Políticas de borrado de datos

En muchas empresas ya es bastante habitual disponer de políticas de seguridad sobre los datos (se cumplan o no) pero en las universidades parece que no lo es tanto. Supongo que tiene que ver con la naturaleza de su trabajo (avanzar el conocimiento, experimentar, …). En Cornell se han preocupado por el tema y han creado la University Data Cleanup and Inventory Initiative:

Overview
The University Data Cleanup and Inventory is a campus-wide initiative, undertaken at the behest of President Skorton, that requires units to:
- Establish business practices for handling confidential data.
- Discover where confidential data is being stored electronically.
- Remove confidential data that is no longer needed.
- Secure any confidential data that must be retained.
- Maintain awareness of where confidential data continues to be held.

Y pistas como: Sources of Confidential Data.

Interesante.

Estudio sobre aplicaciones de android

En [PDF] “These Aren’t the Droids You’re Looking For”: Retroffiting Android to Protect Data from Imperious Applications un estudio bastante interesante sobre aplicaciones Android para los teléfonos y su ‘hambre’ de datos.

First, we provide the deepest study to date (to our knowledge) of information exposure by Android applications in terms of types of information investigated, forms of exposure including encryption, and exposure patterns to advertisign and analytics servers

De las 110 aplicaciones estudiadas, 31 envían el IMEI del dispositivo. De ellas 14 lo envían a servidores de analítica y publicitarios.

Como resultado de la investigación, también ofrecen AppFence: Protecting User Data from Android Applications, una aplicación que sustituye datos sensibles por otros para que las aplicaciones los envíen y, además, bloquea transmisiones de red que contienen datos del usuario que han sido marcados como de uso exclusivo por el usuario en el dispositivo.
No la he probado.

Borrar las cookies, caché e historial de navegación

Una de las entradas de esta bitácora que recibe visitas casi todos los días es la de En internet es cada vez más difícil esconderse. En la línea de dar consejos para ser un poco más cuidadosos con nuestr intimidad, me parece interesante How to delete cookies, cache and history in all major browsers. También para recordarlo, cuando haga falta.

Básicamente, porque utilizar las facilidades que proporcionan los propios navegadores no siempre es suficiente. La lista es para Windows, pero se puede traducir de manera sencilla a otros sistemas.

La intimidad y los dispositivos inalámbricos

No termina de quedarme claro el tipo de sensores que comentan en el artículo (creo que por estos lares no son tan frecuentes) pero me pareció interesante el artículo [PDF] Protecting your Daily In-Home Activity Information from a. Wireless Snooping Attack: se trata de analizar el tráfico de los sensores de presencia y de otros tipos que podemos tener instalados en los hogares para espiar y averiguar patrones de conducta de los habitantes desde el exterior: cuándo duermen, cuándo están en determinadas habitaciones, cuántos son, dónde está cada tipo de habitación (cocina, dormitorio, …) …
El método se basa en escuchar a los sensores (cuya información puede estar cifrada, pero que no están contínuamente transmitiendo) y determinar, en función de su actividad, la actividad de las personas que viven en la casa. Los interesados, puede que encuentren más cómoda la presentación en [PPT] Protecting your Daily In-Home Activity Information from a. Wireless Snooping Attack porque hay más gráficos y va más directamente a los resultados.

Seguiríamos en la línea de los ataques a tecnología doméstica, para la que todavía no se está prestando suficiente atención por parte de los que la intalan en los hogares (ver algo más en Más ataques a coches y en sus enlaces).

Ataques a medida con hojas de cálculo

Hablábamos no hace tanto de Vigilancia en el Tibet y cómo se había atacado mediante documentos preparados a propósito, entre otras cosas.

Como continuación, en Targeted Attacks with Excel Files hablan de la alternativa utilizando hojas de cálculo apropiadamente preparadas.
Curioso.

En internet cada vez es más difícil esconderse

Arvind Narayanan ha estado publicando una serie de entradas a modo de divulgación de una revisión de la literatura existente muy interesantes sobre anonimato y cómo las empresas (y otros) pueden conocernos mejor de lo que nos gustaría, a veces.

En Cookies, Supercookies and Ubercookies: Stealing the Identity of Web Visitors empieza hablando de las viejas cookies, pero termina hablando de los sistemas de ‘desanonimización’ utilizando el historial de navegación (Día Internacional de la Privacidad) para tratar de averiguar quiénes somos.

En Ubercookies Part 2: History Stealing meets the Social Web profundizaba en estas cuestiones, con más detalles y diversas aproximaciones posibles.

En How Google Docs Leaks Your Identity comentaba un fallo de Google Docs ya solucionado (aunque luego lanzaron Buzz para terminar de desanonimizarnos).

En realidad, el mensaje está claro: deberíamos navegar por los sitios ‘sensibles’ (por supuesto, bancos, sitios de compras, …) en un navegador ‘sin historia’ (probablemente con un usuario diferente) para que nadie pueda saber cuál es nuestro banco, ni tratar de sacar partido de la información que nuestro navegador almacena y no nos imaginamos cómo alguien puede usar contra nosotros.

Sobre la desanonimización de la gente en internet

En la red no somos tan anónimos como nos gusta pensar. Y cada vez lo somos menos, a la luz de lo que vamos viendo. En Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization (pdf) habla de esos conjuntos de datos que se ‘liberan’ para favorecer el desarrollo de estudios y cómo han sido utilizados en el pasado para ‘desanonimizar’ (o sea, reconocer) a gente que presuntamente era anónima. Tiene mucho que ver con la actualidad porque se trataba de datos ‘anonimizados’ de los que se puede extraer información mezclándolos con otros datos públicos.

En realidad, por el simple hecho de conectarnos a una página web podemos estar ya dando suficientes pistas como probaba la entrada de Identificación cruzada u otros experimentos como el Panopticlick o el experimento en Social network deanonymization.

Identificación cruzada

Lo vi en Obtención ilegítima de información personal en redes sociales. Cross Site Identification (CSID) y los detalles (aunque no muchos) están en Cross Site Identification – or – How your social network might expose you when you least expect it: cuando nos conectamos a un sitio y aprovechando que estamos identificados y autentificados en otro de los sitios habituales de redes sociales. Nos cuentan:

The targeted site will silently cause the victim’s browser to request the SN to share the user’s personal details with the hacker. These details might be publicly available (i.e on the user’s public profile), but their acquisition at this point, outside of the normal context of the SN causes the user’s anonymity to be breaches and her identity known in the context of the targeting site.

Sergio Hernando dice que encaja en el Cross Site Request Forgery (CSRF, utilizar un sitio web para hacer una petición a otro aprovechando que estaremos identificados) pero el autor dice que no es exactamente eso:

In my previous post, I dubbed the vulnerability in Facebook “CSRF personal information leakage vulnerability” but some thought and conversation (thanks A.D!) showed that it is neither a CSRF per se, nor a leakage of information. It’s not exactly a CSRF because the victim’s browser isn’t tricked into performing any action apart from visiting a page (a CSRF token won’t help here), and it’s not exactly leakage because the information is publicly available! Its the out-of-context access to it that constitutes the attack. Furthermore, the vulnerability in the identifying sites found seems very minuscule (sometimes it is a feature!) when not considering this attack, so it is logical to assume that many other instances of it are in the wild. For these reasons I realized it’s a new attack technique in its own right, and that was what motivated me to write this post. I suggest the name Cross-Site Identification (CSID).

En todo caso, las diferencias son muy sutiles y tampoco está muy claro. Hay detalles sobre el problema tal y como se encontraba en Facebook en Facebook CSRF attack – Full Disclosure.

Los riesgos de utilizar el DNS de Google

A principios del mes pasado Google anunció Google DNS. Ellos lo proponen como un servicio más rápido y alternativo a los que nos proporcionan habitualmente las empresas que nos dan acceso a la red y además nombran unas cuantas alternativas más:

OpenDNS, a popular third-party DNS resolving service, offers more feature than Google Public DNS: web content filtering, stats, typo correction, shortcuts, but they’re available if you create an account and enter personal information like your name and address. When you type an invalid URL, OpenDNS redirects you to its own search engine to show suggestions and ads. Other free DNS resolution services: Comodo Secure DNS, OpenNIC, DNS Advantage.

Incluso una herramienta para comprobar la velocidad del nuestro: Domain Name Speed Benchmark.

De todas formas, no creo que a nadie le sorprenda que si apostamos por este sistema asumimos algunos riesgos. De eso hablan en Potential risks of using Google’s free DNS service?: más información para la empresa que, esperemos, utilicen adecuadamente y para mejorar sus servicios.

Más extensiones de seguridad para Firefox

En 10 add-ons for Firefox: Privacy and security. Ya conocía algunas pero me ha parecido especialmente interesante (a falta de probarla) la de BetterPrivacy por aquello de las cookies de Flash que los navegadores no manejan especialmente bien.

Ya habíamos hablado de Extensiones de Firefox que cuidan nuestra seguridad e intimidad y de Más extensiones de Firefox para la seguridad.