Todas las entradas de: lavigi

Declaración de privacidad del SP2 de Windows XP

O sea, a lo que te adhieres cuando haces una actualización de, por ejemplo, un driver indicando que quieres bajártelo de la página de Microsoft.


(clica en la imagen para verla mejor)

Perlas:

«Microsoft puede revelar información personal si así lo requiere la ley o en la creencia de buena fe de que dicha acción es necesaria para: (a) someterse a requisitos legales o cumplir un proceso legal en el que se vea relacionado Microsoft o uno de sus sitios Web, (b) proteger y defender los derechos o la propiedad de Microsoft y su familia de sitios Web, o (c) actuar en circunstancias urgentes para proteger la seguridad personal de los empleados de Microsoft, los usuarios de los productos o servicios de Microsoft o del público. «

==> El punto «c» es como que un poquito amplio, ¿no?

«La información estándar del equipo suele incluir información del tipo: dirección IP, versión del sistema operativo, versión del explorador, Id. de hardware que indica el fabricante, el nombre y la versión del dispositivo, así como la configuración regional y de idioma. «

«Microsoft se compromete a proteger la seguridad de su información. Empleamos diversos procedimientos y tecnologías de seguridad para proteger su información contra la revelación, uso o acceso no autorizados. Por ejemplo, almacenamos la información que nos proporciona en servidores de acceso limitado ubicados en instalaciones controladas.»

==> Entonces, ¿tengo que confiar en que Microsoft sabrá «proteger» mis datos de accesos no autorizados? Ufff.

Sobre la activación del SP:

«Durante la activación de la clave del producto del Service Pack 2 de Windows XP en forma de Id. de producto, más la propia clave del producto, se envía información a Microsoft junto con el hash del hardware (número no único generado a partir de la configuración del hardware del equipo). Este has no representa información personal alguna ni nada sobre el software. Se basa en el algoritmo has MD5 y está formado por una combinación de valores de este algoritmo de diversos componentes del equipo. Este has no se puede utilizar para determinar la marca ni el modelo del equipo, como tampoco se puede calcular regresivamente para determinar la información sin formato del equipo.»

==> OK, el hash del hardware, si en verdad es una función hash, no ofrece información «concreta» sobre la marca y modelo de mi PC (porque a una hash no se le puede «dar marcha atrás»), pero… según qué cosas usen para calcularlo (que no lo dicen) es prácticamente un identificador único de MI máquina. Si alguien sabe más al respecto de esa posible unicidad, por favor, avisadme, ¡porque me interesa!

Sobre las Actualizaciones Automáticas:

«La característica Actualizaciones automáticas recopila información general del sistema de su equipo en cada visita, de forma que recibe las actualizaciones que se adecuan mejor a su equipo. Esta información también puede incluir un identificador único global (GUID). El GUID no contiene información que se pueda usar para identificarle. «

==> Entonces, ¿qué es este GUID?

Ahora que me ha dado por leerme todas estas cosas tengo que pensar más. ¡Huy, qué cansado! <== (y si lo digo yo, pues qué dirá mi vecino....)

Política de privacidad de Google

Prometido es deuda. Esta es la política de privacidad de Google.

1. Venden tu información a terceros (agencias de publicidad…) pero solo de manera agregada, así que «según» no se puede inferir nada inherente a tu persona mirando a toda esa colección de agregados (me gustaría ver la fórmula matemática que utilizan para demostrar que esto es cierto – que seguro la pueden proporcionar, ¡menudo el número de doctorandos y doctores en Google!).

2. Lo copio literal: «Google almacena las preferencias del usuario en cookies y rastrea las tendencias y los patrones de búsqueda de los usuarios. Google no revelará sus cookies a terceros, excepto si lo requiere un proceso legal válido como un permiso de búsqueda, una citación, un estatuto (¿de autonomía? esto lo ha puesto la vigilanta, claro) o una orden judicial.»

Lo que está claro, es que hagan lo que hagan con nuestros datos, quien utiliza Google lo hace consintiendo a esta parrafada. No pisotean «nuestros derechos», si un caso usan bien la ingeniería social (nadie se lee las licencias cuando instala cosas, o condiciones de uso cuando las usa) para obtener nuestro consentimiento.

Google sabe lo que buscas… ¿te mandará adwords por email?

Una imagen vale más que cien palabras, incluso de mi blog 🙂


(clica sobre la imagen para verlo mejor)

Pues eso. No me había pasado antes. Estaba conectada al gmail, me dio por abrir google para hacer una búsqueda… y ahí apareció, en la parte superior centro-derecha (¡ostras! ¡como el Aznar!) de la ventana del buscador, mi identidad gmail-iana.

Me voy a leer las terms & conditions del uso de gmail… porque esto no me parece bien.

Y a propósito… quizás sea hora de pasarse al buscador Clusty.

Skype, prohibido en los centros de investigación franceses

Ya lo decían recientemente en kriptópolis, que Skype, pese a ser más seguro que una llamada telefónica normal, lo es menos que usar el VoIP a través de una VPN (red privada virtual). Pero esto no se puede saber, porque, porque… Skype utiliza un protocolo propietario (o sea, privado) y a adivinar qué hace en realidad («no se puede mirar», ya se sabe: copyright, patentado, ¡ay que me lo copian!, lo habitual).

Pues los franceses lo acaban de prohibir en sus centros de investigación nacionales para protegerse de espionaje o accesos no deseados a través de este medio. ¡Imagínate si un día en e-bay (flamante propietario de Skype) un día aparece en subasta un reactor nuclear o cacharrito similar galo! 🙂

¿Usas Skype? Mejor pásate a algo libre (y por lo tanto, susceptible de mirarle las tripas para ver si va bien o si tiene fallos) como OpenWengo.

The Blue Nowhere – otra razón más por la que la privacidad de datos IMPORTA

Bueno, pues entre página y página de apuntes he encontrado tiempo para leerme esta novela de Jeffery Deaver (autor del también best-seller «El coleccionista de huesos»). Es una novelita de asesinos y detectives con hackers por el medio. Por desgracia por lo que leí, la imaginación se la metieron a la parte dramática de la historia, pero a la parte técnica/friki/hacker no (nada en contra de los hackers, pero sí en contra de que sistemas clave para el bienestar público estén tan «gruyereados». Y nuestros PCs con Micro$oft, pues también).

Hay un hacker bueno (que ayuda a los polis porque está en la cárcel y el pobre está desesperao por salir) y un hacker malo (que se volvió locuelo de pequeño, tan inteligente, tan rico, y tanto que le dieron «por saco» sus padres, qué pena me da) que utiliza una mezcla de ingeniería social y brillantez a la hora de crear código y crackear sistemas para averiguar lo suficiente sobre sus víctimas para matarlas (si no, no serían sus víctimas, claro).

Pero las cosas que hace este tío cuando se encuentra un puerto abierto son alucinantes. Puede modificar la dosis de medicamento que te están pinchando en el hospital. Puede hacer que se vaya a freir espárragos el sistema de control aéreo de tu ciudad justo cuando tienes que pillar un avión. Y puede leerte el Messenger y saber que has quedado con «Lucy» (por decir algo) a las 7 en el McDonalds, plantarse allá y clavarte un cuchillo entre las costillas. Todo todito aprovechando puertas que tú, ignorante luser, le has dejado abiertas.

Bueno, pues si yo se las he dejado abiertas, pos bueno, pos fale, pos si me mata me aguanto, pero si las puertas se las ha abierto Barroso y sus acólitos de la Comisión……… reteniendo mis datos y después no protegiéndolos bien… se van a ir un poquito a la …

A ver si puedo dormir esta noche 🙂

Renewed rejection of data retention by European institutions

Directito desde la newsletter de EDRI.

De momento lo pongo tal como lo he recibido. Al rato lo resumo, pero si alguien tiene tiempo…

On 12 October the Council of ministers of Justice and Home Affairs (JHA
Council) will debate about data retention once again, both about the framework decision and about the directive proposal from the European Commission. In response to the final launch of the Commission proposal on 21 September, the UK Presidency of the EU announced it would wait for 2 months for the Commission and Parliament to agree with each other. Otherwise, it would use the last official JHA Council of 1 December 2005 to table the framework decision as an A-item (a decision item). In the last version of the Council proposal, dating from 3 October 2005, this position is described as: «The Presidency is strongly committed to reaching agreement on the substance of the proposal at the October 2005 JHA Council. The Presidency also holds the view that serious consideration will need to be given to the proposal for a Directive on data retention, which the Commission adopted on 21 September 2005.»

The European Parliament had a second vote, on the proposed JHA framework decision on 27 September 2005. Similar to the massive majority with which the EP adopted the Alvaro report against data retention on 7 June 2005, the Parliament rejected the framework decision almost unanimously. A day before this important vote, the European Data Protection Supervisor (EDPS), Peter Hustinx presented his very critical opinion of the European Commission proposal.

Though he welcomed the proposal in principal as a more moderate and legally more decent way to approach the issue because it involves co-decision, the need remains unproved, in spite of the examples provided in the British paper. Referring to case law from the European Court of Human Rights, «the necessity and the proportionality of the obligation to retain data – in its full extent – have to be demonstrated.» Hustinx concludes «more safeguards are needed. A simple reference to the existing
legal framework on data protection (in particular, the directives 95/46/EC and 2002/58/EC) is not sufficient.»

But once the EP accepts the proportionality, the EDPS suggests a lot of amendments to better limit the retention periods, the number of data and the kind of cases in which access is granted. By limiting the access to _specific_ serious criminal offences, routine access for «fishing operations» or for data mining activities can be excluded. During his strong speech to the LIBE committee of the European Parliament, Hustinx also demanded attention for the danger of data-mining by intelligence services. Though the European Union cannot control the access of security or intelligence services, he said, the issue should not remain invisible. The Commission should make sure member states take the necessary steps to regulate this kind of access.

Privacy International and European Digital Rights sent a long letter to the members of the European Parliament on 26 September, the day before the vote, urging them to keep all the earlier objections in mind that systematic data retention is very invasive, illegal, illusory and illegitimate. In the letter the Commission proposal is analysed in detail and compared with the draft JHA framework decision.

PI and EDRI conclude: «(Of course) the retention of communications traffic data may be of use in some investigations. This is true of any invasive collection and retention of any form of personal information, whether fingerprints, DNA, medical records, financial records, religious information, travel details, sexual preferences, etc. All of this information could be kept indefinitely to aid the police in investigations, and the data would likely be of some assistance. Therefore the European Parliament now faces a crucial decision. Is this the type of society we would like to live in? A society where all our actions are recorded, all of our interactions may be mapped, treating the use of communications infrastructures as criminal activity; just in case that it may be of use at some point in the future by countless agencies in innumerable countries around the world with minimal oversight and even weaker safeguards.»

The expected opinion of the Article 29 Working Party of data protection authorities on the Commission proposal has not been published yet. The DPAs started to work on this opinion at their annual conference in Montreux, but have found it difficult to find agreement. In an attempt to support the Working Party to reject data retention once more, PI and EDRI have sent another long analysis of the proposals to them as well. This second, not public briefing, analyses all the examples provided for the
need and usefulness and comments on the legal landscape. Commenting on the demand of the EDPS to exclude any fishing operations, PI and EDRI say they are not optimistic on the likelihood of such regulations. «We are concerned that the policy of data retention is being sought as a harmonising measure even while the access to this data is being subject to national law and vague international rules of co-operation.»

Most recent version of the Council framework decision (03.10.2005)
http://www.statewatch.org/news/2005/oct/council-dataret-3-oct-05.pdf

EP rejects initiative on data retention (27.09.2005)
http://www.europarl.eu.int/news/expert/infopress_page/019-669-270-9-39-902-20050921IPR00560-27-09-2005-2005–true/default_en.htm

PI and EDRI letter to the European Parliament against data retention
(26.09.2005)
http://www.edri.org/docs/retentionletterformeps.pdf

Opinion Peter Hustinx (26.90.2005)
http://www.edps.eu.int/legislation/Opinions_A/05-09-26_Opinion_data_retention_EN.pdf