Mucha tinta y bytes ya se ha gastado en advertir sobre los peligros de las conexiones inalámbricas inseguras, y de hecho también de las supuestamente seguras, pero que en realidad no lo son. La realidad es que las redes inalámbricas son una comodidad que llegó para quedarse, pero al mismo tiempo son inherentemente inseguras, y no podemos permitirnos evitarlas y perdernos de sus ventajas por esto, pero tampoco podemos estar regalando nuestra información a cualquiera por tener que usarlas. Existen tecnologías que las hacen más seguras, como WPA, pero convengamos en que la verdadera utilidad en el uso cotidiano de Wi-Fi es poder ir a un café u otro lugar con un hotspot público para poder conectarnos, sin tener que vernos obligados a utilizar la conexión de nuestra casa u oficina, y en estos casos, por comodidad, y porque realmente no serviría de otra forma, las redes siempre serán abiertas, sin ningún tipo de cifrado.
Lo que escribo a continuación pretende ser una guía que ayude a cualquiera a mantenerse lo más seguro posible mientras utiliza un punto de acceso abierto en cualquier lugar, y utilizando herramientas y recursos gratuitos. Es un rejunte de consejos que leí y puse en práctica y otros que empecé a hacer yo por mi propia cuenta, aunque no por eso pretendo que sean muy originales. No me voy a detener en consejos como "hay que instalar un firewall" o "mantengan el antivirus actualizado", esas son cosas básicas que doy por asumidas, cualquier usuario de Windows medianamente consciente tiene que tener funcionando ambos, y de los usuarios de Linux posiblemente los más avanzados no necesiten leer estos consejos, y los que sí, no estaría mal que usen un firewall al menos. Estos consejos son válidos para cualquier sistema operativo, y apuntan principalmente a prevenir la obtención de cuentas de usuario, contraseñas, y otra información sensible mediante el sniffing o intercepción de tráfico de la red. También me voy a detener en las Pocket PC, ya que es lo que más uso.
Qué es verdaderamente importante proteger?
Esta pregunta tenemos que hacérnosla porque no vale la pena meterse en complicaciones extra si todo lo que vamos a hacer en un café es leer algunos diarios on line y jugar en la web. Dejando paranoias de lado, es información poco relevante para un atacante saber qué noticias estuvo leyendo vaya a saber quién de los que está con una notebook en un shopping o que blogs estuvo mirando. Lo que realmente nos tiene que importar prevenir del acceso a otros son nuestras contraseñas, nombres de usuario, e información privada y personal como emails que leamos o datos que consultemos de algun servicio on line.
Para estructurar un poco los items que más importa proteger, veamos en una lista lo que normalmente haríamos cuando nos conectamos a Internet y que es importante que no sea interceptado por otros:
* Consultar email.
* Entrar a cuentas de servicios online de lo más variado, desde flickr hasta nuestro servicio de blogging.
* Mensajería instantánea.
* Otros servicios, incluyendo los más geek y específicos, como control remoto por VNC y otros.
Vamos a ir recorriendo cada uno para ver qué podemos hacer para estar más seguros.
Consultar email: Gmail, Gmail, y Gmail…
No importa las cuentas de email que deseemos chequear, lo que más nos va a convenir es hacerlo a través de Gmail. Cualquier casilla de email que estemos chequeando por POP3 convencional es completamente capturable, y muchos servicios de Webmail implementados por ISP’s carecen de cifrado para el inicio de sesión, por lo que estamos en sumo peligro si los usamos en una conexión pública. En cambio, más allá de que Google tiene aún problemas serios de vulnerabilidades XSS en el acceso web a Gmail (las cuales se previenen no siguiendo ningún link mientras tengamos la sesión de Google abierta), el acceso SSL que nos brinda en sus servicios anda impecable, y esto nos garantiza que todas las conexiones que hagamos con sus servidores sean cifradas. Gmail por defecto encripta el inicio de sesión, por lo que siempre nuestro nombre de usuario y contraseña viajan seguros; pero luego vuelve a una conexión normal y de esa forma todos los mails que leamos o redactemos pueden ser vistos y almacenados por otros en las cercanías de la red Wi-Fi que usemos, e incluso pueden utilizarse ataques más recientes que permiten tomar el control completo de la cuenta. Afortunadamente la solución para esto es fácil: Siempre debemos ingresar a Gmail a través de la url https://mail.google.com. De esta forma se mantiene la sesión cifrada en todo momento, y en el menos común caso de que un atacante nos quiera engañar enviándonos un certificado falso, cualquier navegador seguro como Opera o Firefox nos avisará que éste no es confiable (hay que estar atento a esto).
Si lo que queremos es utilizar POP3 o el reciente soporte IMAP en Gmail, aún mejor, ya que Google provee estos servicios directamente con cifrado incluido.
Y para trabajar con otras cuentos de email, para quien no lo sepa, lo que hay que hacer es ir a la configuración de nuestra cuenta de Gmail, a la solapa Cuentas, y agregar las cuentas que usemos, tanto para que Gmail las chequee automáticamente por POP3 como para que envíe correo en nombre de ellas.
Otros servicios online: La clave está en el https
Con cualquier otro servicio online al que ingresemos, lo más importante es chequear que el protocolo es https, como mínimo en la página de inicio de sesión, para asegurarnos que nuestra contraseña no viaja al desnudo. Esto es ya estándar en sitios donde la seguridad es importante, como en sistemas de banca online, pero aún existen muchos otros que no lo soportan. También, como en el caso de Gmail, debemos estar atentos a si una vez iniciada la sesión volvemos a http, porque en ese caso hay que tener en cuenta que todo lo que visualicemos por el navegador otros también podrían hacerlo. Algo que siempre podemos intentar es ingresar al sitio utilizando https en lugar de http, y ver si así maneja toda la sesión con cifrado constantemente. Por ejemplo yo descubrí que Bloglines hace esto al realizar esta prueba, incluso para su versión móvil.
Y ya que estamos, que hacemos con el login a nuestro WordPress? En WordPress.com hay soporte https, pero si tenemos nuestro propio WordPress hosteado, la cosa cambia. Una opción fácil y simple es utilizar el plugin que liberó la gente del ElServer.com, el cual encripta de manera segura la contraseña cada vez que es enviada, pero ojo que no encripta ni el nombre de usuario ni la sesión. Aún así es una opción suficiente para al menos evitar que cualquiera tenga acceso a nuestro weblog.
Si sentimos que esto no nos alcanza, y estamos dispuestos a sacrificar velocidad, podemos optar por navegar toda la web desde el servicio de proxys anónimos de la red JAP, el cual, si es que confiamos en él, certifica que la información nuestra que viaja por sus nodos jamás es recolectada. De esta forma no sólo tendríamos una conexión segura del lado de la red inalámbrica para todo sitio que visitemos, sino que además tenemos el anonimato extra de salir por una dirección IP al azar de cualquier parte del mundo. A Tor ni lo menciono en esto, porque puede ser que no capturen nuestra contraseña por acá, pero sí por Alemania, China, o por donde quiera que termine saliendo nuestro tráfico.
Mensajería instantánea: Charlas al desnudo.
Con los servicios de IM la cosa no está mucho mejor; la mayoría de los servicios de mensajería proveen algún tipo de hash (en mayor o menor medida crackeable si la contraseña es débil), pero lo peor de todo es que los mensajes sí viajan todo el tiempo en texto plano, y son completamente interceptables. La solución: Depende de lo que estén dispuestos a conceder y a exponer. En mi caso, cuando tengo charlas por IM y estoy por una red Wi-Fi, siempre hablo de temas poco cruciales, y jamás escribo ninguna información confidencial o muy personal, por lo cual las charlas son de poco valor para cualquiera. Si en cambio realmente requieren anonimato para todas las charlas mantenidas, una de las opciones es utilizar una aplicación de cifrado para mensajería instantánea gratuita como SimpLite, el cual posee versiones para encriptar las charlas por Windows Live Messenger, Yahoo! Messenger, ICQ/AIM y Jabber/GTalk. El inconveniente de utilizar este método es que necesitamos que los contactos con los que queremos tener charlas por una vía segura también posean instalada la aplicación. Para tener una buena idea de todo lo que es posible obtener desde el tráfico de los servicios de IM, nada mejor que echarle un vistazo a las 12 cosas que siempre quisiste saber sobre MSN.
Otros servicios: Soluciones más efectivas e integrales, pero más difíciles
Qué pasa si lo que queremos realmente es que todo nuestro tráfico salga encriptado sin tener que preocuparnos por los pormenores de cada aplicación, o si queremos usar otros protocolos o aplicaciones, como por ejemplo VNC, el cual no posee ningún tipo de cifrado y sería un suicidio utilizar desde una red abierta para controlar un equipo remoto? En este caso las opciones no escasean, el problema tiene que ver con los recursos de los cuales disponemos.
Quien no tenga problema en montarse un servidor Windows con el acceso VPN configurado en la conexión de banda ancha de su casa, va a poder sin problemas utilizar este para acceder a Internet de manera segura y sin problemas desde la mayoría de los hotspot que permitan VPN passthrough, ya sea desde una notebook con Windows, una Pocket PC, o una Palm con el software Mergic VPN. También podemos optar por utilizar OpenVPN en Linux, o utilizar un router Linksys con el firmware DD-WRT que incorpora servicios de VPN tanto con PPTP (la VPN de Microsoft) como con OpenVPN. Sí, difícil, y no el propósito de esta "guía fácil".
Otra opción apenas menos difícil y que aún nos permite retener el control es utilizar el tunneling por SSH, para eso debemos instalar un servidor SSH en la computadora de nuestro hogar y luego conectarnos a él con un cliente SSH como el conocido Putty en Windows, o PocketPutty desde la Pocket PC.
Configuración de puertos para tunneling en Putty.
Los pormenores de como instalar y configurar paso a paso este tipo de conexión exceden lo planeado para esta guía, aunque si muchos lo quieren puede ser que escriba otro post más adelante explicándolo. El túnel por SSH básicamente nos va a permitir mapear puertos locales de nuestro equipo a puertos presentes en el equipo remoto o en la red a la que éste tiene alcance, de esta forma podemos configurar un puerto para conectarnos a un proxy corriendo en nuestro equipo hogareño; pero como les dije, es una opción también difícil de implementar si no se tiene ganas de andar desculando cosas y sólo queremos el resultado.
Bueno, después de aburrirlos y/o frustrarlos con todo esto, llegamos a las opciones más fáciles y que no necesitan tanta dedicación, aunque algunas requieren que depositemos nuestra confianza en el tío Sam, como es el caso de AnchorFree. Si no les importa la posibilidad de que Homeland Security esté almacenando y analizando cada byte de su tráfico, el servicio ofrecido por AnchorFree, llamado HotSpot Shield, es ideal: Sólo nos ocupamos de instalar una aplicación gratuita descargable desde su sitio, y una vez activa, rutea todo nuestro tráfico de manera cifrada por sus servidores en USA, y a cambio sólo tenemos que tolerar unos banners superiores cuando navegamos la web. La velocidad es muy buena y casi no vamos a sentir caída en la performance de la conexión, y de esta forma podemos tener mensajería instantánea, descargas de correo POP3, y hasta P2P si queremos, que la velocidad lo permite. Eso sí, mejor que no se nos ocurra bajar nada relacionado con manuales de fabricación de bombas y cosas por el estilo. La aplicación de HotSpot Shield funciona tanto en Windows 2000/XP/Vista como en Mac OS X.
Por último, otra opción más, que puede usarse en conjunto con JAP o similares, es utilizar una aplicación como FreeCap, la cual permite rutear todo el tráfico de las aplicaciones que deseemos a través de un proxy http o socks.
http://www.anchorfree.com/downloads/hotspot-shield/ LINK PARA BAJAR EL Hotspot Shield =)
AnchorFree es la pagina oficial del Hotspot Shield
Gracias a todos!!
Comenten y califiqen
Por ahora no hay imagenes
Lo que escribo a continuación pretende ser una guía que ayude a cualquiera a mantenerse lo más seguro posible mientras utiliza un punto de acceso abierto en cualquier lugar, y utilizando herramientas y recursos gratuitos. Es un rejunte de consejos que leí y puse en práctica y otros que empecé a hacer yo por mi propia cuenta, aunque no por eso pretendo que sean muy originales. No me voy a detener en consejos como "hay que instalar un firewall" o "mantengan el antivirus actualizado", esas son cosas básicas que doy por asumidas, cualquier usuario de Windows medianamente consciente tiene que tener funcionando ambos, y de los usuarios de Linux posiblemente los más avanzados no necesiten leer estos consejos, y los que sí, no estaría mal que usen un firewall al menos. Estos consejos son válidos para cualquier sistema operativo, y apuntan principalmente a prevenir la obtención de cuentas de usuario, contraseñas, y otra información sensible mediante el sniffing o intercepción de tráfico de la red. También me voy a detener en las Pocket PC, ya que es lo que más uso.
Qué es verdaderamente importante proteger?
Esta pregunta tenemos que hacérnosla porque no vale la pena meterse en complicaciones extra si todo lo que vamos a hacer en un café es leer algunos diarios on line y jugar en la web. Dejando paranoias de lado, es información poco relevante para un atacante saber qué noticias estuvo leyendo vaya a saber quién de los que está con una notebook en un shopping o que blogs estuvo mirando. Lo que realmente nos tiene que importar prevenir del acceso a otros son nuestras contraseñas, nombres de usuario, e información privada y personal como emails que leamos o datos que consultemos de algun servicio on line.
Para estructurar un poco los items que más importa proteger, veamos en una lista lo que normalmente haríamos cuando nos conectamos a Internet y que es importante que no sea interceptado por otros:
* Consultar email.
* Entrar a cuentas de servicios online de lo más variado, desde flickr hasta nuestro servicio de blogging.
* Mensajería instantánea.
* Otros servicios, incluyendo los más geek y específicos, como control remoto por VNC y otros.
Vamos a ir recorriendo cada uno para ver qué podemos hacer para estar más seguros.
Consultar email: Gmail, Gmail, y Gmail…
No importa las cuentas de email que deseemos chequear, lo que más nos va a convenir es hacerlo a través de Gmail. Cualquier casilla de email que estemos chequeando por POP3 convencional es completamente capturable, y muchos servicios de Webmail implementados por ISP’s carecen de cifrado para el inicio de sesión, por lo que estamos en sumo peligro si los usamos en una conexión pública. En cambio, más allá de que Google tiene aún problemas serios de vulnerabilidades XSS en el acceso web a Gmail (las cuales se previenen no siguiendo ningún link mientras tengamos la sesión de Google abierta), el acceso SSL que nos brinda en sus servicios anda impecable, y esto nos garantiza que todas las conexiones que hagamos con sus servidores sean cifradas. Gmail por defecto encripta el inicio de sesión, por lo que siempre nuestro nombre de usuario y contraseña viajan seguros; pero luego vuelve a una conexión normal y de esa forma todos los mails que leamos o redactemos pueden ser vistos y almacenados por otros en las cercanías de la red Wi-Fi que usemos, e incluso pueden utilizarse ataques más recientes que permiten tomar el control completo de la cuenta. Afortunadamente la solución para esto es fácil: Siempre debemos ingresar a Gmail a través de la url https://mail.google.com. De esta forma se mantiene la sesión cifrada en todo momento, y en el menos común caso de que un atacante nos quiera engañar enviándonos un certificado falso, cualquier navegador seguro como Opera o Firefox nos avisará que éste no es confiable (hay que estar atento a esto).
Si lo que queremos es utilizar POP3 o el reciente soporte IMAP en Gmail, aún mejor, ya que Google provee estos servicios directamente con cifrado incluido.
Y para trabajar con otras cuentos de email, para quien no lo sepa, lo que hay que hacer es ir a la configuración de nuestra cuenta de Gmail, a la solapa Cuentas, y agregar las cuentas que usemos, tanto para que Gmail las chequee automáticamente por POP3 como para que envíe correo en nombre de ellas.
Otros servicios online: La clave está en el https
Con cualquier otro servicio online al que ingresemos, lo más importante es chequear que el protocolo es https, como mínimo en la página de inicio de sesión, para asegurarnos que nuestra contraseña no viaja al desnudo. Esto es ya estándar en sitios donde la seguridad es importante, como en sistemas de banca online, pero aún existen muchos otros que no lo soportan. También, como en el caso de Gmail, debemos estar atentos a si una vez iniciada la sesión volvemos a http, porque en ese caso hay que tener en cuenta que todo lo que visualicemos por el navegador otros también podrían hacerlo. Algo que siempre podemos intentar es ingresar al sitio utilizando https en lugar de http, y ver si así maneja toda la sesión con cifrado constantemente. Por ejemplo yo descubrí que Bloglines hace esto al realizar esta prueba, incluso para su versión móvil.
Y ya que estamos, que hacemos con el login a nuestro WordPress? En WordPress.com hay soporte https, pero si tenemos nuestro propio WordPress hosteado, la cosa cambia. Una opción fácil y simple es utilizar el plugin que liberó la gente del ElServer.com, el cual encripta de manera segura la contraseña cada vez que es enviada, pero ojo que no encripta ni el nombre de usuario ni la sesión. Aún así es una opción suficiente para al menos evitar que cualquiera tenga acceso a nuestro weblog.
Si sentimos que esto no nos alcanza, y estamos dispuestos a sacrificar velocidad, podemos optar por navegar toda la web desde el servicio de proxys anónimos de la red JAP, el cual, si es que confiamos en él, certifica que la información nuestra que viaja por sus nodos jamás es recolectada. De esta forma no sólo tendríamos una conexión segura del lado de la red inalámbrica para todo sitio que visitemos, sino que además tenemos el anonimato extra de salir por una dirección IP al azar de cualquier parte del mundo. A Tor ni lo menciono en esto, porque puede ser que no capturen nuestra contraseña por acá, pero sí por Alemania, China, o por donde quiera que termine saliendo nuestro tráfico.
Mensajería instantánea: Charlas al desnudo.
Con los servicios de IM la cosa no está mucho mejor; la mayoría de los servicios de mensajería proveen algún tipo de hash (en mayor o menor medida crackeable si la contraseña es débil), pero lo peor de todo es que los mensajes sí viajan todo el tiempo en texto plano, y son completamente interceptables. La solución: Depende de lo que estén dispuestos a conceder y a exponer. En mi caso, cuando tengo charlas por IM y estoy por una red Wi-Fi, siempre hablo de temas poco cruciales, y jamás escribo ninguna información confidencial o muy personal, por lo cual las charlas son de poco valor para cualquiera. Si en cambio realmente requieren anonimato para todas las charlas mantenidas, una de las opciones es utilizar una aplicación de cifrado para mensajería instantánea gratuita como SimpLite, el cual posee versiones para encriptar las charlas por Windows Live Messenger, Yahoo! Messenger, ICQ/AIM y Jabber/GTalk. El inconveniente de utilizar este método es que necesitamos que los contactos con los que queremos tener charlas por una vía segura también posean instalada la aplicación. Para tener una buena idea de todo lo que es posible obtener desde el tráfico de los servicios de IM, nada mejor que echarle un vistazo a las 12 cosas que siempre quisiste saber sobre MSN.
Otros servicios: Soluciones más efectivas e integrales, pero más difíciles
Qué pasa si lo que queremos realmente es que todo nuestro tráfico salga encriptado sin tener que preocuparnos por los pormenores de cada aplicación, o si queremos usar otros protocolos o aplicaciones, como por ejemplo VNC, el cual no posee ningún tipo de cifrado y sería un suicidio utilizar desde una red abierta para controlar un equipo remoto? En este caso las opciones no escasean, el problema tiene que ver con los recursos de los cuales disponemos.
Quien no tenga problema en montarse un servidor Windows con el acceso VPN configurado en la conexión de banda ancha de su casa, va a poder sin problemas utilizar este para acceder a Internet de manera segura y sin problemas desde la mayoría de los hotspot que permitan VPN passthrough, ya sea desde una notebook con Windows, una Pocket PC, o una Palm con el software Mergic VPN. También podemos optar por utilizar OpenVPN en Linux, o utilizar un router Linksys con el firmware DD-WRT que incorpora servicios de VPN tanto con PPTP (la VPN de Microsoft) como con OpenVPN. Sí, difícil, y no el propósito de esta "guía fácil".
Otra opción apenas menos difícil y que aún nos permite retener el control es utilizar el tunneling por SSH, para eso debemos instalar un servidor SSH en la computadora de nuestro hogar y luego conectarnos a él con un cliente SSH como el conocido Putty en Windows, o PocketPutty desde la Pocket PC.
Configuración de puertos para tunneling en Putty.
Los pormenores de como instalar y configurar paso a paso este tipo de conexión exceden lo planeado para esta guía, aunque si muchos lo quieren puede ser que escriba otro post más adelante explicándolo. El túnel por SSH básicamente nos va a permitir mapear puertos locales de nuestro equipo a puertos presentes en el equipo remoto o en la red a la que éste tiene alcance, de esta forma podemos configurar un puerto para conectarnos a un proxy corriendo en nuestro equipo hogareño; pero como les dije, es una opción también difícil de implementar si no se tiene ganas de andar desculando cosas y sólo queremos el resultado.
Bueno, después de aburrirlos y/o frustrarlos con todo esto, llegamos a las opciones más fáciles y que no necesitan tanta dedicación, aunque algunas requieren que depositemos nuestra confianza en el tío Sam, como es el caso de AnchorFree. Si no les importa la posibilidad de que Homeland Security esté almacenando y analizando cada byte de su tráfico, el servicio ofrecido por AnchorFree, llamado HotSpot Shield, es ideal: Sólo nos ocupamos de instalar una aplicación gratuita descargable desde su sitio, y una vez activa, rutea todo nuestro tráfico de manera cifrada por sus servidores en USA, y a cambio sólo tenemos que tolerar unos banners superiores cuando navegamos la web. La velocidad es muy buena y casi no vamos a sentir caída en la performance de la conexión, y de esta forma podemos tener mensajería instantánea, descargas de correo POP3, y hasta P2P si queremos, que la velocidad lo permite. Eso sí, mejor que no se nos ocurra bajar nada relacionado con manuales de fabricación de bombas y cosas por el estilo. La aplicación de HotSpot Shield funciona tanto en Windows 2000/XP/Vista como en Mac OS X.
Por último, otra opción más, que puede usarse en conjunto con JAP o similares, es utilizar una aplicación como FreeCap, la cual permite rutear todo el tráfico de las aplicaciones que deseemos a través de un proxy http o socks.
http://www.anchorfree.com/downloads/hotspot-shield/ LINK PARA BAJAR EL Hotspot Shield =)
AnchorFree es la pagina oficial del Hotspot Shield
Gracias a todos!!
Comenten y califiqen
Por ahora no hay imagenes