The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for August, 2013

Aside

Security By Default by Yago Jesus  Hemos perdido la batalla de la privacidad

Delicious

 
TwitterFacebookLinkedInBufferMail

+Tag
Si me hubieran dicho hace 7 u 8 años que iba a pronunciar la frase que da título a este post, probablemente me habría negado a creerlo, en ese momento pensaba que existía un notable ‘poder’ técnico al alcance de la gente y que los gobiernos -aun bisoños en el arte de espiar las nuevas tecnologías- tenían más que perdida la batalla del control de Internet.
 
Ahora lo veo todo de una forma radicalmente opuesta. Opino que, de una forma sutil y elaborada, las piezas del tablero han cambiado hasta un punto en el que ya todo está perdido.
 
De entrada el comportamiento de los usuarios ha sido ‘re-educado’ de una forma en la que la gente asume y acepta que la privacidad es algo secundario, se ha conseguido que la gente piense de una forma eminentemente pragmática donde la funcionalidad vale el 90% y las migajas quedan para el resto de cuestiones como la privacidad, moralidad, etc
 
La segunda pata de este problema, los gobiernos, han dado toda una lección de adaptación al medio ante la que hay que quitarse el sombrero. PRISM es el ejemplo superlativo del concepto técnico, pero me llama la atención el concepto sociológico: ahora es muy fácil concentrar esfuerzos.
 
En un momento en el que la gente ha aceptado que la privacidad es algo totalmente secundario, cualquier gobierno puede, de una forma muy cómoda, concentrar esfuerzos en ese pequeño reducto de personas que sí se toman en serio la privacidad y arrinconarlos. Un ejemplo claro es TOR, dejándola ante la opinión pública como un reducto de gente ‘extraña’ y luego atacándola basándose en la linea argumental previamente definida.
 
La tercera pata son las corporaciones, ante este panorama donde el usuario es un dócil corderito ya totalmente domesticado que juzga con absoluta lenidad cualquier violación a su privacidad, se ha abierto la barra libre, y no me refiero a cosas como que Facebook tiene vínculos con la NSA o la CIA (qué, sinceramente, me da igual y no creo que ese sea el problema ya que Facebook deja muy a las claras cual es su juego), me refiero a cosas mucho más oscuras.
 
El otro día, vía el siempre genial Crg, llegué a esta web en la que demostraban como hacer seguimiento a un usuario sin hacer uso ni de javascript ni de cookies. De ahí llego a este otro artículo en el que un estudio demostró como un buen número de webs bastante importantes estaban haciendo uso de estas técnicas para monitorizar usuarios.
 
Igualmente en ZDNet se puede leer un artículo donde se critica la poca transparencia de Microsoft con el sistema de actualización de las CAs del que, por cierto, hablamos por aquí en el 2010
 
Y estos son solo dos ejemplos, pero hay muchos más
 
En definitiva, hemos perdido la batalla de la privacidad

Aside

Why Federate?

TwitterLinkedInFacebookBufferMail

+Tag

Part of my job these days is convincing people to get out of the password business and start “Federating”; that is to say, outsource the login mechanics to an “Identity Provider” (IDP) like Facebook or Google or Microsoft or Twitter (and there are lots more). I’ve given the sales pitch quite a few times now; here it is.

Scenario

You’re putting up a new app and need to sign in users, so you use whatever’s popular with the package you’re using: On Rails, typically Devise, on NodeJS Drywall or Passport, on PHP Usercake, and so on.

These things will take care of storing and checking usernames and passwords for you. But storing and checking passwords is a bad thing to do.

Why?

There are too many passwords. When someone rolls up to your app for the first time and you ask him or her to pick a password, here are some typical reactions:

  • She says “Oh, not another damn password” and closes the browser tab. Kiss a customer goodbye. This is a very common reaction and if you’re Mr Yet-another-password, it’s happening to you right now.

    Oh, and if she’s on a mobile device, the chances that she’ll be willing to put up with Password Pain are dramatically reduced.

  • He picks a short, simple, easy-to-remember password, thereby making life easier for the bad guys.
  • She uses a complex high-quality password, and doesn’t have to actually pick it because it’s the same one she uses on all the sites she visits, including dog-grooming tips and money management. Thereby making life easier for the bad guys.
  • He types some random gibberish into the password field and doesn’t bother to remember it; the site will keep the session active for a few days, and when it asks him to log in again, he’ll hit “Forgot password” and get a password-reset email. Beats trying to remember. (This is the best outcome so far).
  • She uses a password manager like 1Password or LastPass or KeePass. It works pretty well for her — well, maybe a little awkward on mobile devices. But she’s had no luck at all getting her nontechnical friends and family to use it.

Which is to say, by playing the yet-another-password game, you’re decreasing the security of the whole Internet. You’re peeing in the swimming pool. It’s bad for your business, and Google’s business, and for the people using the Internet. So stop doing it.

That should be enough.

Not Convinced?

You still think you might want to do the password thing… so, you better make sure people pick goodpasswords. For an example, type “password rules” into Google and up comes Intel Password Rules, from which I could quote but let’s just screenshot instead.Password Rules

When you impose something like this on human beings, you’re being mean to them. Which is not only evil, and bad for business, it just doesn’t work. So stop doing it.

Still Not Convinced?

Maybe these will help.IEEE password hackDropBox password hackLinkedIn password hackYahoo! password hack

Are you smarter than those guys; the BBC, DropBox, LinkedIn, and so on? Are you sure? This could be you, very easily. The bad guys are out there, and they are probing your defenses every day. So once again: Get out of the password business, start federating, and don’t let this be you.

It’s That Easy?

Um, well, no. There are issues around federation: business, technology, and policy. I’ll write some follow-ups about them. The cost and effort is non-zero. But it’s something you’re going to have to do anyhow, so you might as well get started.