Si no puedes vencer a los hackers, demoralos un poco…

Es realmente interesante la entrevista del New York Times al Director Digital de la campaña de Emmanuel Macron, Mounir Mahjoubi, responsable de que los equipos de hacking rusos que rompieron la seguridad del DNC y de Hillary Clinton no logren hacerles lo mismo a ellos.

Lo que me gusta de la entrevista es el enfoque realista de Mahjoubi, que pese a tener apenas un equipo de 18 personas para todo lo relacionado a “digital” incluyendo Marketing, pudo decir que no a la ayuda que la NSA le ofreció y se dedicó a simplemente demorar a los hackers con honeypots.

Esto es lo brillante de su estrategia, sin recursos ni un equipo gigante (como el de Hillary que NO escuchó al FBI) se dedicó a crear cuentas de mail falsas y documentos falsos y personas inexistentes de la campaña de Macron haciendo que los hackers rusos que, de una manera u otra, iban a logran penetrar sus sistemas tuvieran que perder tiempo verificando cada uno de los documentos que lograban robar y cada una de las cuentas de mail que lograban hackear.

Y cuando el ataque es “time sensitive” porque las elecciones se acercan y necesitas inventar algo para lograr un cambio en la intención de voto… eso es lo que no podés hacer: verificar y liberar :)

[Update: por esta frustración apareció ]

SECaaS: Seguridad como servicio para Startups

Hoy los datos son uno de los activos más importantes de todo startup. Esos datos son de clientes y en general son personales y son susceptibles de ser usados para perfilar pero también para individualizar personas. No sólo eso sino que las contraseñas entre servicios son, aunque esté mal hecho, compartidas varias veces. Y de todos los nuevos servicios que uno prueba, sean chicos o grandes, como mucho un 10% tiene alguien dedicado a seguridad y apenas la mitad puede responder con cierta coherencia sobre políticas e implementaciones de seguridad… y los datos son tuyos.

Entiendo, y lo digo sinceramente, que un ingeniero de seguridad interno tiene un coste elevado para un startup. También entiendo que cuando tenés un equipo de una decena de personas es complicado que un tipo esté dedicado a seguridad pero lamentablemente tienen que step-up y darse cuenta que la seguridad es un problema no sólo de hackers de película sino de cosas tan simples como empleados con accesos a bases de datos ¿recuerdan a Snowden? :) Continue reading “SECaaS: Seguridad como servicio para Startups”

Yahoo y su destrucción

Soy de los que pocos que buscó justificar a Marissa Mayer en su paso como CEO de Yahoo! siendo honestos tomó un barco incendiado, sin motor y sin rumbo; donde sus propios accionistas quería venderlo por partes y donde uno de los fundadores volvió a hacer más daño del posible… pero luego, cuando todo parecía condenado al fracaso apareció Verizon/AOL e hizo una oferta de compra por una parte de Yahoo que tenía sentido, un final que no era feliz pero que en números cerraba.

Un par de meses después, nos enteramos que Yahoo! tuvo una violación de seguridad y más de 200 millones de cuentas fueron hackeadas y nunca reportadas para que los usuarios pudieran borrar esas claves de otros servicios, menos de un mes despues nos enteramos que en 2015 no sólo escaneó mails de sus clientes para las fuerzas de inteligencia de USA sino que creó una herramienta específica para poder leer millones de cuentas en tiempo real de forma encubierta… mientras otras empresas, como Apple o Facebook llevan a juicio al FBI o la CIA para no romper la confianza que uno pone en ellos. Continue reading “Yahoo y su destrucción”

Charlie Miller, responsable de hackear un Jeep vía 3G, se retira de Twitter

jeep uconnect sistema hackeado

Charlie Miller, el responsable del hack a un Jeep Cherokee via 3G entrando por su sistema de entretenimiento y capaz de tomar control TOTAL del auto se retiró de Twitter. Un detalle, el experimento se hizo con la autorización de Chrysler quien terminó haciendo un recall de 1.4 millones de autos para hacer un upgrade del sistema que ahora previene ese tipo de ataques.

Hackeando un auto remotamente

car_hackers

Hace un tiempo publiqué como hackeaban físicamente un Prius y un Ford Escape apenas dos años despues lograron hackear con la conectividad 3G de fábrica un Jeep Cherokee y tomar control remoto de todos los sistemas del auto.

Me sorprende que hayan tardado poco tiempo en romper conectividad móvil (con sus protocolos) que viene embebida y donde lo que era apenas un ataque al geoposicionamiento para poder seguir un auto se haya convertido en un ataque donde se toma el control 100% del auto: Continue reading “Hackeando un auto remotamente”

La vida secreta de las contraseñas

The Secret Life of Passwords - NYTimes.com

Si hoy vas a leer algo que sea The Secret Life of Passwords de @ian_urbina donde analiza la carga emocional que uno pone en las contraseñas y como estas pueden decir más de uno que tantas otras cosas; con el ejemplo real del análisis forense de Cantor Fitzgerald luego 9/11 donde casi 700 empleados murieron y los planes de contigencia fallaron por no preveer una catástrofe de esta magnitud pero las descubrieron en menos de 48 horas… todas. Continue reading “La vida secreta de las contraseñas”

Las contraseñas y el modelo erróneo de XKCD

xkcd passwords mal hecho
Casi todos los que estamos relacionados con Internet hemos visto este comic de XKCD y como elegir una “contraseña segura”, la lógica siempre me pareció realmente buena por como aumenta el grado de dificultad de ser violada… pero acabo de leer: Password Security: Why the horse battery staple is not correct y la estrategia de @diogomonica me parece genial. Continue reading “Las contraseñas y el modelo erróneo de XKCD”

Apple niega ataque a gran escala sobre iCloud

icloud

Finalmente Apple dió una respuesta oficial sobre las fotos de famosas desnudas que se publicaron hace un par de días y todo apunta a lo que sostuve en su momento: el ataque era quirúrgico y apunta a fallas humanas: Continue reading “Apple niega ataque a gran escala sobre iCloud”

Las fotos de famosas, la improbabilidad de iCloud y la omnipresencia online

Hola tus fotos estan en todos lados

A estas horas todo el mundo debe estar hablando de la publicación en 4Chan de fotos privadas de muchas famosas estadounidenses y hay algunos que incluso hablan de un hack a gran escala a iCloud, el servicio de almacenamiento en la nube de Apple que sincroniza de forma casi instantanea tus fotos en todos los dispositivos de Apple… personalmente creo que es casi ridículo un hackeo a gran escala en iCloud, pero creo que pocos entienden como funcionan estos servicios y que cuando algo se hace digital no se borra con un click sino que queda, quizás por siempre en algún server. Continue reading “Las fotos de famosas, la improbabilidad de iCloud y la omnipresencia online”

¿Y si TOR no es seguro?

HowTorWorks tor-anonimato-online

Hace ya un par de días que estoy siguiendo una discusión en TOR Project sobre la seguridad de la plataforma de anonimato en la red porque pese a que investigadores de Carnegie Mellon dijeron que fueron obligados a cancelar una presentación en Black Hat que mostraba que TOR no era seguro, en la lista oficial negaron esto y solo dijeron que pidieron datos porque creen saber cual es el bug y lo están arreglando. Continue reading “¿Y si TOR no es seguro?”

Apple tiene backdoors en todo dispositivo con iOS

backdoor en IOS

Excelente paper académico de Jonathan Zdziarski, que muestra una cantidad preocupante de servicios sin documentar que corren en iOS y que dan acceso a toda tu información en formatos que no son “asociables” o “explicables” por parte de Apple como algo que se use internamente. Continue reading “Apple tiene backdoors en todo dispositivo con iOS”

La NSA interceptando routers para implantar backdoors

Recuerdo que Huawei anunciaba que abandonaba el mercado estadounidense de networking por ser hostil a su presencia, mientras el senado los acusaba de tener herramientas de espionaje.. hoy Glen Greenwald revela más documentos de Edward Snowden con frases que siguen destruyendo la ilusión de privacidad y seguridad

“Mientras empresas estadounidenses eran alertadas para no usar routers chinos supuestamente no confiables, organizaciones extranjeras deberían haber sido alertadas de estar lejos de equipos hechos en USA. Un reporte de junio de 2010 del jefe del “NSA Access and Target Development” es explícito. “La NSA rutinariamente recibe (o intercepta) routers, servers y otros dispositivos de networking antes de ser exportados a clientes internacionales. La agencia entonces implanta herramientas de vigilancia y backdoors, empaqueta el equipo con sellos de fábrica y los hace continuar su camino a destino. De esta forma la NSA logra acceso a redes enteras y todos sus usuarios

Sin equipamiento confiable hecho en China ni en USA… ¿volvemos a las cartas a mano? :)

Heartbleed: esto no terminó

heartbleed passowrds sitios afectados

Si leiste algo de Heartbleed y corriste a cambiar tus claves pensando que todo está seguro estás equivocado, pero como la noticia ya pasó nadie le presta atención y hay servicios que todavía siguen sin cambiar sus certificados… con lo que todos los problemas de Heartbleed siguen existiendo. Continue reading “Heartbleed: esto no terminó”

Target: El factor humano

Hace tiempo recibí este mail, mi tarjeta de débito y el consiguiente acceso a mis cuentas fueron “comprometidas” en un hackeo masivo al sistema de puntos de venta de Target; mi banco proactivamente la reemplazó sin cargo y sólo por precaución… ¿la razón? Target, la cadena minorista de USA que gasta decenas de millones de dólares en medidas de seguridad no hizo caso a las repetidas alertas de los sistemas de seguridad instalados por ellos mismos. Continue reading “Target: El factor humano”

Microsoft ofrece servers fisicamente fuera de USA por el caso Snowden

microsoft ilogotipo

Y finalmente comienza la balcanización de Internet; Microsoft se convierte en la primer empresa en ofrecerle a sus clientes internacionales la posibilidad de datacenters físicamente fuera de USA y con conectividad que no atraviese un nodo en USA la NSA debería esforzarse bastante más de la cuenta para poder acceder esos datos. Continue reading “Microsoft ofrece servers fisicamente fuera de USA por el caso Snowden”

The New York Times pide la amnistía de Snowden

Es interesantísmo leer el editorial del The New York Times Edward Snowden, Whistle-Blower con una lógica aplastante:

“Cuando alguien revela que funcionarios del gobierno han rutinaria y deliberadamente violado la ley, esa persona no debería enfrentarse a una condena de vida en prisión a manos de ese mismo gobierno. Es por eso que Rick Ledgett, quien lidera el grupo de trabajo de la NSA sobre Snowden, dijo recientemente a CBS News que él consideraría una amnistía si Snowden frena cualquier fuga adicional. Y es por eso que el presidente Obama debería ordenarle a sus asistentes que comiencen la búsqueda de una forma de acabar con la difamación del Sr. Snowden y darle un incentivo para volver a casa.”

A diferencia de muchos de los países donde vivimos algunos de nosotros, cuando un juzgado dictamina que el Ejecutivo violó una ley hay consecuencias, cuando el director de Inteligencia le miente al Congreso también hay consecuencias y esto muestra la separación de poderes…

Snowden ha violado leyes para demostrar que otros han violado leyes y sigo sosteniendo que esto es la noticia tecnológica del año por las implicancias sociales y políticas que tuvieron.. en serio, balcanizaron Internet y finalmente se perdió la inocencia.

RSA y su contrato con la NSA

rsa-securid Todo aquel que trabaje en una empresa con una VPN corporativa conoce a RSA, la empresa que genera un código de autenticación de dos vías que es supuestamente la mejor solución para conectarse a una red corporativa, pero resulta que RSA recibió u$10 millones de dólares de la NSA para usar un algoritmo débil en esa herramienta de generación de números aleatorios… haciendo de esta una combinación insegura.

Continue reading “RSA y su contrato con la NSA”

Huawei y la infraestructura como arma

Huawei, el proveedor chino de equipos de telecomunicaciones abandona el mercado de USA por encontrarlo “hostil” y cansado de acusaciones de espionaje. Es interesante leer lo que dijo un legislador de USA en 2012:

“Tenemos que estar seguros de que las empresas de telecomunicaciones chinas que trabajan en Estados Unidos son confiables para acceder a nuestra infraestructura crítica” … “Cualquier error, beacon o backdoor puesto en nuestros sistemas podrían permitir un efecto dominó catastrófico y un devastador efecto dominó de fallos a través de nuestras redes.”

Pese a que no hay pruebas públicas del link Huawei/Espionaje, esta frase la dicen en un país donde hay toda una infraestructura de inteligencia dedicada a espiar, vulnerando hasta estándares de seguridad y hackeando servicios estadounidenses… extraña coincidencia.