Pero por supuesto no somos los únicos preocupados por la privacidad. Numerosos son los medios que se hacen eco de los diferentes problemas generados por atentados contra la privacidad, siendo generalmente uno de los focos principales el de la privacidad en redes sociales, punto de entrada a Internet para una grandísima mayoría de usuarios en la actualidad. Pero, por desgracia, un comportamiento adecuado del usuario, aunque ayuda en gran medida, no siempre es solución completa al problema de la privacidad. Existen numerosos tipos de ataques difícilmente identificables por un usuario no entrenado que no disponga de las herramientas necesarias que abren una ventana, muy grande, por la que los atacantes pueden acceder a información muy jugosa y rentable.

Ante esta situación, son por tanto muy bienvenidas propuestas como la que hoy queremos presentaros, la del Data Transparency Lab (DTL) (Laboratorio de transparencia de los datos en inglés). La idea detrás de iniciativa no es otra que conseguir crear “Una comunidad de tecnólogos, investigadores, políticos y representantes de la industria con el fin de avanzar el estado de privacidad de los datos personales online a través de la investigación científica y el diseño.” Y, ¿cómo hacerlo? Invirtiendo y apostando por ideas nuevas. Y para muestra un botón, hasta el 15 de mayo está abierta la primera convocatoria de ayudas de DTL que se ha lanzado.

En definitiva, DTL es una gran noticia para el mundo de la seguridad y la privacidad, a la que nosotros como equipo muy volcado en este mundo esperamos poder aportar nuestro granito de arena, y, por supuesto, una mejor noticia para todos los usuarios, quienes acabarán beneficiándose de los resultados generados gracias a esta iniciativa.

The post DTL, privacidad y transparencia para el usuario appeared first on S3lab.

Hay que tener en cuenta que Tor disminuye considerablemente la velocidad y de que existen otras posibilidades para realizar el mismo propósito, pero la verdad es que también quería tener un poco más de conocimiento con esta red y de cómo se puede utilizar con diferentes programas y entornos.

Para mi experimento utilicé Vidalia y desde el propio programa de recuperación de información hice que se conectara a este servicio, pero después me pregunté si era posible hacer que todas las salidas de ordenador pasaran por este servicio sin necesidad de configurar cada programa. Así que me puse a buscar encontré lo que  necesitaba.

El resultado son los scripts que os dejo como recursos. Pero antes de entrar a comentarlos, deciros que es importante modificar el archivo /etc/resolv.conf y poner como nameserver 127.0.0.1. El motivo es que la resolución de los DNS lo tiene que hacer el propio sistema de Tor y no el que por defecto solemos utilizar. Volviendo con los scrpits, el primero, proxy.sh, solo tiene 3 variables para configurar que son la red que no queremos que entre dentro de la red Tor (suele ser nuestra propia red doméstica desde la que nos conectamos), el ID del proceso tor en nuestro sistema (normalmente es el 126, pero es mejor asegurarse con ps aux| grep tor) y el puerto al que se debe conectar para poder salir a Internet. Este último, salvo que se modifique en las configuraciones del demonio Tor, no es necesario modificarlo. Como apunte importante, este script es para Linux y es necesario tener instalado el servicio Tor (sudo aptitude install tor). El resto de elementos son entradas para el firewall para que actúe como proxy de todas nuestras conexiones. El segundo script, salir_tor.sh, como su propio nombre indica es para poder volver a nuestra red y dejar de ser anónimos. Lo único que hace es borrar todas las entradas que antes hemos metido en el firewall.

Estos scripts son muy simples y son una prueba para ver como poder anonimizar nuestra navegación en un entorno UNIX, pero eso no conlleva que toda nuestra navegación sea anónima. La mayoría de las veces, no es la propia IP la que delata nuestra identidad o localización, si no el propio navegador, los plugins que tiene instalados, los javascripts que ejecuta cada web, etc. El anonimato es un bien bastante difícil de conseguir y muy fácil de perder. Existen distribuciones específicas para una navegación anónima con elementos específicos para evitar nuestra identificación pero, al final, nosotros mismos y nuestras costumbres son las que nos delatan.

Algunas de esas distribuciones son Tails (https://tails.boum.org/) (el más usado y, según dicen, el que usa Edward Snowden, Ubuntu Privacy Remix (UPR), Liberte Linux, Mandragora o Whoix del que, supuestamente no se puede “escapar” ninguna información que desvele quienes somos. Por otra parte, y para la bonita herramienta Raspberry Pi, existe un proyecto como Onion Pi con un instalador muy sencillo para poder poner un punto Wifi que se conecte a Tor.

Ahora, tener en cuenta que estas herramientas son para que podáis probar y jugar con la red Tor, pero no las utilicéis para hacer el mal porque para muchas personas, en lugares o situaciones de censura o con una fuerte represión, son el único modo de comunicarse con el resto del mundo sin ser arrestados o algo peor.

The post Torificando todo el equipo appeared first on S3lab.

Permite bloquear las apps instaladas y del sistema, permite utilizar plantillas por defecto para cada nueva app instalada, permite utilizar valores inventados, permite el bloqueo “on the fly” de peticiones de la app, permite guardar y compartir las configuraciones, te muestra el uso de recursos que ha tenido la app y es gratuita, aunque también tiene versión PRO de pago que ayuda al desarrollador a evolucionar la aplicación.

El módulo de Xprivacy (de Xposed) es un firewall en toda regla. Te permite bloquear accesos que ni tan siquiera quedan registrados en los permisos de la aplicación. Para ver las posibilidades que tiene esta herramienta, voy a poner el ejemplo de una app que casi nadie tiene, Whatsapp.

En la imagen de la izquierda podemos ver qué elementos nos deja restringir para que la app no pueda acceder. Como podemos ver, están los elementos que, en principio más nos deberían de importar como son el acceso a nuestros datos almacenados, los contactos, las cuentas almacenadas en el dispositivo, las llamadas, los medios (cámara y micrófono), los sensores (proximidad, orientación del dispositivo, luz…), el teléfono (llamadas y registros) y el terminal.

Por otra parte, las plantillas sirven para que los valores que nosotros pensemos que son más importantes, los tengamos siempre a buen recaudo. Las plantillas se pueden aplicar al instalar cualquier aplicación, quitándonos bastante trabajo a la hora de decidir qué le permitimos hacer a la nueva app. En mi caso, lo tengo todo puesto para que me pida consentimiento sobre qué permite o qué deniega. La primera vez que instalas una app, suele ser un peñazo debido a que te saltan muchas peticiones.

Pero entonces piensas qué para que narices tiene que acceder un juego a la parte de telefonía, o geolocalización (como es el caso de Andry Birds), sin necesidad aparente, y te agrada saber que hay una herramienta que te avisa y te permite decidir. Llegados a este punto, y volviendo a la situación (no ficticia) de la vida real del principio, ya tenemos varias estratagemas, de mala educación, para que nuestros datos no sean comercializados. El problema surge cuando negación tras negación, la app deja de funcionar debido a que no puede acceder a recursos que ella determina como necesarios y no tiene un sistema para la gestión de recursos nulos. La app deja de funcionar y no la podemos usar.

Pero claro, ahora es donde viene la pillería. Y si queremos ejecutar sí o sí una app, pero no queremos que sepa dónde estamos, ni que lea nuestros contactos, ni viole nuestra privacidad y que además funcione bien. Pues Xprivacy nos da la opción de inventarnos los datos. En la imagen de la derecha podemos ver qué datos nos permite inventarnos, además de iniciar estos valores al arrancar nuestro dispositivo. Estos son los que suelen pedir las apps normalmente.

Una vez que hemos visto cómo funciona esta herramienta, os tengo que confesar que hay una trampa, lógica, para que funcione. Debemos de ser root para poder utilizarla. Existen apps firewall para usuarios no root, pero dudo bastante de sus posibilidades y protección.

The post Xprivacy, un firewall para Android en toda regla appeared first on S3lab.

¿Y qué podemos hacer nosotros como usuarios para configurar nuestras opciones de privacidad? Por eso, iniciamos el repaso a las opciones de privacidad que nos ofrecen distintas operadoras en España, empezando por Vodafone. Para ello, accedemos a la sección de “Mi Vodafone” dentro de la web y entramos dentro de la sección “Mis datos personales”. Allí encontraremos una sección dedicada expresamente a gestionar la privacidad de nuestros datos.

Como podemos ver, hay varios elementos dentro de la sección de privacidad de los datos que, cuando menos, llaman la atención, mientras que otras podríamos enclavarlas dentro de prácticas más habituales de este tipo de operadoras. Cosas como que cedan tus datos a entidades titulares de ficheros de solvencia patrimonial o que se cedan a la Asociación Centro de Cooperación Interbancaria. Por otro lado, también cabe destacar la diferenciación que hace entre los datos de tráfico y facturación; y los datos de navegación. Una cosa que me llama la atención es la opción “No deseo recibir publicidad”. Mi pregunta es ¿si ofrece mis datos a otras empresas, estás también se comprometen a no mandarme publicidad? La verdad es que me surge la duda.

En cualquier caso, es reseñable la capacidad que te ofrece Vodafone de poder gestionar esos datos. En próximos post iremos analizando las posibilidades que nos ofrecen los distintos operadores a la hora de gestionar la privacidad de nuestros datos.

The post La privacidad y las operadoras (Vodafone) appeared first on S3lab.

No hace mucho tiempo, y espero que todavía siga siendo así, saber la vida de los demás era catalogado de cotilla y se veía como una cualidad muy fea. ¿Quién no ha tenido una vecina cotilla? Esa que siempre sabía cuando salíamos de casa, cuándo y cómo volvíamos, con quién íbamos, con quién dejábamos de ir, qué ropa vestíamos, en qué trabajábamos o qué estudiábamos… Esas cositas que, realmente, no le deberían de interesar a ninguna persona ajena a nuestro círculo personal. Pero bueno, ahí estaba ella, todo el día asomada a la ventana para ver que se cocía por la calle.

De niños, inocentes de nosotros, respondíamos amablemente a la vecina diciéndole la verdad, sin tener en cuenta que esas palabras podrían tener repercusión de alguna manera en nosotros.Con el tiempo y, cogiendo picardías, empezamos a desarrollar ciertas pautas para que la vecina no nos viera cuando pasábamos y así poder pasar desapercibidos sin el exhaustivo examen diario. Pero, ay cuando nos apañaba!! “¿A dónde vas hijo? Hace tiempo que no te veo. ¿Sigues estudiando? Que feo te has dejado el pelo. Y ese pendiente, pareces un macarrilla…” En esos momentos tenías cuatro opciones. No contestarle y seguir tu camino, contestarle muy mal (ambas mala idea, ya que te tacharía de mal educado y todo el barrio lo sabría), contestarla con la verdad (la liaste, otra vez estas en su círculo) o mentirla y salir airoso.

¿Por qué os cuento esto? Porque hoy en día tenemos algo parecido. Los Smartphones, y más concretamente los servicios que usamos con ellos, son la nueva vecina cotilla. El problema es que todavía somos unos niños con ellos, grandes, pero niños. Los teléfonos saben por dónde andamos, cuales son nuestros amigos, las compras que hacemos, cómo nos acicalamos para salir, etc. Y lo peor de todo es que somos nosotros mismos los que se lo decimos. La vecina quería saber todo de todo el mundo simplemente por conocimiento y, pensando mal, por malmeter, pero los Smartphones no tienen ese objetivo en mente,  su objetivo es el dinero. Ahora que sabemos esto, como hicimos cuando crecíamos, deberíamos de aprender ciertas pautas para evitar que estos cotillas de bolsillo recopilen toda nuestra información.

Aparte de leer los permisos que piden las apps, una de las técnicas que ha dado mejores resultados, es la de utilizar firewalls. Actualmente en GooglePlay hay muchas opciones que ofrecen esa funcionalidad. Pero ¿entendemos que es un firewall en un dispositivo móvil? A grandes rasgos, el funcionamiento de un firewall es el de evitar accesos no autorizado a recursos del sistema, permitiendo los que sí lo estén. En un dispositivo móvil estos recursos pueden ser los SMS, los contactos, la ubicación GPS, el micrófono o la cámara entre otros. Como ejemplo, un firewall para Smartphone debería advertirnos de que la linterna quiere acceder a nuestros SMS (leer o enviar), ya que no es normal que una linterna tenga ese comportamiento. El problema, al menos para mí, es que no me suelo fiar mucho de ese tipo de aplicaciones de terceros. Pero bueno, hay que hacer un salto de fe.

Aplicaciones como DroidWall o LBE, son soluciones bastante buenas pero, con la primera no quedé muy contento cuando la usé y con la otra, la versión en inglés dejó de funcionar para las nuevas versiones de Android y la que funciona está completamente en chino. Por otro lado, la ROM más conocida en el mundo Android, CyanogenMod, desde el escándalo de la NSA, se ha puesto las pilas y ha metido el sistema de privacidad de manera nativa en su sistema. Concretamente evitando que ciertas apps puedan acceder a recursos como la ubicación, los contactos, las llamadas, los SMS, la cámara, el micrófono, las conexiones, etc.  A título personal, yo utilizo  Xposed con el módulo de Xprivacy

A modo de conclusión, comentaros que, si odiábamos que una vecina cotilla estuviera al tanto de lo que hacíamos o dejábamos de hacer, simplemente porque no es de su incumbencia, ¿por qué dejamos que nuestro dispositivo cotillee lo que no debe? ¿Es más sano que nuestro Smartphone sepa cosas nuestras a que lo sepa la vecina? Pensar que las grandes compañías tecnológicas ganan dinero de los datos, ¡nuestros datos!, que nosotros mismos les regalamos a cambio de un dispositivo molón. La privacidad es algo que se está perdiendo a pasos gigantescos y, por desgracia, de manera irremediable. La próxima vez que utilicéis algún asistente de esos que tan de moda están, llámese GoogleNow, Siri, Cortana o Sherpa, al decir la palabra “mágica” pensad si solo escucha esa palabra y se activa o procesa todo lo que habláis.

The post Un Smartphone tras la mirilla appeared first on S3lab.

Dejando para otro momento la valoración del precio de esa información tan ansiada hoy en día por las empresas, vamos a hablar sobre los usuarios, quienes en cierto modo somos los culpables de facilitarla tan alegremente. ¿Los motivos? Yo identifico 2 principalmente: i) por despreocupación y ii) por desconocimiento.

Hola Red Social, ahí tienes mi vida

Parece que todo el mundo es consciente ya de que aquello que publica en Internet deja de ser completamente privado (aunque seguimos viendo diariamente publicaciones comprometedoras en las diferentes redes sociales), pero parece que aún no nos damos cuenta del valor que tiene ese contenido para el propio servicio. En primer lugar, y aunque parezca lo contrario en algunos casos, las redes sociales dependen de los usuarios y no al revés. Necesitan volumen de usuarios, que siempre queda muy bien de cara a hacer comparaciones con la competencia, pero sobre todo necesitan interacciones entre los usuarios (e.g., publicaciones, votos, relaciones, etc). Ese contenido autogenerado es lo que da vida a un servicio de este estilo y es precisamente lo que le da valor al mismo, y el motivo por el que han conseguido alzarse como los servicios importantes que son hoy en día y conseguir de paso jugosas rondas de financiación. ¿Pero por qué ven tanto potencial en ese contenido social los fondos de inversiones? Es fácil, la información es poder y tus datos son muy valiosos.

El clásico uso de toda esa información es la de ofrecer una publicidad dirigida a los usuarios que aumente su impacto, que consiga atraer la atención por su interés. Esto, por supuesto, tiene mucho valor y, también por supuesto, funciona mejor cuantos más datos se tengan. Si bien hace años se podía ver esto como algo un poco utópico, hoy en día uno de los gigantes de Internet es capaz de detectar solo por tu forma de navegar si eres un humano o un bot. Si bien esa funcionalidad parece muy simple, ¿alguien duda de que también sean capaces de distinguir el tipo de usuario que somos? Si a eso le añadimos que generalmente estamos “logueados” constantemente en sus servicios (e.g., Facebook, Google, Twitter), la cantidad de información que tienen sobre nosotros es considerable.

Hola Aplicación, coge lo que quieras de mi teléfono

Antes hablábamos de lo que los usuarios hacemos con conocimiento, cediendo información que publicamos generalmente de forma voluntaria, pasemos ahora a lo que ni sabemos que estamos cediendo. Uno de los vectores más importantes mediante el que los usuarios “regalan” datos es mediante aplicaciones móviles. Un gran porcentaje de usuarios sabe que al instalar una aplicación, se pueden ver los permisos que pide, para saber a qué accederá dentro de nuestros dispositivos pero, ¿cuántos lo analizan de verdad? No muchos. Aquí podemos ver un ejemplo gracioso que muestra lo que nos cuesta leer la “letra pequeña”.

Si a esos permisos que no hacemos caso añadimos que a veces las aplicaciones se pasan pidiendo y que acceden sin nuestro conocimiento a nuestros datos, la combinación es peligrosa. Un ejemplo curioso al respecto es el de uno de los juegos más descargados para teléfonos móviles, que pide en todo momento la geolocalización del usuario para ofrecer publicidad acorde a su posición (e.g., país, ciudad, ¿tiendas cercanas?). Esta información a la que accede la aplicación no es notificada al usuario, salvo mediante el uso de aplicaciones especiales. Y esto si hablamos de aplicaciones benignas. ¿Alguien quiere pensar en la información que tiene o que recoge su dispositivo móvil y a la que podría acceder una aplicación con fines maliciosos? Ahí lo dejo.

¿Y si me pagaran por ceder mis datos?

Puede parecer una locura, pero no descarto que en el futuro existan servicios que paguen a sus usuarios por generar contenido. De hecho ya existen algunas pequeñas pruebas de concepto cerradas en EEUU que pagan a sus usuarios por ceder sus datos de uso.

Por el momento, en una próxima entrega hablaremos sobre soluciones como XPrivacy para aquellos que estén interesados en limitar el acceso a los datos en su dispositivo móvil Android. Si bien requiere algo de trabajo ponerla en marcha, la considero una aplicación fundamental para evitar accesos indebidos a toda esa información que llevo encima. Al fin y al cabo, si alguien quiere esa información que nos pertenece, al menos que pague por ella. Y para los que digan que nunca cederían esa información, ni por todo el oro del mundo, como argumentaba Ricardo Darín en 9 Reinas, todo el mundo tiene un precio.

The post ¿Y tus datos, cuánto valen? appeared first on S3lab.