Microsiervos | Seguridad

¿Qué es SITEL? Explicaciones sobre el sistema español para interceptar comunicaciones telefónicas

Sun, 31 Jan 2010 12:13:29 +0100

SITEL es una herramienta que sirve para interceptar las llamadas telefónicas fijas y móviles, SMS y navegación por Internet. Está en manos del Ministerio del Interior español y a él pueden acceder los cuerpos y fuerzas de seguridad del Estado y el CNI, lo cual se hace en colaboración con todas las operadoras de telefonía. Lo que rodea a este sistema –que lleva unos seis años en funcionamiento– siempre ha sido poco claro, pero toda la información que se ha podido recopilar en este tiempo permite hacerse una idea de su capacidad. El otro día en La rosa de los vientos, de Onda Cero, el experto en periodismo de investigación y espionaje Fernando Rueda explicó en un pequeño informe tan esperado como aclaratorio las características de SITEL. Aquí se puede oír ese interesante fragmento procedente de la sección Materia Reservada del programa, extraído de su edición #469 (24 de enero de 2010) desde la página Rosa Vientos Podcast que los recopila cada semana. [MP3, 13 min.] [Los fans del programa pueden suscribirse también al podcast en MP3 en iTunes Store: RosaVientosPodcast.com].

Entre algunas de las cosas que menciona Fernando Rueda, así como otras que se han publicado en diversos medios de comunicación y sitios de Internet…

El sistema puede grabar llamadas de voz completas de fijos y móviles, siempre a partir del momento en que se decide interceptar las comunicaciones de una persona. En otras palabras: no graban continuamente todas las conversaciones, sino sólo a partir de que comienza un seguimiento. Esto también es válido para el tráfico de datos de Internet, que puede capturarse al completo, incluyendo navegación, ficheros transferidos o voz sobre IP.
Los mensajes móviles (SMS), en cambio, están siempre disponibles, así como la información de quién-llama-a-quién. Probablemente porque son datos más fáciles de archivar por su reducido tamaño. Se pueden recuperar incluso muchos meses después de que se hayan enviado. (En este sentido, quedan siempre archivados).
Gracias a las redes de telefonía digitales, las interceptaciones son de calidad perfecta. Esto era un problema con los «pinchazos» que se realizaban antiguamente, que dependían a veces de la distancia hasta el objetivo. Con SITEL todo esto se hace desde las propias redes de las operadores de telefonía, y llega digitalmente a un servidor central en tiempo real. Incluso se pueden transmitir a agentes de campo también en tiempo real, si van equipados con portátiles, muy al estilo Jack Bauer.
Junto con la información de las comunicaciones se guarda el geoposicionamiento físico de los teléfonos y otros datos. De los teléfonos fijos se conocen los datos de los contratos de los titulares y sus direcciones (no solo del «espiado», también de sus interlocutores, sean quienes sean); en los móviles se guarda la ubicación geográfica en función de las celdas de telefonía (antenas) a las que estaba conectado el móvil, aunque no está claro si con precisión a nivel de triangulación o no.
Según la ley, las interceptaciones de estas comunicaciones deben estar autorizadas por una orden judicial.

Aparte de todo esto, los interesados en los tecnicismos y las posibilidades de este sistema encontrarán interesante echar un vistazo a:

SITEL en doce preguntas, un artículo divulgativo en forma de preguntas y respuestas, que incluye algunas sobre su uso en algunos casos en España, y sobre sistemas similares en diversos países
Sobre el Sistema Integrado de Interceptación Telefónica (SITEL), con información pública detallada que se ha hecho público en juicios por parte de peritos que describen el sistema y enlaces a diversos documentos oficiales del Ministerio del Interior
SITEL requiere un control, un artículo en la Asociación de Internautas.
SITEL en la Wikipedia; no hay gran cosa, así que tal vez alguien quiera animarse a completarlo con referencias apropiadas.

Este sistema de interceptación de las comunicaciones lo encargó el Gobierno español en el año 2001 y entró en funcionamiento en 2004.

Solitario: el curioso sistema criptográfico que cifra información con una baraja de cartas

Mon, 25 Jan 2010 12:48:50 +0100

Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas». Cuando el autor de novelas de ciencia ficción Neal Stephenson escribió hace una década una de sus más conocidas obras, el Criptonomicón, pidió ayuda a expertos de diversos campos del conocimiento. Quería que la veracidad del mundo de alta tecnología que estaba imaginando fuera lo más realista posible. Uno de los elegidos fue Bruce Schneier, uno de los más conocidos analistas en temas de seguridad y técnicas criptográficas. Lo que surgió de esa colaboración enseña unas cuantas lecciones sobre algunos aspectos de la criptología, ese interesante campo medio de la matemática medio de la la informática: los códigos secretos y cómo transmitir información de forma segura de un lugar a otro. Stephenson necesitaba una forma en que sus personajes se comunicaran de forma secreta, sin que pudiera ser detectada, aunque fuera un tanto rústica. El ingenioso invento creado a medida de Schneier para la novela resultó por tanto ser más bien de baja tecnología: un sistema de cifrado que empleaba una simple baraja de cartas, al que llamó Solitario. La forma en que funciona Solitario (denominado Pontifex en la novela) es bastante básica aunque tediosa. Se basa en la idea de que una baraja francesa (de póquer) con sus 54 cartas –incluyendo los dos comodines, que han de ser distintos– puede ordenarse de millones de formas diferentes. En concreto existen 2,3 × 10⁷¹ formas de ordenar todas las cartas. Cada una de esas ordenaciones puede interpretarse como una clave, con la que cifrar textos compuestos por 26 letras diferentes (ignorando los espacios, por simplificar). En el cifrado o descifrado del mensaje, cada letra del original se «mezcla» mediante sumas y restas, según ciertas reglas, con una de las letras de la clave. Repitiendo los mismos pasos una y otra vez el resultado es un texto aparentemente ininteligible. La persona que reciba el mensaje puede, utilizando una baraja ordenada de forma idéntica, aplicar sobre ese mensaje cifrado la clave para recuperar el texto original, descifrándolo. En la novela, el personaje de Enoch Root describe cómo funciona Pontifex a Randy Waterhouse, otro de los protagonistas, de modo que entre ambos pueden intercambiar mensajes una vez consiguen dos barajas ordenadas del mismo modo. El principal problema de este tipo de criptosistemas suele ser la debilidad de la clave, que es la misma para los dos interlocutores y que podría ser interceptada por un tercero. Pero, ¿a quién le podría parecer que en una baraja de cartas desordenadas que va en la maleta podría ir guardada una clave de alto secreto? Como método alternativo, si ambos interlocutores están lejos y no pueden hacer el intercambio de forma segura en persona, se sugiere utilizar los juegos como el bridge que a veces se publican en los periódicos, acordando de antemano qué periódico y de qué día observar, así como las reglas sobre cómo ordenar las barajas con esa información. Todo lo que rodea a este criptosistema Solitario enseña algunas cosas interesantes sobre criptografía, que podrían resumirse en:

La «seguridad mediante oscuridad» no funciona: El sistema ideado por Schneier es matemáticamente seguro: se ha calculado que equivale más o menos a una clave de 236 bits. El hecho de que Solitario sea público y notorio y de que la novela haya alcanzado popularidad no le resta validez ni seguridad. El único punto crítico es que las claves (las barajas) se puedan intercambiar de antemano con seguridad. Si eso se hace correctamente, y si luego se utiliza una contraseña (frase) suficientemente segura, no hay problema aunque el «enemigo» conozca el sistema que se está usando. Idealmente basta una contraseña de 64 letras.
Un criptosistema es tan seguro como lo son sus claves. Es importante generar la clave correctamente e intercambiarla con el interlocutor de forma segura. De poco sirve generarla de forma correcta pero luego enviarla por correo electrónico o por teléfono, si el correo o el teléfono pueden ser interceptados.
Utilizar objetos comunes sirve para despistar al enemigo. Si se oculta una clave en una baraja dentro de una maleta, tal vez alguien sospeche de que estás utilizando un sistema como solitario; si tienes una caja fuerte llena de barajas o revistas de bridge, eso será una pista inequívoca de dónde están tus claves. Es mejor manejar las claves de la forma menos incriminatoria posible, y probablemente llevar una baraja desordenada en una maleta es una de ellas.
Nunca hay que cifrar dos mensajes con la misma clave. Esta es una regla que se aplica a muchos sistemas criptográficos básicos, sobre todos los que constan de un libro de claves y una serie de letras que se aplican para cifrar, descifrar y luego desechar. Si se reciclan las claves se está dando una valiosa pista al enemigo, que podría adivinarlas examinando las diferencias entre los textos cifrados. Esto mismo debe aplicarse a solitario, aunque sea un poco tedioso cifrar y descifrar los nuevos mensajes.
Es mucho mejor si los mensajes a cifrar son cortos. Cuanta menos información haya que manejar, menos fallos y menos datos que transmitir y que puedan ser interceptados y analizados.

Otra de las curiosas anécdotas de solitario ilustra cómo de extraña ha sido la política de los Estados Unidos respecto a los productos criptográficos en las últimas décadas. Según explicó en su día el experto Jesús Cea Avión, solitario es un sistema que potencialmente es «difícil» de descifrar, con una clave de 236 bits. Por esta razón es considerado por el gobierno estadounidense una «tecnología de doble uso» como también lo son las minas, las balas de ametralladora y algunos otros productos. ¡Pero… es una baraja de cartas! La situación al respecto es tan absurda que los programas de ordenador escritos para funcionar mediante la técnica de solitario no pueden ser exportados legalmente por estar sujetos a las leyes militares. Pero sin embargo, la libertad de expresión escrita está «por encima» legalmente, de modo que puede describirse cómo funciona el algoritmo –e incluso incluirse un listado con el código, como se hizo en la novela– en un libro impreso, y exportar ese libro fuera de los Estados Unidos. ¿Lo mejor de solitario? Que a diferencia de las claves secretas y mensajes que manejaban Mortadelo y Filemón, una vez leídos los textos basta mezclar la baraja unas cuantas veces para que no quede ni rastro de las claves que se utilizaron… sin necesidad de comérselas.

Ñam ñam qué ricas contraseñas

Fri, 22 Jan 2010 12:00:00 +0100

Dos de cada tres personas te revelan su contraseña a cambio de una chocolatina si haces una encuesta en la calle diciendo que es para un estudio. La prueba informal se llevó a cabo en las calles de Suecia y el 67 por ciento de la gente reveló su nombre, sitios de navegación habituales y contraseña al extraño entrevistador sin problemas. Por lo menos, la cosa ha mejorado: hace años el 90% revelaba su contraseña a cambio de un bolígrafo barato. [Fuente: PC för Alla vía Fayerwayer.]

¿Comunicaciones móviles seguras? Ya no tanto

Mon, 18 Jan 2010 20:49:05 +0100

Hace unas semanas un hacker rompía el cifrado de los teléfonos móviles GSM (denominado A5/1) y hace unos días unos matemáticos han consiguido romper de forma práctica el nuevo sistema de cifrado secreto de la telefonía 3G. Las redes 3G actuales funcionan con un «supuestamente» mejorado sistema que combina A5/3 y KASUMI, pero un PC puede romperlo en cuestión de un par de horas. Entre esos mátemáticos dignos de la medalla del honor de Chuck Norris está la S de RSA: Adi Shamir.

Rayos X para «desnudar» pasajeros en los aeropuertos

Tue, 29 Dec 2009 13:40:55 +0100

Tal y como está el patio, más pronto que tarde podría ser habitual encontrar en cada vez más aeropuertos cabinas similares a los actuales detectores de metales, pero que ofrecerán a los vigilantes una imagen tridimensional y de algún modo real de cómo sería la imagen en rasgos de los pasajeros desnudos. Este tipo de cabinas pueden funcionar de dos modos distintos, aunque los resultados son similares.

Por ondas milimétricas, en la que se emiten ondas de radio desde dos antenas que giran en torno a la persona. A partir de la señal de radio reflejada se obtiene una imagen 3D del sujeto. Esta tecnología ya se utiliza en una veintena de aeropuertos de EE UU.
Por Rayos X. Ya sólo el concepto acojona, aunque en este caso los Rayos X no atraviesan el cuerpo sino que se proyectan desde delante y desde detrás de la persona. Dado que la materia orgánica dispersa más fotones de los que absorbe se puede obtener una imagen bidimensional del cuerpo bastante precisa.

En ambos casos, en teoría esto permitiría detectar casi cualquier tipo de sustancia artificial: explosivos, drogas, piezas de metal y plástico, etc. Y en ambos casos el vigilante verá las imágenes desde un lugar remoto en una habitación cerrada. Al parecer la imagen mostrará borroso el rostro “y tal vez otras partes del cuerpo” – lo cual no tiene mucho sentido si se trata de una exploración completa. Como viene siendo habitual con estas prácticas, el derecho a la intimidad pasa a segundo plano con la justificación de la seguridad. Como se recoge en Underwear Bomber Renews Calls for ‘Naked Scanners’

“Si, hay alguna ligera violación de la intimidad en una exploración de cuerpo completo” afirma un representante del partido republicano [de los EE UU] “pero si así se pueden salvar miles de vidas a mí me vale.”

En La Información también hay un gráfico que explica cómo funciona este sistema.

Descifrando el GSM: buen candidato a hackeo del año

Tue, 29 Dec 2009 10:33:56 +0100

Un hacker de 26 años rompe el cifrado de los teléfonos móviles GSM. Con la colaboración de una veintena de hackers, Karsten Nohl ha publicado software y enormes tablas de claves con las que descifrar el tráfico GSM. Hace falta una antena y software especial –aunque no son imposibles de conseguir– para captar todas las señales, interceptarlas y luego descifrarlas. Las conversaciones de voz habituales de los móviles no parecen estar en peligro de forma masiva, aunque sí que podrían estarlo otro tipo de datos tales como transacciones bancarias y servicios de indentificación por móvil. Hora de que las operadoras renueven este tipo de seguridad en su red, que parece haberse quedado un tanto obsoleta.

IronKey, la llave USB que usaría Jack Bauer

Wed, 16 Dec 2009 11:04:33 +0100

Gali me pasó el enlace a la página de la memoria USB IronKey, cuyo fabricante asegura es la más segura del mundo. No sé si es la más segura o no, pero sus características son bastante impresionantes –al menos las que se entienden–, propias de películas de espías (de esas en las que cuando sale algo como esto no resulta creíble). Por supuesto, que sea físicamente resistente (y capaz de sobrevivir a un ciclo completo en la lavadora) es lo de menos. Además, y siempre según el fabricante, si se intenta forzar, romper o abrir los chips de memoria internos se destruyen; si la memoria detecta que está siendo forzada o que se encuentra en un entorno hostil o bajo algún tipo de ataque, se autodestruye, eliminando todo el contenido con un proceso de borrado que sigue la recomendación de la NSA (Agencia Nacional de Seguridad, de los EE UU) para el borrado de datos seguro (si tienes un Mac, tienes una opción parecida en el borrado de la aplicación Utilidad de Discos). Además dispone de encriptación por hardware (AES-256 bit), doble contraseña para protección del contenido, protección contra la intrusión de virus y malware, capacidad de establecer una VPN para navegación privada y segura en cualquier ordenador –si hace falta, a través de un teclado virtual propio en pantalla para evitar teclear en un ordenador en el que no se confía, evitando así técnicas como la de registrar las teclas que se pulsan. La memoria continuamente verifica su contenido para evitar alteraciones no autorizadas y, en caso de haberlas, lo restaura al modo original; también se puede gestionar remotamente vía internet para dar permisos a usuarios, revocarlos (modo empleado cesado) e, incluso, inutilizar su contenido en caso de robo o pérdida. Todo muy jackbaueriano, ciertamente.

Feliz día de la seguridad informática

Mon, 30 Nov 2009 10:50:53 +0100

En Lainformación.com nos pidieron escribir algo relativo a la celebración, hoy 30 de noviembre, del Día de la seguridad informática. Desde hace una década se procura en este día intentar acercar la complejidad del tema a la gente y concienciar a todo el mundo sobre las buenas prácticas en la informática personal, corporativa e Internet. Una buena forma de celebrarlo es hacer una copia de seguridad de todos los datos del ordenador (¿no sería horrible perderlo todo?) y mientras tanto aprovechar para cambiar las contraseñas habituales, algo que conviene hacer de vez en cuando. También es una buena oportunidad para recordar que La palabra hacker ha sido excluída del derecho penal español, tal y como nos recordó Carlos Sánchez Almeida el otro día. Al menos después de tantos años de insistir e insistir en que un hacker no es lo mismo que un cracker algo hemos avanzado.

Romper contraseñas de PGP Zip: algo interesante que hacer con «la Nube»

Tue, 03 Nov 2009 12:37:28 +0100

No se ofusque con este terror tecnológico que ha construido. La posibilidad de crackear claves de PGP es algo insignificante comparado con el poder de la Nube.

– parafraseando a Darth Vader

Esto viene a raíz de una referencia que vi pasar por Slashdot acerca de unos artículos publicados por Electric Alchemy sobre la viabilidad de usar la escalabilidad de la computación en nube para romper claves de PGP Zip, un programa que comprime a la vez que cifra con claves públicas los ficheros. Es bastante técnico, pero se puede ver el artículo completo en Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR y algunos números en Cracking Passwords in the Cloud. La reflexión podría ser la siguiente: ¿qué sucede cuando pones programas malos a hacer cosas en arquitecturas masivamente escalables? A modo de resumen: con las tarifas actuales de EC2 de Amazon, según estimaron tras algunas pruebas, se pueden romper en tiempos razonables contraseñas de 11 caracteres por unos 50.000 dólares. Para 12 caracteres haría falta invertir 1,5 millones de dólares y a partir de ahí la cosa se dispara hasta lo irrazonable. Pero ese coste se reducirá drásticamente a medida que pase el tiempo. Incluso eligiendo caracteres raros y complicando la cosa –aparte obviamente de no usar palabras de diccionario– lo razonable para garantizar que las contraseñas están seguras ante un adversario no demasiado poderoso sería usar 10 u 11 caracteres como mínimo. Nada de esto garantiza la seguridad, naturalmente, ante ataques para capturar las contraseñas más prácticos y baratos, que son también los más habituales (keyloggers, ingeniería social y similares).

Cuando una а no es una a y otras curiosidades de los alfabetos

Fri, 30 Oct 2009 12:00:00 +0100

Un problema al que se está enfrentando la internacionalización de los nombres de dominios de Internet como explican en S21Sec es evitar que se produzcan confusiones malintencionadas con los nombres de dominios. En el plan que hay para permitir codificaciones de los caracteres en alfabetos como el cirílico y otros, incluso en los dominios de país, resulta que hay letras demasiado parecidas que en realidad son distintas. Por ejemplo, а y a parecen casi iguales, pero la а (cirílica, Unicode 0430) es distinta de la a (latina, Unicode 0061). Puedes comprobarlo utilizando el buscador de texto de tu navegador sobre esta misma página: encontrará que la a es una a pero no la а porque no es una a. Un atacante malicioso podría registrar un dominio como pаypal.com que se parece a paypal.com pero en realidad es distinto, o intentarlo con otras variantes para más adelante spammear un poco e intentar robar contraseñas, por ejemplo. En la versión ACE del dominio esto es evidente, pero a simple vista, que es lo que ve la gente, apenas se distinguen. Otro caso especial que afecta a usar estos caracteres en dominios se refeire a los dominios regionales o de país. El código en cirílico para .ru (Rusia) sería .ру que se parece peligrosamente al .py de Paraguay. Por esta razón se eligió finalmente .РФ (Federación Rusa) que evita la confusión. Curiosamente ahora los rusos tienen tres dominios: .ru para Rusia, .su que proviene de la antigua Unión Soviética y el nuevo .РФ de Federación Rusa en cirílico. Este problema no es único de los dominios: también afecta a cualquier servicio donde se permite elegir un nombre de usuario registrado en codificaciones de alfabetos distintos de los del juego de caracteres ASCII tradicional.

A este paso, a la NSA se le va a ir el presupuesto en almacenamiento

Thu, 22 Oct 2009 13:40:26 +0100

La Agencia de Seguridad Nacional estadounidense (NSA), donde se espía, interceptan y guardan comunicaciones y documentos de todo el planeta en todos los formatos imaginables, podría estar preparándose para almacenar información al nivel de Yottabytes (10²⁴ Bytes) hacia el año 2015. En términos más abarcables: un Yottabyte es un billón de Terabytes, o un millón de Exabytes, que a su vez es un millón de Terabytes, el tamaño de un disco duro convencional en un equipo de sobremesa potente de hoy en día. Es decir, que la capacidad de almacenamiento digital de la NSA en unos años sería de un millón de millones de veces la de un ordenador convencional. En 2005 se calculó que la información digitalizada que existía en todo el planeta hasta entonces era de solo unos 5 exabytes. La vida completa de una persona se podría almacenar en alta resolución en unos cinco Petabytes (5 millones de Gigabytes). Antes de la llegada de la informática, la NSA tuvo grandes problemas en su ansia por interceptar información y guardarla en papel. Uno de ellos, altamente curioso, era cómo destruirla una vez era considerada inservible. Para ello tuvo que rodear sus instalaciones de grandes incineradoras con las que quemar las toneladas y toneladas diarias de documentos inútiles, y ni aun así daban abasto. Entre esos documentos se incluían copias de todos los telegramas y télex internacionales que entraban y salían del país, además de todos los que eran interceptados a nivel internacional. Luego el problema pasaron a ser las cintas magnéticas y otros soportes de la era moderna. Otro problema para la NSA, y no menor, es la factura de electricidad que requiere todo ese almacenamiento, que se ha cifrado en unos 70 millones de dólares anuales. Esta y otras historias interesantes están en Body of Screts y The Puzzle Palace. El problema ahora no es tanto la destrucción de esa información como su utilidad real una vez se ha almacenado: cómo buscar lo datos y encontrarlos en un tiempo razonable y cómo relacionar unas piezas de información con otras. Ese almacenamiento sin más ya se se demostró bastante inútil cuando se produjeron tanto los ataques del 11-S como otros a nivel internacional, sin que los datos previos de inteligencia permitieran prevenirlos o evitarlos. La fuente de estos datos es un informe del think tank MITRE Corporation, que comentó el experto en la NSA James Bamford (autor de los libros mencionados), vía Scheiner.

Hackeando sistemas de huellas dactilares con gominolas

Mon, 19 Oct 2009 14:29:50 +0100

No sabía que se podían hackear con gominolas los sistemas de autenticación biométrica de huellas dactilares, pero me parece todo un avance y un «memorable hackeo», como dicen en Security by Default. Al parecer se publicó sobre esto en 2002 bajo el contundente título de El impacto de los dedos artificiales de gominola en los sistemas de huellas dactilares.

¡Vaya semanita!

Wed, 14 Oct 2009 12:09:00 +0100

A veces uno diría que se vivía más seguro en la era no-digital, aunque fuera menos divertido:

Publican en Internet hasta 10.000 cuentas de Hotmail con sus contraseñas; luego fueron 20.000 y 30.000, de varios servicios. No está claro si las robaron por phising o más bien fue obra de algún tipo de malware que interceptó las contraseñas, pero por ahí circularon.
T-Mobile y Microsoft admiten la pérdida casi segura de los datos personales de los usuarios de teléfonos Sidekick… y no había copias de seguridad; lo último que se sabe es que ahora dicen que igual fue un sabotaje.
Suecia al completo (.se) fue borrada del mapa de Internet por error, un millón de dominios se quedaron inaccesibles durante horas porque alguien olvidó poner un punto en un script durante un mantenimiento rutinario.

y hoy

Facebook pierde los datos de las cuentas de 150.000 usuarios; que podrán recuperarse pero sólo en parte

En fin, tras estas señales inminentes de que el mundo digital está en peligro, ¡nunca es tarde para hacer una copia de seguridad de todo lo que tengas a mano!

Esto es lo que el Departamento de Seguridad Nacional de los Estados Unidos sabe sobre los viajeros

Mon, 05 Oct 2009 14:09:56 +0100

Vía Schneier llegué a What Does DHS Know About You? donde se describe detalladamente los datos que el DHS (Departament of Homeland Security) guarda de los viajeros que llegan al país y pasan por los servicios de aduanas/inmigración. La información la obtuvieron haciendo una petición oficial de esas que obliga a revelar los datos de que dispone el oganismo; el informante envió entonces esos datos de forma anónima a Philosecurity.org que es quien los ha publicado. Entre los datos almacenados por el DHS estaban:

Nombre completo y número de pasaporte
Teléfonos de casa, de la empresa, móviles y otros
Itinerario completo de los vuelos, incluyendo asientos asignados
Información sobre hoteles
Números de tarjetas de fidelización de aerolíneas y hoteles
Números de tarjetas de crédito y fechas de caducidad
Direcciones IP de Internet usadas para hacer las reservas del viaje a través de la web

Este es el tipo de información que aerolíneas y hoteles suele guardar cuando se hace una reserva con ellos, datos que probablemente borran una vez completado el viaje y si no hay reclamaciones sobre las transacciones. Desde hace tiempo se sabe que esos datos se los reenvían dichas compañías al DHS y a los servicios de aduanas e inmigración. Lo que no se sabe es durante cuánto tiempo guarda esa información el DHS o qué más hace con ella. El lema del departamento es:

Preservando nuestra Libertad, Protegiendo América

Viendo «a través de las paredes» gracias a las señales inalámbricas

Mon, 05 Oct 2009 13:38:13 +0100

Technology Review del MIT tiene un interesante artículo titulado Wireless Network Modded to See Through Walls donde se explica cómo unos investigadores de la Universidad de Utah han conseguido algo parecido a «ver a través de las paredes» midiendo la intensidad de las señales de una red inalámbrica de la habitación. Utilizaron una red inalámbrica ZigBee que usa el estándar IEEE 802.15.4, habitual en domótica y similar al Bluetooth o el Wi-Fi. La idea consiste simplemente en medir las intensidades de las señales mediante diversos sensores colocados en la pared. Cuando una persona se mueve en la habitación del otro lado, la intensidad de dichas señales varía ligeramente, y se puede reconstruir una tosca representación de lo que está sucediendo en el interior. En las pruebas consiguieron localizar objetos más o menos con un metro de precisión al otro lado de la pared. El sistema es todavía ineficiente, impreciso y muy caro, pero en el futuro podría usarse por ejemplo por servicios de emergencia para ver qué sucede al otro lado de una habitación sin tener que entrar en ella. (Vía Popular Science.)

Comienza la distribución gratuita de lectores de DNI electrónico

Thu, 01 Oct 2009 09:46:08 +0100

Desde hoy el Ministerio de Industria, a través del Plan Avanza y de entidades colaboradoras como Tractis, ha iniciado la distribución gratuita de lectores de DNI electrónico. Se puede solicitar gratis en la página de Tractis. El único pago a realizar es la cantidad de 2 euros en concepto de gastos de envío. Inicialmente se distribuirán 300.000 unidades. El lector es un periférico muy simular a un lector de tarjetas de memoria y se conecta al puerto USB. Una vez conectado al ordenador (Windows, Mac o Linux) permitirá identificarse y operar en algunas entidades y sitios web –como bancos, cajas de ahorro, o en la Agencia Tributaria– y utilizar el DNI electrónico –si se dispone de él, es aquel que lleva incorporado un pequeño chip en la parte izquierda– como firma digital. La firma digital tiene igual validez que la firma utilizada en el MundoReal™.

Extrañamente inquietante: la base de datos de los muertos

Wed, 16 Sep 2009 10:40:22 +0100

En el siempre recomendable Programmable Web publicaron un artículo titulado An API That Can Tell If You’re Dead or Alive. Allí cuentan que una empresa ha puesto en marcha un servicio (a través de una API) que consiste en consultas sobre personas muertas. Básicamente basta introducir un número de la seguridad social, algo así como nuestro DNI: si la persona está legalmente muerta devuelve como valores el nombre de la persona y su último código postal conocido; si está no-muerta, entonces no devuelve nada. Entre las muchas e inquietantes cuestiones del asunto está el tema de la privacidad, pues aunque sólo ofrece datos sobre las personas legalmente muertas –de quien podría decirse que poco podría importarles ya eso– la forma de hacerlo me resultó cuando menos… extraña. Otra detalle que me pareció impactante es que cualquiera puede comprar o suscribirse a la base de datos completa de muertos de todo el país por unos pocos miles de dólares; el servicio mencionado en el artículo original básicamente revende esa información, que es pública. Todo esto se supone que se usa «para el bien» en sitios que requieran poder comprobar si el número identificativo de la seguridad social que está usando una persona en alguna operación legal (contratos, bancos, compras, etcétera) se corresponde con alguien ya fallecido, para evitar fraudes. Dicen que también lo usan empresas de telemárketing para comprobar que no gastan el tiempo llamando a gente ya fallecida.

Datos anónimos… o no tanto

Wed, 09 Sep 2009 08:00:00 +0100

La «anonimización» de los datos personales que se utiliza a veces con bases de datos personales para diversas finalidades se enfrenta a algunos problemas estadísticos interesantes. Uno que me pareció especialmente impactante, y eso que data de un trabajo del 2000, es sobre lo fácil o difícil que es re-identificar a personas reales a partir de datos aparentemente neutrales y «anonimizados». Una experta en ese campo demostró que el 87 por ciento de los ciudadanos estadounidenses pueden ser identificados de forma inequívoca mediante sólo tres datos: su código postal, su fecha de nacimiento y su sexo. Si lo piensas de otro modo, ¿cuántas personas en tu distrito postal puede haber nacido exactamente en la misma fecha que tú y ser también hombre o mujer como tú? Evidentemente esto puede variar de país en país según el tamaño de los códigos postales y la densidad de población, pero es un buen ejemplo. El trabajo se llama Broken Promises of Privacy y consistió en comprobar los datos pretendidamente anónimos de pacientes de un hospital con los registros públicos del censo electoral, a los que cualquier persona puede tener acceso por unos pocos dólares. A partir de ahí la autora del trabajo consiguió ese 87 por ciento de aciertos a la hora de identificar inequívocamente los nombres reales de las personas de la base de datos original. (Vía Slashdot y más sobre el tema en Ars Technica.)

Falsa seguridad con teclados de seguridad inseguros

Sat, 04 Jul 2009 23:34:36 +0100

De poco sirve instalar teclados con combinaciones de seguridad para controlar el acceso a lugares o sitios si son tan malos que las teclas se van gastando de modo que con el uso de los 10.000 posibles códigos la cosa queda reducida a 24:

Un teclado de este estilo mucho más seguro es el que describe uno de los comentaristas de la anotación Information Leakage from Keypads donde salen estas fotos en el que cada tecla tiene un display de siete segmentos para mostrar un número y en el que estos salen colocados al azar cada vez que se usa, con lo que el desgaste de las teclas es igual para todas.

Fotos del Museo Criptológico Nacional de EE.UU.

Tue, 30 Jun 2009 08:00:00 +0100

Bomba electromecánica, U.S. Navy / Foto (CC) Bewbooks

Me topé medio por casualidad con esta galería de fotos del Museo Criptológico Nacional creada por Bewbooks, fruto de una visita que hizo allí. Se trata de un museo de la NSA que está situado junto a las instalaciones principales de la agecia supersecreta, en Maryland. Lo que se ve en la foto es una bomba electromecánica, que es el nombre con que se designó a los artilugios, medio mecánicos medio eléctricos, precursores de los ordenadores modernos, que eran capaces de criptoanalizar los mensajes de la máquina enigma de cifrado de los alemanes, durante la II Guerra Mundial. Un modelo como este podía en unos 20 minutos comprobar unos 450.000 posibles combinaciones de los cuatro rotores de la máquina original para adivinar cuál era la clave.

Ataque a un cajero automático por fuerza bruta

Thu, 11 Jun 2009 18:17:18 +0100

Bruta, bruta: realmente bruta. Hay que verlo hasta el final. (Vía Geeks are Sexy, Gizmodo, etc.)

Los investigadores que hackearon una botnet

Wed, 20 May 2009 23:03:29 +0100

Una de las amenazas más actuales en la red son las botnets o redes que agrupan a bots («robots») autónomos que se ejecutan en miles de ordenadores sin que sus propietarios se percaten. Esto permite al creador de la botnet controlarlos y utilizarlos para sus propósitos, generalmente cosas muy malas, a desde algo tan simple como una pantalla de chat. Los bots normalmente se instalan a través de «gusanos», «troyanos» y otro software malicioso que infecta el ordenador. Tal y como cita Bruce Schneier unos investigadores pudieron hackear e interceptar una botnet durante varios días y aprender sobre cómo funciona mientras estaba todavía activa, algo interesante a lo que no siempre es posible tener acceso. Era una botnet llamada Torpig que recopilaba información personal y de transacciones financieras. Entre otras, durante los diez días que pudieron observarla, descubrieron que:

Los bots recopilaron 300.000 logins a distintos servicios, incluyendo 56.000 contraseñas generadas mediante diccionario y reglas simples de reemplazar unas letras por otras.
El 28 por ciento de las víctimas reutilizaban sus credenciales al ir a otros servicios web
Entre otros contenidos, los bots pudieron acceder a correos y chats que iban recopilando, con información muy personal
Vieron cómo unos 180.000 ordenadores eran infectados
La botnet recopiló unos 70 GB de datos

El trabajo completo puede leerse aquí:

Your Botnet is My Botnet: Analysis of a Botnet Takeover [PDF, 800 KB]

Cómo evitar ser timado tanto a la vieja usanza como al estilo siglo XXI

Fri, 08 May 2009 12:07:11 +0100

Encontré estos dos vídeos de The Real Hustle en Geeks are Sexy y me parecieron absolutamente brillantes. Se trata de un programa de la BBC que es algo así como «el Cazadores de Mitos de los timos callejeros». El resultado es absolutamente genial: hacer ver cómo timan a gente normal y corriente en diversas situaciones. Merece la pena verlos tranquilamente pues duran sólo unos minutillos. El inglés de los vídeos se entiende bastante bien. Usan la expresión coloquial mark para referirse al «pipiolo» o víctima del timo. A la antigua usanza: En el primer vídeo la atractiva timadora ofrece por un precio irrisorio un portátil a través de Internet. El pringao cree que es la oportunidad de su vida pero la timadora le pega el clásico cambiazo tras recibir el dinero. El tipo se marcha del lugar con una bolsa de portátil y un… pesado trozo de madera.

Ver vídeo: The Laptop Illusion Con
The Laptop Illusion Con [5 min.]

Estilo Siglo XXI: En este otro vídeo se muestra cómo funcionan los sistemas de clonación de tarjetas de crédito en cajeros automáticos. Primero se ve cómo el ladrón inserta un skimmer con cámara web incorporada en la ranura. La víctima llega, mete la tarjeta –que es copiada al instante– y teclea su número PIN secreto, que queda grabado en vídeo. Al final de ese programa hay otro engaño más elaborado todavía, en el que se utiliza la distracción para pegarle un cambiazo de tarjeta a otra mujer que está sacando dinero.

Ver vídeo: Are ATM Machines Safe to Use?
Are ATM Machines Safe to Use? [6 min.]

Según la web de The Real Hustle en los últimos tres años han emitido unos 60 programas, algunos relacionados con timos tecnológicos en menor o mayor medida, incluyendo cómo robar contraseñas mediante keyloggers. No se pueden ver en su web si estás fuera de Gran Bretaña, pero rondan por YouTube también. Con solo ver algunos de ellos me pareció el típico programa tan útil y divulgativo que debería ser enseñado a los niños en las escuelas. Lección del día: sobrevivir en la jungla urbana del siglo XXI.

Blogs interesantes sobre seguridad

Sat, 02 May 2009 11:13:33 +0100

Security by Default publicó una lista que recopila más de una decena de blogs interesantes sobre seguridad. Además de los orientados a la pura seguridad informática hay algunos acerca del hacking, la ingeniería social, entrevistas o noticias relacionadas con todos estos temas.

PIN Crackers

Sat, 25 Apr 2009 10:30:00 +0100

Los interesados en seguridad informática encontrarán interesante PIN Crackers Nab Holy Grail of Bank Card Security en Threat Level, uno de los blogs de Wired. En el artículo se describen algunas técnicas que se han detectado últimamente en la que atancantes que quieren hacerse con los números de tarjeta y los PINs han pasado de los trucos físicos como poner cámaras de vídeo sobre el teclado y lectores falsos de tarjetas a interceptar directamente los ordenadores y redes por los que circulan los datos del banco. En algunos casos utilizan malware que se instala en ordenadores de esas redes y que captura los números de los PINs encriptados para luego descifrarlos mediante criptoanálisis avanzado. Aunque esas comunicaciones están protegidas para que nadie pueda copiar los datos cifrados, en ocasiones el malware lo que hace es «robarlos» de las zonas de memoria temporal desprotegidas de los servidores. Armados con números de tarjetas y PINs descifrados, los malosos crean entonces duplicados de las tarjetas con las que simplemente retiran dinero de los cajeros.

Trucos fáciles para mejorar las contraseñas de uso cotidiano

Wed, 01 Apr 2009 18:53:14 +0100

LifeHacker publicó una recopilación de trucos de sus lectores acerca de cómo mejorar las contraseñas que se usan a diario. En cierto modo esto produce el paradójico efecto de que si los malos conocen también los trucos mal vamos, pero supongamos que como no todo el mundo usa estas técnicas irán primero a por las más simples. En plan rápido, estas serían algunas de las ideas propuestas:

No usar contraseñas obvias que todo el mundo usa como 1234, qwerty, admin, el mismo nombre que el usuario, el de la novia, mascota y cosas así
En general se recomienda no usar la misma contraseña en todos los sitios o servicios; hay quien sugiere usar la misma para los sitios poco importantes y distintas para todos los demás
Inventarse una contraseña memorizándola por los movimientos de los dedos en el teclado, sin mirar a las letras
Usar las letras y números de serie que tengan algunos aparatos que siempre tengas a mano como contraseña (el iPod, el teléfono o similar)
El truco de Bruce Schneier: hacer las contraseñas importantes tan complicadas que no se puedan ni memorizar. Apuntarlas en un papel y guardarlas en la cartera. Si pierdes la cartera te darás cuenta enseguida y podrás cambiarlas rápidamente
Convertir en contraseña una frase que te guste, usando una versión abreviada con sus iniciales. Por ejemplo «Mi primer coche era un Volkswagen del 76» = MPCEUVWD76
Quienes gestionan grupos de usuario y pretenden hacerles cambiar obligatoriamente la contraseña cada mes o algo así deberían reconsiderarlo: la gente tiende a elegirlas más «fáciles» todavía o en el formato MM/XXXX

El «cracker» de los famosos españoles

Sat, 28 Mar 2009 20:06:05 +0100

No le había prestado demasiada atención a la historia del cracker detenido ayer en Jerez de la Frontera más allá del detalle curioso de que por lo visto se dedicaba especialmente a fisgonear e las vidas digitales de personas famosas y a tocarles un poco las narices. Pero según cuenta Antonio Manfredi en El cracker detenido, donde la realidad supera la ficción, el caso es realmente de película. Para empezar, aunque al final J.M.N. terminó siendo detenido a causa de una denuncia del Ayuntamiento de Minas de Riotinto en la que se decía que una persona podía haber vulnerado varias cuentas de correo electrónico, oficiales y particulares, pertenecientes a la corporación, en realidad hay al menos 42 diligencias judiciales abiertas contra él. En un caso, una periodista vio como este individuo se hacía no sólo con los datos referentes a ella sino también con los de su hijo, un menor; en otro caso, por lo visto se habría hecho pasar por un alto cargo del PSOE y enviado correos electrónicos en su nombre que habrían estado a punto de provocar un incidente diplomático. Y es que al parecer el cracker tenía unas completísimas fichas de cada una de sus víctimas y dedicaba tiempo y tiempo a jugar con sus vidas, más que a obtener ningún tipo de beneficio económico. Prefería darles de baja en los servicios que tuvieran contratados para sus domicilios o darles de alta en otros y cosas así. No está claro, de todos modos, que tuviera una gran habilidad técnica, sino que más bien parece que se trata de un verdadero profesional de la ingeniería social. Pero con todo, lo más peculiar del caso es que por lo visto esta persona padece un serio trastorno de la personalidad que hizo que el segundo día de interrogatorios su segunda personalidad comenzara a repetir palabra por palabra las cinco horas de interrogatorio del día anterior, dejando a los agentes que lo interrogaban totalmente descolocados. Me pregunto cuanto tardarán en llamarle desde Hollywood para comprarle los derechos de su historia. (Vía el seguimiento de Antonio Delgado al otro Antonio.)

Hacker != Cracker, una diferencia que no todo el mundo conoce ni aprecia.
Los hackers originales, un grupo de apasionados programadores.
Ingeniería Social vs AWACS, un ejemplo del poder de estas técnicas.
Ingeniería social vía memorias USB, otro más.
The Art of Deception, un libro de Kevin Mitnick, uno de las personas que más ha explotado la ingeniería social.
Entrevista a Kevin Mitnick en El País, más opiniones de este hombre.

El algoritmo Blowfish en 24

Fri, 20 Mar 2009 17:54:56 +0100

Creo no desvelo ningún spoiler si cuento esto, pero aviso por si acaso… me pareció humor fino digno de ser mencionado. Resulta que en el episodio 14 de la séptima temporada de 24 uno de los personajes envía información importante utilizando un sistema de cifrado ultra-seguro. Por un momento todos se desviven intentando descifrarlo. Incluso necesitan un analista de nivel 6 para hacerlo y –como es predecible– al final superan el problema. El analista explica que la información está cifrada mediante Blowfish y lo adorna con un poco de tecno-talk antes de ponerse manos a la obra. Ahora volvamos al MundoReal™: Blowfish es un algoritmo real, diseñado por el mismísmo Bruce Schenier y aunque es un poco viejuno (1993) se considera seguro aún hoy en día, aunque se prefieren otros. La gracia del asunto es que para descifrarlo el analista explica que el diseñador del sistema de cifrado «incluyó una puerta trasera» y que él la conoce. ¡Arreglado! A partir de ahí Jack Bauer y sus fieles pueden continuar persiguiendo malosos. Desde luego es todo una forma de humor realmente retorcida, que sólo los más geeks que hayan visto la serie apreciarán: que la forma de solucionar el problema sea mediante el tipo de técnica que Bruce Schneier precisamente desveló que podría estar usando la NSA en los estándares que propone: dejar puertas traseras que sólo unos elegidos conozcan. Comparativamente, sería algo así como hacer aparecer en una serie a Bill Gates dejando ver que usa un iPod.

Agujero de seguridad en Twitter

Sat, 07 Mar 2009 12:07:02 +0100

Un impresionante agujero de seguridad en Twitter hace que se puedan publicar mensajes como si fueran de otra persona en una cuenta ajena; el problema ya se conoce hace días pero en Twitter todavía no lo han podido corregir: el método es similar a cuando se suplanta la procedencia de mensajes SMS; de hecho se utiliza esa pasarela para «colar» los mensajes como textos válidos procedentes del propietario de la cuenta. Una posible solución de momento es bloquear el acceso desde dispositivos móviles (Twitter > Settings > Devices). Por otro lado conviene no fiarse de los mensajes de otras personas que aparezcan marcados como «from txt» si la persona normalmente publica «from web» o «from twitterrific» o cualquier otra aplicación. Los hackers éticos de Security by Default hicieron una comprobación y demostración práctica del agujero en la cuenta de edans, una de las que más seguidores tiene en español, lo que le ha dado más visibilidad al problema. En su blog ya habían hablado hace semanas de otros agujeros de Twitter. En otras noticias, las cuentas de Spotify también se vieron en problemas; en Security by Default también explicaron con más detalle el problema. La versión corta es que euienes abrieron en Spotify una cuenta para oir música antes del 20 de diciembre de 2008 deberían cambiar su contraseña. Actualización: Ya han publicado una explicación completa del memorable hackeo. Una posible solución (porque no parece que se vaya a solucionar lo del spoofing de SMS en breve) es como hacen otros servicios requerir que el texto a publicar contenga una palabra a modo de contraseña que sólo conoce el propietario de la cuenta. Algunos sistemas de publicación de contenidos para blogs emplean esa técnica para permitir la publicación a partir de mensajes de correo entrantes (dado que falsificar la dirección del emisor de un envío de correo es casi trivial).

«Sistemas de identificación biométrica» en Solo ante el Peligro

Mon, 23 Feb 2009 12:00:00 +0100

Ver vídeo: «Sistemas de identificación biométrica»
«Sistemas de identificación biométrica» [5 min.]

He aquí otro vídeo con una de nuestras intervenciones del año pasado en Solo ante el peligro, el late night de Paramount Comedy presentado por Juan Solo. En esta ocasión me tocó contar algo sobre los sistemas de identificación biométrica, esos chismes que te miran las huellas, la retina u otras partes o características de tu cuerpo (también los hay de voz) para saber quién eres. Una de las historias de las que hablamos durante la charleta fue la de cómo falsificar huellas digitales para engañar a las máquinas de huellas, como hicieron nuestros apreciados Cazadores de Mitos en uno de sus programas (en YouTube: MythBusters Fingerprints Busted). Tal y com leímos por ahí engañar a algunas máquinas de reconocimiento facial tampoco parece muy complicado y algunas de los WTFs que producen estos sistemas son bastante hilarantes. Todavía nos queda otro programa emitido en la última temporada del programa, que publicaré cuando tenga un rato para digitalizar; como de costumbre aparecerá en el Canal Microsiervos en YouTube.

«¡El fin del mundo!», todavía está más o menos lejos
«La vida de los astronautas en el espacio», curiosidades de un duro trabajo.
«Seguridad y sentido común (o la falta de él)», situaciones extrañas.
«Matando Nubes», intentando domeñar el clima
Estreno de Solo ante el peligro, en Paramount Comedy

Usando la bola de cristal y el MD5 para «predecir» los números de la Loto

Sun, 22 Feb 2009 16:00:00 +0100

En S21sec hicieron un curioso experimento para predecir los números ganadores de la loto Euromillones del viernes pasado; digamos que «vieron» los números hace un mes en una bola de cristal y publicaron el checksum MD5 del fichero PDF en que se guardaban. Ese valor llamado hash, que es como un «resumen» del documento de entrada basado en una función matemática, se supone que es único para cada documento, y la probabilidad de que dos documentos distintos produzcan el mismo MD5 es muy, muy baja, aunque no nula. Tras el sorteo, publicaron el PDF donde aparece la combinación ganadora, y cuyo MD5 (un valor de 128 bits, representado como 32 dígitos hexadecimales) se corresponde dígito con dígito con el publicado el mes pasado como «predicción». Es sin duda una curiosa forma de demostrar el efecto de cómo las colisiones hash y la fuerza bruta pueden poner en riesgo algunos sistemas criptográficos y de confianza.

Cómo romper una contraseña de Windows en cinco minutos

Wed, 18 Feb 2009 16:30:58 +0100

¿Se puede crackear un password de Windows en 5 minutos?. Muchas veces, sí, como cuentan a modo de experiencia en primera persona en esta buena anotación de Un Mundo Binario. La forma de hacerlo es con Ophcrack, un crackeador de contraseñas que utiliza grandes tablas Rainbow con funciones Hash pregeneradas para no tener que usar la fuerza bruta sino una alternativa un tanto más optimizada. La historia proviene de LaptopLogic: How to Crack a Window’s Password in 5 Minutes.

Buen hackeo para conseguir información antes de lo debido

Fri, 13 Feb 2009 19:45:03 +0100

WonkaPistas adelantó información de un sondeo político del CIS un día antes de que fuera público. No es que hubiera ninguna conspiración, filtración, «piratería» ni historias raras: fue pura suerte, como posteriormente reconoció. Simplemente se fijó en que las direcciones de Internet en forma de URLs en que se publicaban seguían un patrón. La dirección del anterior estudio del CIS, el 2.781, era http://www.cis.es/cis/opencms/ES/Novedades/ Documentacion_2781.html de modo que WonkaPistas dedujo que la del siguiente sería http://www.cis.es/cis/opencms/ES/Novedades/ Documentacion_2782.html y acertó, allí estaba colgado un día antes. {Nota: ya no} Felicidades a WonkaPistas por su habilidad, que demuestra dos cosas: (1) que hacer un poco de hacking pacífico está al alcance de cualquiera y que (2) que quienes se supone que deben guardar la información delicada a estas alturas del siglo XXI siguien cometiendo fallos auténticamente de principiantes. (Vía Enrique Dans, gran un memorable título: «Para el ignorante, todo es piratería».)

Hacker != Cracker, que quede claro

Seguridad en la oficina: seis errores

Mon, 09 Feb 2009 18:08:14 +0100

Que levante la mano quien no haya vivido alguno de estos problemas de seguridad en su oficina… Los ha recopilado Segun Info traduciendo de 6 Desk Security Mistakes Employees Make Every Day (yo lo vi pasar por Cosas sencillas): Resumidos, estos son los 6 Errores de seguridad en escritorios que cometen los empleados todos los días:

Contraseñas escritas en papelitos pegados. ¡Agg! ¡Malditos Post-its!
Información delicada escrita en pizarras. ¡Agg! ¡Malditas pizarras Velleda, si es que son una tentación!
Dejar documentos sensibles sobre el escritorio. Ese Plan para Dominar el Mundo al alcance de cualquiera es mala idea.
Dejar un calendario o agenda diaria de tareas sobre el escritorio. Puede ser menos sensible, pero mucha gente apunta las contraseñas ahí.
Dejar una tarjeta de acceso olvidada. Peor idea.
Olvidar información en la impresora. ¿Quién no se ha encontrado algún contrato ahí? (Muchas veces… el original)

Contraseñas y Phising

Wed, 28 Jan 2009 08:00:00 +0100

A través de Boing Boing llegué a una curiosa reflexión de Ben Laurie (de Google) sobre la paradójica problemática de la usabilidad de las contraseñas: Do Passwords Scale? Como allí se explica, la forma en que hoy en día la gente utiliza las contraseñas de forma un tanto descuidada hace que sean un desastre en potencia porque tantos y tantos datos nuestros dependen de ellos en todas partes. (Ej. usar la misma contraseña en todas partes). Por un lado, desde el punto de vista de la usabilidad, se ha conseguido con el tiempo algo magnífico: que todo el mundo sea consciente de cómo usarlas y sea capaz de teclear un nombre de usuario y una contraseña en cualquier sitio web o aplicación. Pero por otro, esto hace que tanta y tanta gente caiga víctima del phising porque teclean su contraseña en cualquier lugar que se lo pida. A los seres humanos se nos engaña fácilmente, especialmente con una trampa visual como pueda ser una página web falsa. Su conclusión es que mientras no se invente una forma «inphisable» (¿infalsificable?) de utilizar las contraseñas, el problema no tiene una solución clara. Tal vez un cacharrito o cripto-gadget (harware o software) que no formara parte de páginas web y tuviera un protocolo seguro sobre el que fueran inútiles las técnicas de phising convencionales sería una solución. Pero mientras la cajas de las contraseñas sigan en las páginas web tal y como están ahora, la solución al problema, como afirma Lauire, no parece fácil. La recomendación tradicional de usar una contraseña diferente para cada servicio parece la menos mala de las posibles.

1st Security Blogger Summit en España, con Bruce Schneier

Thu, 22 Jan 2009 20:02:19 +0100

La gente de Panda Security nos adelantó que el experto en seguridad informática y uno de nuestros «héroes de Internet», Bruce Schneier, vendrá a España como invitado de excepción al 1st Security Blogger Summit, un evento que tendrá lugar el próximo martes, 3 de febrero en el Círculo de Bellas Artes de Madrid. Otros expertos que acudirán a la mesa redonda serán Steve Ragan, que escribe la sección de seguridad de The Tech Herald y el apasionado de la seguridad informática Andy Willingham. También estará Antonio Ortiz, conocido autor del blog de tecnología Error 500. El evento está dirigido a expertos en nuevas tecnologías, seguridad informática y especialmente a bloggers; la página web con todos los detalles se publicará en breve, pero nos han confirmado que la asistencia será gratuita, aunque lo lógico sea que haya que registrarse previamente porque las plazas serán limitadas. Yo procuraré no perderme la mesa redonda y de paso llevarme mi vetusta edición del Applied Cryptography para que reciba la firma y bendición del maestro. Los lectores habituales de la sección de seguridad de Microsiervos saben que solemos referenciar a Schneier y sus anotaciones en su blog porque siempre trata acertadamente un montón de temas interesantes; estos han sido algunos de más recientes:

Cómo crear señales falsas de «satélites GPS» inexistentes, una técnica de película
El coste de la seguridad nacional, una reflexión a tener en cuenta
Paranoia en el aire, la seguridad en aviones y aeropuertos es un tema recurrente
Congelando la RAM para vulnerar los sistemas de cifrado informático, una posibilidad inquietante
Problemas en los cables submarinos de Internet a nivel internacional, sobre posibles ataques físicos a la Red
El valor de los datos personales, gobiernos irresponsables que pierden datos, sucede más a menudo de lo debido
¿Cómo hace Bruce Schneier para recordar todas sus contraseñas?, la técnica infalible
Otro candidato a «hack» del año: el hackeo de los servidores Tor, revisando conceptos como «navegación anónima» y «navegación con privacidad»
Puertas traseras de la NSA en algoritmos matemáticos / criptográficos del NIST, al parecer incluidas por la NSA

(Usando el buscador de Microsiervos con Bruce Schneier aparecen el resto de referencias sobre él en todos estos años.) Actualización (26 de enero): He añadido la web oficial de las jornadas, 1st Security Blogger Summit.

La reina que fue juzgada por traición y sus fallidos mensajes cifrados

Tue, 20 Jan 2009 10:47:15 +0100

Me encantó ver que Historias de la Ciencia rescató esta apasionante historia acerca de Reinas, conspiraciones y cifrados, donde se cuenta el caso de María Estuardo, reina de Escocia, que fue jugazada por traición. Había sido acusada de conspirar para asesinar a su prima, la reina Isabel I de Inglaterra. La clave de todo el asunto fue que María cifraba las comunicaciones con sus cómplices conspiradores durante el juicio se llegó a un punto en el que sólo se la podría condenar si realmente se descifraban esos mensajes. Entonces un hábil criptoanalista de la época llamado Thomas Phelippes rompió el el cifrado César que habían estado usando en sus comunicaciones y consiguió la prueba definitiva para inculparla. Esta historia está narrada con todo detalle en The Codebreakers: The Comprehensive History of Secret Communications from Ancient Times to the Internet, Revised and Updated, para muchos uno de los mejores libros sobre la historia de la criptografía, donde se pone como ejemplo del primer descifrado de mensajes que tuvo consecuencias políticas relevantes. También está incluida en el estupendo The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography de Simon Singh, otra excelente obra sobre el tema, en tono más divulgativo.

La seguridad informática en las películas

Fri, 16 Jan 2009 12:00:00 +0100

Trinity hackeando con nmap en algún tipo de *nix que se usaba en Matrix

Hace tiempo que S21Sec publicó este entrañable artículo sobre la seguridad informática en los medios de entretenimiento como el cine y la televisión, donde se repasan diversas escenas desde Juegos de Guerra a The Matrix, algunas de las cuales resultaban más creíbles que otras. El artículo incluye muchos enlaces que seguir para descubrir algo más sobre lo que había detrás de aquellas escenas.

Cómo unos hackers «rompieron» la seguridad del SSL usando 200 PS3

Tue, 30 Dec 2008 19:30:53 +0100

Interesante historia sobre uno de los más comunes sistemas de seguridad web: Hackers completely break SSL using 200 PS3s. El sistema que «rompieron» es el SSL (Secure Sockets Layer, Protocolo de Capa de Conexión Segura) más comúnmente conocido como «el candado de las páginas web de Internet» (pues se usa como parte del protocolo HTTPS). Lo que usaron fue una capacidad de análisis impresionante, diversas técnicas ingeniosas y la potencia de 200 PlayStation 3, equivalentes a unos 8.000 ordenadores convencionales o unos 20.000 dólares en tiempo de procesamiento. El artículo contiene todos los detalles que son muy interesantes para los expertos informáticos en seguridad; a grandes rasgos el método requirió encontrar fallos en el algoritmo MD5, recopilar más de 30.000 autoridades de certificación de todo el mundo, generar con gran habilidad y precisión un certificado falso adecuadamente manipulado y luego crear un website en el que usarlo a modo de demostración. Tras esta demostración «con fines educativos» de cómo el ingenio y la fuerza bruta pueden «romper» hasta los sistemas aparentementes más seguros, las autoridades de certificación han cambiado sus sistemas para evitar que alguien pueda usar las mismas técnicas para el mal y también se están revocando ciertos certificados en los navegadores (Explorer y Firefox ya lo han hecho) para evitar posibles problemas. (Vía hack a day.)

Kevin Mitnick, entrevistado en El Mundo

Wed, 17 Dec 2008 12:50:12 +0100

Encuentro digital con Kevin Mitnick en ElMundo.es, breve pero con alguna perla interesante:

P: ¿Algún consejo para los adolescentes que se inician en el hacking?

R: Que no les pillen…

Seguridad débil, un ejemplo

Thu, 04 Dec 2008 17:45:38 +0100

Me encantó esta nota titulada Weak security in our daily lives que ejemplifica lo mal que se puede diseñar un sistema de seguridad y cómo romperlo en veinte minutos. Es vieja pero interesante. Al parecer en algunos coches se utiliza una cerradura «sin llave» en al que un panel numérico sirve para abrir la puerta con un código PIN de cinco dígitos. Se podría pensar que 100.000 combinaciones diferentes la puerta estaría segura a un «ataque por fuerza bruta» (ir probándolos todos) pero dos problemas debilitan este sistema sobremanera. Al parecer las teclas están marcadas como 1/2, 3/4, 5/6, 7/8 y 9/0, de modo que en realidad son solo cinco dígitos diferentes (primer problema). Y según comprobaron, si la clave es, por ejemplo 11357 resulta que tecleas un número más largo como 9113579 también se abre (segundo problema) porque el sistema parece que al teclear eso se traga las tres secuencias de cinco dígitos: 91135, 11357 y 1357. Como sólo hay 5⁵ secuencias de cinco dígitos, eso reduce las secuencias posibles a sólo 3.125. Al parecer un matemático llamado Bruijn calculó cómo podría ser una esas secuencias de longitud mínima que garantice que al teclearla vas a teclear también todas las posibles secuencias de 5 dígitos, por tanto abriendo la puerta. Comienza así…

9 9 9 9 1 1 1 1 1 3 1 1 1 1 5 1 1 1 1 7 1 1 1 1 9 1 1 1 3 3 1 1 1 3 5 1 1 1 3 7 1 1 1 3 9 1 1 1 5 3 1 1 1 5 5 1 1 1 5 7 1 1 1 5 9 1 1 1 7 3 1 1 1 7 5 1 1 1 7 7 1 1 1 7 9 1 1 1 9 3 1 1 1 9 5 1 1 1 9 7 1 1 1 9 9 1 1 3 1 3 1 1 3 1 5 1 1 3 1 7 1 1 3 1 9 1 1 3 3 3 1 1 3 3 5 1 1 3 3 7 1 1 3 3 9 1 1 3 5 3 1 1 3 5 5 1 1 3 5 7 1 1 3 5 9 1 1 3 7 3 1 1 3 7 5 1 1 3 7 7 1 1 3…

En total tiene 3.129 dígitos. Según estimó sería razonable pensar que se puede abrir coches equipados con ese tipo de cerradura con solo teclear este gigantesco número correctamente (y tirando del manillar tras cada dígito) en unos 20 minutos más o menos.

Probando cristales antibalas en 1930

Mon, 01 Dec 2008 21:11:20 +0100

[YouTube, 23 segundos, sin audio]

En los años 30 del siglo pasado, un hombre prueba los primeros desarrollos de cristales a prueba de balas disparando contra la mujer que lo sostiene ante su cara -la cual se alegra más que nadie de que el invento funcione. (Vía Dark Roasted Blend .)