Seguridad en la nube usando encriptación en Ubuntu (Parte I)

Con esta moda de tener todo en la nube, a veces no nos damos cuenta de que los datos están disponibles no sólo para nosotros, sino también para cualquiera que pueda acceder al servidor, empezando por los propios trabajadores de la empresa en la que tenemos ubicada la información, hasta cualquier avezado usuario, que es capaz de poner en jaque al más pintado.

Todo esto, viene a colación, de una serie de noticias aparecida recientemente que hablaban de la seguridad del servicio de Dropbox. Por ejemplo en FayerWayer mencianan que según dice Dropbox «podemos revelar a entidades fuera de Dropbox archivos que están guardados en tu Dropbox e información sobre ti que recolectemos cuando tengamos una buena razón para creer que esa revelación de datos es razonablemente necesaria».

Hablan también, en la misma noticia de FayerWayer, sobre que Dropbox utiliza la deduplicación de datos, cosa que a mi tampoco es que me importe mucho, porque estoy usando la cuenta gratuita. Pero si tu estás pagando una cantidad por mantener los datos en tu cuenta, ¿porque tiene que ser un enlace a otra cuenta, y no estar la información realmente en tu cuenta?

La verdad, es que es un tema, que va desde lo apasionante hasta lo inquietante, porque realmente la información está disponible para cualquiera, y tal y como se están poniendo las cosas, cualquier día entran en tu cuenta de Dropbox, a ver si tienes una película, un libro o música.

Lo mismo si tienes datos confidenciales, información del trabajo o fotografías personales. No creo que nadie tenga porque revisar tu cuenta para ver si tienes algo ilegal. Creo que la cosa funciona más bien al revés, pero, recordar que con la ley Sinde, no es un juez el que da permiso para cerrar una página, sino un comité, así que ojito.

Llegados a este punto, y ahora que te he metido el miedo en el cuerpo (tampoco era mi intención, simplemente quería ponerte sobre aviso), ¿Qué podemos hacer para estar más seguros con nuestras cuentas?

El otro día, pensando en este tema, caí en la cuenta a raíz de buscar una nueva actualización de Cryptkeeper para ver si lo habían adaptado a los Indicadores, porque Cryptkeeper, aparecía en el área de notificación y esto ha desaparecido con Natty (aunque se puede modificar para que aparezca), pero como yo soy como soy, no me gusta utilizar este tipo de trucos, puesto que tarde o temprano terminará por desaparecer, y es como intentar que un ahorcado resista unos segundos más. Pero, para qué si finalmente va a morir.

Pero el concepto va por ahí se trata de crear una carpeta encriptada en Dropbox y montarla en el equipo en el que vayas a trabajar.

Encriptar en Dropbox

EncFS es un sistema de cifrado de archivos basado en FUSE que encripta los archivos de forma transparente. Se utiliza un directorio arbitrario para almacenar los archivos encriptados. Este directorio lo podemos poner donde queramos, por ejemplo en nuestra carpeta de Dropbox. Como es un sistema, basado en archivos, los cambios en los archivos descifrados, cuando tenemos la carpeta montada, se cifran de forma inmediata en la carpeta encriptada.

Primero a mano…

Vista la idea, sencilla, pero brillante, vamos a realizar un primer avance en nuestro objetivo, que consistirá en crear una carpeta encriptada en Dropbox y sincronizarla, para comprobar su correcto funcionamiento, no sea que vayamos a guardar la declaración de la renta, y luego no podamos recuperarla.

Lo primero instalar la aplicación en cuestión, como se encuentra en los repositorios, simplemente tenemos que hacer clic en encfs o desde el terminal:


sudo apt-get install encfs

Pasos preliminares

Lo primero crear las carpetas, tanto la que contiene los archivos encriptados como la que está desencriptada. Una en Dropbox y la otra en tu equipo (si lo haces al revés la cosa no tiene mucho sentido, claro):


mkdir ~/Dropbox/carpeta_encriptada
mkdir ~/Documents/carpeta_sin_encriptar

Una vez creadas ambas carpetas, hay que hacer el proceso de encriptación:


encfs ~/Dropbox/carpeta_encriptada/ ~/Documents/carpeta_sin_encriptar/

Te dad dos opciones de configuración de la encriptación, yo elegí el modo preconfigurado, para no entrar en más detalle. A continuación te pide la contraseña dos veces, y ya lo tienes:

0055_atareao@zorita: -home-atareao-Documents

En la siguiente imagen, he puesto en la parte de la izquierda la carpeta de Dropbox y en la parte de la derecha la carpeta sin encriptar. Conforme pegas archivos en la carpeta de la derecha se actualizan encriptados en la carpeta de la izquierda, la de Dropbox, con lo que trabajas con total seguridad o casi…

0056_carpeta_sin_encriptar

Y o casi, va porque es importante, ya que nos ponemos con el tema de seguridad, ponerle una contraseña realmente segura, no el típico «1234», que en un periquete está descifrada.

Una vez has terminado con el trabajo, toca desmontar la carpeta, para ello:


fusermount -u ~/Documents/carpeta_sin_encriptar/

Que quieres trabajar de nuevo con ella, pues la operación es bien sencilla, solo tienes ejecutar el comando que hemos empleado anteriormente para montar, es decir:


encfs ~/Dropbox/carpeta_encriptada/ ~/Documents/carpeta_sin_encriptar/

Te pide de nuevo la contraseña y a trabajar otra vez

Avanzando…

Pero como hemos indicado antes, si queremos máxima seguridad, es realmente importante poner contraseñas prácticamente indescifrables, por ello es interesante contraseñas de mucha longitud, y donde además introducimos letras, números, mayúsculas, minúsculas, caracteres especiales, etc. Vamos lo normal. Con esto tendríamos una cuenta segura hoy (a la velocidad que avanzan los procesadores, lo que es seguro hoy no tiene porque serlo mañana, lo que hoy tardaría 40.000 años, mañana pueden ser un par de horitas)

Claro que llegados a este punto, si cada vez que utilizamos Dropbox tenemos que montar la unidad, introducir esa contraseña prácticamente imposible de descifrar y por ende de recordar, este método pierde su gracia, por que lo que está claro es que no vas a dejar de utilizar Dropbox, con lo cómodo que es.

Automontado de unidades encriptadas

Lo suyo es que estas unidades se automonten cuando arrancas el ordenador y se desmonten cuando se apaga. Vaya, esta es la cosa, pero esto lo dejaremos para dentro de unos días…
Más información | terminus.homelinux.com, FayerWayer, EncFS

6 comentarios en “Seguridad en la nube usando encriptación en Ubuntu (Parte I)

  1. Muy interesante pero como podemos utilizar un método para encriptar multiplataforma, cuando utilizamos carpetas compartidas en dropbox y en múltiplos sistemas operativos, sin duda es un problema que tendría fácil solución si dropbox implementara esta opción en su sistema.

  2. Estimado Atareao

    He seguido el tutorial a pi{e e la letra y anda muy bien en Ubuntu 11.04. Solo decir que quizas hay un error de tipeo cuando dices:

    mkdir ~/Dropbox/carpeta_encriptadamkdir ~/carpeta_sin_encriptar

    y luego dices
    encfs ~/Dropbox/carpeta_encriptada/ ~/Documents/carpeta_sin_encriptar/

    (o pones ~/Documents/carpeta_sin_encriptar/ o pones ~/carpeta_sin_encriptar/, de lo contrario, da errorMagnifica ayuda agradecido

  3. Atareao,

    Muchísimas gracias por las 3 entradas acerca de seguridad en la nube. Me han venido de perlas para poder cifrar Dropbox y sincronizarlo correctamente con el resto de mis ordenadores.
    Lo he hecho todo por la terminal usando encfs y gnome-encfs, y no he tenido ningún problema.
    Acabo de descubrir tu web y va derecha a mis favoritos. Gracias por compartir.

    Saludos,

      1. Hola Atareao,

        Vi la aplicación al leer la tercera entrada y la instalé por curiosidad. Me pareció muy cómoda, sin embargo, ya había creado mi carpeta cifrada y configurado el auto montaje al arrancar la sesión siguiendo las dos primeras entradas de seguridad en la nube, por lo que el breve uso que le di a la aplicación fue por echarle un vistazo.

        Por cierto, tengo en todos mis ordenadores instalada la aplicación de «My-Weather-Indicator» y funciona estupendamente bajo Ubuntu 12.04 con Unity.

        Muchas gracias por tu trabajo y por compartir para toda la comunidad.

        Un saludo,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *