Se nos pasa por la cabeza meter nuestros ficheros en la nube (Dropbox)

Introducción
El otro día cuando ya me largaba de la empresa me llegó lo que ya hacía un tiempo que esperaba que llegase; “Oye que estamos valorando esto del Dropbox, que todo el mundo está utilizando y que se habla tan bien, para meterlo como herramienta de trabajo, ya que tenemos que aprovechar este tipo de servicios que están ahí ¿que opinas?”

Bueno llegado a este punto, a mi que no me gusta, como norma general y siendo bastante estricto, decir que algo es como es cuando no estoy el 99% seguro de que es así, el 1% restante considero que es pocas veces alcanzable, quitando lo de la muerte, empecé a decir lo que ya conocía que era cierto, lo que conocía sin seguridad advirtiendo de que no estaba seguro (porque ha venido de voces en off) y de lo que podía intuir, claro está indicando que lo intuía pero que tenía que contrastarlo.

El que me pillo por banda es uno de los directivos junto con varios miembros del grupo de trabajo, el cual él también dirige (la empresa no es tan grande para que el directivo solo dirija la empresa), y todo venía, entiendo, porque algunos de los miembros del grupo de trabajo ya están utilizando los servicios de Dropbox a nivel personal, y que me les mola (con esto no quiero decir que el servicio no mole), han empezado a darle la brasa al manager seguramente pensando: “si vamos al departamento de IT a pedirle esto con lo paranoicos que siempre están con ciertos temas, como la seguridad, la privacidad, etc. y lo poco que les gusta implantar nuevas soluciones en la empresa, nos van a mandar a tomar por c....”.

Dejando de banda lo “bien vistos” que estamos los del departamento de IT, por el resto de personal interno de la empresa, todo acabó en que nos reuniríamos un día y hora concreto (el cual llegado el día no ha habido ni reunión ni comunicación de aplazamiento, es decir como si no se hubiese dicho nada), el cual yo tendría que estar informado de el funcionamiento (tal y como se explique o se informe por parte del equipo técnico de Dropbox, no estoy hablando de que tuviese que hacer ningún tipo de Ingeniería Inversa, ni de poner en duda lo que ellos anuncien y vendan de su servicio) para poder explicarse y resolver las dudas que se habían surgidos en la previa.

Así que como, no soy un usuario activo, por ahora, de este tipo de servicios, no porque los encuentre inútiles, sino porque por ahora no he tenido necesidad de utilizar este tipo servicios, de ahí que no tenga todas sus características en mente, me puse a mirar la FAQ de Dropbox, la cual encontré muy completa, para saber más de su funcionamiento y de ahí ver que posibilidades puede ofrecer, además de poder responder a las dudas que ya se habían planteado (algunas con sugerimientos de que este suprimiese a servicios que ahora ofrecemos desde nuestros servidores) y a las nuevas que podían surgir en la reunión; y de todo esto salio un resumen de las características, el cual os dejo a continuación.

Resumen de características de Dropbox

Cuentas de miembros

• No se específica un límite de equipos que se sincronizan con una misma cuenta. En la gestión de la cuenta se puede ver los equipos adheridos a la cuenta.
• Tamaño máximo de ficheros igual a la cuota disponible en la cuenta. En el caso de subir ficheros a través de la web el límite es de 300 Mb.
• No hay máximo número de ficheros, la cuota de almacenamiento marca el límite. Actualmente se estima que el rendimiento puede verse afectado si se almacenan más de 100.000 ficheros.
• Transferencia de información aplicando diferencia binaria; solo se sincroniza la información que realmente ha variado.
• Soporta la sincronización de atributos de los ficheros (derechos, meta datos, etc.), pero se pueden perder si se modifica la información en unidades con formatos de ficheros que no soportan metadatos, por ejemplo FAT32.
• Recuperación de estines anteriores.
  
  
  menú de recuperación versiones ficheros
  
  listado de versiones de un fichero
  
  Se mantienen la versiones de cambios durante 30 días, no obstante hay la opción, en las cuentas Pro, de activar el Pack-Rat; las versiones mantenidas no computan en la cuota de espacio de la cuenta.
  No obstante se permite eliminar los ficheros de manera permanente.
• Permite vínculos únicos a los ficheros en los directorios de acceso público. Con esta funcionalidad se puede agregar estos vínculos en páginas web, e-mails, etc.
• Se puede compartir directorios con los usuarios registrados en Dropbox que se quiera, atendiendo al uso de espacio en la cuenta.
  Cuando se comparte un directorio, se comparte con derechos de modificación total (adición, modificación y borrado de ficheros existentes), puesto que derechos de solo lectura aplicados sobre un sistema operativo no tiene porque transcender sobre otros sistema operativo, no obstante los atributos del fichero si que son copiados en los servidores de Dropbox. Además los usuarios que han sido invitados, por el propietario de la cuenta, para poder acceder al directorio compartido pueden invitar a otros usuarios al directorio. Solo el propietario puede eliminar usuarios que tienen acceso al directorio compartido.
• Se puede añadir comentarios sobre los directorios compartidos para facilitar la comunicación con el resto de miembros con acceso al directorio.
• Se puede renombrar y mover directorios compartidos a nivel de cuenta y gestión interna de la información, no obstante el nombre y la ubicación como ha sido compartido permanecerá inalterable bajo estos cambios.
• La gestión de conflictos de cambio de ficheros al mismo tiempo se gestiona con el algoritmo “La primera versión que se sube al servidor, gana”, es decir no se utiliza ningún algoritmo de fusión de versiones; no obstante no se descartan las versión que han “perdido”, se mantiene con la siguiente nomenclatura: {nombre del fichero} ({nombre usuario que ha creado esa versión} copy {momento de creación de la versión})
  
  
  ejemplo de versión de un fichero generada por conflicto
  
  
• Sincronización LAN. Se incorpora un mecanismo de detección de ordenadores que se sincronizan con una misma cuenta o directorios compartidos con acceso de las distintas cuentas que utilizan distintos ordenadores dentro de una misma Red de Área Local (LAN) para sincronizar los ficheros o directorios cambiados entre ellos antes de sincronizar con los servidores de Dropbox; evitando el consumo de ancho de banda de la conexión de Internet de la LAN.
  Este mecanismo solo es aplicable en una misma subred.
• Como Dropbox puede utilizarse en múltiples sistemas operativos y esto tienen distintas reglas en los nombres de los ficheros, codificaciones, etc, normalmente al sincronizar este tipo de ficheros con otro sistema operativo que lo ha generado puede degenerar en la creación de una nueva versión del fichero marcada como conflicto o no llegarse a descargarse en el sistema operativo receptor. Las distintas casuísticas documentadas se pueden consultar en https://www.dropbox.com/help/145

Añadidos para cuentas de grupos

• Gestión de usuarios centralizada desde las cuentas de administradores.
• El administrador puede ver la cuota de almacenamiento utilizada sobre el total (todos los miembros) y la cuota utilizada por cada miembro.
• Cuota de espacio de almacenamiento computada en sobre el grupo no limitado al espacio de cada cuenta de miembro individual.
• Se puede quitar a un miembro del grupo el acceso a un directorio compartido y se puede optar por solo quitarle el acceso al directorio o también indicarle que le elimine los ficheros almacenados en su disco duro.
• Los miembros que vayan a formar parte de una cuenta de grupo deben convertir su cuenta existente a una del tipo miembro de grupo o crear una una cuenta de miembro de grupo. Si utilizan una cuente existente y la convierten en una cuenta de grupo, el usuario mantendrá sus ficheros, directorios compartidos y sus documentos públicos; si se genera un nueva cuenta, tendrán que proporcionar una dirección de correo distinta, no obstante el usuario puede cambiar su cuenta de correo asociada a la cuenta de Dropbox en cualquier momento desde la interfaz web.

Nota informativa: Información extraída del centro de ayuda (Help Center) de la Web de Dropbox a fecha de 15/04/2011 y no está exenta de errores de interpretación o traducción.


Hasta la próxima enfermos.

OWASP VII Spain Chapter Meeting

Después de asistir el viernes por la tarde a la OWASP VIII en Barcelona, puedo decir que me ha sido muy útil para enterarme de los ataques de Session Fixation, algo que me sonaba de oído pero que al no haber profundizado sobre el tema, básicamente leyendo, consultando, viendo, escuchando o cualquier otra manera que se os ocurra de absorber conocimiento, desconocía de que se trata realmente, que modus operandi tiene y como se pueden abordar medidas preventivas para evitar que las aplicaciones web sufran este tipo de ataque.

La ponencia realizada por Raúl Siles, de Taddong, denominada “SAP: Session (Fixation) Attacks and Protections (in WebApp)” ha sido, a mi criterio, de lo más interesante, ha explicado que es, que tipo de aplicaciones son atacables, como se ataca, directrices para prevenir o al menos mitigar lo máximo posible el ataque y ha expuesto como ejemplo su experiencia sobre la vulnerabilidad que detectó en SAP y cual fue su trascendencia desde el descubrimiento y notificación hasta su solución y la notificación pública de ésta.

El resto de ponencias también me han aportado, en menor medida, seguramente porque mi interés era menor, y en el caso de la primera, “Web Attacks In The Wild: An overview of las year's probes” de Adrián Pastor, por haber llegado al menos a la mitad de la ponencia, conocimiento sobre ataques web, el estado de los estándares de medios y certificaciones de aplicaciones de pago y como responder a incidentes de infecciones web, desde la preparación del entorno hasta el análisis de los incidentes, pasando por la respuesta que hay que dar sobre estos, de la mano de Carles Fragoso Mariscal, responsable de respuesta a incidentes de CESICAT.

Después de todo esto ya se pasó al debate, donde se discutió de ciertos aspectos bajo el tema principal: El robo de datos de tarjeta como objetivo de los ciberdelicuentes: ¿conocemos el mercado negro asociado?; el cual, al menos yo, disfruté mucho, ya que siempre me gustar escuchar, valorar y si tengo opción, ser crítico en lo que se dice, respetando las creencias y pensamientos de cada uno siempre que se argumenten.


Hasta la próxima enfermos.

Si eres un banco, cuida tu SPF

El otro día pedí una información, por email, de los servicios que ofrece una de las nuevas entidades bancarias que están apareciendo con el revuelo económico que últimamente está habiendo con las cajas de ahorro.

Aunque lo que realmente pedí fue que me llamasen, posterior conversación telefónica me enviaron un email con todo lo que me habían comentado por teléfono, junto con un enlace donde darse de alta como cliente.

Parte del cuerpo del email de bancacivica.es con el enlace al formulario de alta de nuevos clientes

Debido a todo lo que leo, escucho, etc. de todo lo que pasa con la seguridad del mundo virtual y después de leer informes de claramente indican que zapato calzan las organizaciones criminales que se encuentran detrás, a uno le entra la paranoia constante de sino te están intentando timar además de tener la inseguridad de que cada vez que inicio sesión en el la extranet de una entidad financiera no te estarán robando los credenciales bancarios para que puedan hacer una mejor administración e inversión de la que tu haces con tus ahorros.

Bueno, debido a que al leer el correo entré en estado paranoico, me aseguré de verificar un poco las cabeceras del email recibido para ver de donde viene y por donde ha pasado (que me refiero a lo que ha quedado registrado).

Cabeceras del email recibido de bancacivica.es con el enlace al formulario de alta de nuevos clientes

Todo me parecía normal si no fuese porque el resultado del SPF había dado error, y como no, Gmail no había notificado mediante algún aviso de ello.

Cabecera del email bancacivica.es sin aviso alguno del fallo SPF

El error que se había producido era un “temperror” debido a un timeout en la consulta DNS para la obtención del valor del registro TXT del dominio.
Así que no me quede muy tranquilo viendo esto, por lo entonces un simple fallo en la consulta puede originar que no se verifique el filtro SPF, dando un “temperror” y el mail se cuele sin aviso alguno.
Lo primero que pensé es que debía haber sido un error esporádico, pero no fue así ya que como tenía otro correo recibido, desde la misma dirección de envío, anterior a este, me fui a ver las cabeceras de este y … ¡sorpresa! Se había producido el mismos error.

“Pues vaya, vamos a ver que pasa con el registro SPF de bancacivica.es”; así que me fui ha consultar el registro TXT del dominio y ver si podía sacar algo en claro.

Valor del registro TXT del dominio consultado en varios servidores DNS

Como podéis ver en la captura anterior al intentar conseguir el valor del registro TXT del dominio desde el servidor DNS de Google, se origina un error de timeout, así que de ahí que se explique el resultado que obtiene los servidores de Gmail. No obstante también podéis ver el resultado de la consulta sobre otros dos servidores DNS, el de Terra y el OpenDNS, los cuales no generan error y nos devuelven el resultado del registro.

Claramente podemos ver que tienen una sintaxis incorrecta: ~all- (el guión final no debería estar).

Verificación de la sintaxis del registro TXT en Kitterman

Bueno son cosas que pasan, todos nos equivocamos y muchas veces a la hora de teclear se nos van los dedos, pero claramente podemos ver que después de aplicar el filtro nadie se ha preocupado de verificarlo.

Con todo esto acabo de aprender dos cosas:

1. Gmail no me dará ningún aviso si hay un error de timeout sobre la verificación SPF.
2. Si me toca crear algún filtro SPF en futuro, acordarme que luego lo verifique (sobre todo si es para un sector donde la autenticidad de los emails es importante, como una entidad bancaria).

Hasta la próxima enfermos.