Microsiervos | Seguridad

Un ataque DDoS a un servidor visualizado al estilo videojuego

Fri, 26 Apr 2013 22:45:25 +0100

Si tienes un servidor de algún tipo, mejor que no te suceda nunca esto: un ataque DDoS, uno de los más letales que hay en la Red. Básicamente consiste en la saturación de un servidor (en el vídeo, a la derecha: /vlc/2.06/…) con miles y miles de peticiones aparentemente «normales» hechas desde distintas direcciones de Internet (izquierda). El resultado es una sobrecarga tan colosal que hace que los servidores atacados no pueda responder a tamaño volumen de solicitudes. Las empresas afectadas o los servicios de alojamiento suelen desconectar los servidores atacados para evitar problemas con otras máquinas cercanas y poder sobreponerse. Lo peor es que aunque existen soluciones técnicas no hay una forma fácil y sencilla de parar un DDoS, ni siquiera para las grandes empresas: casi todas las fórmulas involucran una combinación de cortafuegos, routers y software «defensivo» que suele ser caro o complicado de mantener y administrar. Muchos servidores atacados optan por rendirse y morder el polvo, esperando tranquilamente a que «pase la tormenta» al cabo de unas horas o días. Los ataques DDoS que matan casi instantáneamente a muchas webs suelen deberse a cabreos mayúsculos contra alguna empresa u organización tras algún suceso importante, por cuestiones comerciales o especulativas y, cómo no, también por motivos políticos – de hecho son un arma relevante en toda ciberguerrilla para causar el caos en el adversario. Entre los sitios populares que han recibido últimamente este tipo de ataques están WikiLeaks, Mt. Gox (mercado de bitcoin) o este reciente a VideoLAN (desarrolladores de vídeo VLC) que fueron los que han grabado y facilitado el vídeo que encabeza esta anotación. (Vía Geek.com.)

iMessage como sistema de comunicación seguro

Sat, 06 Apr 2013 23:29:41 +0100

En CNET revelan un dato muy relevante pero poco conocido acerca de la seguridad de las comunicaciones en los mensajes enviados y transmitidos a través de iMessage de Apple:

En cierta documentación interna de la agencia antidrogas (DEA, Estados Unidos) a la que hemos tenido acceso se habla de una investigación llevada a cabo en febrero de 2013 en la que debido a la utilización de un sistema de cifrado las autoridades afirman que «es totalmente imposible interceptar los mensajes transmitidos a través de la aplicación iMessage entre dos dispositivos, incluso con la orden de un juez (…) Tras solicitar una orden judicial y colaborar con Verizon para capturar ciertos mensajes quedó claro rápidamente que no se estaban capturando todos los textos que se estaban transmitiendo.»

En general parece que aunque interceptar llamadas de voz y texto a través de otros sistemas es casi trivial con iMessage sucede todo lo contrario: a veces, dicen, se pueden extraer textos cuando iMessage envía mensajes entre un iPhone y un dispositivo diferente, pero cuando se usan dos dispositivos Apple en ambos extremos de la comunicación su protección es imposible de «romper» incluso para las autoridades. Es curioso que esto esté sucediendo: aunque iMessage se diseñó como una herramienta muy segura –dado que todo el mundo sabe que otras como Whatsapp, Messenger/Skype o los SMS son fácilmente interceptables– iMessage no estaba concebida como se suele decir «a prueba de gobiernos».

«Facebook Home destruye cualquier noción de privacidad»

Fri, 05 Apr 2013 14:09:43 +0100

Om Malik, Why Facebook Home bothers me: It destroys any notion of privacy,

El GPS del teléfono puede enviar información constante a los servidores de Facebook [«infractor reincidente en cuestiones de privacidad»], indicando tu paradero en todo momento.

De modo que si tu teléfono no se mueve de un mismo lugar entre las 22h y las 6h durante, digamos, una semana, Facebook puede deducir que esa ubicación es tu hogar. Facebook será capaz de localizar en un mapa dónde está tu casa aunque nunca hayas indicado tu dirección personal en Facebook.

Así Facebook puede comenzar a construir un perfil de ti mejor y más completo. Puede correlacionar todas tus relaciones, las tiendas en las que compras, los restaurantes en los que comes y otros muchos datos. El acelerómetro del teléfono le dirá a Facebook si estás caminando, corriendo o conduciendo.

El problema es que Facebook va a utilizar todos esos datos —no para mejorar tu vida— sino para mejorar sus campañas de publicidad.

El hombre que espiaba a los satélites espía

Fri, 08 Mar 2013 17:16:44 +0100

El cazador de satélites es otro magnífico minidocumental (en inglés con subtítulos en español) de la serie Space Out de Vice.

Thierry Legault es un renombrado astrofotógrafo que documenta las órbitas de los planetas, las distantes galaxias, las aeronaves espaciales y, para el disgusto de la comunidad de inteligencia, también retrata los satélites de espionaje que se supone que no deberíamos ver.

Algunas de las imágenes de Legault se pueden ver en su página web, incluyendo lo que al parecer es el transbordador espacial no tripulado X-37B. Aunque lo cierto es que hay que echarle imaginación para distinguirlo. En otros casos el objeto observado se ve tan claramente que impresiona teniendo en cuenta que está a más de 300 km de distancia, caso de estas imágenes del Discovery (misión STS-131) en órbita y atracado en la Estación Espacial Internacional.

Congelan un móvil para acceder a su contenido cifrado

Fri, 08 Mar 2013 12:04:47 +0100

En BBC News, Frozen Android phones give up data secrets,

Investigadores de la universidad alemana Friedrich-Alexander pusieron un teléfono Android, un Google Nexus de Samsung, en un congelador durante una hora hasta que el móvil alcanzó una temperatura de 10 grados bajo cero. Después quitaron y pusieron de nuevo la batería del teléfono congelado, lo que dejó el móvil en un modo vulnerable. Ese momento les permitió iniciar el teléfono con un software para Linux desarrollado por los investigadores [apropiadamente] llamado Frost, Forensic Recovery of Scrambled Telephones (recuperación forense de teléfonos cifrados) con el que pudieron copiar datos contenidos en el teléfono [protegidos con el mecanismo de cifrado de Android 4.0 y superiores] y transferirlos al ordenador.

No está claro hasta qué punto es necesario congelar el teléfono —al parecer el frío hace que la RAM retenga datos clave antes del reinicio—, pero desde luego el método da una nueva dimensión al significado de ataque por arranque en frío.

Siete consejos de sentido común relacionados con las contraseñas del ordenador

Fri, 01 Mar 2013 09:38:20 +0100

Este artículo se publicó originalmente en Sin vuelta de hoja, un blog de MásMóvil donde colaboramos semanalmente con el objetivo de contar cosas sensatas y relajantes relacionadas con la tecnología y la ciencia. A diario accedemos a un montón de servicios en el ordenador. En muchos de ellos hay que identificarse con un nombre, correo y una contraseña. Mucha gente considera esto una incomodidad más que la forma de proteger su información y su privacidad, y no pone mucho cuidado, sin saber que alguien que pueda adivinar o robar una contraseña puede hacerse con relativa facilidad con otras más importantes (como las del correo o el banco) y llegar a producir verdaderos trastornos. Entre los errores más comunes están elegir contraseñas «fáciles de adivinar», usar la misma contraseña en diversos servicios o emplear contraseñas «débiles» de pocas letras. Aparte de eso hay otros problemas más peliagudos: gente que comparte o revela contraseñas (algo que nunca se debe hacer) o quien es víctima de la ingeniería social, de engaños a través de correo o de robo de información mediante software malicioso o dispositivos hardware como los keyloggers. En cualquier caso, centrándonos en el punto más vulnerable que afecta a todos los usuarios de ordenadores, estos serían los más importantes

7 consejos de sentido común relacionados con las contraseñas

No utilizar palabras que estén en los diccionarios ni que sean demasiado comunes. Existen programas maliciosos especializados en ir probando miles y miles de palabras de diccionarios ya existentes, hasta que aciertan a «adivinar» las contraseñas. Cualquier palabra que esté en un diccionario, en cualquier idioma, debe ser considerada insegura.
Evitar las contraseñas más típicas que la gente usa en el ordenador. Al parecer la gente no tiene mucha imaginación y las contraseñas favoritas son siempre las mismas: 1111, 1234, password, querty… Hay listas y listas con cientos de ellas – que también prueban los atacantes mediante diccionarios. Twitter tuvo que prohibir 370 contraseñas demasiado obvias para evitar que robar cuentas a los famosos fuera casi trivial.
Complicar las contraseñas con mayúsculas y minúsculas, números y otros caracteres. Basta añadir algunas mayúsculas, además de números y otros caracteres especiales, para hacer más «fuerte» una contraseña. Por ejemplo: escribiendo las tres o cinco primeras letras en mayúscula, o la última (BOBesponjA), anteponiendo un número (1313prohibidO) o usando dos o más palabras separadas por un guión (Tango*Alfa*Charlie67).
No repetir contraseñas. Aquí se trata de encontrar un equilibrio entre lo ideal (una contraseña distinta para cada servicio: lo más seguro) y la comodidad (tener treinta o cuarenta contraseñas: poco práctico). Se puede, por ejemplo, usar contraseñas muy seguras y distintas en sitios importantes: correo, banco, etcétera. Y dejar otra contraseña genérica para sitios menos vitales: foros, juegos, sitios de prueba y demás. Hay que recordar que si algún «malo» se hace con una contraseña en cualquier servicio –el más débil de ellos– sin duda la probará en todos los demás.
No utilizar palabras obvias como contraseñas: nombres propios, de ciudades, famosos, mascotas, fechas de nacimiento… Casi todos esas palabras o bien están en los diccionarios o bien son fácilmente adivinables. Hay que ponérselo un poco más difícil a quien quiera robarlas.
No escribir la contraseña en papel y pegarla en la pantalla, bajo el teclado o en la última hoja de la agenda que está en el cajón. Esos son los sitios obvios donde primero mirará alguien que tenga acceso a nuestro ordenador. Es especialmente delicado no tanto en casa como en el puesto de trabajo, por donde puede pasar cualquiera a distintas horas.
No escribir obviedades en las «pregunta secretas para recuperar la contraseña»: ignorar esa función. Algunos servicios de Internet están mal diseñados y permiten «recuperar» la contraseña si se responde a una «pregunta secreta» que se supone que solo uno conoce. El problema es que a veces esto depende de una lista de preguntas demasiado obvias: nombre de la ciudad de nacimiento, segundo apellido, nombre de la madre, DNI… Es mejor no utilizar esa función –que es muy débil– e ignorarla, rellenándola con cualquier texto falso. En caso de que se nos olvide la contraseña es más práctico pedir una nueva por correo con típica función «Olvidé mi contraseña».

Y un último consejo: recuerda que, como dicen los expertos en seguridad informática, las contraseñas son como los cepillos de dientes, todo el mundo tiene las suyas pero no hay que compartirlas. Con eso evitarás no sólo que otras personas puedan acceder sino que se las puedan robar a esas personas y por extensión causarte problemas a ti.

{Foto Passwords (CC) Kate Bingaman-Burt @ Flickr}

Cómo desbloquear (un poco) un iPhone protegido con código PIN con un combo de teclas casi infantil

Sat, 16 Feb 2013 13:15:50 +0100

Este truco casi infantil que se ve en el vídeo funciona con la última versión de iOS 6.1 en los iPhone; permite saltarse la contraseña de protección del teléfono (PIN) de 4 dígitos y acceder a parte de la agenda, últimas llamadas etcétera. La técnica consiste en una combinación de tecleas rápida como en los videojuegos: que si pulsar el botón de apagado, simular una llamada de emergencia pero colgando al instante, pulsando de nuevo otras teclas… Tampoco es que con esto puedas acceder a todo el contenido del teléfono pero bueno: te permite hacer llamadas, acceder al buzón de voz y ver datos que deberían estar ocultos, como las fotos. Seguro que Apple lo arregla con el próximo parche del sistema, así que tampoco es el fin del mundo. Más bien una curiosidad que muestra lo fácil que es que aparezca un agujero de seguridad en cualquier lado. (Vía «el maestro» @kevinmitnick.)

HelloSign: una forma de hacer fáciles las firmas «tradicionales» en documentos digitales

Thu, 17 Jan 2013 18:11:43 +0100

Me gustó la idea de HelloSign porque es como deberían ser las firmas digitales en todos los sistemas de mensajería: sencillas, seguras y rápidas. ¿Cómo funciona? Al recibir un documento por correo en PDF, Word u otros formatos que tengas que «firmar» simplemente haces un clic, firmas con trazos con el ratón en un recuadro y pulsas el botón de envío. Este software es gratis y dicen que cumple diversas directivas (incluyendo la europea EC/1999/93) de modo que firmar PDFs en Mac OS X a partir de una firma digitalizada con la webcam. HelloSign de momento funciona con iPhone, iPad y Gmail y la gente ya está pidiendo la versión para tabletas y teléfonos Android.

Así funciona una máquina Enigma

Sun, 13 Jan 2013 18:39:02 +0100

Este detallado vídeo de Brady Haran muestra el funcionamiento de una máquina criptográfica Enigma, la utilizada por los alemanes duranate la II Guerra Mundial para comunicarse secretamente. Como es bien sabido el hecho de que los criptoanalistas aliados rompieran los códigos de esta máquina «supuestamente indescifrable» fue decisivo para el final de la contienda. Tal y como explican es uno de los mejores ejemplos de cómo las matemáticas pueden salvar vidas humanas – uno de los detalles que a mi personalmente siempre me apasionó de esta historia: que un pequeño grupo de pirados por los números pudiera ser decisivo para decantar definitivamente la mayor de las guerras que hemos sufrido en la historia. El vídeo tiene algo más de diez minutos y aunque está en inglés tiene unos subtítulos estupendos también en inglés, de modo que es más fácil de seguir. Otra anécdota interesante es que la máquina en cuestión que aparece es una Enigma original de 1936 propiedad de Simon Singh, uno de nuestros autores divulgadores favoritos. Es el autor de libros como El ultimo teorema de Fermat o Los codigos secretos; en este último se habla extensamente de la máquina Enigma.

La semana de las máquinas Enigma, algunos enlaces
Codebreakers: The Inside Story of Bletchley Park, gran libro
The Codebreakers, la historia definitiva de la criptografía

Cómo te pueden entrar hasta la cocina en el móvil por el agujero más imprevisto

Thu, 29 Nov 2012 19:29:25 +0100

A través de la clavija de audio:

En la conferencia sobre hardware malicioso MalCon Atul Alex ha presentado en una charla una técnica sobre el robo de datos de teléfonos inteligentes a través del jack de audio.

Según el investigador se podrían, de forma fácil, hacer llamadas telefónicas sin intervención del usuario, saber la duración de las llamadas, detectar la entrada y salida de llamadas, SMS, etcétera. También se podrían grabar los números que se marcan a la hora de hacer una llamada, listar los nombres de la lista de contactos, grabar llamadas telefónicas…

Esto abre un nuevo vector de ataque en dispositivos inteligentes, aunque requiera acceso físico al terminal. Ya ocurrió algo parecido hace un par de años en la conferencia Defcon cuando alguien puso un cargador de dispositivos móviles falso.

Este agujero de seguridad afectaría a teléfonos móviles como los iPhones, Android, Blackberries y Windows Phone, el pack completo, vamos. (Vía CyberHades.)

En una carrera entre un coche que conduce solo y un coche conducido por un humano, ¿quién gana?

Tue, 06 Nov 2012 12:22:18 +0100

En The Atlantic,

Un piloto humano percibe constantemente cuáles son los límites del coche y los lleva un poco más allá. La diferencia entre lo que es capaz de hacer un coche y hasta dónde lo puede llevar un humano es muy pequeña. Entonces, ¿quién ganaría en una carrera entre un piloto humano y un imitador en forma de volante robotizado? El humano, por supuesto. Pero sólo por unos míseros segundos.

El vehículo autónomo ha sido desarrollado por el Center for Automotive Research at Stanford (CARS), y es similar al utilizado para en la carrera a la cumbre del Pikes Peak el año pasado.

Un pelota con cámaras que toma imágenes de 360 grados a distancia

Tue, 06 Nov 2012 11:53:07 +0100

Bounce Imaging es una pequeña pelota provista de seis cámaras y sensores. Capturas imágene de 360 grados, todo lo que hay a su alrededor. Sirve, por ejemplo, para revisar el interior de un edificio inestable o contaminado o ver en el interior de una habitación en llamas, llena de humo (las cámaras pueden ver en el infrarrojo) o en la que se atrincheran los malos, sin el riesgo de que alguien tenga que asomarse, siquiera acercarse demasiado.

La espiral de los agujeros de seguridad

Tue, 06 Nov 2012 08:00:00 +0100

Cuanto más grande el agujero, más problemas de seguridad ha tenido esa plataforma. La lista completa puede consultarse en Top exploited platforms, procede de la Exploit Database. A simple vista se puede verse que las más propensas a fallos de seguridad son, por este orden 1. PHP, 2. Windows, 3. Linux, 4 (varios), 5. ASP, 6. (hardware), 7. CGIs, 8. Unix, 9, Lin/x86, 10. Solaris y 11. Mac OS X.

Cuidado con las apps de Android y los Wi-Fi poco seguros

Wed, 31 Oct 2012 16:00:00 +0100

Unos investigadores expertos en seguridad han descubierto que de los cientos de miles de aplicaciones Android que hay por ahí un 8 por ciento más o menos transmiten la información de forma no segura. El problema es que los atacantes maliciosos pueden crear hotspots Wi-Fi para interceptar los datos y aprovecharse de ello para robar cuentas, contraseñas, datos bancarios y todo lo que circule por ahí. Muchas apps emplean incorrectamente los protocolos HTTPS/SSL/TTS así que ni siquiera eso es garantía de seguridad – además de que la mitad de la gente no sabe ni lo que significan, ni qué indican los iconos o mensajes de aplicaciones como el navegador web o las alertas sobre certificados seguros. El estudio tiene el simpático y descriptivo nombre de Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security [PDF], algo así como «un análisis de la (in)seguridad de Android). Los detalles más relevantes sobre sus experimentos y todo lo que han analizado los he publicado en este artículo para RTVE.es: La seguridad de los datos personales enviados a través de redes Wi-Fi y dispositivos Android, en entredicho, que incluye algunos consejos para evitar problemas serios.

La contraseña es incorrecta, para variar

Wed, 31 Oct 2012 12:32:17 +0100

Vi pasar esta ocurrencia en Twitter sobre el coñazo supino que es recordar y utilizar tantas contraseñas al cabo del día. En Contraseña incorrecta (para variar) recopilo algunas prácticas y sugerencias que pueden servir para elegir y recordar contraseñas variadas sin que suponga un infierno —que lo es— más allá de lo necesario.

Cámaras de seguridad capaces de predecir lo que harás a continuación

Tue, 30 Oct 2012 10:39:10 +0100

Imagina que vas circulando por una calle de doble sentido y decides hacer una cambio de sentido por las bravas, en medio de la calle y saltándote la doble línea continua que separa ambos carriles. Alguien podría verte a través de una cámara de tráfico. O podría ser que nadie lo viera en ese momento. Hasta que una de esas cámaras de tráfico está conectada a un software que puede predecir qué es lo siguiente que harán —o que deberían hacer— los objetos y las personas observadas. Y detectar comportamientos ilícitos o anómalos. En ese caso harías saltar la alarma: el pronóstico de actividad esperaba que siguieses recto por esa calle, pero no es así. Así que el sistema detecta que hay un comportamiento que se sale de lo previsto. Y te pillan. En teoría el sistema es capaz de detectar comportamientos aún más complejos. Por ejemplo «alguien que deja una bolsa o una maleta en el suelo, en un aeropuerto o una estación de tren, y se aleja de ella más de lo ‘normal’» también sería un comporamiento sospechoso para el sistema, que avisaría automáticamente al personal de seguridad. Más en U.S. looks to replace human surveillance with computers, vía SlashGear.

Hackeando la seguridad de los abonos del transporte público

Tue, 23 Oct 2012 21:00:00 +0100

¿Cómo descifran y rompen los hackers la seguridad de las tarjetas de transporte público? (en RTVE.es). Desde el truco del cartoncillo en los bonobuses al descifrado del contenido de los chips NFC/RFID de las tarjetas actuales, pasando por copias de bandas magnéticas, borrados selectivos y el hackeo directo de los terminales de venta –equipados en algunas ciudades de España todavía con un obsoleto Windows XP– todo es posible.

El negocio de la compraventa de «bugs informáticos»

Mon, 08 Oct 2012 12:12:54 +0100

The Shadowy World Of Selling Software Bugs - And How It Makes Us All Less Safe

Actualmente numerosos fabricantes de software ofrecen recompensas por localizar errores [fallos o «bugs informáticos»] en sus programas. Por ejemplo, Google ofrece como mínimo 1.000 dólares a quien encuentra un fallo en su navegador web Chrome.

Y también existen compañías que compran estos bugs a quien los descubre para vendérselos a los fabricantes [del software afectado].

Pero la verdadera pasta está en compañías que se dedican al lucrativo negocio de vender bugs a agencias gubernamentales que utilizan esa información para acceder a ordenadores y móviles de sospechosos de crímenes y espionaje. Algunas grandes empresas también hacen este tipo de compras.

Al parecer este mercado es completamente legal. Otra cosa es lo que se haga con ello. Malditos bugs.

El inquietante caso de las inseguras contraseñas de Hotmail con un máximo de 16 caracteres

Thu, 27 Sep 2012 10:00:00 +0100

Para Hotmail

mivozesmipasaporte*18276812763817236552

es la misma contraseña que

mivozesmipasaporte*11111111111111111111

En Ars Technica cuentan una interesante historia sobre una extraña práctica que ha venido utilizando Microsoft en los últimos años en Hotmail vulnerando unas cuantas buenas prácticas acerca de la gestión de contraseñas: Secret Microsoft policy limited Hotmail passwords to 16 characters. El resumen es que las contraseñas de Hotmail están limitadas a 16 caracteres, pero antiguamente lo estaban… o algo así: permitían teclear muchos más caracteres (20, 30…) aunque en realidad parece que no se usaban para nada (!) Ahora las contraseñas largas siguen funcionando, pero únicamente si tecleas los primeros 16 caracteres. Lo peor es que eso quiere decir que o bien las contraseñas se guardaban sin cifrar (en texto claro, «uno de los mayores pecados que puede cometer un administrador») o bien los caracteres del 17º en adelante nunca han servido para nada y se ignoraban – proporcionando a la gente una falsa sensación de seguridad. El mayor problema es lo que puede verse arriba: contraseñas que parecen seguras y casi aleatorias por usar muchas letras y números… pero que no son tales porque las letras o palabras del comienzo son exactamente las mismas. De hecho con

mivozesmipasapor

estarías dentro. Un aplauso para Costin Raiu de Kaspersky Lab que según explican en Ars Technica fue quien se dio cuenta de las importantes implicaciones de un detalle tan aparentemente trivial en la pantalla de entrada a Hotmail.

El tipo que se coló en el Banco de Francia con la clave «123456»

Tue, 25 Sep 2012 13:00:00 +0100

Ruedas de cifrado de una máquina Lorenz - CC Matt Crypto

Si no se hubiera celebrado un juicio acerca de este caso no sé si acabaría de creérmelo, pero por lo visto un ciudadano francés se las apañó allá por 2008 para entrar en el servicio de atención de llamadas del departamento de deudas del Banco de Francia casi sin comerlo ni beberlo. Resulta que estaba viendo si encontraba una forma de utilizar números de teléfono con tarificación especial usando y para ello iba probando distintos teléfonos –un poco al estilo del protagonista de Juegos de guerra– a ver si había suerte. En un momento dado uno de los teléfonos a los que llamó, sin identificarse para nada como un servicio del Banco de Francia, le pidió una clave, y él introdujo la complicada clave 123456. El sistema siguió sin identificarse, pero le dejó entrar, aunque por lo visto como no vio forma de hacer nada, colgó y siguió a lo suyo. Pero los sistemas de ¿seguridad? del Banco de Francia sí detectaron su intrusión con lo que el servicio quedó bloqueado durante 48 horas mientras revisaban qué había pasado, e imagino que mientras rodaban algunas cabezas por allí. Tras la denuncia oportuna la policía se puso en el caso, aunque hasta 2010 no fueron capaces de localizar a este individuo, a pesar de que se había registrado en Skype con sus datos reales, al parecer porque las peticiones de la justicia francesa a Skype, que tiene sede en Luxemburgo se retrasaron y se retrasaron y se retrasaron… La cosa es que el pobre hombre fue detenido y llevado a juicio, aunque acaba de ser declarado inocente por el tribunal que llevaba el caso al no apreciar indicios de intencionalidad, tal y como se puede leer en Entré par hasard sur un serveur de la Banque de France, l'internaute est relaxé. Ah, y parece ser que la clave 654321 también funcionaba :S Y no, tan siquiera se puede decir que el hombre este haya hackeado nada. (Vía Slashdot, sin tener que meter clave alguna ni nada).

Los PIN de seguridad más corrientes (y también los menos habituales y predecibles), Las 10 contraseñas de iPhone más populares y Las 25 contraseñas más populares –y lamentables, todo sea dicho– en los Estados Unidos… Si es que parece que no tenemos remedio.

Aplicaciones móviles que reastrean al usuario aunque no las esté utilizando

Tue, 04 Sep 2012 11:54:26 +0100

Según el estudio de investigadores del MIT mencionado por The Boston Globe,

Algunas aplicaciones de smartphones recogen y transmiten información personal almacenada en el teléfono, incluyendo la ubicación, contactos y el historial de navegación web, incluso cuando dichas aplicaciones no se está utilizando.

El estudio se realizó con teléfonos con sistema operativo Android dado que éste permite hacer las modificaciones necesarias para llevar a cabo la investigación. Lo que los investigadores no han podido determinar es si sucede algo similar en los iPhone y iPad. Aunque sí se sabe que este tipo de aplicaciones, en cualquier plataforma móvil, son grandes devoradoras de la batería del teléfono. Una de las aplicaciones que hacen esto, según el estudio, es Angry Birds, que en su versión gratuita muestra anuncios publicitarios y el contenido de éstos dependen de la ubicación geográfica del usuario. También WhatsApp revisa la agenda del usuario para determinar aquellos números que también hacen uso de tal aplicación aunque, según WhatsApp «no copia nombres, direcciones ni correo electrónico de la agenda del teléfono». Vía @AngryBirdsApps [cuenta NO oficial de AngryBirds]

Las 25 contraseñas más populares –y lamentables, todo sea dicho– en los Estados Unidos

Mon, 11 Jun 2012 23:00:00 +0100

Si esta lista de las 25 contraseñas más populares en los Estados Unidos que aparece en la lista 10,000 Top Passwords del consultor de seguridad Mark Burnett es cierta, y no parece que haya motivo para dudarlo, lo del vídeo sobre escoger nuevas contraseñas se va a quedar muy muy corto

password
123456
12345678
1234
qwerty
12345
dragon
pussy
baseball
football
letmein
monkey
696969
abc123
mustang
michael
shadow
master
jennifer
111111
2000
jordan
superman
harley
1234567

¿Qué fue de aquello de al menos mezclar letras, números y símbolos? ¿O de aquello de no escoger cosas tan obvias como 1234 y tal? (Vía Business Insider).

La razón por la que las contraseñas no se escriben en un papel
Adiós a las contraseñas: autenticación cognoscitiva por tu forma de pensar
Una forma sencilla de comprobar si te ponen los cuernos
000000: cómo abrir cajas fuertes
Las 10 contraseñas de iPhone más populares
Una idea sobre contraseñas: sistemas más seguros sin perder flexibilidad
Trucos fáciles para mejorar las contraseñas de uso cotidiano, consejos
Seguridad en la oficina: seis errores típicos
No le enseñes tu contraseña a tu loro, impactante consejo
¿Cómo hace Bruce Schneier para recordar todas sus contraseñas?, sabios consejos del Chuck Norris de la seguridad informática

Elegir una nueva contraseña no siempre es fácil

Mon, 04 Jun 2012 10:17:22 +0100

Desde el departamento de yo-ya-he-vivido-esto nos llega la versión humorística de UCB Comedy sobre uno de los problemas habituales de algunos servicios de Internet: lo porculeros que son a la hora de obligarte a elegir una contraseña.

La razón por la que las contraseñas no se escriben en un papel
Adiós a las contraseñas: autenticación cognoscitiva por tu forma de pensar
Una forma sencilla de comprobar si te ponen los cuernos
000000: cómo abrir cajas fuertes
Las 10 contraseñas de iPhone más populares
Una idea sobre contraseñas: sistemas más seguros sin perder flexibilidad
Trucos fáciles para mejorar las contraseñas de uso cotidiano, consejos
Seguridad en la oficina: seis errores típicos
No le enseñes tu contraseña a tu loro, impactante consejo
¿Cómo hace Bruce Schneier para recordar todas sus contraseñas?, sabios consejos del Chuck Norris de la seguridad informática

Cómo hacer que Twitter no guarde el historial de los sitios que visitas

Mon, 21 May 2012 16:30:00 +0100

«Despersonalizando» Twitter

Estos días se ha estado hablando de como Twitter es capaz de guardar un registro de los sitios que visitas sólo con que estos tengan instalado el botón para tuitear la página en cuestión o si tiene instalado alguno de los widgets de Twitter. El objetivo de esto, según cuentan en New tailored suggestions for you to follow on Twitter es poder hacerte mejores recomendaciones acerca de qué usuarios seguir. La lógica empleada es que la gente que visite los mismos sitios que tú probablemente tendrá los mismos gustos que tú y por ello pueden ser cuentas de Twitter que te interese seguir. Según explican en la correspondiente página de ayuda esa información es borrada a los diez días, y las sugerencias mejoradas sólo las ves tú cuando estás en la web de Twitter; además dicen que no están usando esa información para colocarte anuncios y que nunca la venderán a terceros. Pero si aún así quieres desactivarla, sólo tienes que ir a Twitter, iniciar sesión, hacer clic en el icono que aparece justo a la izquierda del de escribir un nuevo tuit, escoger Configuración, y asegurarte de que la opción Personalización no está marcada. Aunque dependiendo de donde vivas es posible que ni puedas hacer tal cosa todavía porque esta nueva función no ha sido activada ni para todos los países, y en concreto para ninguno en Europa. Esto está explicado también en la citada página de ayuda. Y de paso que estás ahí, puedes asegurarte de que sí tienes marcada la opción Solo HTTPS para hacer más seguro tu uso de Twitter.

Una máquina Enigma de papel

Fri, 18 May 2012 13:01:39 +0100

Niños, ya tenéis deberes para el finde: Construir una máquina Enigma de papel.

Apple publica una herramienta para eliminar el troyano Flashback

Tue, 15 May 2012 23:45:00 +0100

No es sin tiempo, pero Apple ha publicado al fin una herramienta específica para eliminar Flashback, el malware más extendido para Mac OS de los últimos años.

Flashback en acción. El icono recuadrado puede cambiar según la variante del virus y a voluntad de sus programadores.

Se trata de la Actualización de seguridad para eliminación Flashback. Según la información disnponible en la web de Apple, «Esta actualización elimina las variantes más comunes del software malicioso Flashback. Si se detecta software malicioso Flashback, aparecerá un cuadro de diálogo que le informará de que dicho software se ha eliminado. En algunos casos, es necesario reiniciar el ordenador para eliminar completamente el software malicioso Flashback encontrado.»

Y esta, niños, es la razón por la que las contraseñas no se escriben en un papel y se cuelgan de la pared

Thu, 10 May 2012 13:09:24 +0100

… porque quizá venga la televisión a grabarte y el cartelón con las contraseñas del Wi-Fi esté a tu espalda. Viejuno pero divertido, rescatado de Front Line Sentinel vía Schneier.

Apple actualiza Java en Snow Leopard y Lion para eliminar el troyano Flashback

Fri, 13 Apr 2012 09:30:00 +0100

No sin tiempo, desde hace unas horas estás disponibles a través de Actualización de software sendas actualizaciones de Java para Mac OS X 10.6 Snow Leopard y Mac OS X 10.7 Lion que según dice la propia Apple «eliminan la mayoría de las variantes del malware Flashback».

Son, respectivamente, la Actualización 8 de Java para Mac OS X 10.6 y Java para OS X Lion 2012-003. Además estas actualizaciones configuran el plug-in de Java para Safari para desactivar la ejecución automática de applets Java, y aunque el usuario vuelva a activarla si al cabo de 35 días no se ha ejecutado ningún applet se vuelve a desactivar. Para versiones anteriores de Mac OS X la recomendación de Apple es desactivar Java en Safari, aunque no he conseguido aclarar si realmente la vulnerabilidad que permite a Flashback instalarse afecta a Mac OS X 10.5 y anteriores. Se calcula que Flashback ha infectado al menos 650.000 Macs en todo el mundo, lo que lo convierte el malware más extendido para Macintosh en muchos años.

¿Qué comunicaciones interceptan los servicios secretos? Probablemente más de las que creemos

Thu, 12 Apr 2012 11:00:00 +0100

Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas». El otro día se apuntaba a que en la documentación del caso MegaUpload se incluían menciones a correos personales de los acusados como parte de las pruebas que presentaba el FBI. Algunos se preguntaron: ¿Cómo pueden estar ahí ese tipo de mensajes? ¿Es que acaso rutinariamente se monitorizan las conversaciones privadas de la gente? Habría que ser muy ingenuo para pensar que no se hace. En el caso MegaUpload parece bastante evidente que la interceptación se hizo por orden de un juez, a petición del FBI. Es algo normal en todo tipo de casos y las órdenes de «pinchar» correos electrónicos y teléfonos van avaladas por la firma de un juez si se observan indicios de delito. En otros países sucede exactamente igual.

Troyano Flashback en Mac OS X: cómo detectarlo y eliminarlo sin usar el Terminal

Tue, 10 Apr 2012 20:45:00 +0100

Si las estimaciones de Doctor Web son correctas, y todo parece indicar que sí lo son, con unos 650.000 ordenadores infectados en todo el mundo Flashback es el malware más extendido para Macintosh desde los lejanos tiempos de nVIR. Pero a diferencia de nVIR, que era un virus que se replicaba por sus propios medios, fundamentalmente vía diskettes, la versión actual de Flashback es un troyano que se instala aprovechando un fallo de Java. Este fallo hace que baste con visitar un sitio web comprometido –ya sea con conocimiento de sus dueños o no– para que se produzca la infección. La única diferencia que habrá si introduces o no la clave de administrador en el cuadro de diálogo que aparece al visitar esos sitios será la forma en la que se produzca la infección.

Flashback en acción. El icono recuadrado puede cambiar según la variante del virus y a voluntad de sus programadores.

Esta es una diferencia importante con versiones anteriores de Flashback, que aparecieron en septiembre de 2011 haciéndose pasar por instaladores de Adobe Flash y que no funcionaban a menos que el usuario las abriera e introdujera la clave de administrador. La noticia relativamente buena en todo esto es que el fallo en cuestión de Java –que por cierto no hay que confundir con JavaScript– afecta a una versión muy concreta, así que en principio parece que sólo deberían verse afectados Macs corriendo Mac OS X 10.6 Snow Leopard o Mac OS X 10.7 Lion. Ese fallo de seguridad está además corregido –con bastante retraso por parte de Apple, todo hay que decirlo– en Actualización 7 de Java para Mac OS X 10.6 y Java para OS X Lion 2012-001 respectivamente.

¿Cómo saber si estás infectado?

F-Secure tiene unas instrucciones para averiguarlo en Trojan-Downloader:OSX/Flashback.I, pero estas implican usar el Terminal y escribir una serie de comandos, algo que a la mayoría de los usuarios de Mac les resulta más bien raro. Así que lo más fácil es descargarse Test4Flashback, una aplicación desarrollada por Marc Zeedar de la revista Real Studio Developer. Basta con abrirla para que esta haga las oportunas comprobaciones y muestre una ventana diciendo si el Mac está infectado o no. Si no estás infectado, asegúrate de instalar la actualización de Java enlazada arriba para evitar llegar a estarlo. También parece que independientemente de la versión de Java que esté instalada en un Mac las variantes hasta ahora conocidas de Flashback no intentan atacar sistemas en los que estén instalados los antivirus VirusBarrier X6, iAntiVirus, avast!, ClamXav, utilidades como HTTPScoop, Little Snitch, Packet Peeper, o el entorno de desarrollo Xcode.

¿Cómo eliminar Flashback?

Por el momento ninguno de los antivirus enlazados arriba lo hace automáticamente, y hasta hace nada las instrucciones que da F-Secure eran el único remedio para hacerlo sin recurrir a reinstalar todo a partir de cero y medidas drásticas de ese estilo. Eso sí, hay que ejecutarlas desde el Terminal, por lo que hay que tener cuidado y seguirlas al pie de la letra, no sea que vaya a ser peor el remedio que la enfermedad.

De todos modos, buscando por ahí he visto que Kaspersky ha sacado hace nada una utilidad llamada Flashfake Removal Tool que se puede descargar de Virus-fighting utilities que por lo visto automatiza el proceso.

Stay calm

A pesar de todo lo dicho hasta ahora, lo de Flashback tampoco es el fin del mundo, aunque igual tampoco nos viene mal como recordatorio de que aunque los Mac son muy seguros, no lo son al 100% y que conviene estar pendiente de las actualizaciones de seguridad. Aunque sí es cierto que Apple podría ser un poco más ágil a la hora de parchear vulnerabilidades como esta. Así que no hay que «panicar» ni nada parecido, y conviene recordar que cuando salga Mountain Lion con Gatekeeper será aún más difícil que este tipo de problemas se reproduzca. Pero si mientras tanto te quieres instalar alguno de los antivirus gratuitos que hay para Mac OS X, pues tampoco pasa nada. En cualquier caso, recuerda que los virus, troyanos, y demás malware mutan a manos de sus desarrolladores, así que es fundamental mantener los antivirus actualizados. (Alguna información vía TidBITS y Macworld).

Actualización 13 de abril de 2012

Apple ha publicado por fin actualizaciones para Java que eliminan las variantes más conocidas este troyano. Por otra parte, Kaspersky ha retirado temporalmente su herramienta para eliminar Flashback porque por lo visto en algunos casos hacía cambios en ciertos archivos del sistema que causaban más problemas que el propio virus.

Somos unos cotillas, o de como la curiosidad mató al dueño del smartphone

Wed, 04 Apr 2012 21:30:00 +0100

Hace unos meses Symantec «perdió» unos cuantos smartphones en varias ciudades de los Estados Unidos y Canadá con el objeto de ver qué hacían aquellas personas que se los encontraran con ellos. A tal efecto les instalaron software que les permitía ver en remoto la ubicación de los teléfonos y lo que hacían con ellos. Los resultados del estudio, presentados en The 'lost' cell phone project, and the dark things it says about us, fueron al menos curiosos: un 43 por ciento de los que los encontraron abrieron una aplicación llamada «banca en línea», un 53 por ciento en el archivo llamado «Recursos Humanos Nóminas», un 57 por ciento en el archivo «claves guardadas», un 60 por ciento abrió herramientas de redes sociales y el correo electrónico, y una carpeta llamada «fotos privadas» atrajo a un 72 por ciento. Y a pesar de que el archivo de Contactos de los teléfonos en cuestión tenía sólo dos entradas, una de ellas marcada claramente como la del dueño del teléfono, sólo un 50 por ciento de las personas que los encontraron se pusieron en contacto con el supuesto dueño para devolverlos. Así que… ¿Tienes tu teléfono protegido por algún tipo de clave? ¿Haces copias de seguridad de sus contenidos? ¿Puedes localizarlo, bloquearlo, o borrarlo en remoto? Pues ya estás tardando, hace muuuucho que perder un teléfono supone mucho más que la molestia –que tampoco era poco– de perder tu agenda de contactos. (Vía Schneier on Security).

Así es como el software XRY entra en tu móvil «protegido»: hasta la cocina y más allá

Wed, 28 Mar 2012 15:23:02 +0100

Lo cuentan en Forbes: Here's How Law Enforcement Cracks Your iPhone's Security Code, ilustrado con este bonito vídeo y otros que hay por ahí.

[Micro Systemation, la compañía sueca que desarrolla el software XRY] actúa de forma similar a como se hacen los jailbreak que permiten a los usuarios eliminar las restricciones instaladas en sus dispositivos [como teléfonos o tablets] buscando fallos de seguridad en el software del teléfono. [El software XRY] puede romper fácilmente la clave de bloqueo de un dispositivo iOS o Android, volcar todo su contenido en un PC, descifrarlo, recuperar información del GPS, los archivos, registros de llamadas, contactos, mensajes e incluso secuencias de las teclas que se han pulsado.

Este software -que está en continuo desarrollo según aparecen teléfonos nuevos y versiones de sistemas operativos- lo utilizan por ejemplo numerosas fuerzas de seguridad para acceder al contenido de los teléfonos de sospechosos. Tomad nota niños, no utilicéis el móvil para hacer el mal.

Detectores de metales que descubren cuánto dinero llevas encima

Wed, 28 Mar 2012 11:24:35 +0100

En New Scientist: Metal detector knows how much cash is in your wallet.

Un buen puñado de billetes suman suficiente material magnético [de las tiras magnéticas -aunque de material plástico- y de las tintas magnéticas] para ser detectado a distancia por los arcos de seguridad, lo que permitiría descubrir a quienes intentan pasar cantidades de dinero grandes y en efecto a través la frontera [...] «Los resultados del estudio son viables, aunque sería necesario un montón de trabajo de desarrollo para que resultara práctico.»

Los conspiranoicos tenían razón.

La curiosa paradoja de la privacidad de la Internet actual

Tue, 13 Mar 2012 22:16:59 +0100

Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas». Quienes lleven más tiempo en Internet recordarán que algunas de las primeras preocupaciones de los pioneros tenían que ver con la privacidad de los internautas en su vida digital en la Red. Aunque en general en castellano se entiende que intimidad y privacidad son más o menos lo mismo –la información sobre el «ámbito privado» de las personas– en realidad son un poco diferentes. La intimidad es lo más absolutamente personal, en lo que nadie debería interferir, como por ejemplo las conversaciones privadas, el correo o el interior de tu casa. La privacidad, por otro lado, se refiere más bien a las cuestiones de carácter personal que tienen lugar en el ámbito público, como cuando uno va al cine, compra algo en una tienda o consulta un libro en una biblioteca. Los grados en que se pueden defender la privacidad y la intimidad varían un poco según las circunstancias, pero se consideran derechos constitucionales y están ampliamente protegidos por las leyes. En algunos casos –como en los de personas famosas o personajes públicos– el conflicto de la información pública y estos derechos suponen problemas de todo tipo. También es una situación anómala –pero no por ello inexistente– la violación de la privacidad y la intimidad de muchas personas, por ejemplo cuando se revelan secretos o conversaciones privadas o salen a la luz situaciones que se consideraban en el ámbito íntimo y personal. Con la llegada de Internet hubo quien pensó que todo lo digital sería una tremenda amenaza para ambas cosas. Muchos tomaron grandes precauciones. También surgieron en aquella época grupos que hicieron un gran trabajo, como la Electronic Frontier Foundation para defender un amplio abanico de derechos digitales, entre ellos el de la «privacidad digital» entendida en su sentido más amplio. Derechos como por ejemplo comunicarse sin que nadie pudiera interferir ni interceptar las comunicaciones, el derecho al anonimato, a no ser rastreado por empresas sin el consentimiento expreso y tantos otros. Curiosamente, con el paso de los años hemos asistido asombrados a una especie de curiosa paradoja en la Internet actual. Quienes pensaban que una de las principales preocupaciones de los usuarios de Internet sería proteger su privacidad vieron cómo a la gente en general no parecía preocuparles demasiado – al menos en la práctica. Incluso, al contrario, muchos propiciaban con sus actos volcar toda su intimidad en la Red, sin preocuparles demasiado lo que se pudiera hacer con ella. No se trataba solo de que la gente enviara correos electrónicos personales sin cifrar que podían ser fácilmente interceptados: es que se publicaban decenas y cientos de datos íntimos sin la más mínima precaución en todo tipo de soportes: foros, diarios, páginas web, bases de datos de contactos y, más recientemente, redes sociales. ¿Hasta qué punto era consciente la gente de lo que estaba haciendo? Probablemente, no mucho. La paradoja es en cierto modo equivalente a otras situaciones sorprendentes en otros ámbitos. Por ejemplo, mucha gente es muy recelosa de su privacidad pero, ¿quién hubiera pensado que también habría masas de individuos haciendo cola frente a los estudios de televisión para mostrar sus intimidades –literalmente– las 24 horas al día en un Gran Hermano frente a millones de televidentes? En cierto modo, temíamos al Gran Hermano… pero ahora muchos se arrojan a sus brazos y los demás disfrutan con ello. Incluso los más concienciados vuelcan sus escritos y pensamientos más personales en la Red, sus fotos, sus vivencias diarias… y no ponen demasiado cuidado en evitar poder ser rastreados, a veces sin ser conscientes de que aunque que las grandes empresas del marketing –por no hablar de otras entidades, o incluso gobiernos– puedan hacer con todo ello. En cierto modo, simplemente da igual: a veces es incluso ventajoso hacerlo. Hoy en día los millones de fotografías volcadas a Internet permiten a software especializado ubicar a cualquier persona por los rasgos de su cara gracias a los sistemas de reconocimiento facial – en el mismo Facebook, sin ir más lejos; sin duda lo mismo estará sucediendo con las imágenes de vídeo de las cámaras de vigilancia de los edificios y calles de las ciudades. Una indagación ligeramente más profunda permite saber desde dónde se conecta alguien, por dónde navega y qué información lee o qué ficheros transfiere. Si tienes un teléfono inteligente con GPS o te gusta jugar al FourSquare, puedes rastrear (y ser rastreado) por los amigos con un par de clics y saber por dónde andan en cada instante. ¿Quién dijo que prefería que nadie supiera por dónde estaba? Hoy en día es casi más ventajoso estar localizable para ahorrar tiempo, hacer nuevos amigos o trabajar de forma óptima. Tal vez la paradoja es que creíamos valorar más la privacidad que las ventajas que nos supone hoy en día compartir nuestra intimidad: un mayor contacto con los amigos y los seres queridos, la posibilidad de descubrir a gente nueva–y, lo más importante, ser descubiertos– o las ventajas del contacto instantáneo, permanente y en tiempo real con familiares y conocidos… en incluso con desconocidos, que de todo hay. ¿El siguiente paso? Ya hay quien está dispuesto a compartir lo más íntimo de lo íntimo: su código genético. Proyectos como 1000 Genomas y otros parecidos admiten, casi cual foro al que uno envía fotos, que se envíen perfiles genéticos completos para que los investigadores trabajen con ellos. Ya no se trata de compartir algunas curiosidades genéticas que otrora se habrían considerado íntimas, sino de enviar la secuencia genética completa que nos hace únicos. Probablemente no se pueda llegar mucho más allá en esta apertura pública de nuestra intimidad, excepto quizá cuando la tecnología permita hacer volcados completos del cerebro en tiempo real y subirlos a alguna especie de dropbox. Desde luego, los tiempos han cambiado mucho.

{Foto: My 1000 Friends (CC) Todd Huffman @ Flickr}

Cómo funciona la criptografía de clave pública, explicado en vídeo

Mon, 12 Mar 2012 10:26:12 +0100

Unos minutos de explicación muy divulgativa sobre uno de los sistemas de criptografía más revolucionarios de todos los tiempos – usado de forma ubicua en Internet. El problema de que Alice se comunique con Bob sin que Eve –que tiene pinchada la línea– intercepte los mensajes no es tan sencillo como parece, porque han de generar una clave, intercambiarla públicamente, etcétera. Aunque criptografía asimétrica es un término que suena un poco complicado, con este relato puede entenderse mejor la base de este sistema de claves públicas de forma fácil de entender.

Gran Hermano: la mujer cuya ficha policial consultaron 104 agentes «porque estaba buenorra»

Wed, 29 Feb 2012 12:52:44 +0100

En CityPages publicaron una curiosa noticia con una importante moraleja sobre qué sucede a veces con nuestra información personal y el acceso que las entidades públicas, incluyendo los agentes de las fuerzas de seguridad del estado, pueden hacer de ella. El caso es el de una mujer estadounidense de unos 37 años que había sido policía. Rubia, de ojos verdes y físicamente atractiva, su vida privada sufrió una extraña «invasión» cuando se corrió la voz entre los colegas de trabajo acerca de que «estaba de muy buen ver», de que participaba en competiciones de culturismo y actividades por el estilo. Unos 104 agentes de 18 agencias diferentes consultaron 425 veces sus datos personales: foto, nombre, dirección, teléfono y demás en la base de datos de Tráfico, que registra a todos los ciudadanos con carnet de conducir (en Estados Unidos es similar al DNI). Algunos llegaron incluso a llamarla para proponerle citas, como si tal cosa. El problema es que esa información personal está protegida por las leyes y no puede consultarla cualquiera así como así. De hecho los ordenadores registran quienes accede a las fichas (e incluso a veces ni eso, gracias a las puertas traseras) y esos cientos de agentes pueden tener ahora serios problemas con la justicia. Podemos imaginar lo molesta que resultó la situación para la mujer en cuestión. Pero también que si para una nimiedad como es conseguir un teléfono o una dirección para el ligoteo los agentes de la ley se saltan las normas, qué no harán cuando consideran que se trata de algo más importante –según su particular «criterio»–. Es un problema que viene de antiguo: ¿quién vigila a los vigilantes? La mujer va a denunciar el caso, y dice que no es una cuestión puntual, sino que a pesar de las restricciones legales, la policía utiliza esa base de datos como si fuera un Facebook, y que lleva años siendo así sin que nadie haga nada para impedirlo. Este caso ejemplifica perfectamente por qué hay tanta gente en contra de registros como los DNI, las cámaras de vídeo en las calles y otras medidas de «seguridad» consistentes en meter toda la información de la gente en grandes bases de datos. Más allá de la supuesta seguridad que proporcionan –que además sabemos que es poca– pueden suponer una importante violación de la privacidad y facilitar los malos usos, tanto por los propios agentes encargados de custodiarla como por quienes puedan sobornarlos o simplemente hackear esos sistemas en remoto y acceder a ellos. (Vía Neatorama.) Actualización: Como nos recuerda Iosu, otro terreno donde se producen este tipo de problemas es en el de los historiales clínicos informatizados; véase esta noticia reciente: El Servicio Navarro de Salud debe pagar 125.000 euros por un acceso «ilegítimo» a un historial clínico.

Deliciosamente irónico: ¿Quién caza a los cazadores? Otros cazadores más ingeniosos

Wed, 14 Dec 2011 20:44:53 +0100

Mencionábamos el otro día la existencia de la curiosa página informativa YouHaveDownloaded.com, que a partir de una dirección IP muestra qué ficheros se han descargado en las redes de torrents/P2P. La página actúa como forma de concienciar a la gente de que lo que se hace a través de Internet no siempre es tan anónimo como parece. Ahora en ElOtroLado.net cuentan la segunda y deliciosa parte de la historia: cómo la gente se ha entretenido en buscar en el servicios las IPs de empresas y entidades de lo más variopinto, con resultados… sorprendentes:

Los cazadores de BitTorrent cazados (…) en TorrentFreak han comprobado las IPs de las empresas de la industria de los contenidos. Así, publican que desde Sony Pictures se descargan releases de películas, series y música, así como desde NBC, Universal o Fox. Como curiosidad, desde las oficinas de Google se descargó una copia de Windows 7. También comprobaron cómo desde la sociedad de derechos de autor holandesa se han bajado series y videojuegos, pero ésta ha respondido que sus direcciones IP habían sido «usurpadas». (Los miles de usuarios P2P denunciados deberían tomar buena nota de su defensa).

Cazadores cazados, que probablemente no se denunciarán a sí mismos para no entrar en bucle visto el absurdo de todas las cuestiones que rodean estos temas.

Crypteks: el USB doblemente seguro

Wed, 07 Dec 2011 11:56:24 +0100

El Crypteks USB es un pendrive que además de utilizar un cifrado AES de 256 bits por hardware está diseñado en aluminio con cinco rodillos a modo de mecanismo de seguridad, a la antigua usanza: solo se puede abrir para enchufar si conoces la «palabra secreta» y luego la contraseña adecuada para acceder a los ficheros. Digamos que no es que no se pueda conseguir lo mismo con un pendrive normal y corriente del todo a 100, pero con uno de estos se puede hacer lo mismo con estilo. (Vía DVICE Atom Feed.)

Avances en hackeos pirómanos

Tue, 29 Nov 2011 22:21:37 +0100

Mmm… Repasemos las noticias de hoy, a ver… clic, clic…

Investigadores alertan que las impresoras se pueden hackear para que ardan en llamas (Fayerwayer)

Pse, lo habitual, nada alarmante. Ilustrativa foto, por cierto…

Una forma sencilla de comprobar si te ponen los cuernos gracias a un típico problema de seguridad

Thu, 24 Nov 2011 20:23:29 +0100

¿Puede un solo bit causar una catástrofe de pareja? Aparentemente, sí. Este pequeño pero absurdo problema de seguridad es típico de muchos servicios de Internet. Si quieres saber si alguien está registrado o no en un servicio web, basta que compruebes en la típica opción de Olvidé mi contraseña qué información te piden para recuperarla. Si se trata del correo electrónico –que hoy en día es lo más corriente– teclea cualquier cosa y comprueba la respuesta: si te confirma algo sobre si esa dirección está o no registrada en el servicio, he ahí un problema. Esto viene a cuento de una anotación que vi pasar por FayerWayer sobre SecondLove en México, una «red social de infieles, para él y para ella». Se supone que la gente se registra en SecondLove para ponerle los cuernos a su pareja e imagino que «compartir ideas, trucos y recursos» al respecto con otros aventureros de lo prohibido. Hasta ahí, todo bien. Eso sí: si sus parejas sospechan algo o simplemente quieren comprobar si están siendo corneadas oficialmente sólo tienen que ir a la página Recupera contraseña, teclear la dirección de correo de la otra persona como si la hubiera olvidado y esperar la respuesta. Si aparece «Todavía no eres un usuario registrado de Second love» se puede respirar tranquilo. Si, en cambio, responde que se acaba de enviar un correo… ¡Ooops! Cuidado al salir por la puerta, no te golpees con los cuernos contra el marco. El problema de seguridad es que el servicio te está transmitiendo una información que no debería dar a un extraño: el dato sobre si una cuenta determinada existe o no. Es un solo bit, pero crítico. Dado que los correos electrónicos identifican personas únicas, puedes saber si una persona está ahí o no está ahí. De hecho, muchos hackers/crackers que se infiltran en ciertos servicios primero prueban con esta técnica qué cuentas existen para luego atacar con diccionarios y otras fórmulas todas las contraseñas posibles e intentar entrar en ellas. ¿Cómo proteger un servicio de este absurdo pero incómodo problema? La alternativa más simple y segura para quienes los desarrollan es simplemente no confirmar lo que haya sucedido en la operación, respondiendo –como hacen muchos– con un mensaje genérico del tipo: «Gracias. Si la dirección de correo que usted ha tecleado está registrada en este servicio, recibirá un correo en unos minutos…» Asunto resuelto. Otra forma de enfocarlo es intentar registrarse con la dirección de correo de otra persona: si el servicio contesta «ese correo ya está registrado», ¡bingo! En cambio un servicio bien diseñado aceptará el registro con un simple y neutral «Gracias, hemos enviado un correo a su cuenta para que confirme el registro» (exista ya o no). El mensaje subsiguiente en el correo –que sólo llegará al verdadero propietario de esa dirección– será bien para un registro nuevo, bien para avisar de un intento de registro sobre una dirección no válida (por repetida). En el caso que nos ocupa, parece razonable pensar que ante la evidente pertenencia a una «red social para infieles» la excusa de «sólo estaba mirando» no cuela. El problema se alivia un poco suponiendo que la gente no es demasiado burra y usa un correo alternativo en vez de su cuenta personal o de empresa para registrarse en ciertos sitios (especialmente en una «red social para infieles») pero como bien sabemos no suele ser el caso. Eso sí, como aviso de que ha sido cazado por la parienta recibirá horas antes un bonito correo diciendo «Estimado usuario, usted ha solicitado cambiar la contraseña. Pulse en este enlace para iniciar el proceso…» En ese caso, quien piense Mmmm… ¡pero si yo no he pedido cambiar nada…! puede darse por cazado.

{Foto: The Prop Store of London: Minotaur costume from Voyage of the Dawn Treader (CC) PopCultureGeek.com @ Flickr}

000000

Tue, 06 Sep 2011 21:48:38 +0100

En este vídeo se puede ver cómo abrir una caja fuerte privada de esas que hay en los hoteles utilizando como contraseña 000000. Esto no quiere decir que todas las cajas de hotel se puedan abrir con ese código; solamente las de esa marca y en ese hotel concreto… O no. Se supone que 000000 es la contraseña secundaria por defecto en ese modelo y que por descuido, comodidad o vaguería la han dejado tal cual instalaron la caja. De hecho, no sería raro que esto mismo sucediera en muchos otros hoteles –y con otras marcas y modelos de caja– de forma consciente o inconsciente: mucha gente olvida su contraseña y es un trastorno abrirlas con una llave o tarjeta; de este modo todos los empleados pueden resolverlo en un plis-plas. (El vídeo por cierto lo vi pasar por Boing Boing.) Que 000000 o 0000 sea el valor por omisión de las contraseñas es algo habitual. Otras cajas o dispositivos pueden tener más o menos dígitos, usar 1234, 123456 o algo parecido. Como dicen en el vídeo no está de más probar que esto no sucede cuando entras en la habitación del hotel. Es mucho mejor evitar que alguien «con conocimiento» pueda llevarse limpiamente y sin dejar rastro tu pasaporte, dinero, ordenador o gadgets que creías seguros. Precisamente hoy venía pensando en escribir algo sobre un problema similar, que es el de las contraseñas que utilizan sistemas de seguridad y archivo que manejan datos muy personales, incluso aunque esté fuertemente limitado quién y cuándo accede a ellos. Supongamos algún sistema gestionado por el Estado, un cuerpo de seguridad o cualquier entidad (salud, banca, seguros) o empresa privada con nuestros datos más personales y delicados. Normalmente se guardarán con todo tipo de medidas de alta seguridad, cifrados, etcétera. Y probablemente existirá un log o registro donde se guarda información puntual sobre «quién-consulta-qué» para que en caso de darse una fuga de información se pueda saber qué trabajador accedió los datos. El problema es que muchísimos de esos sistemas tienen una puerta trasera incluida por los propios programadores o administradores de sistemas para evitar incomodidades: basta teclear 0000, 9999, 1234 o algo así para poder acceder sin que quede registro. Esto puede ser por varias razones, no necesariamente malicia: empleados que olvidan los códigos, consultas de prueba que no deben quedar registradas y demás. A veces se crea en el sistema un usuario dummy con 9999 como contraseña, para salvar el mismo problema. El caso es que esto permite dar un mal uso a un sistema que –por otro lado– probablemente sea bastante seguro. Todo esto viene porque el otro día vi a alguien en una oficina pública utilizar un 9999 para consultar unos datos importantes sin identificarse; también me han descrito cómo en ciertos sistemas se puede sacar información relevante de otros sistemas importantes sin dejar rastro usando trucos similares. Así de simple y así de inseguro. ¿Suena imposible? Bueno, más o menos como abrir la caja fuerte de un hotel sin saber la contraseña… y sin utilizar una palanca.

Al asalto de cajeros automáticos con cámaras térmicas

Wed, 31 Aug 2011 11:08:01 +0100

A la izquierda el teclado de un cajero; a la derecha la imagen infrarroja, tomada con una cámara térmica después de haber sido utilizado.

No es un método perfecto ni muy práctico, pero hay que reconocer que es bastante ingenioso. Lo ha estudiado un grupo de investigadores del Departamento de Ciencias Informáticas de la Universidad de California en San Diego. Se trata de utilizar una cámara térmica, que revela el calor de los objetos, para averiguar qué teclas se han pulsado en el cajero automático al introducir el número secreto o PIN de la tarjeta. Es decir, a cuáles de ellas se ha transferido calor del cuerpo al pulsarlas. Los autores del estudio pudieron leer el PIN en el 80 por ciento de los casos si usaban la cámara justo después de que el cliente se marchara; y hasta el 50 por ciento de las veces si transcurría hasta un minuto. Más allá las posibilidades de acertar se reducen a un 20 por ciento. El método sería aplicable, en teoría, todo es en teoría, en cerraduras por clave y similares. Entre los factores que degradan la efectividad del método están los materiales de las teclas (plástico o goma o metal), la forma en que las personas pulsan las teclas y toca el cajero y hasta la presión sanguínea del usuario, que contribuye a transferir más o menos calor durante su utilización. Además operaciones más o menos largas –incluso al teclear la cantidad de dinero a retirar– pueden dificultar averiguar qué las teclas correspondientes al PIN, y el orden. Lo anterior sin contar el coste de este tipo de cámaras (~12.000 euros) en comparación con una cámara en miniatura convencional. ¡Ah! y el hecho de que se puede anular el hackeo simplemente dejando reposar la mano sobre el teclado al terminar, para calentar bien todas las teclas. El estudio está en [PDF] Heat of the Moment: Characterizing the Efficacy of Thermal Camera-Based Attacks, vía Technology Review.