Herramientas para evitar tracking web (seguimiento)

logo-adblock-plus(Segu-Info) Para conocer la información que los sitios web pueden registrar de los usuarios, La Electronic Frontier Foundation ofrece el servicio Panopticlick que califica el grado de anonimato del navegador. El sitio realiza una prueba que muestra la información de identificación proporcionada por el navegador y genera una calificación numérica que indica lo fácil que sería identificar a cada usuario basado únicamente en huella dactilar del navegador.

Según la teoría de la entropía explicada por Peter Eckersley, 33 bits de entropía son suficientes para identificar a una persona. Según Eckersley, sabiendo la fecha de nacimiento de una persona (sin el año) y su código postal, ya se ofrecen 32 bits de entropía. Si a eso se suma el género de la persona (50/50, por lo que suma poca entropía) se llega al umbral de identificación de 33 bits.

Para conocer en profundidad la información que se puede obtener de un navegador y el usuario, se puede visitar Browserspy, el cual brinda información detallada de cada aspecto del sistema.

Una vez analizados los métodos comunes de tracking web (seguimiento), ahora se verán algunas herramientas que permiten evitar ser rastreado y que la información personal de los usuarios sea registrada por los sitios web que se visitan.

  • BetterPrivacy bloquea las flash cookies en Firefox.
  • DoNotTrackMe filtra cualquier tipo de información personal que pueda ser solicitada por el servidor web. Esta herramienta funciona en cualquir navegador y es especialmente útil para filtrar cualquier tipo de red o botones sociales que “llevan” más información de la necesaria permitiendo que el usuario elija con quien interactuar y en qué momento. Do Not Track (DNT) es una iniciativa de Mozilla [PDF] para permitir a los usuarios decidan si quieren ser o no rastreados en Internet. Ya ha sido apoyada por Google, Opera, Microsoft y recientemente ha sido también incluida en Twitter.
  • DuckDuckGo, permite realizar búsquedas anónimas y también se puede agregar como extensión a Firefox, Opera e Internet Explorer.
  • HTTPS Everywhere, permite determinar si un sitio puede utilizar HTTPS y si es así utiliza este protocolo en vez del estandar HTTP.
  • Ghostery y Disconnect son extensiones de Firefox y Opera que bloquean cualquier tipo de información de rastreo.
  • ScriptNo for Chrome es una extensión similar a Ghostery pero esta permite bloquear los scripts en Google Chrome.
  • Priv3 es una extensión Firefox creada por investigadores de Rutgers University e International Computer Science Institute (ICSI). Funciona igual que DNT bloqueando las cookies de Facebook, Twitter, Google+, y LinkedIn.
  • PrivacyFix controla la configuración de privacidad de Facebook, Twitter, Google y otras redes sociales que recopilan datos personales y brinda la posibilidad de corrigir los errores o informar cuando existe un cambio en la política de privacidad de esos sitios.
  • Leer más de esta entrada

Análisis del hackeo a #Bit9

party-eNota de Juan Carlos Vázquez para bSecure. En esta publicación se ha tocado hasta el cansancio el tema de los ciberataques. De hecho, creo que es el tema principal del medio de comunicación, así que en pocas palabras su existencia está atada al crecimiento, evolución e impacto del crimeware en el mundo.

Y vaya que en los últimos años hemos tenidos material de sobra para analizar. Desde 2010, el mundo clandestino de los cibercriminales, hacktivistas y ciber espías nos dejó en claro que no existe empresa en el planeta que sea inmune a un ciberataque, incluso si tu negocio mismo es la ciberseguridad.

Recordemos en 2011 a RSA, con un ataque que involucró información relacionada con su solución de autenticación de doble factor. Poco tiempo después Symantec se agregó a la lista y reveló que había sido foco de una brecha, donde parte del código fuente de sus soluciones de endpoint fue comprometido.

Si las firmas de seguridad IT son blanco, el resto de las organizaciones con más razón. Arrancamos 2013 con los ya famosos hackeos a medios de comunicación estadounidense Washington Post, The Wall Street Journal, The New York Times. ¡Ah! Por poco olvido el ataque al Departamento de Energía de Estados Unidos y las más de 250,000 cuentas de Twitter comprometidas, como reflejo de la vulnerabilidad en Java que Oracle decidió corregir justo esta semana.

La semana pasada le tocó a Bit9, aunque el proveedor ya liberó una actualización para corregir la vulnerabilidad, nos enteramos de que la empresa —ampliamente reconocida en el mercado por su solución de “Listas Blancas de aplicaciones”— fue comprometida y la brecha fue aprovechada para distribuir malware con al menos tres de sus clientes (entre los que están firmas minoristas, bancos, agencias federales y de seguridad nacional y energía).

Uno de los primeros en reportarlo fue el famoso Brian Krebs, a través de su conocido blog KrebsonSecurity, quien ventiló que la red corporativa de Bit9 había sido objeto de un ciberataque y que el mismo proveedor ya había recibido reportes de algunos de sus clientes que aseguraban haber detectado códigos maliciosos dentro de las redes protegidas por la solución de Bit9. Al estar comprometida la aplicación, el malware era aprobado como aplicación legítima por el sistema.

Las soluciones de listas blancas de aplicaciones, tienen como objetivo impedir que código no autorizado (fuera de esa lista) se ejecute dentro de un sistema (incluyendo al malware por supuesto) y que únicamente las aplicaciones confiables y permitidas sean empleadas por el usuario final.

Leer más de esta entrada

#Facebook podrá pedir los nombres reales a los usuarios en Alemania

600x0_541599Facebook ha obtenido una victoria en materia de privacidad en Alemania.

La red social, que exige a sus usuarios que se registren con un nombre verdadero y no les permiten servirse de un pseudónimo o nick, fue denunciada por un organismo de protección de datos del estado de Schleswig-Holstein, al norte de Alemania. Este ha argumentado ante los tribunales que Facebook viola las leyes alemanas de privacidad así como la política europea que vela por la libertad de expresión de los internautas.

Sin embargo, el tribunal administrativo local que ha valorado el caso ha estimado que las normas de privacidad alemanas no se aplicarían a Facebook,puesto que su sede central en Europa está localizada en Irlanda, donde las normativas en esta materia serían menos estrictas, según informa The Next Web.

El cuerpo de protección de datos de Schleswig-Holstein asegura que piensa apelar la decisión judicial, puesto que las exigencias de un nombre real irían en contra del derecho comunitario, del que las regulaciones irlandesas forman parte. Leer más de esta entrada

España: la dirección IP no es prueba suficiente para imputar un delito a su titular

El Tribunal Supremo español ha anulado la condena a dos personas que habían sido acusados por un delito de estafa informática al considerar que la mera adjudicación de una dirección IP no acredita ser el autor del acto telemático que la utiliza. El alto tribunal así lo considera en una sentencia dictada por la Sala Penal el pasado 3 de diciembre y hecha pública recientemnte,

Los acusados fueron condenados por la Audiencia Provincial de Guipúzcoa, en en octubre de 2011, por un delito de estafa informática, previsto y penado en los artículos 248.2 y 249 del Código Penal de ese país. Según expone la sentencia de instancia, uno de los acusados usó las claves bancarias de la víctima para ordenar una transferencia a otro número de cuenta, titularidad del segundo acusado.

Sin embargo, el Tribunal Supremo ha considerado ahora que la Audiencia Provincial no dispuso de una “mínima actividad probatoria” y que la prueba pericial que concluye que el acusado fue autor del delito resulta “poco concluyente y equívoca” además de no tener en cuenta que el condenado carecía de conocimientos y capacidad para llevar a cabo las operaciones informáticas que se le imputaban. Leer más de esta entrada