Pongamos que un trabajador de una multinacional en Barcelona -un ingeniero industrial que maneja un 'software' específico para las electrónicas de motores diésel- instala en su casa un 'proxy' simplemente para entrar en sitios web bloqueados, como por ejemplo vídeos técnicos en YouTube. De la misma manera que sucede con las redes privadas virtuales (VPN), su uso es perfectamente legal. El 'proxy' queda instalado en un disco duro externo que se conecta a internet y, según cómo se configure, cualquiera puede entrar a él.
|
etiquetas: seis_años , proceso_judicial , ingenieros , encendido , ordenador
Es el equivalente a tener una wifi sin contraseña...
Y sí, tenemos el CP que tenemos.
He trabajado como desarrollador java en empresas como Prisma (los que tienen la tarjeta VISA en Argentina), donde mi computadora no tenía acceso a internet de ningún tipo.
Ni para buscar errores en google, ni para descargar dependencias, ni para capacitarse, nada.
Todo sea en pos de la seguridad.
Así funcionan los sistemas de VISA en nuestro país.
Sería muy fácil hackear algo tranquilamente desde casa y cuando te pillan decir que es que tenías un proxy y que no sabes quien te ha entrado. De hecho de estas se conocen algunos casos, solo que en vez de ser por que le entraron al proxy lo que pasó es que la wifi estaba abierta, o con una contraseña débil o era vulnerable a algún tipo de ataque. Y de hecho creo que David Bravo ha ganado algún caso con eso de que "una IP no identifica a un usuario", que entiendo habrá sido la estrategia de defensa de esta persona.
En cuanto a que lo que atañe a los seguros, solo veo esto.
www.autobild.es/practicos/cubre-seguro-no-caso-te-roben-coche-403879
El seguro cubre el robo, no el hurto
Lo primero es tener claro qué robo y hurto no son sinónimos y que las compañías de seguros solo se dan cobertura en caso de robo.
robo es cuando se utiliza la fuerza
hurto cuando no la hay
Por ejemplo, si te roban el coche y para ello te rompen la ventanilla se considera robo, pero si se lo llevan porque por despiste al ir a repostar has dejado las llaves puestas no será un robo sino un hurto. En el primer caso tendrás el apoyo de la compañía de seguros; en el segundo, no.
El castigo por montar un proxy para saltarte las restricciones de tu curro es ser despedido. Pero NO ES ILEGAL. Y tampoco es ilegal tener un proxy abierto, como no es ilegal tener una wifi abierta. Esto es igual que si tengo un cobertizo con herramientas sin candado y alguien me roba el hacha y mata a alguien con ella.
Ademas, que sentencia? No te has leído ni el TITULAR. Espero que te leas mejor los manuales de tus firewall
¿O tú ves que las cajeras del mercadona tengan asesores de contabilidad porque ellas lo que tienen que saber es pasar los productos por caja?
Que luego pasa lo que pasa, alguien comentó recientemente en una noticia de la DGT que le pusieron una multa con un detector, él pudo demostrar con matemáticas que el ángulo del detector podía haber pillado otros coches, y el juez concluyó que eso de las matemáticas era sólo una teoría.
Segundo se comprueba que funciona y se usa.
Problema? Que si pasan 8 años pues probablemente los standares de seguridad hayan cambiado bastante y las vulnerabilidades que hayan salido serán también unas cuantas.
Esto responde perfectamente a instalo y uso para mi uso particular, y como no espero que nadie más tenga que usarlo ni me preocupa la seguridad no actualizo nada en esos 8 años
En una conexión hay 5 niveles (el modelo OSI dice que hay 7, pero se puede simplificar):
1. Físico: El cable o las ondas de radio. Niveles de señal o de voltaje.
2. Enlace: El adaptador de red donde enchufas el cable de red. Traduce los niveles de voltaje a (0/1) entre dos elementos de red adyacentes (o sea, conectados por un cable o similar).
3. Red: Como enviar bits por ahi a lo loco, permitiendo conectar un origen y un destino. Protocolo IP.
4. Transporte: Como establecer una comunicación extremo a extremo entre una fuente y un destino, usando una red. Protocolo TCP o UDP.
5. Aplicación: Tu aplicación (el chrome) hablando con la aplicación de tu banco. Protocolo HTTPS.
Cada elemento de la cadena se apoya en el anterior. Y cada nivel, si te pones tonto, puede incorporar su propio cifrado (aunque normalmente solo se hace en los niveles 3+).
Una VPN funciona generalmente en el nivel de red. Cuando tu te conectas a google.com a través de una VPN, simplemente estas estableciendo la conexión a través de los servidores de la VPN. Pero eres TU quien se conecta directamente a google.com. Si la IP de salida de la VPN esta en otro pais, google en principio pensara que estas en ese otro país. La VPN añade una capa adicional de cifrado pero NO tienen acceso a tus datos (e.g. usuario y password del banco) que ya estén viajando cifrados por usar HTTPS.
Un proxy puede funcionar tanto en el nivel de transporte como en el nivel de aplicación. Si lo hace en el nivel de aplicación, eso significa que si te conectas a google.com, hay DOS conexiones totalmente separadas. Una entre el tu y el proxy, y otra entre el proxy y google. Eso significa que el proxy tiene acceso a todos tus datos ya que cada conexión se cifra de forma independiente. El proxy, por tanto, puede saber tu usuario y contraseña.
En principio, ni el proxy ni la VPN garantizan el anonimato. Eso dependerá de su configuración de acceso y de logs. Pero ambos pueden saber perfectamente que alguien se conecto desde tu IP a tal hora y accedió a tal y tal pagina (aunque hay formas de ponérselo difícil).
Luego hay mil detalles de configuración que pueden cambiar lo que he contado. Hay VPNs que también se meten en el nivel transporte y mil historias particulares. Pero por defecto suele ser asi.
Si yo tengo un equipo con Windows XP (con toda la seguridad del mundo pero obsoleto porque ya no hay actualizaciones) y un pirata informático aprovecha un 0-day o un bug no parcheado en XP para tomar control de mi equipo y robar datos de un tercero... es normal que yo sea juzgado como si fuese el que ha robado dichos datos?
Eso merece una sanción ejemplar o un despido, pero seis años de cárcel es venirse muy arriba. Tienes homicidios con menos pena.
Mis disculpas y ya voy encargando el oscar a la peli que me he montado.
El proxy si sabe tu dirección IP, y a donde te estás conectando, eso sí, pero no el contenido de tu tráfico.
Si sale el candadito en tu navegador, el contenido de la conexión no se puede leer.
Pues es lo que está pasando. A priori tu has usado un hacha (proxy) para matar a alguien (robar datos) y quedaras a la espera del juez.
Edito: Siempre y cuando no se trate de un mero accidente, claro.
#FreeAssange
Pena que no te pueda poner 20 votos.
Un saludo.
#FreeAssange
O definen procesos burocráticos que se caen sólos por impacticables de lo burocraticos que son.
A lo que voy, es que la gente de seguridad evalúa los riesgos todo lo que puede/quiere/tiene ganas, pero muchas veces sin importarle todo lo necesario el trabajo de los demás.
No quiero que se filtre información? Le saco internet a los developers. Queres una nueva dependencia? Completá este formulario que nosotros evaluamos un montón de aspectos, y vemos si te la dejamos en el repo interno. Querés buscar un error en internet? No es necesario, nuestra gente está tan capacitada y es tan inteligente que no necesita de eso (palabras textuales que me han dicho).
No quiero que se entretengan mirando youtube? Pues bloqueo youtube. No importa que la gente lo use para escuchar música, que lo usemos al mediodía en nuestra hora libre, etc.
No quiero que pavees con el celular en el trabajo? No te doy wifi. Que usas 5G? Te pongo inhibidores de señal.
Nada eso. Por supuesto hace falta normas de seguridad en una empresa. Pero a veces se llevan al extremo sin evaluar del todo las consecuencias y el impacto negativo en el resto de la gente, y por supuesto en la empresa.
Hay algunos que no tienen una traducción tan específica, y usas el término inglés para no tener que explicar cosas. Pero mergear y deployar creo que son innecesarios, y bastan mezclar y desplegar, igual que hablamos de ramas en lugar de branches.
Es una guerra personal, que sé que tengo perdida, pero intento mantener las formas del castellano.
Edito: para commit, por ejemplo, yo sí peco diciendo "hacemos un commit", pero me resisto a decir commitear.
Aca NADIE jamás dice mezclar, todo el mundo le dice mergear. De hecho, es la primera vez que escucho esa palabra en lugar de mergear.
Y mezclar puede dar a entender que es una combinación random o azarosa de las cosas, cuando un merge es justo lo contrario. Quizá sería mas correcto fusionar. www.google.com/search?q=mergear+en+español
Respecto a desplegar, sí la he escuchado mucho, y se dice en forma indistinta junto a deployar. Lo mismo con branch y rama, aunque rama se usa bastante menos.
security.stackexchange.com/questions/8145/does-https-prevent-man-in-th
Tu has montado UN proxy de UN tipo. Y como parece que es el único que conoces, estas dando por hecho que todos son así. Y no es así.
Por ejemplo en mi curro tienen un proxy que hace de man-in-the-middle con https para hacer deep-packet-inspection.
www.netskope.com/products/capabilities/ssl-tls-inspection
Algo parecido hacen algunos antivirus
blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/
Y algo parecido también tienes en proxies para debuggear trafico TLS
www.charlesproxy.com/documentation/using-charles/ssl-certificates/
Te he puesto 3 ejemplos en 3 minutos. Te bajas ya del burro o seguimos?
"You will see a warning in your browser, or other application, when it receives that certificate because the Charles Root Certificate is not in your list of
trusted root certificates."
Solo si modificas tu navegador u ordenador, por ejemplo añadiendo ese certificado a los confiados, dejarás de ver el warning en tu navegador.
Si cualquiera que esté entre tu y el servidor pudiese sencillamente revisar tu contenido SSL, no podrían haber nunca privacidad en internet. Cualquiera en tu wifi, tu proveedor de internet, o cualquiera de los nodos intermedios podría leer todo tu contenido, y por suerte eso no es así.
Los proxies solo pueden funcionar en el nivel 4, y tu comentario de #121 es un mansplaining en el que cuentas la única cosa que sabes, y su valor añadido en el hilo es nulo.
Si hubieses leído el único link que te he mandado (#156) te ahorrarías seguir haciendo el ridíciculo.
Yo: Hay distintos tipos de proxies. Algunos pueden hacer de man-in-the-middle de HTTPS.
Tu: No. Los proxies no pueden nunca saber tus credenciales. Yo he montando un proxy que no funciona así.
Yo: Como ya he dicho, hay varios tipos de proxy. Algunos hacen lo que tu dices, otros no. Aquí tienes 3 ejemplos de proxies que no hacen lo que tu dices.
Tu: Pero con esos el navegador te da un aviso o tienes que instalar un certificado en tu navegador!!
Yo nunca he dicho que el navegador no se de cuenta. Así que gracias por darme la razón, supongo?
Y tu link de #156 no tiene nada que ver con lo que yo estoy explicando. En ningún momento he dicho que los proxies rompan el cifrado, he dicho que se establecen DOS conexiones https independientes, que no es para nada lo mismo. Pero nuevamente tu comprensión lectora es inexistente.