martes, 19 de diciembre de 2017

Dónde está Fog y dónde está Edge



Hace unas semanas hablé sobre qué es el Edge computing y porqué nos importa. Lo que pude sacar en claro es que todavía no existía un consenso sobre la diferencia entre ambos términos.

Dónde acaba y empieza el Edge, dónde acaba y empieza la Fog y si estos dos términos significan el fin de los días del Cloud Computing (como algunos han vaticinado).

Despues de tener el tema “en el frigorífico” ayer, por pura casualidad fui a dar con una imagen que me resultó completamente reveladora:




Efectivamente se puede ver donde acaba y empieza cada una de las diferentes capas que formarán las redes del futuro:

  • Edge, estará formado por billones de dispositivos, todos esos elementos que forman parte del IoT como los sensores, o electrodomésticos caseros o cualquier cosa conectada que se os pueda ocurrir, permanecerán es esa capa. Sus conexiones estarán centralizadas por elementos pequeños como un dispositivo móvil ordenadores, tablets o cualquier elemento con un poder de cómputo mayor que un pequeño sensor ( por poner un ejemplo). Recibirán los volúmenes de datos inmensos que generan con todas sus mediciones. 
  • Fog nos vamos ya a una capa de servidores con una capacidad de cómputo mayor, en el Edge ya se depurará un cierto nivel de información para que no viaje por la red los Teras de información que han generado todos esos pequeños elementos, ahora llegarán a servidores que ya tendrán la responsabilidad de revisar su contenido. Una segunda capa de revisión donde ya podemos poner elementos de seguridad y análisis ante posibles amenazas. 
  • Cloud. Aquí ya llegarán la información que sea realmente interesante para el negocio, llegarán sólo los elementos más importantes pudiendo: 
    • Ahorrar costes de transmisión y almacenamiento. 
    • Incluir una tercera capa de seguridad y detección a nivel más global pudiendo procesar amenazas que llegan desde diferentes fog’s. 
    • Tendrán la información solamente necesaria. 
    • Existirá un mayor nivel de seguridad ya que la seguridad en el Cloud es algo que ya es mucho más estable y está mucho más avanzada. 
Se puede ver con un simple golpe de vista que para IoT esto es el entorno ideal, por eso esta creciendo de su mano, pero abre las puertas a nuevos modelos de negocio e incluso plantear nuevos modelos de minería para criptomonedas con esquemas distintos al blockchain y la minería tal y como todos la conocemos, como por ejemplo IOTA.

Como podeis ver Edge y Fog no suponen el fin del Cloud sino que nacen para poder suplir las carencias de computación y tráfico de datos que podría suponer conectar esos billones de pequeñas cosas que están llegando, más que enemigos son buenos aliados.

Una imagen dice más que mil palabras.

en No hay comentarios:
Etiquetas: , , , , ,

miércoles, 29 de noviembre de 2017

Google Maps para pirateo ¿y para el cibercrimen?

El pasado Sábado Omicrono lanzó un artículo que me llamó la atención, se titulaba: Google Maps para encontrar direcciones… y música gratis: el ingenio de los piratas.
En el artículo contaban como los piratas estaban colgando links a música a través de Google Maps, es una técnica muy imaginativa aunque no se cuan popular, personalmente no se me habría ocurrido nunca buscar en Google Maps un álbum de música, pero en la imagen se puede ver un buen ejemplo e incluso las visitas que tuvieron, así que no debe ser algo desconocido.

Ejemplo del artículo de Omicrono
A partir de aquí se me ocurrió valorar ¿qué dificultad tiene crear o modificar una ubicación?
Esta duda me surgió porque existen muchas empresas que contienen Google Maps en sus aplicaciones, confiando en el contenido que éste brinda. Aplicaciones corporativas que confían sus puntos de interés en conectar de forma directa con la API de Google Maps.
Por lo que  surge la pregunta ¿Y si meto un supuesto banco o cajero falso? La llegada al formulario y completar el mismo es totalmente accesible y muy sencilla así que decidí hacer la prueba mandando un formulario como este:
Después probé con otras categorías como Cajero automático e incluso tuve la tentación de solicitar cambios sobre los existentes pero, creo que están reclamados por las empresas y podría ser más complicado.
¿Qué pasaría si el ejemplo de arriba fuera aceptado? Pues que en esa dirección se crearía un Cajero con una url que apuntara a malware.
La confianza de los consumidores en las herramientas de Google y, sobretodo, en Google Maps (¿quien no viaja de la mano de Google Maps?) es muy alta, por lo que el alcance de dicha URL podría ser igual de alta.
Si Google acepta incluir esos puntos falsos podríamos lanzar campañas de phishing por sectores físicos, agregando cajeros de todo tipo de sucursales con URLs con contenido infectado (malware o web falsa, por ejemplo).

Sigo esperando saber si Google acepta o rechaza mis inclusiones de sitios ¿Que creeis que pasara? Se aceptan apuestas :)
en No hay comentarios:
Etiquetas: , , , ,

jueves, 23 de noviembre de 2017

6 meses para la llegada de la LOPD Europea (RGPD) ¿Esta lista su empresa?

25 de Mayo de 2016 fue la fecha en que entró en vigor la RGPD (Reglamento General de Protección de Datos) o, comúnmente conocida, LOPD Europea. Entendiendo el impacto que podría suponer sobre las empresas que han de cumplirla se otorgó 2 años para poder aplicarla y, qué rápido pasa el tiempo, estamos ya en la recta final. Solo 6 meses nos separan de su puesta en vigor a todos los efectos.
Resultado de imagen de RGPD

Hagamos un pequeño repaso de cómo puede afectar esta norma a nivel informático.

¿A quién afecta esta norma?

A toda empresa que trabaje con datos de carácter personal, independientemente del lugar donde se efectúe dicha actividad. Mientras procese datos de carácter personal de población Europea está obligado a cumplirla.

¿Qué entendemos por datos de carácter personal?

Los datos de carácter personal se pueden agrupar:
  • Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual.
  • Datos identificativos:  Nif/dni, dirección, imagen, voz, Nº Seguridad Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, tarjeta sanitaria.
  • Datos personales:  Estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
  • Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
  • Datos Académicos y profesionales
  • Detalles de empleo:  Profesión, puestos de trabajo, datos no económicos de nómina, historial del trabajador.
  • Datos de información comercial:  Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
  • Datos económicos, financieros y de seguros:  Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
  • Datos relativos a transacciones de bienes y servicios:  Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones.
Como podéis ver el ámbito es muy amplio y bajo este paraguas caerían el grueso de las empresas. Es difícil encontrar una empresa que no contenga ninguno de estos datos en forma digital.

¿Que cambia en materia de derechos de los usuarios?

La LOPD ya reconocía varios derechos a los usuarios:
  • Derecho de acceso, 
  • Derecho de rectificación,
  • Derecho de oposición,
  • Derecho de cancelación.
A estos la RPDG agrega cuatro nuevos derechos que hay que adaptarse para cumplir:
  • Derecho a la transparencia de la información,
  • Derecho de supresión (derecho al olvido),
  • Derecho de limitación,
  • Derecho de portabilidad.

La forma de lograr el consentimiento también cambia ahora ha de de ser inequívoco y si es menor de 16 años han de ser sus padres o tutores legales quienes lo otorgan lo cual cambia la forma de notificar la cesión de estos derechos de forma telemática (¿O no?).

¿Que es el DPO?

Es una de las principales novedades que trae la normativa, la figura del DPO ó Delegado de Protección de Datos. Esta figura tendrá como funciones:
  • Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
  • Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
  • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
  • Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
  • Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
Por lo que ahora existirán dos figuras en las empresas en materia de seguridad y protección de datos:
  • DPO o Delegado de Protección de Datos. Derivado de la RGPD
  • Responsable de Seguridad. Derivado de la RLOPD.

Referencia

Otras diferencias reseñables

  1. Ahora habrá que notificar si tu empresa ha sufrido una brecha de seguridad. Es decir, todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.  El responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Esto puede suponer un impacto reputacional alto ya que obliga a las empresas a contar “sus vergüenzas”, por lo que la inversión en ciberseguridad seguro se incrementará los próximos años cuando las empresas que no han trabajado en este plan con tiempo vean las consecuencias.
  2. La empresa tendrá más libertad para la implantación de las nuevas medidas de seguridad decidiendo que modelos, medidas técnicas y de organización aplicarán para tener un alto nivel de seguridad. Pero si indica que hay que trabajar en la privacidad desde el diseño. Es decir, la seguridad ha de estar implementada en todo momento.
  3. Las penas por incumplimento se incrementan hasta 20.000.000 de euros o un 4% de los beneficios anuales. Una cifra que ya hará que más de uno se tome en serio este regalmento.
  4. Existirá una ventanilla unica para reclamación. Por lo que los usuarios podrán hacer sus reclamaciones o denuncias en caso de incumplimiento.
La RGPD no es ninguna broma, el poder cumplirla llevará a unas empresas mucho más esfuerzo a que a otras pero seguro que en cuanto entre en vigor se notará pronto su llegada. Bastará para ver los primeros casos en los medios de empresas que han tenido denuncias o brechas y sus consecuentes multas si existe incumplimento, para que aquellas empresas más rezagadas luego tengan prisa por poder ponerse al día con esta normativa.
Tal y como se ha denunciado en muchas ocasiones faltan profesionales en seguridad para toda la demanda existente y que vendrá, por lo que recomiendo que cuanto antes, ponga su empresa con el proceso de adaptación a esta normativa.
Referencias:

en No hay comentarios:
Etiquetas: , ,

martes, 14 de noviembre de 2017

Defensa común en Europa y ¿defensa propia?

En el anterior post hablé de porqué es importante parar o asegurarnos (lo máximo posible) ante los ciberataques y las consecuencias que pueden derivar de los mismos para la gente, en general.
Hoy nos hemos levantado con los medios haciendo eco del “titular del día” que no es otro que el logro de colaboración y financiación, de un nutrido grupo de países europeos, para poder luchar contra los ciberataques o, como se ha denominado con gran acierto, la ciberguerra.
Federica Mogherini, con los ministros de Defensa y Exteriores de 23 países de la UE, tras la firma del compromiso sobre la colaboración en defensa, este lunes en Bruselas
Me encantan estas propuestas, estas declaraciones de intenciones y esas fotos en familia sonrientes pero, hay que llevarlas a cabo, invirtiendo el dinero correctamente y, sobre todo, concienciando para cambiar la mentalidad de muchos, sobretodo aquellos que trabajan con el dinero e información de todos.

Por ello hoy quiero traeros unos cuantos ejemplos (de este mismo año) sobre cómo se puede empezar a barrer desde casa y trabajar desde hoy mismo para evitar la fuga de información y el impacto que suponen estos ataques. Comencemos con nuestro Top:

Top 4: BiciMad

Esta no es nueva, BiciMad es un servicio que se lanzó en 2014 y tuvo gran impacto mediático, aparte de por sus bondades porque en pocas horas lograron hackear su aplicación móvil a la par (lo que más salió en los medios) de poner en las terminales de la ciudad la foto de un miembro que no pasaba para nadie inadvertido. No habían pasado ninguna auditoria de seguridad y todos sus elementos (tanto estaciones como web) dejaron a la vista vulnerabilidades. Si queréis más detalle de esa historia aquí lo recopilan muy bien.

Ahora nos vamos al año 2017, donde esta aplicación de nuevo salta a los medios gracias a una nueva actualización en su app que acaba siendo vulnerada en solo dos horas, parece ser que incluir SSL de forma correcta es algo que no entra en sus planes.

Top 3: DNI electrónico

Este caso parece que se ha gestionado con más cuidado. El gobierno de Estonia ponía en aviso, el cifrado RSA-2048 había sido vulnerado y con procesamiento de tarjetas gráficas se podría llegar a extraer las claves privadas de los usuarios desembocando en un posible problema de suplantación de identidad.
Automáticamente se pusieron sobre la pista y anularon que se pudiera operar con los DNI emitidos desde 2015 y detectados como vulnerables.
¿Os imagináis que habría pasado si se votara mediante el DNI electrónico? Habría podido suceder que si fueras a votar te encontrarás que alguien ya lo había hecho y, además, a otro partido que no gozara de tu simpatía.
La solución pasa por el cambio de hardware, es decir, hacer de nuevo el DNI a todos esos ciudadanos. Ya veremos en qué acaba esto, tienen nuestro voto de confianza gracias al rápido aviso y cancelación del uso de los documentos identificados como vulnerables.
Referencia 1, Referencia 2

Top 2: Buscador del CNI

A través del buscador de la web del CNI y gracias a una vulnerabilidad de inyección el grupo de hacking Gaben Security dice que extrajo información de valor e incluso llegó a acceder a máquinas del CNI.
Es bien cierto que luego se comentó que el ataque tuvo un impacto muy por debajo de lo que se anunció en un principio ya que la web está aislada de máquinas del CNI, por lo que el contenido al que podían acceder era meramente informativo pero el buscador desapareció de la web y el grupo si expuso un error demasiado básico como para existir en una web perteneciente a un organismo con tareas de inteligencia y seguridad.

Top 1: LexNet

El premio se lo lleva LexNet.
No solo porque pusiera al descubierto los datos judiciales de todas las causas entre sus usuarios, o porque se dejara servidores con configuraciones por defecto abiertos al mundo.
Sino porque es la muestra más clara de la inminente necesidad de cambio en la mentalidad de quienes gestionan estas iniciativas.
Un proyecto opaco, con un entramado de empresas desarrollando lo que es imposible de entender y sin responsabilidades claras.
Muchos millones invertidos en el mismo, más millones aún invertidos en la solución y encima amenazas a los jóvenes que denuncian nuevas vulnerabilidades alrededor de su sistema.
Mal desde la oferta, al desarrollo y peor desenlace.
LexNet ha sido el mayor ciber escándalo patrio y estoy segura de que continuará.
Referencia 1, Referencia 2, Referencia 3, Referencia 4, Referencia 5, Referencia 6, Referencia 7, Referencia 8, Referencia 9 y podría seguir con muchas referencias más.

Por todo ello, está muy bien la iniciativa Europea para luchar contra el crimen en la red de forma global, pero también hemos de poner medidas y mentalidad dentro de casa.
en No hay comentarios:
Etiquetas: , ,

jueves, 2 de noviembre de 2017

Entendiendo el impacto de sufrir un ciberataque para todos los públicos

Hace unos años era impensable ver en un telediario o medio de comunicación una noticia sobre virus, mailware, hacking o escándalos en materia de ciberseguridad, pero con el tiempo hemos pasado de ver alguno cada año a que ésto sea una dinámica que ya no sorprende a nadie.

Campañas electorales discutibles, webs gubernamentales vulneradas, malware tirando redes a nivel mundial, bases de datos de usuarios y clientes publicadas en el lado oscuro de la red,... Ya no sorprende a nadie, pero son pocos los que realmente se preguntan ¿Y esto a mí que me importa?

Quiero abrir una línea de posts donde poder hacer entender a unos y recordar a otros por qué la ciberseguridad es importante, por qué los gobiernos han de tenerla en más consideración y por qué nos queda un largo camino hasta que podamos sentirnos confortables; y es que mucha de la culpa de esos ataques es por la no sensibilización de estas entidades (y sus empleados) en materia de seguridad.

El impacto de un ciberataque se puede diferenciar en dos grupos:
  • Técnicos: Las consecuencias o finalidad del ataque sufrido recae sobre los sistemas en los que la entidad sustenta su información o servicios.
  • Negocio: Las consecuencias del ataque sufrido hacen daño a la entidad a nivel monetario.
Revisemos dichos impactos con mayor grado de detalle, voy a poner ejemplos que pueden ser exagerados pero es una forma de poder hacerlos entender.
Resultado de imagen de hacker

Técnicos

Confidencialidad: Imaginemos una empresa de salud, en sus sistemas alojan toda la información referente a sus revisiones médicas, pruebas, medicamentos recetados... En definitiva, todos los datos referentes a la salud de sus pacientes. Ahora imagine que esa empresa sufre un ataque y todos esos datos le son sustraídos, si la empresa no ha realizado correctamente sus deberes, sus datos médicos pronto estarán en manos no deseadas pudiendo tener consecuencias directa sobre usted tan absurdas como ver anuncios cuando navega de venta de fármacos por vías no legales, como que le empiezan a llegar ofertas de la competencia a su buzón, o incluso se ha dado caso de ofrecimientos de donantes por vías no legales. Su información ya no es solo suya, ya no es usted dueño de su historial clínico y terceros se están enriqueciendo de vender esos datos. https://www.welivesecurity.com/la-es/2015/03/02/robo-de-registros-datos-salud-informacion-medica/


Integridad: Imaginemos que usted tiene un crédito asociado de 50.000 euros en concepto de su vivienda, su banco sufre un ataque que hace que sus datos sufran daños como puede ser que desaparezcan algunos datos y ya no le llegue la nómina de este mes, porque se perdió, o que su hipoteca de repente figure como una deuda de 150.00 euros, porque las bases de datos fueron dañadas. O puede que alguien con ganas de mejorar su sueldo incremente el valor del mismo adulterando esas transferencias. La integridad de los datos con los que trabaja con empresas necesitan estar siempre garantizada. http://www.eldiario.es/canariasahora/sociedad/funcionario-estafar-Ayuntamiento-Santa-Cruz_0_264924701.html
Disponibilidad: Un ejemplo que todos sufrimos cada año de falta de disponibilidad es durante la Nochevieja ¿quién no ha tratado de llamar o mandar un mensaje a sus parientes y se ha encontrado con las líneas caídas? Cuando vamos a sitios con una cantidad enorme de gente usando sus dispositivos móviles y no hay señal es un ejemplo de falta de disponibilidad. Póngase en el caso de que en ese momento suceda una emergencia y no pueda llamar a los servicios de socorro. http://www.20minutos.es/noticia/327766/0/llamar/telefono/nochevieja/  
Responsabilidad: Nos han atacado, mi hipoteca ha sido manipulada, no pude llamar a la ambulancia cuando lo necesité y la semana pasada me llegó una oferta para comprar las pastillas contra el estrés que mi médico no me receta pero un amable ciudadano americano me las vende aun precio de oro ¿Y ahora qué? Ha puesto su denuncia pertinente o pedido explicaciones a su entidad, pero nadie será responsable del mismo porque los atacantes lo han realizado de modo que o han borrado sus pistas o no dejan pistas o la entidad no deja las suficientes tratándolas con el cuidado necesario. Te han causado muchas molestias y problemas pero nadie pagará por ello.
Negocio
Reputacional: La reputación es lo más importante de una entidad, la reputación va ligada con la confianza que tienen sus clientes sobre la misma, y es un daño más difícil de solucionar que el económico. Si su compañía de vuelo sufre un ataque y le deja a usted en un país que no había contratado ¿no se plantearía la próxima vez volar con otra compañía? Pongamos el caso de que alguien consigue hackear un avión durante el vuelo y moder modificar el comportamiento de un motor poniendo en peligro las vidas de todos los que están volando. ¿Se sentiría seguro volviendo a volar?
Económico: Este es el impacto más evidente, incluso los ejemplos que se ha visto en puntos anteriores se puede deducir que, indirectamente, tienen impacto económico sobre la entidad. Pero también hay casos en que lo que los atacantes buscan es el robo de dinero de forma directa. Los casos más sonados en los últimos tiempos de robo de dinero y que mayores cantidades han conseguido de forma impune (sin evidencias) se pueden ver en las criptomonedas como el Bitcoin. Por poner algún ejemplo más variado que los robos en entidades bancarias.
Incumplimiento normativo: Muchas veces estos ataques se producen porque no se cumplen correctamente las normativas sobre seguridad. Existen normativas legales como la LOPD (Ley Organica de Protección de Datos) o normativas bancarias como PCI (El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago ) las cuales ponen las bases que las entidades han que cumplir para el tratamiento de los datos e infraestructuras pero estos ataques dejan muchas veces en evidencias “las vergüenzas”, como se diría coloquialmente, y se puede ver que no se están cumpliendo. Tal vez un órgano que revisara con mayor solidez estas normativas podría ser interesante para el grueso de los usuarios. Como ejemplo el escándalo sufrido recientemente el gobierno y su aplicación que dejaba abierto a consulta de cualquier registrado en su plataforma el perfil de los usuarios y sus causas pasadas/pendientes.

en No hay comentarios:
Etiquetas: , ,

viernes, 20 de octubre de 2017

Criptominería Web. Quien, como y porqué

Hace ya más de un mes que la noticia saltó entre los blogs y foros de seguridad, la más que conocida web de The Pirate Bay hizo una prueba de concepto incluyendo, durante 24 horas, un JavaScript mediante el cual las personas que estaban navegando por su web, sin saberlo, estaban haciendo minería de la cripto moneda Monero.

En concreto estaban usando el portal de CoinHive para poder hacer esta minería, donde solo has de incluir un pequeño código JavaScript para que se haga en diferentes momentos:
  • Al realizar una redirección.
  • Para resolver un Captcha, resulta curioso que eso no soluciona si eres un bot o no, sino que si eres un bot, pues me pagas haciendo minería y a correr.
  • Mientras estés en mi web, vas haciendo minería para mí.

Me llamó la atención el sistema, investigando un poco llegué a este repositorio donde ya se puede ver que  hace 7 años publicaron un JavaScript que hacía esta misma minería pero con BitCoin, o este otro sitio donde hace 3 años ya publicaba un desarrollador su código realizado con Node.JS poniendo a disposición de quien quiera tanto el JS para clientes como un servidor centralizado que gestiona todas las peticiones de forma ordenada.

Nada nuevo bajo el sol, el caldo de cultivo estaba ya hace muchos años, seguramente CoinHive sólo haya re-aprovechado ese código.

Pero no se usaba, o al menos nadie hablaba del tema. The Pirate Bay decía en su escrito que era una POC para ver si salia lo suficientemente rentable como para poder eliminar de su sitio la publicidad intrusiva. No se sabe si porque la POC salió negativa o, por el impacto reputacional que estaba causando sobre su ejército de usuarios, decidieron eliminar el JS del sitio pero ya sentaron precedente.

Por saciar mi curiosidad quise hacer cuentas para ver cuán rentable es este sistema pero gracias a Maxence Cornet me ahorré dar ese disgusto a usuarios despistados, como se puede ver en su post no sale rentable, las mismas visitas navegando durante el mismo tiempo en el sitio web salía perdiendo con la minería respecto a los banners. Era de preveer, ya que Howard Chung y Kent Jiang ya admitían en su paper que el sistema era ineficaz, JS para minería a través de CPU era extremadamente lento en comparación con cualquier sistema en C.

Entonces… ¿porque AdGuard nos sorprendía ayer anunciando que hay 500 millones de usuarios haciendo minería sin saberlo?
Un número brutal de usuarios haciendo minería mediante la cual, habían capitalizado su tiempo navegando en un total de 43.000$, que ya es una cifra respetable y teniendo en cuenta que esta cifra es solo en las 3 semanas desde que The Pirate Bay les dio la idea.

¿Porque? El punto importante aquí está en que estas webs son de contenido “discutible” (según que país es más o menos legal) es decir, son webs de compartición de links, sexo, descargas de películas música,... Webs que tienen problemas para lograr un sistema de anuncios que les puedan reportar ganancias suficiente por lo que para ellas sí es rentable este nuevo sistema.


Por lo que he sacado varias conclusiones de todo esto:
  1. En adelante un bloqueo de JS es casi imprescindible en todo navegador.
  2. Las páginas de contenido ilegal no son tan rentables como pensaba, o soy una ilusa y solo yo creía que esas webs tenían cierta rentabilidad.
  3. Como he podido leer hay lugares donde esta práctica de computación sin el permiso/conocimiento del usuario es ilícita y está considerada un delito ¿tenemos nosotros también normativa legal al respecto? ¿estamos ante una nueva necesidad legal?

No va a ser este ni el primer ni el único caso de computación masiva, sino tiempo al tiempo.

Otras referencias de interés:

en 1 comentario:
Etiquetas: , , ,

lunes, 9 de octubre de 2017

En las tripas de Bitcoin

Como ya he comentado en algún post anterior estoy trabajando en comprender al detalle que es blockchain y cómo funciona.
Por encima el concepto es sencillo pero cuando entras en detalle todo se hace más completo.
Prometo un artículo ( o puede que varios) sobre cómo funciona realmente esta tecnología que, según aventuran algunos, acabará siendo la moneda mundial pero por el momento quiero dejaros dos documentos de Princeton donde cuentan desde lo más general hasta un gran nivel de detalle todo sobre Bitcoin, el padre de todas las monedas criptográficas y de la mano de quien nació el concepto de Blockchain, para mi juicio el verdadero éxito.
Armaros de curiosidad y paciencia. Disfrutadlo.


en No hay comentarios:
Etiquetas: , ,

jueves, 28 de septiembre de 2017

Edge Computing, qué es y porqué me importa.

Las tecnologías son como un péndulo. Las modas que desaparecen años después resurgen con algún nuevo matiz pero el mismo fondo.
Cloud no es nada más que el producto de eso mismo, la eterna lucha entre la centralización o descentralización de recursos.
Antes cada empresa tenía sus propios CPD llenos de servidores y con todos sus recursos centralizados en ellos, con el tiempo llegó al normativa ante desastres naturales que obligaba a tener una réplica de ese CPD a varios kilómetros y replicándose en tiempo real. Justo estaba empezando a emerger tecnologías como VMWare ESX (que vieja soy…) las cuales daban respuesta a estas necesidades, el CPD remoto ya podía ser de la mitad del tamaño y soportaba lo mismo o más que el original.
Luego alguien se dió cuenta que no todas las empresas podían tener esa infraestructura con su propio CPD, sus facturas de luz, su mantenimiento, su gestión y todo lo que conllevaba tener eso operativo cada día y seguro. Entonces llegó la nueva moda, el cloud.
Las empresas podían disfrutar de tener su propia infraestructura con garantías, replicada y, con muchas cosas, autogestionadas. Los costes bajaban en picado y las oportunidades eran infinitas. La cumbre de la centralización había llegado. Millones de empresas con todos sus recursos en CPDs inmensos con tecnología punta a su servicio a un precio muy competitivo.
Pero a la par nacían nuevos rumbos de mercado que chocaban con ello frontalmente. IoT, es el concepto mismo de descentralización (y blockchain, pero de eso hablaremos otro día) millones de dispositivos conectados por todo el mundo. Unos incluso en movimiento. Gestionar todo esto desde infraestructuras como la nube podrían suponer muchos problemas para las empresas:
  • Problemas de costos: Tener un número de “cosas” medianamente grande suponía ancho de banda (gasto) y procesado (gasto) en tu nube.
  • Problemas de seguridad: No vamos a entrar en la seguridad del dispositivo y demás, solo en el canal. Cantidades ingentes de información de valor para tu empresa corriendo por la red hasta tu nube. Dependiendo qué información fuera eso al crimen organizado se lo estábamos poniendo en bandeja.
  • Problemas de protección de datos: Muchos de esos datos que se estaban almacenando no cumplian todas las normativas de todos los países donde se pudiera vender el producto.
Por suerte IoT está en pleno crecimiento, es lo que se trabajará y estudiará los próximos años por lo que había margen para poder solucionar y mejorar los esquemas para su gestión.
Entonces ha surgido una nueva moda más, agregar una tercera capa entre esos dispositivos y la nube donde poder recolectar y tratar todos esos datos. A eso se le dió el nombre de Fog/Edge computing.


¿Que es el Fog/Edge computing?

Existe un documento muy trabajado de la SoftNet 2016 donde se habló de los términos Fog Computing, Edge Computing y Cloudlet. Durante días estuve leyendo papers y documentos sobre cuál es la mejor definición de Fog y Edge y cuál era la diferencia entre ambos conceptos.
En la diapositiva 19, por fin pude respirar tranquila:
Correcto, no existe una definición consensuada de cada uno de los términos por lo que es muy difícil poder esclarecer las diferencias entre ambos.
Podríamos decir que Fog nació en concreto para IoT y que Edge cubría más campos y es más dependiente de la conexión (si es Wifi o LTE) pero también es muy inexacto. En mi opinión lo voy a llamar Edge, que es como están llamando las principales casas a sus soluciones, y seguimos adelante.

El término Edge lo que defiende es una capa intermedia entre la nube y los dispositivos. IBM muestra en su blog un diagrama que es muy ilustrativo:
Los cuadros azules inferiores serían los Sensores/Actuadores, se puede ver como en la parte más local, sin que haya salido aún a la red, existen tantos servidores Edge como se puedan necesitar.

Puedes agruparlos como quieras:
  • Por número de sensores máximos que quieras que soporten.
  • Por funcionalidad de los diferentes sensores.
  • Por la potencia necesaria en el Edge para tratar la información antes de salir. Por ejemplo, que necesitemos algo de inteligencia para seleccionar qué información queremos mandar luego a la nube.
  • Por localización. Por ejemplo, un Edge para cada ciudad o pueblo.
Los casos puede ser infinitos, habría que ver las necesidades de cada empresa para pensarse como distribuir los Edge, pero como se puede ver en el esquema las posibilidades son infinitas.
Una vez tenemos la infraestructura definida la funcionalidad de los Edge también queda a criterio de las necesidades, se puede:
  • Depurar la información: Posiblemente no necesites toda la que tus dispositivos generan, aquí eliminas la no necesaria.
  • Ofuscar/Cifrar/Tokenizar información: Si hay una capa más segura es mejor subirlo a ese nivel pero dependendiendo de la criticidad en esta capa ya se podría agregar un primer nivel de seguridad en el dato.
  • Guardar temporalmente: Si es muy importante que esa información llegue a tu nube, puedes preparar tus Edge para que guarden esa información en caso de que existan problemas con la red.
  • Empaquetar información: Puede que prefieras tener la red libre durante todo el día y la información llegue en una única entrega por la noche, cuando nadie está usando la red. No tendrás información en tiempo real, pero hay negocios que no lo necesitan.
  • Implementar seguridad en el canal: Puede que tu pequeño sensor no tenga capacidad de establecer una conexión cifrada hasta la nube, podemos poner esa seguridad a este nivel.
Los límites están en las necesidades de cada negocio, puede meter la inteligencia que necesites en tu Edge.

Ventajas

A estas alturas ya tenemos una idea de que es el Edge y para que sirve, por lo que es más sencillo poder ver las ventajas que aporta [http://elijah.cs.cmu.edu/DOCS/satya-edge2016.pdf]:
  • Reducción de la latencia: Las “cosas” están más cerca de su Edge que de la nube por lo que la información fluirá de forma más rápida.
  • Escalabilidad: Filtraremos y trataremos los datos que subimos a la nube por lo que el flujo de datos será menor reduciendo costes y volumen de carga.
  • Mejora de la privacidad: Tendremos un mayor control de los datos, donde viajan y cómo. Ya no son nuestros pequeños dispositivos generando tráfico por la red sino que hasta que no son tratados no viajarán.
  • Control de errores por desconexión: Si la red, tanto por el lado de la nube como por el nuestro, tiene caídas podemos guardar los datos temporalmente para no perderlos.
  • Seguridad. Podemos mejorar la seguridad en nuestras conexiones, en la cantidad de datos (a menos volumen de datos menor volumen que defender), en la calidad del dato.
Como veis Edge tiene un largo recorrido, los principales distribuidores cloud están trabajando duro por poder ofrecer soluciones de calidad adaptados a sus plataformas.

Pese a que aún esta solución esta en definición el futuro es IoT y creo que el Edge es una muy buena medida para poder controlar los enormes volúmenes de información que nuestras pequeñas cosas generarán.

Iremos profundizando sobre Edge e IoT próximamente, espero que con este artículo s haya dado unas pinceladas para entender qué es y porque va a ser tan importante.
Anexos
www.openfogconsortium.org  
en No hay comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)