Microsiervos | Seguridad

Romper contraseñas de PGP Zip: algo interesante que hacer con «la Nube»

Tue, 03 Nov 2009 12:37:28 +0100

No se ofusque con este terror tecnológico que ha construido. La posibilidad de crackear claves de PGP es algo insignificante comparado con el poder de la Nube.

– parafraseando a Darth Vader

Esto viene a raíz de una referencia que vi pasar por Slashdot acerca de unos artículos publicados por Electric Alchemy sobre la viabilidad de usar la escalabilidad de la computación en nube para romper claves de PGP Zip, un programa que comprime a la vez que cifra con claves públicas los ficheros. Es bastante técnico, pero se puede ver el artículo completo en Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR y algunos números en Cracking Passwords in the Cloud. La reflexión podría ser la siguiente: ¿qué sucede cuando pones programas malos a hacer cosas en arquitecturas masivamente escalables? A modo de resumen: con las tarifas actuales de EC2 de Amazon, según estimaron tras algunas pruebas, se pueden romper en tiempos razonables contraseñas de 11 caracteres por unos 50.000 dólares. Para 12 caracteres haría falta invertir 1,5 millones de dólares y a partir de ahí la cosa se dispara hasta lo irrazonable. Pero ese coste se reducirá drásticamente a medida que pase el tiempo. Incluso eligiendo caracteres raros y complicando la cosa –aparte obviamente de no usar palabras de diccionario– lo razonable para garantizar que las contraseñas están seguras ante un adversario no demasiado poderoso sería usar 10 u 11 caracteres como mínimo. Nada de esto garantiza la seguridad, naturalmente, ante ataques para capturar las contraseñas más prácticos y baratos, que son también los más habituales (keyloggers, ingeniería social y similares).

Cuando una а no es una a y otras curiosidades de los alfabetos

Fri, 30 Oct 2009 12:00:00 +0100

Un problema al que se está enfrentando la internacionalización de los nombres de dominios de Internet como explican en S21Sec es evitar que se produzcan confusiones malintencionadas con los nombres de dominios. En el plan que hay para permitir codificaciones de los caracteres en alfabetos como el cirílico y otros, incluso en los dominios de país, resulta que hay letras demasiado parecidas que en realidad son distintas. Por ejemplo, а y a parecen casi iguales, pero la а (cirílica, Unicode 0430) es distinta de la a (latina, Unicode 0061). Puedes comprobarlo utilizando el buscador de texto de tu navegador sobre esta misma página: encontrará que la a es una a pero no la а porque no es una a. Un atacante malicioso podría registrar un dominio como pаypal.com que se parece a paypal.com pero en realidad es distinto, o intentarlo con otras variantes para más adelante spammear un poco e intentar robar contraseñas, por ejemplo. En la versión ACE del dominio esto es evidente, pero a simple vista, que es lo que ve la gente, apenas se distinguen. Otro caso especial que afecta a usar estos caracteres en dominios se refeire a los dominios regionales o de país. El código en cirílico para .ru (Rusia) sería .ру que se parece peligrosamente al .py de Paraguay. Por esta razón se eligió finalmente .РФ (Federación Rusa) que evita la confusión. Curiosamente ahora los rusos tienen tres dominios: .ru para Rusia, .su que proviene de la antigua Unión Soviética y el nuevo .РФ de Federación Rusa en cirílico. Este problema no es único de los dominios: también afecta a cualquier servicio donde se permite elegir un nombre de usuario registrado en codificaciones de alfabetos distintos de los del juego de caracteres ASCII tradicional.

A este paso, a la NSA se le va a ir el presupuesto en almacenamiento

Thu, 22 Oct 2009 13:40:26 +0100

La Agencia de Seguridad Nacional estadounidense (NSA), donde se espía, interceptan y guardan comunicaciones y documentos de todo el planeta en todos los formatos imaginables, podría estar preparándose para almacenar información al nivel de Yottabytes (10²⁴ Bytes) hacia el año 2015. En términos más abarcables: un Yottabyte es un billón de Terabytes, o un millón de Exabytes, que a su vez es un millón de Terabytes, el tamaño de un disco duro convencional en un equipo de sobremesa potente de hoy en día. Es decir, que la capacidad de almacenamiento digital de la NSA en unos años sería de un millón de millones de veces la de un ordenador convencional. En 2005 se calculó que la información digitalizada que existía en todo el planeta hasta entonces era de solo unos 5 exabytes. La vida completa de una persona se podría almacenar en alta resolución en unos cinco Petabytes (5 millones de Gigabytes). Antes de la llegada de la informática, la NSA tuvo grandes problemas en su ansia por interceptar información y guardarla en papel. Uno de ellos, altamente curioso, era cómo destruirla una vez era considerada inservible. Para ello tuvo que rodear sus instalaciones de grandes incineradoras con las que quemar las toneladas y toneladas diarias de documentos inútiles, y ni aun así daban abasto. Entre esos documentos se incluían copias de todos los telegramas y télex internacionales que entraban y salían del país, además de todos los que eran interceptados a nivel internacional. Luego el problema pasaron a ser las cintas magnéticas y otros soportes de la era moderna. Otro problema para la NSA, y no menor, es la factura de electricidad que requiere todo ese almacenamiento, que se ha cifrado en unos 70 millones de dólares anuales. Esta y otras historias interesantes están en Body of Screts y The Puzzle Palace. El problema ahora no es tanto la destrucción de esa información como su utilidad real una vez se ha almacenado: cómo buscar lo datos y encontrarlos en un tiempo razonable y cómo relacionar unas piezas de información con otras. Ese almacenamiento sin más ya se se demostró bastante inútil cuando se produjeron tanto los ataques del 11-S como otros a nivel internacional, sin que los datos previos de inteligencia permitieran prevenirlos o evitarlos. La fuente de estos datos es un informe del think tank MITRE Corporation, que comentó el experto en la NSA James Bamford (autor de los libros mencionados), vía Scheiner.

Hackeando sistemas de huellas dactilares con gominolas

Mon, 19 Oct 2009 14:29:50 +0100

No sabía que se podían hackear con gominolas los sistemas de autenticación biométrica de huellas dactilares, pero me parece todo un avance y un «memorable hackeo», como dicen en Security by Default. Al parecer se publicó sobre esto en 2002 bajo el contundente título de El impacto de los dedos artificiales de gominola en los sistemas de huellas dactilares.

¡Vaya semanita!

Wed, 14 Oct 2009 12:09:00 +0100

A veces uno diría que se vivía más seguro en la era no-digital, aunque fuera menos divertido:

Publican en Internet hasta 10.000 cuentas de Hotmail con sus contraseñas; luego fueron 20.000 y 30.000, de varios servicios. No está claro si las robaron por phising o más bien fue obra de algún tipo de malware que interceptó las contraseñas, pero por ahí circularon.
T-Mobile y Microsoft admiten la pérdida casi segura de los datos personales de los usuarios de teléfonos Sidekick… y no había copias de seguridad; lo último que se sabe es que ahora dicen que igual fue un sabotaje.
Suecia al completo (.se) fue borrada del mapa de Internet por error, un millón de dominios se quedaron inaccesibles durante horas porque alguien olvidó poner un punto en un script durante un mantenimiento rutinario.

y hoy

Facebook pierde los datos de las cuentas de 150.000 usuarios; que podrán recuperarse pero sólo en parte

En fin, tras estas señales inminentes de que el mundo digital está en peligro, ¡nunca es tarde para hacer una copia de seguridad de todo lo que tengas a mano!

Esto es lo que el Departamento de Seguridad Nacional de los Estados Unidos sabe sobre los viajeros

Mon, 05 Oct 2009 14:09:56 +0100

Vía Schneier llegué a What Does DHS Know About You? donde se describe detalladamente los datos que el DHS (Departament of Homeland Security) guarda de los viajeros que llegan al país y pasan por los servicios de aduanas/inmigración. La información la obtuvieron haciendo una petición oficial de esas que obliga a revelar los datos de que dispone el oganismo; el informante envió entonces esos datos de forma anónima a Philosecurity.org que es quien los ha publicado. Entre los datos almacenados por el DHS estaban:

Nombre completo y número de pasaporte
Teléfonos de casa, de la empresa, móviles y otros
Itinerario completo de los vuelos, incluyendo asientos asignados
Información sobre hoteles
Números de tarjetas de fidelización de aerolíneas y hoteles
Números de tarjetas de crédito y fechas de caducidad
Direcciones IP de Internet usadas para hacer las reservas del viaje a través de la web

Este es el tipo de información que aerolíneas y hoteles suele guardar cuando se hace una reserva con ellos, datos que probablemente borran una vez completado el viaje y si no hay reclamaciones sobre las transacciones. Desde hace tiempo se sabe que esos datos se los reenvían dichas compañías al DHS y a los servicios de aduanas e inmigración. Lo que no se sabe es durante cuánto tiempo guarda esa información el DHS o qué más hace con ella. El lema del departamento es:

Preservando nuestra Libertad, Protegiendo América

Viendo «a través de las paredes» gracias a las señales inalámbricas

Mon, 05 Oct 2009 13:38:13 +0100

Technology Review del MIT tiene un interesante artículo titulado Wireless Network Modded to See Through Walls donde se explica cómo unos investigadores de la Universidad de Utah han conseguido algo parecido a «ver a través de las paredes» midiendo la intensidad de las señales de una red inalámbrica de la habitación. Utilizaron una red inalámbrica ZigBee que usa el estándar IEEE 802.15.4, habitual en domótica y similar al Bluetooth o el Wi-Fi. La idea consiste simplemente en medir las intensidades de las señales mediante diversos sensores colocados en la pared. Cuando una persona se mueve en la habitación del otro lado, la intensidad de dichas señales varía ligeramente, y se puede reconstruir una tosca representación de lo que está sucediendo en el interior. En las pruebas consiguieron localizar objetos más o menos con un metro de precisión al otro lado de la pared. El sistema es todavía ineficiente, impreciso y muy caro, pero en el futuro podría usarse por ejemplo por servicios de emergencia para ver qué sucede al otro lado de una habitación sin tener que entrar en ella. (Vía Popular Science.)

Comienza la distribución gratuita de lectores de DNI electrónico

Thu, 01 Oct 2009 09:46:08 +0100

Desde hoy el Ministerio de Industria, a través del Plan Avanza y de entidades colaboradoras como Tractis, ha iniciado la distribución gratuita de lectores de DNI electrónico. Se puede solicitar gratis en la página de Tractis. El único pago a realizar es la cantidad de 2 euros en concepto de gastos de envío. Inicialmente se distribuirán 300.000 unidades. El lector es un periférico muy simular a un lector de tarjetas de memoria y se conecta al puerto USB. Una vez conectado al ordenador (Windows, Mac o Linux) permitirá identificarse y operar en algunas entidades y sitios web –como bancos, cajas de ahorro, o en la Agencia Tributaria– y utilizar el DNI electrónico –si se dispone de él, es aquel que lleva incorporado un pequeño chip en la parte izquierda– como firma digital. La firma digital tiene igual validez que la firma utilizada en el MundoReal™.

Extrañamente inquietante: la base de datos de los muertos

Wed, 16 Sep 2009 10:40:22 +0100

En el siempre recomendable Programmable Web publicaron un artículo titulado An API That Can Tell If You’re Dead or Alive. Allí cuentan que una empresa ha puesto en marcha un servicio (a través de una API) que consiste en consultas sobre personas muertas. Básicamente basta introducir un número de la seguridad social, algo así como nuestro DNI: si la persona está legalmente muerta devuelve como valores el nombre de la persona y su último código postal conocido; si está no-muerta, entonces no devuelve nada. Entre las muchas e inquietantes cuestiones del asunto está el tema de la privacidad, pues aunque sólo ofrece datos sobre las personas legalmente muertas –de quien podría decirse que poco podría importarles ya eso– la forma de hacerlo me resultó cuando menos… extraña. Otra detalle que me pareció impactante es que cualquiera puede comprar o suscribirse a la base de datos completa de muertos de todo el país por unos pocos miles de dólares; el servicio mencionado en el artículo original básicamente revende esa información, que es pública. Todo esto se supone que se usa «para el bien» en sitios que requieran poder comprobar si el número identificativo de la seguridad social que está usando una persona en alguna operación legal (contratos, bancos, compras, etcétera) se corresponde con alguien ya fallecido, para evitar fraudes. Dicen que también lo usan empresas de telemárketing para comprobar que no gastan el tiempo llamando a gente ya fallecida.

Datos anónimos… o no tanto

Wed, 09 Sep 2009 08:00:00 +0100

La «anonimización» de los datos personales que se utiliza a veces con bases de datos personales para diversas finalidades se enfrenta a algunos problemas estadísticos interesantes. Uno que me pareció especialmente impactante, y eso que data de un trabajo del 2000, es sobre lo fácil o difícil que es re-identificar a personas reales a partir de datos aparentemente neutrales y «anonimizados». Una experta en ese campo demostró que el 87 por ciento de los ciudadanos estadounidenses pueden ser identificados de forma inequívoca mediante sólo tres datos: su código postal, su fecha de nacimiento y su sexo. Si lo piensas de otro modo, ¿cuántas personas en tu distrito postal puede haber nacido exactamente en la misma fecha que tú y ser también hombre o mujer como tú? Evidentemente esto puede variar de país en país según el tamaño de los códigos postales y la densidad de población, pero es un buen ejemplo. El trabajo se llama Broken Promises of Privacy y consistió en comprobar los datos pretendidamente anónimos de pacientes de un hospital con los registros públicos del censo electoral, a los que cualquier persona puede tener acceso por unos pocos dólares. A partir de ahí la autora del trabajo consiguió ese 87 por ciento de aciertos a la hora de identificar inequívocamente los nombres reales de las personas de la base de datos original. (Vía Slashdot y más sobre el tema en Ars Technica.)

Falsa seguridad con teclados de seguridad inseguros

Sat, 04 Jul 2009 23:34:36 +0100

De poco sirve instalar teclados con combinaciones de seguridad para controlar el acceso a lugares o sitios si son tan malos que las teclas se van gastando de modo que con el uso de los 10.000 posibles códigos la cosa queda reducida a 24:

Un teclado de este estilo mucho más seguro es el que describe uno de los comentaristas de la anotación Information Leakage from Keypads donde salen estas fotos en el que cada tecla tiene un display de siete segmentos para mostrar un número y en el que estos salen colocados al azar cada vez que se usa, con lo que el desgaste de las teclas es igual para todas.

Fotos del Museo Criptológico Nacional de EE.UU.

Tue, 30 Jun 2009 08:00:00 +0100

Bomba electromecánica, U.S. Navy / Foto (CC) Bewbooks

Me topé medio por casualidad con esta galería de fotos del Museo Criptológico Nacional creada por Bewbooks, fruto de una visita que hizo allí. Se trata de un museo de la NSA que está situado junto a las instalaciones principales de la agecia supersecreta, en Maryland. Lo que se ve en la foto es una bomba electromecánica, que es el nombre con que se designó a los artilugios, medio mecánicos medio eléctricos, precursores de los ordenadores modernos, que eran capaces de criptoanalizar los mensajes de la máquina enigma de cifrado de los alemanes, durante la II Guerra Mundial. Un modelo como este podía en unos 20 minutos comprobar unos 450.000 posibles combinaciones de los cuatro rotores de la máquina original para adivinar cuál era la clave.

Ataque a un cajero automático por fuerza bruta

Thu, 11 Jun 2009 18:17:18 +0100

Bruta, bruta: realmente bruta. Hay que verlo hasta el final. (Vía Geeks are Sexy, Gizmodo, etc.)

Los investigadores que hackearon una botnet

Wed, 20 May 2009 23:03:29 +0100

Una de las amenazas más actuales en la red son las botnets o redes que agrupan a bots («robots») autónomos que se ejecutan en miles de ordenadores sin que sus propietarios se percaten. Esto permite al creador de la botnet controlarlos y utilizarlos para sus propósitos, generalmente cosas muy malas, a desde algo tan simple como una pantalla de chat. Los bots normalmente se instalan a través de «gusanos», «troyanos» y otro software malicioso que infecta el ordenador. Tal y como cita Bruce Schneier unos investigadores pudieron hackear e interceptar una botnet durante varios días y aprender sobre cómo funciona mientras estaba todavía activa, algo interesante a lo que no siempre es posible tener acceso. Era una botnet llamada Torpig que recopilaba información personal y de transacciones financieras. Entre otras, durante los diez días que pudieron observarla, descubrieron que:

Los bots recopilaron 300.000 logins a distintos servicios, incluyendo 56.000 contraseñas generadas mediante diccionario y reglas simples de reemplazar unas letras por otras.
El 28 por ciento de las víctimas reutilizaban sus credenciales al ir a otros servicios web
Entre otros contenidos, los bots pudieron acceder a correos y chats que iban recopilando, con información muy personal
Vieron cómo unos 180.000 ordenadores eran infectados
La botnet recopiló unos 70 GB de datos

El trabajo completo puede leerse aquí:

Your Botnet is My Botnet: Analysis of a Botnet Takeover [PDF, 800 KB]

Cómo evitar ser timado tanto a la vieja usanza como al estilo siglo XXI

Fri, 08 May 2009 12:07:11 +0100

Encontré estos dos vídeos de The Real Hustle en Geeks are Sexy y me parecieron absolutamente brillantes. Se trata de un programa de la BBC que es algo así como «el Cazadores de Mitos de los timos callejeros». El resultado es absolutamente genial: hacer ver cómo timan a gente normal y corriente en diversas situaciones. Merece la pena verlos tranquilamente pues duran sólo unos minutillos. El inglés de los vídeos se entiende bastante bien. Usan la expresión coloquial mark para referirse al «pipiolo» o víctima del timo. A la antigua usanza: En el primer vídeo la atractiva timadora ofrece por un precio irrisorio un portátil a través de Internet. El pringao cree que es la oportunidad de su vida pero la timadora le pega el clásico cambiazo tras recibir el dinero. El tipo se marcha del lugar con una bolsa de portátil y un… pesado trozo de madera.

Ver vídeo: The Laptop Illusion Con
The Laptop Illusion Con [5 min.]

Estilo Siglo XXI: En este otro vídeo se muestra cómo funcionan los sistemas de clonación de tarjetas de crédito en cajeros automáticos. Primero se ve cómo el ladrón inserta un skimmer con cámara web incorporada en la ranura. La víctima llega, mete la tarjeta –que es copiada al instante– y teclea su número PIN secreto, que queda grabado en vídeo. Al final de ese programa hay otro engaño más elaborado todavía, en el que se utiliza la distracción para pegarle un cambiazo de tarjeta a otra mujer que está sacando dinero.

Ver vídeo: Are ATM Machines Safe to Use?
Are ATM Machines Safe to Use? [6 min.]

Según la web de The Real Hustle en los últimos tres años han emitido unos 60 programas, algunos relacionados con timos tecnológicos en menor o mayor medida, incluyendo cómo robar contraseñas mediante keyloggers. No se pueden ver en su web si estás fuera de Gran Bretaña, pero rondan por YouTube también. Con solo ver algunos de ellos me pareció el típico programa tan útil y divulgativo que debería ser enseñado a los niños en las escuelas. Lección del día: sobrevivir en la jungla urbana del siglo XXI.

Blogs interesantes sobre seguridad

Sat, 02 May 2009 11:13:33 +0100

Security by Default publicó una lista que recopila más de una decena de blogs interesantes sobre seguridad. Además de los orientados a la pura seguridad informática hay algunos acerca del hacking, la ingeniería social, entrevistas o noticias relacionadas con todos estos temas.

PIN Crackers

Sat, 25 Apr 2009 10:30:00 +0100

Los interesados en seguridad informática encontrarán interesante PIN Crackers Nab Holy Grail of Bank Card Security en Threat Level, uno de los blogs de Wired. En el artículo se describen algunas técnicas que se han detectado últimamente en la que atancantes que quieren hacerse con los números de tarjeta y los PINs han pasado de los trucos físicos como poner cámaras de vídeo sobre el teclado y lectores falsos de tarjetas a interceptar directamente los ordenadores y redes por los que circulan los datos del banco. En algunos casos utilizan malware que se instala en ordenadores de esas redes y que captura los números de los PINs encriptados para luego descifrarlos mediante criptoanálisis avanzado. Aunque esas comunicaciones están protegidas para que nadie pueda copiar los datos cifrados, en ocasiones el malware lo que hace es «robarlos» de las zonas de memoria temporal desprotegidas de los servidores. Armados con números de tarjetas y PINs descifrados, los malosos crean entonces duplicados de las tarjetas con las que simplemente retiran dinero de los cajeros.

Trucos fáciles para mejorar las contraseñas de uso cotidiano

Wed, 01 Apr 2009 18:53:14 +0100

LifeHacker publicó una recopilación de trucos de sus lectores acerca de cómo mejorar las contraseñas que se usan a diario. En cierto modo esto produce el paradójico efecto de que si los malos conocen también los trucos mal vamos, pero supongamos que como no todo el mundo usa estas técnicas irán primero a por las más simples. En plan rápido, estas serían algunas de las ideas propuestas:

No usar contraseñas obvias que todo el mundo usa como 1234, qwerty, admin, el mismo nombre que el usuario, el de la novia, mascota y cosas así
En general se recomienda no usar la misma contraseña en todos los sitios o servicios; hay quien sugiere usar la misma para los sitios poco importantes y distintas para todos los demás
Inventarse una contraseña memorizándola por los movimientos de los dedos en el teclado, sin mirar a las letras
Usar las letras y números de serie que tengan algunos aparatos que siempre tengas a mano como contraseña (el iPod, el teléfono o similar)
El truco de Bruce Schneier: hacer las contraseñas importantes tan complicadas que no se puedan ni memorizar. Apuntarlas en un papel y guardarlas en la cartera. Si pierdes la cartera te darás cuenta enseguida y podrás cambiarlas rápidamente
Convertir en contraseña una frase que te guste, usando una versión abreviada con sus iniciales. Por ejemplo «Mi primer coche era un Volkswagen del 76» = MPCEUVWD76
Quienes gestionan grupos de usuario y pretenden hacerles cambiar obligatoriamente la contraseña cada mes o algo así deberían reconsiderarlo: la gente tiende a elegirlas más «fáciles» todavía o en el formato MM/XXXX

El «cracker» de los famosos españoles

Sat, 28 Mar 2009 20:06:05 +0100

No le había prestado demasiada atención a la historia del cracker detenido ayer en Jerez de la Frontera más allá del detalle curioso de que por lo visto se dedicaba especialmente a fisgonear e las vidas digitales de personas famosas y a tocarles un poco las narices. Pero según cuenta Antonio Manfredi en El cracker detenido, donde la realidad supera la ficción, el caso es realmente de película. Para empezar, aunque al final J.M.N. terminó siendo detenido a causa de una denuncia del Ayuntamiento de Minas de Riotinto en la que se decía que una persona podía haber vulnerado varias cuentas de correo electrónico, oficiales y particulares, pertenecientes a la corporación, en realidad hay al menos 42 diligencias judiciales abiertas contra él. En un caso, una periodista vio como este individuo se hacía no sólo con los datos referentes a ella sino también con los de su hijo, un menor; en otro caso, por lo visto se habría hecho pasar por un alto cargo del PSOE y enviado correos electrónicos en su nombre que habrían estado a punto de provocar un incidente diplomático. Y es que al parecer el cracker tenía unas completísimas fichas de cada una de sus víctimas y dedicaba tiempo y tiempo a jugar con sus vidas, más que a obtener ningún tipo de beneficio económico. Prefería darles de baja en los servicios que tuvieran contratados para sus domicilios o darles de alta en otros y cosas así. No está claro, de todos modos, que tuviera una gran habilidad técnica, sino que más bien parece que se trata de un verdadero profesional de la ingeniería social. Pero con todo, lo más peculiar del caso es que por lo visto esta persona padece un serio trastorno de la personalidad que hizo que el segundo día de interrogatorios su segunda personalidad comenzara a repetir palabra por palabra las cinco horas de interrogatorio del día anterior, dejando a los agentes que lo interrogaban totalmente descolocados. Me pregunto cuanto tardarán en llamarle desde Hollywood para comprarle los derechos de su historia. (Vía el seguimiento de Antonio Delgado al otro Antonio.)

Hacker != Cracker, una diferencia que no todo el mundo conoce ni aprecia.
Los hackers originales, un grupo de apasionados programadores.
Ingeniería Social vs AWACS, un ejemplo del poder de estas técnicas.
Ingeniería social vía memorias USB, otro más.
The Art of Deception, un libro de Kevin Mitnick, uno de las personas que más ha explotado la ingeniería social.
Entrevista a Kevin Mitnick en El País, más opiniones de este hombre.

El algoritmo Blowfish en 24

Fri, 20 Mar 2009 17:54:56 +0100

Creo no desvelo ningún spoiler si cuento esto, pero aviso por si acaso… me pareció humor fino digno de ser mencionado. Resulta que en el episodio 14 de la séptima temporada de 24 uno de los personajes envía información importante utilizando un sistema de cifrado ultra-seguro. Por un momento todos se desviven intentando descifrarlo. Incluso necesitan un analista de nivel 6 para hacerlo y –como es predecible– al final superan el problema. El analista explica que la información está cifrada mediante Blowfish y lo adorna con un poco de tecno-talk antes de ponerse manos a la obra. Ahora volvamos al MundoReal™: Blowfish es un algoritmo real, diseñado por el mismísmo Bruce Schenier y aunque es un poco viejuno (1993) se considera seguro aún hoy en día, aunque se prefieren otros. La gracia del asunto es que para descifrarlo el analista explica que el diseñador del sistema de cifrado «incluyó una puerta trasera» y que él la conoce. ¡Arreglado! A partir de ahí Jack Bauer y sus fieles pueden continuar persiguiendo malosos. Desde luego es todo una forma de humor realmente retorcida, que sólo los más geeks que hayan visto la serie apreciarán: que la forma de solucionar el problema sea mediante el tipo de técnica que Bruce Schneier precisamente desveló que podría estar usando la NSA en los estándares que propone: dejar puertas traseras que sólo unos elegidos conozcan. Comparativamente, sería algo así como hacer aparecer en una serie a Bill Gates dejando ver que usa un iPod.

Agujero de seguridad en Twitter

Sat, 07 Mar 2009 12:07:02 +0100

Un impresionante agujero de seguridad en Twitter hace que se puedan publicar mensajes como si fueran de otra persona en una cuenta ajena; el problema ya se conoce hace días pero en Twitter todavía no lo han podido corregir: el método es similar a cuando se suplanta la procedencia de mensajes SMS; de hecho se utiliza esa pasarela para «colar» los mensajes como textos válidos procedentes del propietario de la cuenta. Una posible solución de momento es bloquear el acceso desde dispositivos móviles (Twitter > Settings > Devices). Por otro lado conviene no fiarse de los mensajes de otras personas que aparezcan marcados como «from txt» si la persona normalmente publica «from web» o «from twitterrific» o cualquier otra aplicación. Los hackers éticos de Security by Default hicieron una comprobación y demostración práctica del agujero en la cuenta de edans, una de las que más seguidores tiene en español, lo que le ha dado más visibilidad al problema. En su blog ya habían hablado hace semanas de otros agujeros de Twitter. En otras noticias, las cuentas de Spotify también se vieron en problemas; en Security by Default también explicaron con más detalle el problema. La versión corta es que euienes abrieron en Spotify una cuenta para oir música antes del 20 de diciembre de 2008 deberían cambiar su contraseña. Actualización: Ya han publicado una explicación completa del memorable hackeo. Una posible solución (porque no parece que se vaya a solucionar lo del spoofing de SMS en breve) es como hacen otros servicios requerir que el texto a publicar contenga una palabra a modo de contraseña que sólo conoce el propietario de la cuenta. Algunos sistemas de publicación de contenidos para blogs emplean esa técnica para permitir la publicación a partir de mensajes de correo entrantes (dado que falsificar la dirección del emisor de un envío de correo es casi trivial).

«Sistemas de identificación biométrica» en Solo ante el Peligro

Mon, 23 Feb 2009 12:00:00 +0100

Ver vídeo: «Sistemas de identificación biométrica»
«Sistemas de identificación biométrica» [5 min.]

He aquí otro vídeo con una de nuestras intervenciones del año pasado en Solo ante el peligro, el late night de Paramount Comedy presentado por Juan Solo. En esta ocasión me tocó contar algo sobre los sistemas de identificación biométrica, esos chismes que te miran las huellas, la retina u otras partes o características de tu cuerpo (también los hay de voz) para saber quién eres. Una de las historias de las que hablamos durante la charleta fue la de cómo falsificar huellas digitales para engañar a las máquinas de huellas, como hicieron nuestros apreciados Cazadores de Mitos en uno de sus programas (en YouTube: MythBusters Fingerprints Busted). Tal y com leímos por ahí engañar a algunas máquinas de reconocimiento facial tampoco parece muy complicado y algunas de los WTFs que producen estos sistemas son bastante hilarantes. Todavía nos queda otro programa emitido en la última temporada del programa, que publicaré cuando tenga un rato para digitalizar; como de costumbre aparecerá en el Canal Microsiervos en YouTube.

«¡El fin del mundo!», todavía está más o menos lejos
«La vida de los astronautas en el espacio», curiosidades de un duro trabajo.
«Seguridad y sentido común (o la falta de él)», situaciones extrañas.
«Matando Nubes», intentando domeñar el clima
Estreno de Solo ante el peligro, en Paramount Comedy

Usando la bola de cristal y el MD5 para «predecir» los números de la Loto

Sun, 22 Feb 2009 16:00:00 +0100

En S21sec hicieron un curioso experimento para predecir los números ganadores de la loto Euromillones del viernes pasado; digamos que «vieron» los números hace un mes en una bola de cristal y publicaron el checksum MD5 del fichero PDF en que se guardaban. Ese valor llamado hash, que es como un «resumen» del documento de entrada basado en una función matemática, se supone que es único para cada documento, y la probabilidad de que dos documentos distintos produzcan el mismo MD5 es muy, muy baja, aunque no nula. Tras el sorteo, publicaron el PDF donde aparece la combinación ganadora, y cuyo MD5 (un valor de 128 bits, representado como 32 dígitos hexadecimales) se corresponde dígito con dígito con el publicado el mes pasado como «predicción». Es sin duda una curiosa forma de demostrar el efecto de cómo las colisiones hash y la fuerza bruta pueden poner en riesgo algunos sistemas criptográficos y de confianza.

Cómo romper una contraseña de Windows en cinco minutos

Wed, 18 Feb 2009 16:30:58 +0100

¿Se puede crackear un password de Windows en 5 minutos?. Muchas veces, sí, como cuentan a modo de experiencia en primera persona en esta buena anotación de Un Mundo Binario. La forma de hacerlo es con Ophcrack, un crackeador de contraseñas que utiliza grandes tablas Rainbow con funciones Hash pregeneradas para no tener que usar la fuerza bruta sino una alternativa un tanto más optimizada. La historia proviene de LaptopLogic: How to Crack a Window’s Password in 5 Minutes.

Buen hackeo para conseguir información antes de lo debido

Fri, 13 Feb 2009 19:45:03 +0100

WonkaPistas adelantó información de un sondeo político del CIS un día antes de que fuera público. No es que hubiera ninguna conspiración, filtración, «piratería» ni historias raras: fue pura suerte, como posteriormente reconoció. Simplemente se fijó en que las direcciones de Internet en forma de URLs en que se publicaban seguían un patrón. La dirección del anterior estudio del CIS, el 2.781, era http://www.cis.es/cis/opencms/ES/Novedades/ Documentacion_2781.html de modo que WonkaPistas dedujo que la del siguiente sería http://www.cis.es/cis/opencms/ES/Novedades/ Documentacion_2782.html y acertó, allí estaba colgado un día antes. {Nota: ya no} Felicidades a WonkaPistas por su habilidad, que demuestra dos cosas: (1) que hacer un poco de hacking pacífico está al alcance de cualquiera y que (2) que quienes se supone que deben guardar la información delicada a estas alturas del siglo XXI siguien cometiendo fallos auténticamente de principiantes. (Vía Enrique Dans, gran un memorable título: «Para el ignorante, todo es piratería».)

Hacker != Cracker, que quede claro

Seguridad en la oficina: seis errores

Mon, 09 Feb 2009 18:08:14 +0100

Que levante la mano quien no haya vivido alguno de estos problemas de seguridad en su oficina… Los ha recopilado Segun Info traduciendo de 6 Desk Security Mistakes Employees Make Every Day (yo lo vi pasar por Cosas sencillas): Resumidos, estos son los 6 Errores de seguridad en escritorios que cometen los empleados todos los días:

Contraseñas escritas en papelitos pegados. ¡Agg! ¡Malditos Post-its!
Información delicada escrita en pizarras. ¡Agg! ¡Malditas pizarras Velleda, si es que son una tentación!
Dejar documentos sensibles sobre el escritorio. Ese Plan para Dominar el Mundo al alcance de cualquiera es mala idea.
Dejar un calendario o agenda diaria de tareas sobre el escritorio. Puede ser menos sensible, pero mucha gente apunta las contraseñas ahí.
Dejar una tarjeta de acceso olvidada. Peor idea.
Olvidar información en la impresora. ¿Quién no se ha encontrado algún contrato ahí? (Muchas veces… el original)

Contraseñas y Phising

Wed, 28 Jan 2009 08:00:00 +0100

A través de Boing Boing llegué a una curiosa reflexión de Ben Laurie (de Google) sobre la paradójica problemática de la usabilidad de las contraseñas: Do Passwords Scale? Como allí se explica, la forma en que hoy en día la gente utiliza las contraseñas de forma un tanto descuidada hace que sean un desastre en potencia porque tantos y tantos datos nuestros dependen de ellos en todas partes. (Ej. usar la misma contraseña en todas partes). Por un lado, desde el punto de vista de la usabilidad, se ha conseguido con el tiempo algo magnífico: que todo el mundo sea consciente de cómo usarlas y sea capaz de teclear un nombre de usuario y una contraseña en cualquier sitio web o aplicación. Pero por otro, esto hace que tanta y tanta gente caiga víctima del phising porque teclean su contraseña en cualquier lugar que se lo pida. A los seres humanos se nos engaña fácilmente, especialmente con una trampa visual como pueda ser una página web falsa. Su conclusión es que mientras no se invente una forma «inphisable» (¿infalsificable?) de utilizar las contraseñas, el problema no tiene una solución clara. Tal vez un cacharrito o cripto-gadget (harware o software) que no formara parte de páginas web y tuviera un protocolo seguro sobre el que fueran inútiles las técnicas de phising convencionales sería una solución. Pero mientras la cajas de las contraseñas sigan en las páginas web tal y como están ahora, la solución al problema, como afirma Lauire, no parece fácil. La recomendación tradicional de usar una contraseña diferente para cada servicio parece la menos mala de las posibles.

1st Security Blogger Summit en España, con Bruce Schneier

Thu, 22 Jan 2009 20:02:19 +0100

La gente de Panda Security nos adelantó que el experto en seguridad informática y uno de nuestros «héroes de Internet», Bruce Schneier, vendrá a España como invitado de excepción al 1st Security Blogger Summit, un evento que tendrá lugar el próximo martes, 3 de febrero en el Círculo de Bellas Artes de Madrid. Otros expertos que acudirán a la mesa redonda serán Steve Ragan, que escribe la sección de seguridad de The Tech Herald y el apasionado de la seguridad informática Andy Willingham. También estará Antonio Ortiz, conocido autor del blog de tecnología Error 500. El evento está dirigido a expertos en nuevas tecnologías, seguridad informática y especialmente a bloggers; la página web con todos los detalles se publicará en breve, pero nos han confirmado que la asistencia será gratuita, aunque lo lógico sea que haya que registrarse previamente porque las plazas serán limitadas. Yo procuraré no perderme la mesa redonda y de paso llevarme mi vetusta edición del Applied Cryptography para que reciba la firma y bendición del maestro. Los lectores habituales de la sección de seguridad de Microsiervos saben que solemos referenciar a Schneier y sus anotaciones en su blog porque siempre trata acertadamente un montón de temas interesantes; estos han sido algunos de más recientes:

Cómo crear señales falsas de «satélites GPS» inexistentes, una técnica de película
El coste de la seguridad nacional, una reflexión a tener en cuenta
Paranoia en el aire, la seguridad en aviones y aeropuertos es un tema recurrente
Congelando la RAM para vulnerar los sistemas de cifrado informático, una posibilidad inquietante
Problemas en los cables submarinos de Internet a nivel internacional, sobre posibles ataques físicos a la Red
El valor de los datos personales, gobiernos irresponsables que pierden datos, sucede más a menudo de lo debido
¿Cómo hace Bruce Schneier para recordar todas sus contraseñas?, la técnica infalible
Otro candidato a «hack» del año: el hackeo de los servidores Tor, revisando conceptos como «navegación anónima» y «navegación con privacidad»
Puertas traseras de la NSA en algoritmos matemáticos / criptográficos del NIST, al parecer incluidas por la NSA

(Usando el buscador de Microsiervos con Bruce Schneier aparecen el resto de referencias sobre él en todos estos años.) Actualización (26 de enero): He añadido la web oficial de las jornadas, 1st Security Blogger Summit.

La reina que fue juzgada por traición y sus fallidos mensajes cifrados

Tue, 20 Jan 2009 10:47:15 +0100

Me encantó ver que Historias de la Ciencia rescató esta apasionante historia acerca de Reinas, conspiraciones y cifrados, donde se cuenta el caso de María Estuardo, reina de Escocia, que fue jugazada por traición. Había sido acusada de conspirar para asesinar a su prima, la reina Isabel I de Inglaterra. La clave de todo el asunto fue que María cifraba las comunicaciones con sus cómplices conspiradores durante el juicio se llegó a un punto en el que sólo se la podría condenar si realmente se descifraban esos mensajes. Entonces un hábil criptoanalista de la época llamado Thomas Phelippes rompió el el cifrado César que habían estado usando en sus comunicaciones y consiguió la prueba definitiva para inculparla. Esta historia está narrada con todo detalle en The Codebreakers: The Comprehensive History of Secret Communications from Ancient Times to the Internet, Revised and Updated, para muchos uno de los mejores libros sobre la historia de la criptografía, donde se pone como ejemplo del primer descifrado de mensajes que tuvo consecuencias políticas relevantes. También está incluida en el estupendo The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography de Simon Singh, otra excelente obra sobre el tema, en tono más divulgativo.

La seguridad informática en las películas

Fri, 16 Jan 2009 12:00:00 +0100

Trinity hackeando con nmap en algún tipo de *nix que se usaba en Matrix

Hace tiempo que S21Sec publicó este entrañable artículo sobre la seguridad informática en los medios de entretenimiento como el cine y la televisión, donde se repasan diversas escenas desde Juegos de Guerra a The Matrix, algunas de las cuales resultaban más creíbles que otras. El artículo incluye muchos enlaces que seguir para descubrir algo más sobre lo que había detrás de aquellas escenas.

Cómo unos hackers «rompieron» la seguridad del SSL usando 200 PS3

Tue, 30 Dec 2008 19:30:53 +0100

Interesante historia sobre uno de los más comunes sistemas de seguridad web: Hackers completely break SSL using 200 PS3s. El sistema que «rompieron» es el SSL (Secure Sockets Layer, Protocolo de Capa de Conexión Segura) más comúnmente conocido como «el candado de las páginas web de Internet» (pues se usa como parte del protocolo HTTPS). Lo que usaron fue una capacidad de análisis impresionante, diversas técnicas ingeniosas y la potencia de 200 PlayStation 3, equivalentes a unos 8.000 ordenadores convencionales o unos 20.000 dólares en tiempo de procesamiento. El artículo contiene todos los detalles que son muy interesantes para los expertos informáticos en seguridad; a grandes rasgos el método requirió encontrar fallos en el algoritmo MD5, recopilar más de 30.000 autoridades de certificación de todo el mundo, generar con gran habilidad y precisión un certificado falso adecuadamente manipulado y luego crear un website en el que usarlo a modo de demostración. Tras esta demostración «con fines educativos» de cómo el ingenio y la fuerza bruta pueden «romper» hasta los sistemas aparentementes más seguros, las autoridades de certificación han cambiado sus sistemas para evitar que alguien pueda usar las mismas técnicas para el mal y también se están revocando ciertos certificados en los navegadores (Explorer y Firefox ya lo han hecho) para evitar posibles problemas. (Vía hack a day.)

Kevin Mitnick, entrevistado en El Mundo

Wed, 17 Dec 2008 12:50:12 +0100

Encuentro digital con Kevin Mitnick en ElMundo.es, breve pero con alguna perla interesante:

P: ¿Algún consejo para los adolescentes que se inician en el hacking?

R: Que no les pillen…

Seguridad débil, un ejemplo

Thu, 04 Dec 2008 17:45:38 +0100

Me encantó esta nota titulada Weak security in our daily lives que ejemplifica lo mal que se puede diseñar un sistema de seguridad y cómo romperlo en veinte minutos. Es vieja pero interesante. Al parecer en algunos coches se utiliza una cerradura «sin llave» en al que un panel numérico sirve para abrir la puerta con un código PIN de cinco dígitos. Se podría pensar que 100.000 combinaciones diferentes la puerta estaría segura a un «ataque por fuerza bruta» (ir probándolos todos) pero dos problemas debilitan este sistema sobremanera. Al parecer las teclas están marcadas como 1/2, 3/4, 5/6, 7/8 y 9/0, de modo que en realidad son solo cinco dígitos diferentes (primer problema). Y según comprobaron, si la clave es, por ejemplo 11357 resulta que tecleas un número más largo como 9113579 también se abre (segundo problema) porque el sistema parece que al teclear eso se traga las tres secuencias de cinco dígitos: 91135, 11357 y 1357. Como sólo hay 5⁵ secuencias de cinco dígitos, eso reduce las secuencias posibles a sólo 3.125. Al parecer un matemático llamado Bruijn calculó cómo podría ser una esas secuencias de longitud mínima que garantice que al teclearla vas a teclear también todas las posibles secuencias de 5 dígitos, por tanto abriendo la puerta. Comienza así…

9 9 9 9 1 1 1 1 1 3 1 1 1 1 5 1 1 1 1 7 1 1 1 1 9 1 1 1 3 3 1 1 1 3 5 1 1 1 3 7 1 1 1 3 9 1 1 1 5 3 1 1 1 5 5 1 1 1 5 7 1 1 1 5 9 1 1 1 7 3 1 1 1 7 5 1 1 1 7 7 1 1 1 7 9 1 1 1 9 3 1 1 1 9 5 1 1 1 9 7 1 1 1 9 9 1 1 3 1 3 1 1 3 1 5 1 1 3 1 7 1 1 3 1 9 1 1 3 3 3 1 1 3 3 5 1 1 3 3 7 1 1 3 3 9 1 1 3 5 3 1 1 3 5 5 1 1 3 5 7 1 1 3 5 9 1 1 3 7 3 1 1 3 7 5 1 1 3 7 7 1 1 3…

En total tiene 3.129 dígitos. Según estimó sería razonable pensar que se puede abrir coches equipados con ese tipo de cerradura con solo teclear este gigantesco número correctamente (y tirando del manillar tras cada dígito) en unos 20 minutos más o menos.

Probando cristales antibalas en 1930

Mon, 01 Dec 2008 21:11:20 +0100

[YouTube, 23 segundos, sin audio]

En los años 30 del siglo pasado, un hombre prueba los primeros desarrollos de cristales a prueba de balas disparando contra la mujer que lo sostiene ante su cara -la cual se alegra más que nadie de que el invento funcione. (Vía Dark Roasted Blend .)

Una moneda de 50 céntimos de euro como «transporte secreto» de tarjetas de memoria microSD

Wed, 19 Nov 2008 10:00:00 +0100

Es curioso que exista una empresa decidada a la venta de monedas espía pero más curioso todavía es ver su último producto, todo un avance para los James Bond digitales: la moneda de 50 céntimos microSD. Aparenta ser una auténtica moneda de 50 céntimos de euro, y en cierto modo lo es, pero convenientemente «vaciada» para que en su interior se pueda camuflar una tarjeta de memoria microSD. Estas tarjetas miden unos 11×15 milímetros, de modo que caben en el interior sin problemas. Basta cerrarla y… ¡Listo! A atravesar fronteras con gigas y gigas de todo tipo de información secreta sin despertar sospechas y sin que las memorias sean detectadas. Estas monedas también existen en «versión dólar» estadounidense y se llaman micronickels. Al cambio actual, el pequeño invento cuesta unos 20 euros; una cantidad un tanto alta para estar comprando medio euro, y además no incluye la memoria. Pero bueno, nunca se sabe cuándo se va a necesitar para salir de un apuro o para pasar esos planos secretos de país en país…

¿Alta seguridad en los automóviles? Frente al ingenio, todo es relativo

Sun, 09 Nov 2008 13:23:27 +0100

Amazing Car Theft en Metacafe

Cómo robar un coche, versión de baja tecnología o cuando el ingenio demuestra ser capaz de superar cualquier medida de seguridad. (Vía Desvariando Ando.)

Bletchley Park, salvado finalmente

Fri, 07 Nov 2008 23:11:14 +0100

Bletchley Park, el legendario lugar en el que «se ganó la Segunda Guerra mundial» mediante el descifrado de los códigos alemanes y japoneses, definitivamente se salvará para la posteridad según cuenta un artículo de The Guardian, tras haber visto peligrar su continuidad. Varios cientos de miles de libras ofrecidas por diversos donantes, que faltaban para completar el presupuesto que ya había recibido significativas contribuciones de IBM y PGP Corporation, serán suficientes para mantenerlo abierto como museo los próximos años.

Bletchley Park se salvará, contribuciones de IBM y PGP Corp
Salvar Bletchley Park, la historia completa
Colossus «crackeará» de nuevo, compitiendo contra un PC moderno
Colussus, reconstruido, la historia de la reconstrucción
Codebreakers: The Inside Story of Bletchley Park, la historia del descifrado
Bletchley Park, el lugar donde estuvo Colussus

Cómo copiar llaves… a distancia (¡con una foto basta!)

Fri, 31 Oct 2008 22:56:57 +0100

El Gagdet Lab de Wired tiene un interesantísimo artículo titulado Software Enables Cameras to Duplicate Keys que habla de una técnica, digna de James Bond, que permite obtener un duplicado de una llave sin tocar físicamente el original: con una imagen fotográfica basta. Y es que sucede que con eso de que las cámaras digitales han avanzado una barbaridad, el récord ya está en conseguirlo a partir de una foto de unas llaves tomada a unos 60 metros de distancia, mediante un teleobjetivo, aunque hacerles más o menos de cerca una foto con el móvil también es suficiente. Todo esto es un trabajo de Stefan Savega, un profesor de ciencias de la Universidad de San Diego en California, que publicó recientemente sus investigaciones (Keys can be copied from afar) y explicó con algunos ejemplos prácticos cómo funciona un software diseñado al efecto para tal tarea. Desde siempre se ha sabido que las llaves convencionales no son tan difíciles de imitar como parece; según el artículo algunos cerrajeros pueden incluso hacer copias «a ojo» viendo una llave original o una foto en alta resolución. Una llave corriente de un modelo determinado (fácilmente identificables a simple vista) encaja en una cerradura que tiene habitualmente cinco o seis pines en un tambor, separados a intervalos regulares. Cada uno de ellos se ajusta a una altura determinada, pero el número de «alturas» o «escalones» también tiene un valor finito (normalmente alrededor de diez). El punto en que coinciden las sinuosas curvas de la llave con las posiciones de los pines determina una especie de código de la llave. El total teórico de llaves «posibles» de un modelo determinado se obtiene a partir de ambos valores; por ejemplo digamos 10 posiciones y cinco pines, 10⁵ = 100.000 llaves diferentes.

Attacks Against The Mechanical Pin Tumbler Lock [PDF]

El software de Stefan Savega utiliza técnicas de reconocimiento de imagen relativas a lo ángulos de la escena, de modo que a partir de la forma de los dientes de las llaves fotografiadas y tras algunas pistas (puntos de control) que introduce el operador puede recrear una imagen normalizada (plana) de la llave. A partir de ahí se calculan las alturas de los pines y se obtienen los valores únicos que permiten reproducirla sin demasiados problemas. Los avances en reconocimiento y fotografía, con imágenes cada vez de mayor calidad y la alta potencia de los zooms y teleobjetivos hacen la tarea más fácil. La versión de baja tecnología de esta técnica puede leerse en Duplicating a key from only a picture, que puede servir para cerraduras de baja calidad como las típicas de los escritorios o puertas de baja seguridad. Una foto cualquiera, un poco de habilidad con Photoshop (usando por ejemplo una moneda como guía de control), recortar una lata con la forma adecuada, y voilà, cerradura abierta. Una derivada interesante del asunto es que la gente que tenga un nivel especialmente alto paranoia ya puede añadir a sus agobios el pensar en retirar de los sitios de alojamiento de fotos todas las que contengan llaves porque a lo mejor van por ahí con una sonrisa enseñando complacientemente las llaves de su casa nueva y dentro de unas semanas cuando abran la puerta, algún listo les ha desplumado.

Abrir cerraduras con piezas de ordenador, otra técnica
How To Open Locks With Improvised Tools, a lo McGyver

Controvertida demostración: cómo «pinchar» teclados, a distancia

Tue, 21 Oct 2008 10:53:07 +0100

Compromising Electromagnetic Emanations of Keyboards
por Martin Vuagnoux

Compromising electromagnetic emanations of wired keyboards (Cómo pueden verse comprometidas las emisiones electromagnéticas de los teclados con cable) es un curioso trabajo de Martin Vuagnoux y Sylvain Pasini en el que se presenta una demostración de cómo se pueden «pinchar» a distancia las emisiones electromagnéticas de algunos teclados, lo que permite reconstruir lo que se está tecleando, una forma de espionaje remoto que a priori suena bastante «peligrosa». En la página hay un segundo vídeo. Según los datos mencionados en el artículo, esto sucede sólo algunos teclados, no con todos (probaron once modelos, todos conectados por cable al ordenador, no inalámbricos). En las pruebas dicen haber capturado datos a distancias entre 1 y 20 metros y que hay al menos cuatro formas distintas de hacerlo. ¿Es real o se trata de un fake o una simple broma? No queda del todo claro. Parece que en teoría lo que cuentan podría ser posible, y se ha oído hablar desde hace años de técnicas similares (capturar lo que se teclea por el «sonido» de las teclas, las emisiones de los monitores y demás) pero hay un montón de cuestiones en el aire. En el vídeo se ve cómo se conecta el teclado a un portátil en vez de a un ordenador de sobremesa, para eliminar las intereferencias de la fuente de alimentación. También se aparta el monitor. (Eso ya no sería un montaje muy realista, pero bueno.) Aparte de eso, está la cuestión de que los cables de los teclados suelen ser apantallados, pero puede que algunos modelos por alguna razón usen un cable diferente. También está la cuestión de que el ritmo del tecleado máximo para que funcione esta técnica es de una tecla por segundo, algo poco realista en un escenario real, como lo es que el ordenador estuviera aislado y no rodeado de decenas de otros teclados en una oficina. Tampoco se explica cómo distinguien unas teclas de otras: si es por algún tipo de característica particular que hay que «reconocer» previamente, tal vez fuera necesario tener acceso a ese teclado antes de poder interceptarlo, pero no se explica si se hace así o de otra forma. En definitiva, es interesante examinar los vídeos e intentar imaginar cómo funciona la idea. Creo que puede clasificarse como técnica posible pero poco probable, tal vez algo que pudiera funcionar en condiciones de laboratorio, pero no en un escenario real. Sin más datos el vídeo no terminar de demostrar nada realmente, simplemente arroja más dudas sobre cómo funciona la técnica, así que lo más cauteloso es dejarlo marcado de momento como probable fake hasta que se tengan más datos. (Vía Hack-a-Day: Eavesdrop on keyboards wirelessly.) Actualización: Un enlace interesante que nos envió Xaquín sobre estas técnicas: Tempestades electromagnéticas desde tu ordenador, una completa presentación con referencias a TEMPEST, el (contra)espionaje electromagnético.

La economía del mercado negro para superar los CAPTCHAS

Thu, 25 Sep 2008 10:00:00 +0100

Se está pagando en el mercado negro entre 0,70 y 1,20 dólares por por cada 1.000 CAPTCHAS rotos, «adivinados» por seres humanos desde algún lugar del planeta, con quién sabe qué oscuro propósito: crear cuentas falsas, enviar spam y actividades similares. Hay quien busca contratar «equipos» que trabajen 24 horas la día, y quien pide contratar grupos que puedan romper entre 20.000 y 100.000 por día. En el otro lado hay quien ofrece equipos de cientos y cientos de personas para trabajar sin parar. Calculando que parece razoanble que se pueda responder a una de estas «pruebas para distinguir a los seres humanos de los robots» cada dos o tres segundos, eso supondrían unos 2 dólares por hora, que es más que el salario por día en muchos lugares del tercer mundo. La fuente de estos datos son algunos anuncios para «freelances» a los que llegué vía reddit.

Crackearon la cuenta de correo de la gobernadora Sarah Palin

Wed, 17 Sep 2008 20:53:04 +0100

La vida se parece cada vez más a… WTF, a cualquier película mala en la que haya ordenadores involucrados, la verdad. Resulta que unos tipos crackearon el correo de la gobernadora de Alaska y candidata a la vicepresidencia de EE.UU., que además del «correo oficial» resulta que usaba uno tan altamente WTF como gov.palin@yahoo.com (sí, pone @yahoo. y-a-h-o-o-punto-com). Hay quien ha confirmado la autenticiad de alguno de los cuatro o cinco correos que se han filtrado, según cuenta Wired. No se sabe cómo lo han hecho pero, ¡pssssss! el Capitán Obvio me dijo que tal vez adivinaron su contraseña, dado que la seguridad no era algo que pareciera preocuparle, en vista de que no parece una lince de Internet. Esto ahora supone una controversia acerca del uso de cuentas «privadas» (a.k.a. «de juguete») para fines oficiales, y luego vendrá la historia de lo que dicen los mensajes y lo que le acaba pasando al/los crackers. La cuenta ha sido borrada, probablemente por ella misma, lo cual dicen que podría incluso constituir un delito de destrucción de pruebas si realmente contenía documentos oficiales. La historia completa está en este hilo, hay pantallazos en Gawker y más en MetaFilter. El sitio donde se hizo público creo que fue WikiLeaks, un wiki dedicado a las denuncias públicas. Aprovecho el momento para recomendar el hilarante y muy circulado vídeo de Matt Damon preguntándose el porqué de la elección de Palin para un puesto tan relevante (que incluiría reemplazar al Presidente si fuera necesario). En su intervención viene a decir que:

(…) Creo que tiene ciertas posibilidades incluso de llegar a ser Presidenta, y me da miedo (…) Querría preguntarle a Palin si realmente cree que había dinosauros hace 4.000 años rulando por el planeta Tierra. En serio. Es importante, quiero saberlo. Porque si ganan, ella va a tener acceso a los códigos de las armas nucleares. Quiero saber si realmente cree que había dinosaurios por aquí hace 4.000 años.

Actualización (18 de septiembre de 2008): Se ha sabido que la contraseña de la cuenta era popcorn (palomitas de maíz). Actualización (19 de septiembre de 2008): El el blog de Michelle Malkin se cuenta con detalles la historia completa de cómo la persona identificada solamente como Anonymous accedió a la cuenta. La contraseña no era en realidad popcorn. Para acceder utilizaron la función de «recuperar contraseña» de Yahoo, acertando correctamente a todas las «preguntas secretas» (supuestamente) que dan acceso: fecha de nacimiento, código postal donde vives, «dónde conociste a tu marido» y cosas así – lo cual era bastante público en el caso de la candidata. De ese modo accedieron a la cuenta, hicieron el ganso un rato, la cambiaron la contraseña por popcorn y circuló por algunos foros, de donde salieron las capturas de pantalla y mensajes originales. Entonces un caballero blanco decidió que ya estaba bien de hacer el canelo y volvió a cambiar la contraseña por otra, que le envió a Sarah Palin, momento en el que la cuenta fue borrada, supuestamente por su legítima propietaria.

Cómo crear señales falsas de «satélites GPS» inexistentes

Wed, 17 Sep 2008 18:25:41 +0100

No sabía que esto se pudiera hacer, pero según cuenta en su blog Bruce Scheneier existe una técnica llamada GPS Spoofing que permite falsear las señales que reciben los GPS, digna de película de «gran robo al banco». La idea se basa en utilizar un ordenador y algo llamado «simulador de satélite» que no es muy difícil de conseguir. Esa combinación permite emitir una señal como si fuera uno de los satélites que orbitan la tierra, pero con datos falsos, que confunde a los receptores GPS que estén en la zona. El invento no es demasiado caro y por otra parte parece que los simuladores de GPS se comercializan sin mayores problemas. Los expertos investigadores hicieron un par de demostraciones prácticas, de estilo «cómo robar un camión de seguridad»: muchos de los camiones de las empresas de seguridad llevan alarmas y GPSs que se comunican con la central y envían la señal de su posición; si se desvían de su ruta llega un aviso. En las pruebas se consiguió «secuestrar» el camión mientras se hacía creer a su GPS que estaba parado, o en otra ruta, con interferencias que funcionaron a casi un kilómetro de distancia (y podrían ser más). Los receptores GPS convencionales «confían» en la «señal más fuerte que reciben» y ésta puede ser la señal falsa del simulador de satélite, frente a la de los satélites reales. En el mismo artículo se explica cómo solucionar esta vulnerabilidad, que se conoce al parecer desde hace muchos años.