Dentro del cada día más gigantesco universo de la Seguridad y el Hacking, tendemos a considerar (incluso quienes nos dedicamos a esto de manera más profesional que amateur) que determinados sectores, productos e industrias son más seguras y protegen nuestra intimidad, datos personales y anonimato, mejor que otros.
Es general entonar el mantra de que Windows NO es seguro (cosa que es cierta) y que, además, existen pruebas de que atenta contra nuestros datos personales, los expone o los extrae de manera inmisericorde con la excusa de la telemetría y, esperamos, que la cosa quede ahí.
Y, a partir de ello, se nos llena la boca afirmando que el software privativo está diseñado para traficar con los metadatos de documentos, prácticas de navegación y rastros de la experiencia del usuario, lo que no debería ocurrir, ni ser permitido. Estoy plenamente de acuerdo con todo lo anterior y soy el primero en denunciarlo desde esta sección con bastante regularidad.
Pero el software libre no está libre de pecado en esta materia, por más que añada capas (a veces más publicitarias y promocionales que reales) en defensa de nuestra intimidad personal, la protección de nuestros datos o la invulnerabilidad de una ética informática que, sinceramente, cada día veo menos.
Firefox es un gran navegador. Eso no se puede poner en duda. Es, además, un modelo de gestión de un gran producto basado y desarrollado en software libre que no para de actualizarse y añadir mejoras. Hasta ahí, nada que objetar.
Ubuntu es un gigantesco esfuerzo sostenido en pro del desarrollo de un excelente Sistema Operativo capaz de transformar un viejo ordenador casi para el desguace, en una máquina de rendimiento más que decente. (Como prueba, ahora mismo escribo este artículo en un viejo y destartalado Pentium 4 que adquirí en Ebay por 25 euros, y que no podía ni arrancar con un Windows XP que traía, y al que sólo la instalación de Lubuntu le ha permitido, cual Lázaro, levantarse y volver a andar en el mundo de los resucitados).
Por tanto, soy el primero en comprender las bondades del software libre, los sistemas operativos y los programas de código abierto, tanto desde su prisma técnico como desde el punto de vista filosófico (compartir el conocimiento, no tratar al software como una “commodity” sino como energía intelectual al servicio de cuanta más gente mejor, capacidad de trabajo en equipo para la detección y solución de “bugs”, etc…)
Pero, una vez reconocido (nuevamente) todo lo anterior, sigo sin comprender por qué ese abuso de la telemetría. Por qué esa torticera necesidad de que los programas capten y custodien en copia permanente nuestros hábitos de navegación, las páginas que consultamos, los servicios que contratamos o las tendencias que tenemos a la hora de usar Internet. Y, sobre todo ¿Por qué todavía en pleno 2016 y con toneladas de escándalos y peligros puestos de manifiestos cada día en los medios de comunicación en relación a nuestra seguridad online y a la vulnerabilidad de nuestra información personal, se continúa sin encriptar los archivos que contienen nuestros metadatos y el rastro que se nos obliga a dejar cuando navegamos?.
No piense que hacen falta programas de gestión de metadatos para tener acceso a este tipo de archivos guardados por nuestros navegadores. Tampoco se crea que este tipo de capturas y datos almacenados, se protegen contra terceros indiscretos, con capas de cifrado. Nada de eso, todo está cada día más expuesto y disponible de lo que se podría pensar. No poca de esta información personal e íntima del usuario queda almacenada, además, en texto plano y en un insultante archivo .txt (es decir, accesible con cualquier procesador de textos).
Usamos, como he dicho más arriba, una distribución Lubuntu, es decir, más normalita no la hay si usas Linux. Como no nos termina de gustar (ni nos fiamos mucho) del simplón navegador que esta distro trae “de serie”, nos hemos bajado los correspondientes paquetes para la instalación y uso de un buen y ¿seguro? Navegador: Mozilla Firefox.
Tras instalarlo, nos aseguramos de actualizarlo. Y ya lo tenemos al día y en perfectas condiciones.
Pero Frefox nos decepciona (también en Linux). Su voracidad a la hora de almacenar metadatos no termina de gustarnos, así que echamos un vistazo a ver qué capacidad tendría un tercero con malas intenciones, si decidiera echar un vistazo a ciertas carpetas de nuestro navegador para hacerse un perfil mental de cómo somos, cuáles son nuestras preferencias como internautas o qué rastros deja nuestro navegador a disposición de cualquiera que desee fisgonear.
Uno se tranquiliza antes de empezar, porque se autoconvence de que estos metadatos no serán de fácil acceso, o que las carpetas que los contienen estarán cifradas y que, como mínimo, será necesario hacerse con un buen software de gestión de metadatos para acceder a los mismos, por no hablar de necesitarse un software tipo John The Ripper para descifrar las capas de encriptación que protegerán mis hábitos de navegación o por dónde he pasado la última semana de conexión a Internet…
Pues no señores, todo esto queda abiertamente almacenado y expuesto en una carpeta que contiene un simple archivo de texto plano y perfectamente visible.
Veamos la siguiente captura de pantalla, de la carpeta Old Firefox Data.
A continuación accedemos a esa extraña carpeta con nombre de tipo jeroglífico…
Ahí empezamos ya a poder acceder a datos medio interesantes, aunque aún útiles desde un punto de vista técnico, para la resolución de errores (como la carpeta “Crashes” que almacenará los puntos de cuelgue del sistema, o la carpeta “Extensions” que nos dará cuenta de qué añadidos hemos implementado en nuestro navegador Firefox para personalizarlo y adaptarlo a nuestras preferencias). Repito, hasta aquí todo normal.
Pero aparece el archivo SiteSecurityServiceState.txt y, sinceramente, al comprobar que se trata de un simple archivo de texto plano ya empiezo a mosquearme. Todo lo que se almacene ahí quedará expuesto con cualquier procesador de textos sencillo y gratuito. Mala cosa si de ese archivo se puede extraer algo que afecte a mi privacidad, forma de navegar, servicios que consulto en la Red, mi banca online, redes sociales que frecuento o en las que tengo cuenta, sistemas de email que podría usar en mi día a día, o tendencias de investigación, conocimiento o consulta…
Pues ¡bingo! porque todo eso es justamente lo que queda almacenado y expuesto en ese simpático archivo de texto plano y abierto, a disposición de quien quiera hacerse una radiografía mía y de mis gustos, preferencias y hábitos en internet.”
Veámoslo más detenidamente…
Hemos destacado en rojo los servicios que podrían radiografiar a cualquier usuario, tan sólo, con los hábitos de navegación que se incluyen en esta carpeta de texto, sin encriptar y a plena disposición de terceros en mi navegador o PC:
Sólo con los metadatos de estas primeras capturas de pantalla podemos deducir:
¿De verdad es necesario que un navegador guarde este tipo de información sobre cada uno de nosotros y nuestras preferencias personales, intelectuales, profesionales o datos personales?… ¿De verdad tiene esto algo que ver con telemetría encaminada a “mejorar el producto Mozilla Firefox”?…
Y, sobre todo, ¿De verdad tiene esto que estar disponible en un archivo de texto plano y abierto, para cuyo acceso no he precisado software de extracción de metadatos, ni desencriptación de ningún tipo?.
En fin, que cada cual saque sus propias conclusiones…
Hoy queremos hablaros de Docker un proyecto que cada día es más usado, porque permite…
Cada vez estamos más acostumbrados a usar código para generar la infraestructura (IaC), documentar nuestro…
Uno de los problemas que se presentan con una mayor frecuencia hoy en día, es…
Uno de los problemas que solemos tener los programadores, es que nos gusta estar a…
Docker es una de las herramientas más usadas por los desarrolladores, sin embargo, usarlo en…
Como seguramente sabrás el uso de JavaScript ha crecido exponencialmente en los últimos tiempos, sin…