvy

Very useful.[/english]

Usando una VPN como default gateway

[spanish]Una cosa bastante lógica sobre VPNs que he aprendido ésta semana “a las bravas”:

Si vas a usar una VPN como gateway por defecto y no sólo para llegar a ciertas redes, primero tienes que definir una ruta estática para llegar al servidor VPN a través de tu gateway actual.

Puede que no resulte obvio pero tiene mucha lógica: para establecer la VPN, primero hemos de tener conectividad con el servidor VPN, que no va a estar en nuestra red local, por lo que llegamos a él a través de nuestro GW (el router ADSL o lo que sea). Una vez establecido el tunel, la VPN “en tránsito” no es más que paquetería TCP, UDP, o el protocolo que sea desde vuestro host, pasando por nuestro GW, hasta el servidor VPN, que se encarga de “desempaquetar” el tráfico tunelizado. ¿Qué pasa si establecemos la conexión y asignamos un default gateway en el otro extremo de la VPN? Que se “anula” el GW que teníamos, el router ADSL, y se “activa” el nuevo, que no está en nuestra red local. Al haberse sobrescrito el GW hacia el router ADSL, ya no podemos salir a internet, los paquetes de la VPN ya no llegan al servidor, y perdemos visibilidad con el GW del otro extremo.

vpngw.png
Pensarlo un poco. Es una chorrada, pero es lo típico que cuando configuramos una VPN con un GUI, éste se encarga de hacer por nosotros, pero si la estamos configurando a más bajo nivel (en un router, a nivel de ficheros de configuración de un servidor, etc.) nos toca hacer a mano.

[/spanish]

[english]One detail about VPNs that I’ve learnt this week the hard way:

If you want to use a VPN as your default gateway and not only to reach some private networks, you have to add first a static route to reach the VPN server through your current gateway.

It may not be very obvious but it’s quite logical: in order to start and maintain the VPN, you need to have network connectivity with the VPN server, that isn’t on our local network, so we reach it through our default gateway (the DSL router or whatever). Once the VPN is up, the “in transit” VPN is just TCP, UDP or some other protocol packets flowing from your host, through your gateway, and reaching the VPN server, that “unpacks” the actual VPN traffic. And what happens if now we set a default gateway on the other side of the VPN connection? It “overwrites” the previous GW, the DSL router. The new GW is not on our real local network anymore, we can’t reach it, so our “in transit” VPN packets can’t get to the VPN server.

vpngw.png

Think about it. It’s quite silly, but it’s one of those things that get set up for you when configuring a VPN using a GUI, and you don’t even realize about them until you have to deal with things at a lower level (configuring a router, dealing with a server config files, etc.)

[/english]

Si lees este artículo, me debes una birra

A través de éste artículo del blog de Enrique Dans doy con otro de un abogado poniendo de vuelta y media los avisos de confidencialidad en los correos electrónicos. Muy recomendables ambos así como sus comentarios.

No me voy a extender demasiado porque suscribo punto por punto todo lo que comenta Enrique: siempre me han parecido una bobada, nadie puede obligarme a nada sólo por el hecho de leer un texto que, además, viene después de la información sobre la que pretende imponerme esas obligaciones. Es de locos. Pero todos hemos visto cómo después de que algún “jefecillo espabilao” se lo pusiera en la empresa, ha habido más de tres y cuatro borregos que han hecho copy-paste en su firma para parecer más… ¿más? Y copiando unos de otros, al final media empresa con el disclaimer dichoso sin saber muy bien cómo ni por qué, pero ¡mola!. Una moda más, y como todas las modas, “sin chicha ni limoná”.

Aparte de al borreguismo, lo achaco a que todavía hay mucha gente que no está preparada (por así decirlo) para las nuevas tecnologías, y a alguna mente pensante (igual de poco apta con éstas cosas) se le ocurrió la genial idea de éstos textos para lavarse las manos ante las inevitables meteduras de pata propias y agenas.

Lo que está claro es que si el mensaje llega, llega a su destinatario. Por definición. El que pone en el “To:”. Ni el MUA ni el MTA van a meter la pata, si hay error será humano y en el lado del remitente “de gatillo fácil”.

Los problemas que veo son:

  • Fe ciega en el auto-completado del Outlook. Ah, ¿que se lo he mandado al que no toca? Pues no es culpa mía, es del Outlook (vale, nos ha pasado a todos alguna que otra vez, quien esté libre de pecado que tire la primera piedra…)
  • Falta de profesionalidad unida a lo fácil que es darle al botón de “Forward”. Porque claro, si leyendo un documento confidencial que tengo en papel se me ocurre una broma graciosísima, lo que no hago es fotocopiarlo y mandar copias a 10 amigos para ponerlos en contexto y contarles la gracia. Sin embargo con el correo electrónico…
  • Falta de concienciación en el uso de herramientas de cifrado de información. Pero en fin, si más de una vez he sudado sangre para intentar explicarle los fundamentos del cifrado de clave pública a algún Ingeniero en Informática, no quiero imaginarme lo que puede ser intentar que lo use sin meter la pata (¡y sin auto-completado!) una persona que no está acostumbrada a éstas cosas…

En fin, que si, que éstas cláusulas se ponen porque existe un problema, eso no lo niego. Pero no son la solución, no aportan nada, sólo más confusión.

Y menos mal que había dicho que no me iba a enrollar… XD