martes, noviembre 14

La seguridad del acceso a FON.

Ayer tuve la ocasión de leer la opinión de una persona, en la que alertaba sobre un fallo en el acceso a FON.

Esta persona decía que si alguien, un alien, quisiera acceder a FON a través de alguno de los nodos, podría acceder a una página igual a la de FON sin saber si realmente es de FON o no... y claro, aquí tenemos un problema.
Cuando ese alien quiera comprar el acceso a FON, dará la información de su tarjeta de crédito a través de una página que podría ser falsa.

Esto, en principio podría resolverse con el uso de Certificados de Seguridad, que firmado por entidades como Verisign, asegurarían al posible usuario de que realmente nos encontramos ante un punto de acceso de FON.

Pero... dándole más vueltas al tema, enrevesando un poco más la cosa... me surge otro escenario.

Imaginemos que una persona se apunta a FON. Recibe su Fonera, y dado que se supone que el firmware de esta es abierto y actualizable, decide coger el firmware y añadir alguna modificación...
Imaginemos que cambia la página de acceso para aliens, donde recoge los datos del nombre y la tarjeta de crédito de esa persona, y se guarda, localmente, dichos datos para luego redirigir la petición a la página real.


Esta persona, a medida que pasa el tiempo, sigue acumulando datos y más datos personales de clientes de FON. Hasta que llega un momento, en el que o bien vende esta información... o decide irse de compras por internet a costa de otros...




Efectivamente, puede parecer un escenario algo tremendista... pero dado que la Fonera no es un dispositivo cerrado, puesto que se vendió como algo abierto y comunitario, es factible.

Así pues... sabiendo que algo así podría ocurrir, ¿es FON una empresa confiable a la hora de dar este servicio?

Sinceramente, creo que no... y como posible usuario alien, me inspiraría poca confianza dar los datos de mi tarjeta de crédito a través de un router, montado en casa de no se muy bien quién, con un firmware que bien podrían no ser el original.




Por ello, para que FON pudiese dar un servicio así, los puntos de acceso deberían ser de su responsabilidad y cerrados, por lo menos en la parte de red pública, de forma que nadie pudiese modificar dicha parte.


La verdad, a estas alturas me sorprende que nadie en FON haya caido en la cuenta de algo tan extendido como el robo de identidad. Así que una de dos... o son demasiado confiados al estar demasiado centrados en el entorno linus y una comunidad basada en la confianza mutua, o tal vez no les interesa mucho lo que pueda ocurrir en estos casos...

Foto de Verisign, tomada de http://www.verisign.es/

Etiquetas: ,

5 Comentarios:

Blogger Paco dijo...

Hombre,

La fonera es "Open Source" pero no actualizable por cualquiera (otra cosa es que se hackee o como se diga facilmente).

Desde luego, no te tienes que ir tan lejos, coges tu linksys, creas tu red de acceso. pones un web server tuyo que simule ser fon, creas las paginas www.cajamadrid.es, www.bbva.es y www.ingdirect.com y ala, a esperar incautos.

Tecnicamente es viable, legalmente es delito.

Tambien puedes coger y abrir la proteccion de mi A4 (romper la ventana), cambiar el firmware (meter un destornillador en el contacto) y llevartelo.

Si te quieres poner asi.

Ahora, quien de su tarjeta por internet a cualquiera merece que le roben.

4:08 p. m.  
Blogger Manu, The Java Real Machine dijo...

Creo que Varsavsky ha dicho hace muy poco que están trabajando en la actualización del firmware de la fonera... supongo que a través de la web de fon, subiendo a su servidor el firmware y luego descargándolo en el propio router...

Efectivamente es delito, sin duda alguna... lo que quería decir es que si FON quiere parecer una empresa seria, para ganar clientes aliens, debe de ofrecer un mínimo de garantía a los posibles usuarios.

7:45 p. m.  
Anonymous Anónimo dijo...

Y eso funciona con el Explorer 7 que lleva la verificación de sitios? (anti phising dicen)

10:15 p. m.  
Anonymous Anónimo dijo...

Y eso funciona con el Explorer 7 que lleva la verificación de sitios? (anti phising dicen)

10:18 p. m.  
Anonymous Anónimo dijo...

Una buena recomendación es aparte de la seguridad del navegador tener una barra o herramienta anti-phising.

Por ejemplo Site Advisor de la gebte de Mcaffe.

Hay versión para IExplorer y Firefox.

Es gratuita y puede ayudar, desde luego hay otras más complejas.

Pero la mencionada esta bien.
Saludos.

9:08 p. m.  

Publicar un comentario

<< Home