Archive for 22 abril 2014

cifrando (o encriptando )

22/04/2014

candados-puente

En clase para hacer pruebas de cifrado de ficheros simples y para obtener el hash (función resumen) de un fichero utilizamos el programa omziff  – que se puede descargar aquí -.

Pero cuando se trata de tener cifrado todo un conjunto de ficheros el programa de referencia es TrueCrypt. TrueCrypt es gratuito y  multiplataforma (Windows, Linux y MacOS ) . Se puede  descargar desde la página oficial de TrueCrypt .  En este otro enlace dejo un pequeño manual.

Microsoft incorpora en algunas versiones de W7 y de W8 el programa Bitlocker para cifrar los discos.

En Genbeta han publicado estos días varias notas sobre como encriptarlo todo, muy recomendable su lectura:

Una advertencia, si cifras algo acuerdate de la password !

 

 

fallo de seguridad grave en OpenSSL

11/04/2014

OpenSSL_bug1

Esta semana se ha publicado que el modulo openSSL que se encarga de mantener y cifrar conexiones seguras tiene un fallo.

El fallo de seguridad es muy importante porque afecta a la base de cualquier comunicación que se supone segura.

Hemos leído y comentado en clase  una descripción general del fallo escrita en el periódico el país, que aunque no es muy técnica sirve para entender el problema. También en la web de rtve , donde califican el fallo como el fallo más importante en la historia de internet, se puede leer más información al respecto.

En principio si hay una solución no debería haber mayor problema, ¿ no ?  Pues sí, sí hay problemas y muchos.

El fallo es tan grave como que se pueden leer las cuentas y las contraseñas que hay almacenadas en la memoria (RAM) de un servidor e incluso los certificados digitales que tenga instalados.

Que se puedan robar, no significa que necesariamente  haya sucedido, pero uno de los problemas de los robos de contraseñas es que uno no sabe que se las han robado, si no la cambian . Y por lo tanto, los servicios que tú crees que son privados puede que ya no lo sean. Así que toca cambiar contraseñas .

Además del posible robo de contraseñas, también se pueden robar los certificados digitales de un sitio, por lo que se puede poner en duda la autenticidad de cualquier sitio web que tenga un certificado.

Eso ya son problemas muy gordos. Los servidores tienen que revocar sus certificados e instalar unos nuevos.

En el blog de Chema Alonso hay una descripción técnica muy interesante y fácil de comprender y también una descripción del alcance del problema.

Con este fallo se demuestra que las autentificaciones en 2 pasos cada vez son más necesarias.

 

un servicio de correo que proporciona claves pública /privada . Hushmail

05/04/2014

camden_people

Hushmail es un servicio de correo -con base en Canadá- que permite enviar correos firmados y encriptados.

Cuando uno se da de alta en el servicio (hay servicio gratuito con limitaciones) se genera un par clave pública / clave privada que Husmail maneja.

Como hemos visto en clase, para enviar un correo encriptado se usa la clave pública del destinatario, que si está en Hushmail, éste ya conoce, así que todo es muy fácil.

Además con hushtools, podemos firmar, verificar, comprobar claves públicas de otras personas  o documentos.

Pero no es un sistema cerrrado, se pueden enviar correos a otros servidores que utilicen PGP o gPGP

Pego aquí la firma de un documento realizada por hushmail. El documento es la foto que encabeza esta nota, pero no la miniatura, sino la original, que habrá que descargar. (esperemos que wordpress no cambie nada de la foto, porque entonces la firma no serviría)

—–BEGIN PGP SIGNATURE—–
Note: This signature can be verified at https://www.hushtools.com/verify
Charset: UTF8
Version: Hush 3.0

wsBcBAABAgAGBQJTP+hXAAoJEIvoGpYwJAVViwYH/jB0UeVg7673ZXsvuEzII1ZsTxii
2KfURp9PI8SdayLGUtAdwA5Pl83hzOknEl4gpBDzkCjz1SrWlTkZXSdP+xbMcZxGqAyu
NFCyJoxtM2T+jp31xgv6RnBMoVXa7CDAuve+nP04VTtmuhhK5KjmmSGxrZ5JcfLUYrAB
csjx3UicOVtlL+CTFr+NUpPmzXP4FZWon/zqQdk4cwCXhyNkWK/hfLffx5498VnUjPcx
75u9OdhY+1/eFJ7knzfx/s4g+liX22AwdSM7YzpdCsDH8Dnp8llTngq4cCuiQcvt/YDC
oj1kweK3toJGfyIJon1G242bBuTKqoI0QIyui4FRxCA=
=TChs
—–END PGP SIGNATURE—–

Para comprobar si ese documento es el original, el que está firmado hay que utilizar la herramienta de hushtools verificar firma, que no necesita registro previo.

 

 

 

 

conferencia sobre propiedad intelectual y contenidos digitales

02/04/2014

confe_propiedad_intelectual

Hemos tenido en el instituto una conferencia titulada “Propiedad intelectual y contenidos digitales”

Impartida por Victor Salgado Seguin. Abogado especializado en derecho informático del despacho de abogados Pintos & Salgado

Recojo aquí unas notas tomadas en la conferencia , aunque quizás falten algunas cosas.

* * * *

Empieza con una cita  . . .  “El regulador es el código” de Lawrence Lessig – 1999   “Código y otras leyes del ciberespacio”

Apunta que en las discusiones sobre propiedad intelectual en el mundo digital suele haber dos trincheras, y parece que solo puedes estar en una o en  otra. Pero también caben otras posturas, no todo es blanco o negro, hay matices, y muchos.

No se puede ir contra la ley de la gravedad, no se puede ir contra la realidad.

P2P y Web2.0- tecnología que forma una nueva realidad.

Un teléfono smart, no es un teléfono, es un ordenador.

En este marco, pregunta ¿ de quién son los contenidos ?  La ley pone una prioridad : el esfuerzo es lo que prima la ley.

La ley prima al autor. pero vuelve a la pregunta “¿de quién son los contenidos?”

propiedad material  //  propiedad inmaterial

el concepto de propiedad ha cambiado desde los romanos, que incluso tenían propiedad sobre algunas personas.
en el siglo XV aparece la imprenta >> contenidos reproducibles >> propiedad inmaterial

propiedad inmaterial:
– propiedad industrial : marcas, patentes.
es necesario registrarla, limitada en el tiempo (10 – 20 años), limitada en el espacio (territorial)

– propiedad intelectual: copyright
no necesita registro (pero sí se puede registrar), limitada en el tiempo (70 años después de la muerte del autor), no limitada en el espacio (tratados)

El software no es patentable , en España ni en Europa continental ( UK ?), es propiedad intelectual.

en USA sí es patentable, bajo “invención”

en USA se puede patentar una idea, en Europa no.

modelo europeo

– software = creación, protegido bajo derechos de autor

modelo USA

– software = invención, protegido bajo patente

coste aproximado de una patente  . . .  entre 3000 y 10000 euros
coste aproximado de registro de propiedad intelectual  . . .  14 euros

el registro no hace ninguna comprobación, salvo en caso de conflicto

* * * *
¿ Qué es una marca ?

un nombre –> se registra  140 euros + gastos profesional

el nombre de marca protegerá que no usen ese dominio

* * * *
Para poner copyright no hay que hacer ningún trámite , se pone y listo.

La ley : todo lo que no esté expresamente autorizado, está prohibido su uso.

Ley de propiedad intelectual (LPI ) es de 1996 , otras disposiciones derivan de una directiva de la Unión Europea de 2001 reforma en trámite parlamentario ahora

Se especifica la figura del Autor

* * * *

WEB 2.0

una normativa que protegía a unos pocos (autores) ahora pasa a proteger a todos (en la web 2.0 ) somos autores

la mayor mentira de internet es  ” he leído las condiciones ” .     al abrir cuentas aceptamos las condiciones, que nunca leemos.

Además las empresas cambian esas condiciones, aunque comunican los cambios.

El texto de las condiciones de Facebook es más largo que la constitución USA

Todo lo publicado en Facebook es de Facebook

¿ Quién es el responsable de lo que está en Youtube ?

(en Youtube o Facebook o . . . )

Son empresas prestadoras de servicios, no son responsables de lo publicado.

* * * *

Objeto de la propiedad intelectual

– libros
– obras cinematográficas
– . . .
–  . . .
– los programas de ordenador

el registro de propiedad intelectual no es necesario

* * * *

Derechos de autor

– derechos morales :  paternidad de la obra, integridad de la obra

– derechos patrimoniales:

reproducción
distribución
comunicación pública
transformación
puesta a disposición  ( es un derecho nuevo, surge de las nuevas tecnologías)

una obra se puede adquirir/comercializar con unos derechos y no con otros

jurídicamente no existe la distribución digital, no existe esa figura

en el mundo de internet, el concepto de comunicación pública no existe, ya que implica reproducción.  De ahí sale el derecho de “puesta a disposición”

antes de 2006 esto no estaba legislado
( cuando no hay un derecho legislado es que se puede hacer. )

* * * *
los derechos de autor son expropiables si hay interés público.

interés público — > la cultura

bibliotecas
periodismo
citas de otras obras (en trabajos de investigación)

como vemos aún se está formando las leyes y la aplicación de estos derechos.

* * * *
en derecho, tenemos por un lado la ley, pero la ley se puede interpretar de distintas maneras.

los abogados pueden defender distintas posturas, al final el juez determina, a veces se recurre la sentencia.

2 + 2 no son 4  . . .  eso depende de acuerdos, de abogados, etc etc.

La mayoría de las startups empiezan utilizando herramientas que ya existen, algunas protegidas por derechos.

por eso hay una batalla continua de patentes entre compañías, también hay acuerdos que benefician a ambas partes.