La Maldición de Cloud Computing

Las tecnologías de Cloud Computing pueden ayudarte a ser extraordinariamente productivo. Puedes trabajar donde sea, a la hora que sea y con el dispositivo que tengas enfrente. Muchos proveedores de servicio tienen modalidades de servicio gratuito o de bajo costo. Así pues, ¿qué podría haber de malo en aprovechar todas estas herramientas?

Pues bien, la "maldición" de Cloud Computing consiste en que es mucho más fácil subirse a la nube, que bajarse de ella.

¡Cuidado! La nube puede volverse un servicio tan valioso, que además de convertirse en algo casi adictivo puede ser casi imposible de reemplazar. Y al llegar a este punto es donde nos volvemos un cliente cautivo del proveedor. 

Examinemos algunos escenarios que van desde simples dolores de cabeza hasta verdaderas "historias de terror".

Escenario #1 - ¿Te puedes llevar tus datos?

¿Has pensado cómo podrías llevarte todo el correo electrónico de tus usuarios a un proveedor diferente? No es que no hayan maneras de hacerlo, pero las funcionalidades que te ofrece un proveedor (por ejemplo clasificación automática en carpetas, filtros anti-spam, agrupar conversaciones), quizá no son exactamente compatibles con algún otro. Por ejemplo, puede que acabes con todo tu correo en una sóla carpeta, perdiendo todo el esfuerzo de clasificación que realizaste durante meses. Puede ser que se "pierdan" correos importantes, o que los usuarios no sepan cómo encontrarlos en el servicio del nuevo proveedor. Ante estas posibilidades ¿quién en su sano juicio desearía cambiarse de proveedor?

Escenario #2 - Es gratis, ¿verdad?

Otra posibilidad: te suscribes a un servicio de colaboración en la modalidad gratuita. Es justo lo que necesitas. Empiezas a invitar compañeros del trabajo. Haces equipos, discusiones, videoconferencias, compartes documentos ¡fantástico! Hasta que... tu proveedor de servicio es comprado por una compañía más grande y los nuevos dueños deciden descontinuar la modalidad de servicio que habías venido usando. Te dan 30 días para descargar tu información y llevártela (¿cómo te llevas un "espacio virtual"?) a otro lado antes de que borren tu cuenta y las de tus compañeros. O puedes contratar el nuevo servicio con un costo de USD$100 anual por usuario...

Escenario #3 - Funciona de maravilla, o casi...

Otro caso más: tienes alrededor de 20GBytes en una carpeta almacenada "en la nube", que incluye las fotos que has tomado con tu celular. El servicio es práctico y barato. Ha llegado el momento de cambiar de celular. Instalas el app del servicio en tu nuevo celular, configuras tu cuenta y... ¡tus fotos en la nube desaparecen! Afortunadamente tenías un respaldo de tus fotos en el celular anterior pero ¿y si no? ¿y si hubieran desaparecido tus archivos del trabajo en lugar de tus fotos?

¿Quién es el culpable?

Todos estos escenarios son cosas que bien te pueden pasar a título individual y en ese caso la única persona a quien puedes reclamar eres tú. ¿En qué estabas pensando cuando te suscribiste a ese servicio?

La cosa adquiere una dimensión más grande y bastante desagradable si el servicio en cuestión fue una decisión que tomaste para toda tu empresa. Lo que puede funcionar muy bien para una persona con un riesgo aceptable, puede volverse un riesgo inaceptable si lo extendemos a toda la organización.

La maldición de Cloud Computing hace que, cuando te des cuenta de esto sea demasiado tarde para cambiar, o demasiado costoso, o demasiado difícil ¡y que no lo hagas hasta que algo falle!


¿Qué puedes hacer ante esto?

Lo primero: desarrollar una estrategia tecnológica. Sin estrategia, no puedes planear, y te la vas a pasar "reaccionando". ¿Es así como prefieres trabajar?

El momento de hacerlo es ¡ahora! antes de que te encuentres en un escenario de terror.

Tu estrategia tecnológica debe tener en cuenta los beneficios del servicio, que usualmente son indicados por las funcionalidades que anuncia el proveedor, así como el costo (seguramente quieres hacer un comparativo de costo vs. beneficios para todos los proveedores), pero también debes considerar el riesgo.

A veces es muy difícil ponerle números a los riesgos, especialmente para las nuevas tecnologías.

Por ejemplo ¿cuál es la probabilidad de que Google, Amazon o Windows Azure dejen de funcionar? Es casi imposible contestar esta pregunta. Sin embargo, si puedes estimar cuánto te costaría cada uno de los escenarios de falla.

No puedes protegerte contra todo pero habiendo hecho una estimación de los daños, puedes decidir cuál escenario quieres prevenir primero, y cómo quieres hacerlo.

El "Plan B"

Tu estrategia tecnológica también debe considerar un "Plan B". Es decir, debes considerar el caso hipotético de que tu proveedor o su servicio falle y tengas que cambiar a otro proveedor o de plano empezar a usar otra herramienta.

Para elaborar tu "Plan B", hazte las siguientes preguntas:

  • ¿Cómo podrían los procesos de la organización seguir funcionando si el servicio "X" dejara de estar disponible?
  • ¿Cuentas con un respaldo de tu información fuera de la nube? ¿Se genera automáticamente?
  • ¿Existen herramientas para migrar la información de un proveedor a otro? Quizá sería conveniente ensayar este último escenario con algunos usuarios clave, sólo para definir un plan de migración en caso necesario.
  • ¿Hasta dónde llega la responsabilidad del proveedor y dónde empieza la tuya?
  • ¿En qué momento el costo dejaría de ser aceptable?
  • ¿Qué otros riesgos no-aparentes podrían existir?

Con todo esto no pretendemos sugerir que dejes de usar Cloud Computing. Sin embargo, debes dejar de hacerlo a ciegas. Debes contar con una estrategia y entender muy bien los riesgos que estás corriendo.

La vida consiste en correr riesgos. Las nubes son fantásticas, omnipresentes, flexibles y poderosísimas.

Sólo toma en cuenta que el sentido común te dice que, "si te subes a una nube, te puedes caer...". ¡Tu "Plan B" debería incluir un paracaídas!


Publicado por 1 comentario:

¿Hoy No Circulas? ¡No permitas que eso te detenga!

La contaminación ambiental en las megalópolis llega a veces a niveles tan altos que sus autoridades toman medidas para restringir la circulación de los automóviles. De ahí el nombre del programa "Hoy No Circula", que se ha aplicado en la Ciudad de México, pero también se ha implementado en diferentes épocas y con diferentes resultados en ciudades como París, Francia y en países como Italia, Colombia, Ecuador, Chile y Brasil.

Las causas de la contaminación pueden ser muchas y las soluciones son muy discutibles pero, ¿sabías que puedes hacer algo inmediato para contribuir a reducir la contaminación y no sufrir algunas de las molestias derivadas de las restricciones a la circulación?

Nos referimos al TELETRABAJO o trabajar desde la casa (Home Office).

Así es, hay muchísimas tecnologías de Cloud Computing y videoconferencia que podrían evitarte ir a la oficina por lo menos algunos días y seguir siendo productivo.

Se ha discutido mucho sobre si el trabajar desde casa puede reemplazar a la oficina tradicional. No se trata de eso. El contacto personal es necesario en muchas actividades humanas. Sin embargo, "ese día" que no puedes utilizar tu automóvil no necesariamente tendría que volverse un calvario para transportarte a la oficina.

Si todavía no estás usando alguna de estas aplicaciones, te mostramos unas cuantas recomendaciones de aplicaciones "en la nube" ¡para que el "Hoy No Circula" no te detenga!

Google Apps for Business
Con los servicios de Google en tu empresa estás plenamente equipado para trabajar donde sea, a la hora que sea y desde el dispositivo que sea. Correo electrónico en múltiples dispositivos, calendarios sincronizados, archivos tipo "office" compartidos con otros colegas del trabajo, videoconferencias espontáneas, son algunas de las cosas que puedes hacer. Sólo necesitas una conexión a Internet. 

Encuéntralo en: https://apps.google.com/

Puntos a favor: incluye una inmensa cantidad de herramientas y servicios de Google dentro de una sóla cuenta. Gratuito para organizaciones educativas. Usa tu "dominio organizacional" (tu nombre DNS tal como "miempresa.com.mx"). Se integra de maravilla con teléfonos Android.

Puntos en contra: no es gratuito para entidades no-educativas. Precios de USD$5 y USD$10 mensuales por usuario. Las funcionalidades no van a la par de los servicios gratuitos como Gmail.com pero son funcionalidades probadas, con menor incidencia de fallas.


Evernote
Una aplicación Web para capturar tus ideas. Redacta y comparte documentos con otros usuarios. Visualízalos desde cualquier dispositivo que tenga una conexión a Internet. Soportado como aplicación nativa en todos los sistemas operativos y desde una interfaz web. Sincroniza automáticamente tus notas entre el celular y la computadora.

Encuéntralo en: https://evernote.com/

Puntos a favor: ¿Dijimos que es gratuito? Tiene una modalidad de servicio gratuita con volumen restringido (60 MegaBytes) al mes. Eso te permite capturar muchas, muchas, muchísimas notas de texto, pero si lo tuyo es llenar de fotografías tus documentos, probablemente necesites otro tipo de servicio.

Puntos en contra: Si excedes el límite mensual tendrás que pagar un plan de USD$199 ó USD$399 por año. Para que dos usuarios puedan editar la misma nota tienes que tener un plan de paga.


Dropbox
Sincroniza los documentos de una carpeta de tu laptop con una carpeta "en la nube" y con todos los dispositivos que autorices. Tu celular, tablet, la PC de tu casa pueden sincronizarse con tu carpeta de Dropbox. Inicia un documento de Office en la oficina y termínalo en tu casa, o al revés. Llévate en tu tablet los documentos más importantes para el reporte que estás elaborando.

Encuéntralo en: https://www.dropbox.com

Puntos a favor: La modalidad de servicio gratuita te da hasta 2 GBytes de almacenamiento en la nube. Piénsalo bien, ¿realmente necesitas sincronizar todo tu disco duro hacia la nube? ¿cuánto se tardaría? Probablemente 2 Gigabytes son suficientes para llevar tus documentos importantes durante el tiempo que los necesites (y borrarlos después). Dropbox te regala Gigabytes adicionales si sincronizas las fotos de tu celular y si mandas invitaciones a tus amigos desde la página de tu cuenta.

Puntos en contra: Si necesitas más almacenamiento tienes que cambiarte a un plan de paga. Por USD$9.99 mensuales obtienes 1 TByte ¡así es! ¡un TeraByte! de almacenamiento, pero el día que dejes de pagar tendrás que descargar todo para no perderlo. Por otra parte tus documentos no se guardan encriptados en el plan gratuito. A algunos administradores de red les causa angustia la facilidad con la que un virus podría explotar esas carpetas compartidas o un empleado podría provocar inadvertidamente fugas de información. Si tu información es confidencial ¡No lo uses!


Cisco Webex
Servicio de videoconferencia en tiempo real vía una página de web. Puedes usarlo desde tu laptop, tablet o teléfono celular (soporta casi todos los sistemas operativos). Al ingresar a una reunión en Webex tienes acceso a un espacio "de colaboración" en el que un usuario con el rol de "presentador" comparte una pizarra en la que todos podemos escribir, o un archivo de Office, tal como una presentación de Powerpoint, o simplemente platicamos juntos. Incluye un servicio de chat, audio por Internet (voz sobre IP) y videoconferencia por Internet.

Encuéntralo en: https://www.webex.com 

Puntos a favor: La modalidad de servicio gratuita te da hasta 3 participantes simultáneos con capacidades limitadas. Increíblemente fácil de usar. Altamente intuitivo. La tecnología deja de ser importante y te pasas a enfocar en lo que se está discutiendo. Puedes contratar un plan de paga con hasta 8, 25 ó 100 participantes con cargo a tu recibo telefónico.

Puntos en contra: Si nunca has participado en una reunión por videoconferencia, descubrirás que tu micrófono tal vez no estaba bien instalado y a la mejor ¡no funciona! Los otros usuarios pueden no tener bien instalada su computadora y tú no les puedes ayudar fácilmente porque estás en tu casa... El ruido de fondo puede ser un inconveniente. La iluminación de tu escritorio empieza a ser relevante. Unos buenos audífonos o una buena diadema con audífonos y micrófono es muy recomendable (pero incómoda). La primera vez que haces una videoconferencia con un nuevo usuario usualmente pierdes algo de tiempo en lo que la otra persona ajusta su máquina para que todo funcione bien.Más de 3 usuarios simultáneos requiere un plan de paga. Si lo contratas en México tienes que atarte a un plan anual.


Una vez resueltos los problemas técnicos para trabajar desde tu casa, aparecen los problemas humanos, pero de eso hablaremos en un próximo artículo.

Por lo pronto ¿estás listo para subirte a la nube y seguir siendo productivo aunque Hoy No Circules?

Publicado por No hay comentarios:

Tu celular te está espiando

¿Tu celular te está espiando? Es altamente probable. Lo peor es que incluso sabiéndolo, probablemente estés de acuerdo.

Pero, vámonos por partes. ¿Quién haría este espionaje y porqué?

Empecemos por el "porqué".

Según datos de la SCT, se estima que existen en México más de 105 millones de usuarios de telefonía celular (Fuente: SCT PRINCIPALES ESTADÍSTICAS DEL SECTOR COMUNICACIONES Y TRANSPORTES 2014), con algunas regiones del país en donde existen hasta 118 suscriptores por cada 100 habitantes (más de un celular por persona, nada del otro mundo).

También según dicha fuente, el número de minutos consumidos al hablar por teléfono celular es casi 5 veces el número de minutos de larga distancia en el país.

Estos números reflejan algo intuitivo que experimentamos cotidianamente: usamos más, muchísimo más el teléfono celular que el teléfono fijo.

Y no sólo lo usamos para hablar por teléfono. Según la AMIPCI (Asociación Mexicana de Internet) en su estudio de Hábitos del Internauta Mexicano 2015, existen casi 54 millones de usuarios de Internet en México, de los cuales un 58% usa Internet desde su celular, por WiFi cuando está disponible (80%) y por medio de su plan de datos (48%) cuando no. De aquí se desprende que hay poco más de 31 millones de Smartphones en México.

El mismo término "uso de Internet" ha cambiado en los últimos años. En las primeras generaciones de teléfonos con conexión a Internet se podía decir que sólo usabas Internet cuando abrías un navegador. Ahora, instalas aplicaciones (Apps) que se comunican a través de Internet con servicios "en la nube" (Cloud Computing) para brindarte información de tu interés a través de una interfaz acorde con el tamaño de la pantalla.

Sin embargo, ¿cuánta de esta información es algo que tú has solicitado explícitamente? ¿Cuánta información son "sugerencias" de tus aplicaciones? ¿Cuánta información manda tu teléfono a los proveedores de servicio de las aplicaciones? y ¿cuánta información es publicidad basada en tus hábitos?

El asunto entonces es, que hay todo un tesoro de información que intercambias con Internet a través de tu teléfono celular, ahorita mismo, en México. Cualquier empresa que tuviera acceso a toda esa información podría explotarla para fines publicitarios altamente eficaces. 

Ahora pensemos ¿quién podría estar espiándote?

Cuando instalas una aplicación en tu teléfono celular ese pedacito de software en principio puede pedirte permiso y tener acceso a toda la información almacenada y capturada por el mismo: páginas visitadas, términos de búsqueda, aplicaciones instaladas, contactos frecuentes y sus datos, correo electrónico, chats, ubicación geográfica (GPS), tu huella digital en algunos aparatos, y un largo etcétera.

No sería difícil imaginar una aplicación maliciosa que, desde tu celular, tuviera acceso a todo lo que haces y dices a través de Internet.

Lo más sorprendente es que, probablemente no sean aplicaciones maliciosas en tu celular las que te estén espiando, sino que tus aplicaciones "autorizadas" son las que analizan tu comportamiento con la finalidad de detectar hábitos de consumo y optimizar sus campañas publicitarias.

Bienvenido al mundo de los "Grandes Datos" ("Big Data") y a lo que expertos como Bruce Schneier denominan la "Economía de la Vigilancia" ("Surveillance Economy").

Como desarrollador de una app, podría demasiada tentación como para dejar pasar esta oportunidad. 

Tu teléfono sabe con quién hablas y qué le dices. Conoce la ruta que sigues para ir a tu trabajo. Puede extrapolar a qué hora te levantas (¿qué es lo primero que haces al levantarte, si no es encender tu celular?), a qué hora sales a comer, dónde comiste, y a qué hora regresas. Sabe dónde está tu escuela, o la escuela de tus hijos, qué películas buscas en cartelera y en qué lugares estabas cuando tomaste fotos.

Está de miedo ¿verdad? Pero, ¿realmente es tan malo todo esto?

La respuesta es un larguísimo "depende". 

Pueden ser tantos los beneficios, que podrías estar de acuerdo en dejar que te "espíen", o podrías preferir no usar algunos servicios.

He aquí algunos escenarios positivos: Google te avisa con suficiente anticipación para que llegues a tiempo a las citas anotadas en tu calendario. Waze te pone publicidad en el tiempo que estás detenido en un semáforo pero también te manda por la ruta más rápida. Facebook te muestra noticias y te sugiere páginas de los temas que te interesan. Google Now te indica los lugares "interesantes" que puedes visitar en los alrededores del lugar donde te encuentras. Microsoft integra todos sus servicios en línea bajo una misma cuenta, facilitándote el uso ya que sólo tienes que recordar una contraseña.

En el futuro, tu automóvil "interconectado" te avisará cuando su rendimiento de gasolina disminuya y le sea benéfico un cambio de refacciones o una afinación.

Pero también hay escenarios para reflexionar. Por ejemplo: ¿tienes un teléfono Android y quieres ver dónde has estado en los últimos días? Consulta la siguiente liga de Google Maps:  https://www.google.com/maps/timeline?authuser=0 (lo puedes hacer desde tu computadora también).  Con esta liga puedes examinar tu recorrido por fechas y horas, y saber cuánto tiempo permaneciste en una ubicación. También puedes compartir tu ubicación con usuarios selectos. Imagínate lo que un publicista podría hacer con esta información.

Ahora algo francamente estremecedor: ¿podría tu supermercado local saber que tu hija está embarazada antes que tú? Eso es exactamente lo que sucedió en E.U. hace unos años. Aquí está la historia original del New York Times. Ni siquiera fue mediante el celular. Todo fue gracias al análisis de patrones de compras de productos con una tarjeta de cliente frecuente. Imagínate lo que podrían hacer ahora estas mismas tiendas a través de una App que instalas en tu celular.

Se ha especulado incluso que algunas televisiones inteligentes podrían espiarte utilizando sus cámaras para hacer reconocimiento facial y micrófonos integrados para capturar tus conversaciones y seleccionar términos de interés. El objetivo sería distinguir entre los gustos, aficiones y preferencias comerciales de los televidentes individuales para enviarles publicidad personalizada.

¿Qué debemos hacer? y por otra parte, ¿qué podríamos hacer ante todo esto?

Los beneficios de usar un dispositivo inteligente son tantos que, si quisieras sustraerte a la "Economía de la Vigilancia" tendrías muchísimo que perder y te sería muy difícil hacerlo. Si ya tienes uno, quizá te habrás preguntado ¿cómo he podido vivir todos estos años sin un smartphone?

En el mejor de los casos, toda esta vigilancia quizá sólo resultaría en publicidad personalizada que atendería tus gustos y preferencias, así que ni siquiera estarías en contra de recibirla. Al menos eso es lo que dicen las empresas que analizan ese cúmulo de datos llamado Big Data.

En un escenario paranóico, existirían "entes" de inteligencia artificial que sabrían todos y cada uno de tus gustos, hábitos, mensajes y movimientos, y no podrías escapar de ellos, ni de alguien que malintencionadamente abusara de tu información.

¿Cuál de estos dos escenarios será nuestro futuro? Tal vez ambos, o ninguno, tal vez nos encontraremos en algún punto intermedio entre ellos.

La Internet de las cosas se acerca a pasos acelerados. La "economía de la vigilancia" es quizá inevitable. Nos toca a nosotros, por lo tanto, asegurarnos de que la organizaciones que manejan nuestra información lo hagan en forma segura. Y no estaría por demás exigir que todas esas "cosas" interconectadas se porten "bien" con nosotros.

Publicado por No hay comentarios:

Parte 2: El misterioso caso de la extraña desaparición de TrueCrypt

Ha pasado poco más de año y medio, y la desaparición de TrueCrypt sucedida en la primera mitad del 2014, parece ser irreversible. Recordemos que TrueCrypt era una utilidad gratuita, de código abierto, para cifrar carpetas, archivos o particiones de tu disco duro, compatible con múltiples sistemas operativos.

La desaparición de TrueCrypt sucedió algunos meses después de las filtraciones de Edward Snowden, y tuvo lugar durante una auditoría abierta en la que participaban desarrolladores de todo el mundo para buscar posibles vulnerabilidades. Hay quien afirma que fueron en parte las afirmaciones de Snowden lo que motivó la auditoría sobre TrueCrypt. Más información en una entrada anterior de este blog, véase: "El extraño caso de la misteriosa desaparición de TrueCrypt"


Los creadores de TrueCrypt no sólo permanecen hasta hoy (principios de 2016) en el anonimato, sino que decidieron no liberar el código fuente al abandonar el proyecto, como han hecho otros desarrolladores de código abierto. Sin embargo, como parte de la auditoría de seguridad que se venía realizando sobre TrueCrypt por un grupo internacional de voluntarios, el código estaba disponible para ellos y esto ha permitido la generación de nuevas alternativas de software.

Cabe señalar que, dada la disponibilidad de herramientas como BitLocker (Microsoft) en algunos sistemas operativos (Windows 7, 8 y 10 Enterprise o Ultimate), ya no es tan imperioso contar con algo como TrueCrypt, como lo era hace algunos años.

Sin embargo BitLocker específicamente no ha logrado algo que TrueCrypt podía hacer: interoperabilidad de contenedores cifrados entre múltiples sistemas operativos. Por ejemplo: TrueCrypt permitía cifrar un medio de almacenamiento USB (memory stick o disco duro removible) que por su naturaleza podría ser fácilmente olvidado o robado y abrir dicho medio de almacenamiento tanto en Linux como Windows sin mayor problema.

También existía una versión "portátil" (portable) de TrueCrypt con lo que ni siquiera era necesario hacer una instalación para, digamos, poder abrir un disco duro USB en una máquina prestada. Por ejemplo, al ir de viaje y tener necesidad de acceder a tus archivos en la máquina del centro de negocios de un hotel.

¿Qué alternativas tenemos entonces, si necesitamos un cifrador interoperable que no nos obligue a adquirir las versiones más costosas de nuestro sistema operativo?

Si queremos seguir por la vía del código abierto, algunas alternativas son:

Examinemos ahora sus relativas ventajas y desventajas.



CipherShed

Este software se desarrolló como una rama (fork) del código fuente de TrueCrypt. Heredó mucho de la filosofía de operación (y el código) de TrueCrypt. La misión de los desarrolladores era corregir las vulnerabilidades (todas menores) encontradas durante la auditoría de TrueCrypt. El formato de los archivos es directamente compatible con TrueCrypt, por lo que hay compatibilidad hacia volúmenes generados con la aplicación anterior.

Para los paranóicos: uno de los principales impulsores del proyecto CipherShed es Jason Pyeron, quien ha trabajado para una de las múltiples agencias de inteligencia del gobierno americano, denominada DISA (Defense Information Systems Agency www.disa.mil). Esto hace que los más desconfiados se pregunten sobre las motivaciones y la integridad de este desarrollador, porque oportunidades para introducir caballos de Troya, las hay. Aún así, el código es abierto y en principio cualquiera puede revisarlo en busca de posibles vulnerabilidades.

Ventajas:
  • Incorpora las recomendaciones emitidas durante la auditoría de TrueCrypt.
  • Código abierto.
  • Compatibilidad directa con contenedores de TrueCrypt.
Desventajas
  • Requiere compilar las versiones para OS-X y Linux.
  • El ritmo de desarrollo no parece haber sido tan dinámico como el de VeraCrypt.
  • Incluso haciendo a un lado las teorías de conspiración, la protección criptográfica parece no ser tan robusta como con VeraCrypt.

VeraCrypt

Este desarrollo surgióinicialmente como una rama del código fuente de TrueCrypt, antes de la desaparición de este último. Sin embargo, casi desde el principio (2013) los desarrolladores decidieron cambiar el formato de los contenedores para mejorar la protección. Esto trajo como consecuencia que VeraCrypt fue (temporalmente) incompatible con los contenedores generados por TrueCrypt y era necesario migrar minuciosamente toda la información que estuviera protegida por el formato anterior. El día de hoy VeraCrypt soporta los dos formatos, para recuperar la compatibilidad, pero el formato preferido (y más robusto) es el nuevo.

Ventajas
  • Las mismas ventajas de CipherShed, incluyendo compatibilidad con volúmenes creados por TrueCrypt. 
  • La interfaz de usuario es prácticamente idéntica a TrueCrypt.
  • Incorpora un método criptográfico mucho más robusto para proteger los contenedores (archivos cifrados). Esto está relacionado con el número de iteraciones para la derivación de las llaves, que en TrueCrypt es del orden de mil (1000) y en VeraCrypt es del orden de medio millón (500,000) de iteraciones.
  • Instaladores pre-compilados.
  • El ritmo de desarrollo es intenso. Han habido periodos (en el 2015 por ejemplo) en los que se libera una versión nueva casi cada mes. Esto es un indicador del interés por parte de los desarrolladores de VeraCrypt y su comunidad de usuarios.
Desventajas
  • Un ritmo de desarrollo intenso puede introducir sus propios errores, fallas o vulnerabilidades.
  • El montaje y desmontaje de contenedores cifrados es más lento que con otras aplicaciones, quizá como resultado de la mejor protección criptográfica.
TrueCrypt

¡Si! ¡Todavía podemos descargar TrueCrypt desde sitios no-oficiales, con una firma hash válida.

Si no somos paranóicos, si no nos preocupa aquello de "TrueCrypt is Not Secure As... " (NSA), o si no tenemos nada que ocultar y lo único que queremos es protegernos de miradas indiscretas o del malandrín que nos asaltó y se robó nuestra Laptop, TrueCrypt puede ser suficiente protección todavía.

Debemos recordar que en la Seguridad Informática no existe la protección perfecta. Sólo existen niveles de protección que pueden, o no, ser adecuados para enfrentar el nivel de riesgo en nuestro entorno. Si el nivel de riesgo es bajo, (¿qué tan paranóicos somos?), entonces el nivel de protección también puede ser bajo.

Habiendo dicho eso, la protección criptográfica de TrueCrypt no ha sido rota en forma pública todavía. Todo son rumores sin evidencia comprobable.

Ventajas
  • TrueCrypt fue auditado y NO se encontraron vulnerabilidades graves, aunque sí se encontraron fallas.

Desventajas
  • NADIE está reparando las fallas actualmente. La licencia de código lo impide.
  • El estilo de programación resultó ser bastante desordenado. La clase de cosas que haría un programador o dos en sus ratos libres. ¿Quizá el esfuerzo de mantener al día TrueCrypt llegó a ser excesivo para sus desarrolladores? ¿Quizá la misteriosa desaparición sólo fue una manera de despedirse con estilo? Quizá nunca lo sabremos.

Conclusión

Si somos algo paranóicos, en realidad tampoco podemos estar seguros de que no se hayan introducido caballos de Troya dentro del código fuente de CipherShed o VeraCrypt. Sólo una auditoría abierta como la emprendida sobre TrueCrypt podría arrojar luz al respecto.

Lamentablemente, al no haber una aplicación predominante en este momento, el esfuerzo de auditar a múltiples aplicaciones podría ser excesivo para la comunidad de desarrollo de código abierto, que lo hizo en forma voluntaria en el caso de TrueCrypt.

Si nuestra necesidad es protegernos de atacantes oportunistas (como un asaltante en la calle, o la persona que hace la limpieza por las noches), entonces cualquiera de las tres aplicaciones anteriores es suficientemente robusta.

Si nuestra necesidad es protegernos de un atacante determinado, VeraCrypt parece ser superior, pero si por "atacante" pensamos en una organización gubernamental, dicha organización también tendría forma de "pedirnos amablemente" que des-encriptemos nuestro sistema de archivos por "las buenas" o si no...

La seguridad perfecta no existe. Sólo podemos encontrar herramientas acordes con el nivel de riesgo percibido.

Truecrypt parecía ser algo fenomenal para enfrentar cualquier nivel de riesgo. Lamentablemente, es poco probable que volvamos a tener algo como TrueCrypt.
Publicado por No hay comentarios:

Ethernet: ¿algún día podremos deshacernos de este protocolo?

No cabe duda que Ethernet se ha consolidado como el protocolo de interconexión por excelencia. Nos encontramos implementaciones y adecuaciones de Ethernet para todos los medios de transmisión posibles: par trenzado, fibra óptica, redes inalámbricas, así como servicios SDH y SONET.

De ser inicialmente una tecnología para conexiones puramente locales, se ha vuelto una buena alternativa para los proveedores de servicio que desean eficientar sus redes de transmisión y de esa manera poder ofrecer anchos de banda mucho mayores que los ofrecidos por las generaciones tecnológicas anteriores,  con velocidades casi arbitrarias y precios más competitivos.

MetroEthernet o Carrier-Ethernet es un ejemplo de utilización de una tecnología, en este caso Ethernet, de manera muy distinta a su intención original de uso. Y esto no es malo.

El día de hoy (México, 2016) es perfectamente posible para una organización contratar servicios de conexión a Internet o interconexión de sitios trabajando a decenas o cientos de Megabits por segundo. De hecho, no hay razón técnica por la que un proveedor de servicio no pudiera ofrecernos velocidades en el orden de los Gigabits o decenas de Gigabits por segundo. 

El estándar de 100Gbps para Metro Ethernet fue ratificado por el IEEE en 2010. En estos momentos existen grupos de trabajo dentro del IEEE preparando las versiones para 100Gbps y 40GBbps en par trenzado, así como otro grupo de trabajo discutiendo la implementación de Metro Ethernet a 400Gbps (!).

Con esta sinergia, el uso de Ethernet como protocolo para servicios de redes y telecomunicaciones parece imparable. Resulta interesante quizá, en estos momentos revisar las principales ventajas y desventajas que tiene el que la industria se haya inclinado por esta tecnología.

Algunas de las Ventajas

  1. Simplicidad e interoperabilidad. El protocolo siempre tuvo como objetivo ser simple, fácil de entender, usar, mantener y reparar. Prácticamente TODOS los dispositivos conectables a Internet tienen una interfaz WiFi o de cableado estructurado.
  2. Economía de costos. Su uso extendido ha propiciado un desplome de precios que beneficia al usuario final. En 1985 un adaptador Ethernet podía costar USD$1,000 (¡si! ¡mil dólares!), mientras que 30 años después, en el 2015, costaba apenas unos cuántos centavos de dólar.
  3. Independencia de la velocidad de transmisión. Una misma trama ethernet puede transmitirse (con pequeñas adecuaciones, como en el caso de WiFi o SDH) a velocidades muy diferentes desde el dispositivo originador, a través de la red de transporte y en el dispositivo receptor.
  4. Posibilidad de contratar anchos de banda "individualizados". En el pasado, los ofrecimientos de ancho de banda de los proveedores de servicio estaban restringidos a ciertos niveles inmutables. El día de hoy el menú se ha expandido enormemente. Por ejemplo: antes hubiéramos estado limitados a contratar un servicio E3 de 34 Mbps. El día de hoy podemos contratar servicios de 10, 20, 30, 40, 50Mbps. etc... 

Pero También hay Desventajas
  1. Carencia de mecanismos nativos de calidad de servicio. Ethernet por sí sólo no permitía distinguir la prioridad relativa de una trama con respecto a otra. La simpleza de diseño del protocolo vino con un costo en términos de "overhead" cuando quisimos diferenciar niveles de prioridad. El día de hoy inclusive puede ser preferible contratar más ancho de banda (la solución de "fuerza bruta") que implementar niveles de prioridad y calidad de servicio - QoS como el etiquetado 802.1Q (lo que hubiera sido la solución "inteligente").
  2. Carencia de mecanismos nativos de autentificación, cifrado y control de acceso. Nuevamente la simplicidad tuvo un costo. Para poder hacer autentificación y control de acceso necesitamos apoyarnos de protocolos adicionales. Cosas como 802.1X, PPPoE, VLANs, Q-in-Q son necesarias para autentificar al usuario y aislar su tráfico del tráfico de otros usuarios. El cifrado sólo puede hacerse mediante protocolos de orden superior (IPSec o SSL).
  3. Necesidad de enrutamiento individualizado en la red. Ethernet no es enrutable. A diferencia de otros protocolos que contienen un prefijo administrable con información geográfica (ATM, IPv4, IPv6, etc.), los prefijos Ethernet no son fácilmente administrables y los equipos de conmutación (switches) deben construir tablas con la ubicación individual de cada destino posible. En un mundo en el que se prevee la interconexión de miles de millones de dispositivos (Internet of Things), el direccionamiento Ethernet impone necesidades de procesamiento intensas y cada vez más sofisticadas a los equipos de los proveedores de servicio.
  4. Lentitud relativa de los mecanismos de restablecimiento ante fallas. En un mundo en el que 50mSeg de tiempo de desconexión parecen una eternidad, protocolos como Rapid Spanning-Tree (802.1W) y Spanning-Tree (802.1D) resultan asombrosamente insuficientes, con sus tiempos de restablecimiento en el orden de ¡segundos! Es así que algunos proveedores de servicios Metro Ethernet prefieren incluso no habilitarlos y depender de las muy superiores capacidades de SDH y SONET.
  5. En altas velocidades, las limitantes de longitud (1518 Bytes) no aportan mucho beneficio. Sin embargo la necesidad de compatibilidad "hacia atrás" dada por la posibilidad de que una misma trama deba viajar a muy diferentes velocidades no permite extender fácilmente dicho límite.
  6. Ausencia de diversidad. La competencia es buena. Al inclinarnos por UN SOLO PROTOCOLO de red, perdemos de vista los beneficios de otras tecnologías. Al mismo tiempo, cualquier posible debilidad, o deficiencia del protocolo podría permanecer oculta hasta que alguien decida explotarla, afectando a TODAS las variantes de Ethernet (por ejemplo, el ataque ARP Spoofing).

Haciendo un balance

Ethernet está aquí para quedarse, incluso si llegáramos a encontrar un protocolo mejor. De hecho, hace aproximadamente 20 años ya nos encontramos un protocolo con muy superiores capacidades técnicas (ATM - Asynchronous Transfer Mode), pero la economía de escala de Ethernet rápidamente lo desplazó salvo por algunos nichos de utilización que todavía existen en las redes de los proveedores de servicio.

Desde el punto de vista de diseño de servicios, es preferible incurrir en un "overhead" que cambiar de protocolo. Tal es el caso de ADSL que, pudiendo intercambiar tramas Ethernet libremente con el proveedor de servicios, necesita una capa adicional de protocolo PPPoE (Point-to-Point-Protocol over Ethernet), para fines de autentificación principalmente.

Pudiera argumentarse que el diseño de estándares a cada vez mayores velocidades (como 400Gbps) para el protocolo Ethernet no hará mas que aumentar el valor de dicha tecnología y apoyar la economía de escala en la que está metida.

¿Será algún día Ethernet víctima de su propio éxito? ¿Nos estaremos yendo por un camino del que será cada vez más difícil desviarnos en un futuro? ¿Podrían tecnologías de la red móvil como LTE, WiMax, 5G, etc. finalmente "liberarnos" de Ethernet? Sólo el futuro lo dirá.

Mientras tanto, nos tocará vivir tiempos interesantes.
Publicado por No hay comentarios:
Suscribirse a: Entradas (Atom)