martes, 24 de septiembre de 2013

Chaos Computer Club dice haber hackeado el nuevo iPhone

Hace un par de días ya se anunciaba el primer hack del nuevo sistema de seguridad del iPhone: el lector de huellas. Los autores de este hack son conocidos como expertos en seguridad biométrica y han presentado aquí un pequeño artículo y un vídeo.


Hay cinco razones básicas por las que este sistema de seguridad no es fiable ni cómodo:

1. Las huellas dactilares no son secretas, las vamos dejando por ahí accidentalmente a todas horas, incluso algunas de muy alta calidad en superficies como cristal, metales y plásticos. Además de que muchas compañías y el gobierno ya tienen nuestras huellas guardadas en alta resolución.

2. No puedes cambiar tus huellas en caso de que haya habido una entrada no autorizada, es decir, una vez te lo "hackean" ya no puedes simplemente reconfigurar tu huella.

3. El sensor de huellas ya ha sido engañado en el pasado con cosas tan básicas como pegamento, gelatina e incluso fotocopias con una capa gruesa de toner que pasaba como un dedo real.

4. Entrar a tu portatil usando tu huella tampoco te aporta mucha comodidad extra puesto que ya estás en frente a un teclado y te cuesta lo mismo teclear un pin/clave.

5.  Hay muchas personas a las que no les gusta andar usando escaneres de huellas, de retina, de ADN, etc..


Si quieres profundizar un poquito más en este tema aquí tienes el artículo original que contiene más información, via nakedsecurity,

jueves, 19 de septiembre de 2013

Nunca estamos a salvo

Ayer mismo se conoció la noticia de un 0-day exploit en Internet Explorer que obligó a Microsoft a lanzar un 'Fix it' de emergencia para ir arreglando mientras trabajan en un parche para arreglarlo en la siguiente versión. La gran recomendación que se daría por parte de cualquier persona medianamente puesta al día sería: Usa otro navegador como Chrome o... ¿Mozilla Firefox?

Ooops, parece que este último tampoco tenía poca cosa al descubierto en su última versión ya que hoy ha sido lanzada la actualización a Firefox 24.0 en la que se arreglan nada menos que 17 vulnerabilidades.


No parecerían tantas si no fuera que 7 de ellas estaban clasificadas como críticas, 4 como moderadas y 6 como menores. Por el lado bueno Mozilla ya las ha arreglado por medio de un parche sin necesidad de lanzar 'fix its' como hace Microsoft o otros tipos de arreglos temporales.

También se mejora el rendimiento y se añaden scrollbars más modernas en OSX.

Viendo la lista de cambios no parece evidente que estas vulnerabilidades se estuvieran abusando actualmente pero esto puede cambiar a partir de ahora, cuando se han hecho público sus detalles. Todas las personas/sistemas que se retrasen en su actualización pueden ser objetivo de ataques maliciosos que se aprovechen de estos problemas de seguridad.

Así que ya sabes, si usas Firefox... ¡Actualiza ya! ¡Deja de leer este artículo!

martes, 17 de septiembre de 2013

Condón USB para protegerse de vírus

Tal y como lo escribo, para continuar en la línea de las noticias de apariencia estrafalaria, un tipo ha inventado lo que denomina el preservativo USB:

Este pincho profiláctico es una protección avanzada ante el hipotético gran problema que son los cargadores USB que inyectan malware en los dispositivos.

Este supuesto problema fue demostrado plausible en la conferencia Black Hat donde los investigadores inyectaron malware usando un cargador USB con un minicomputador escondido dentro del mismo. Esta demostración imagina que los villanos pudieran cambiar los cargadores genuinos por aquellos con software infeccioso y esperar a que los desprevenidos usuarios caigan en la trampa.

Lo que parece más normal y preocupante sería que este intercambio se realizara en una estación de cargado pública (Como las que hay, por ejemplo, repartidas por la UDC, en los aeropuertos, etc.) donde se produciría probablemente una infección masiva.

Aquí entra en juego el condón USB que funciona capando los pines de datos del cable USB y permitiendo que sólo funcionen aquellos de carga. Haciendo esta vasectomía temporal significaría que los cargadores infectados mostrados en Black Hat no tendrían ninguna posibilidad de infectar al dispositivo ni enviar ningún tipo de dato, vaya.

Diseño del preservativo USB

Estaba fijada su puesta a la venta el 16 de este mes pero aún se ha de fijar el precio. De cualquier manera, si te interesa, estate alerta a su página web que seguro que pronto añade más información al respecto.


Fuente: The Register

lunes, 16 de septiembre de 2013

¿Quieres sentarte en la silla del capitán Picard y disfrutar del ciber-espionage a escala mundial?

¡Aquí en la NSA podemos hacer tus sueños realidad!

O al menos es lo que dice un ex-miembro de la NSA. El director Keith Alexander consiguió permiso para construir un centro de vigilancia centrado en el estilo de el bridge de la serie Star Trek.



De acuerdo con las declaraciones de este ex-oficial administrativo el centro de mando llamado Dominance Center (Centro de dominio) fue construido con la ayuda de profesionales de Hollywood para parecerse al puente de mando del USS Enterprise con una pantalla protectora enorme al frente, ordenadores en forma de estación y puertas correderas con el típico sonido whoosh al abrirse.

¿Me estás tomando el pelo? Para nada, esto se hizo para que diversos cargos políticos y personas importantes se pudieran sentar en el centro de la habitación y sentirse especiales mientras el director Alexander les mostraba análisis de datos en la pantalla gigante. ¿A quién no le gustaría sentirse por unos minutos como Jean-Luc Picard? Es una excelente estrategia de márketing para vender el proyecto.

Esto y seguramente más excesos que no se conozcan aún han sido clave para que la NSA tuviera tantísimo poder económico y apoyo para sus moral y legalmente dudosas actividades de espionaje, las cuales cubriremos en este blog pronto. Todo ha sido una jugada política, la informacion es poder en la denominada 'Era de la información', la NSA ha dotado a los Estados Unidos de un poder desmesurado con la excusa de ser 'por el bien de todos'.

Aquí está el PDF con información e imágenes de dicho centro de mando, ahora mismo está caído por todo el tráfico que satura el servidor, a lo mejor en otro momento se puede visitar. (O quizá está caído por un DDoS de nuestros amigos de la NSA)

Fuente: The Register

domingo, 15 de septiembre de 2013

Dropbox echa una pequeña ojeada a tus archivos

No contentos con todas las acusaciones de agujeros de seguridad (Incluida la demostrada en el report de nuestro compañero de LSI) Dropbox continúa produciendo titulares en los blogs de seguridad, pero aún no han sido sobre algo positivo, desafortunadamente.

La Western North Carolina Infosec Community ha descubierto la mala práctica de seguridad por parte de Dropbox cuando usando HoneyDocs -Un servicio web que detecta y avisa siempre que un archivo es accedido para evitar problemas de filtrado de datos a destinos no deseados- detectaron que tan sólo 10 minutos después de subir un archivo a Dropbox este ya había sido accedido sin permiso.



Según Dropbox esto es algo habitual y que no deberíamos preocuparnos por ello, que sólo son procesos para generar vistas previas de archivos y poder abrirlos desde la nube en un navegador sin necesidad de software adicional. Esto es algo útil que todos hemos usado pero no debería afectar a la seguridad de los archivos del usuario, aunque sean ellos los que acceden a los archivos esto puede favorecer fallos de seguridad aprovechables por terceros.

Esto no es algo que nos debería alarmar por si mismo pero es importante saber que el servicio hace este tipo de cosas que mosquean bastante a uno considerando que no son un ejemplo de buena seguridad y que no se deberían confiar archivos importantes a este tipo de servicios.

Dropbox, o casi cualquier servicio gratuito de cloud hosting, no debe ser usado para nada serio y mucho menos para negocios bajo ninguna circunstancia, es bien sabido que existen fallos de seguridad y además tú no tienes ningún tipo de control sobre el servidor que aloja tus archivos, estás confiando en otras personas innecesariamente, así que ya sabes, si necesitas tener seguridad con tus archivos: móntatelo tú mismo

Fuente: CsoOnline

TOR no era nada seguro después de todo

Hace unas semanas se confirmó lo que muchos suponían: TOR no es totalmente seguro para navegar anónimamente. Ya se sabía que esto era cierto pues el sistema de nodos aleatorios no es infalible y siempre hay alguna manera de tracear la conexión original, por eso se usaban una (u ocho) VPN para ocultar la identidad.


Pero es que no estamos hablando de eses problemas de seguridad, fácilmente evitables, sino de un agujero de seguridad muchísimo más grande que podría estar enviando información directamente a la NSA. 
Dicho bug está descrito en este report a mozilla y afecta a JavaScript. Cuando navegamos con Tor es muy recomendable OBLIGATORIO usar noscript y jamás desactivarlo. Aún así hay gente que hace caso omiso a estas recomendaciones y al final acaba viniendo el FBI a tu casa presuntamente traceado por medio de este agujero de seguridad.

Aunque este error fue rápidamente arreglado escribo esta entrada para recordar que como este hay muchos más que desconocemos y toda precaución es poca, sobretodo cuando intentas navegar la red anónimamente. Da igual qué uso vayas a hacer de este anonimato, si quieres ser anónimo y usar Tor entonces úsalo bien y toma las medidas de seguridad báscias.