Las contraseñas y el modelo erróneo de XKCD

Standard

xkcd passwords mal hecho
Casi todos los que estamos relacionados con Internet hemos visto este comic de XKCD y como elegir una “contraseña segura”, la lógica siempre me pareció realmente buena por como aumenta el grado de dificultad de ser violada… pero acabo de leer: Password Security: Why the horse battery staple is not correct y la estrategia de @diogomonica me parece genial. Continue reading

Las fotos de famosas, la improbabilidad de iCloud y la omnipresencia online

Standard

Hola tus fotos estan en todos lados

A estas horas todo el mundo debe estar hablando de la publicación en 4Chan de fotos privadas de muchas famosas estadounidenses y hay algunos que incluso hablan de un hack a gran escala a iCloud, el servicio de almacenamiento en la nube de Apple que sincroniza de forma casi instantanea tus fotos en todos los dispositivos de Apple… personalmente creo que es casi ridículo un hackeo a gran escala en iCloud, pero creo que pocos entienden como funcionan estos servicios y que cuando algo se hace digital no se borra con un click sino que queda, quizás por siempre en algún server. Continue reading

¿Y si TOR no es seguro?

Standard

HowTorWorks tor-anonimato-online

Hace ya un par de días que estoy siguiendo una discusión en TOR Project sobre la seguridad de la plataforma de anonimato en la red porque pese a que investigadores de Carnegie Mellon dijeron que fueron obligados a cancelar una presentación en Black Hat que mostraba que TOR no era seguro, en la lista oficial negaron esto y solo dijeron que pidieron datos porque creen saber cual es el bug y lo están arreglando. Continue reading

La NSA interceptando routers para implantar backdoors

Standard

Recuerdo que Huawei anunciaba que abandonaba el mercado estadounidense de networking por ser hostil a su presencia, mientras el senado los acusaba de tener herramientas de espionaje.. hoy Glen Greenwald revela más documentos de Edward Snowden con frases que siguen destruyendo la ilusión de privacidad y seguridad

“Mientras empresas estadounidenses eran alertadas para no usar routers chinos supuestamente no confiables, organizaciones extranjeras deberían haber sido alertadas de estar lejos de equipos hechos en USA. Un reporte de junio de 2010 del jefe del “NSA Access and Target Development” es explícito. “La NSA rutinariamente recibe (o intercepta) routers, servers y otros dispositivos de networking antes de ser exportados a clientes internacionales. La agencia entonces implanta herramientas de vigilancia y backdoors, empaqueta el equipo con sellos de fábrica y los hace continuar su camino a destino. De esta forma la NSA logra acceso a redes enteras y todos sus usuarios

Sin equipamiento confiable hecho en China ni en USA… ¿volvemos a las cartas a mano? :)

Target: El factor humano

Standard

Hace tiempo recibí este mail, mi tarjeta de débito y el consiguiente acceso a mis cuentas fueron “comprometidas” en un hackeo masivo al sistema de puntos de venta de Target; mi banco proactivamente la reemplazó sin cargo y sólo por precaución… ¿la razón? Target, la cadena minorista de USA que gasta decenas de millones de dólares en medidas de seguridad no hizo caso a las repetidas alertas de los sistemas de seguridad instalados por ellos mismos. Continue reading

Microsoft ofrece servers fisicamente fuera de USA por el caso Snowden

Standard

microsoft ilogotipo

Y finalmente comienza la balcanización de Internet; Microsoft se convierte en la primer empresa en ofrecerle a sus clientes internacionales la posibilidad de datacenters físicamente fuera de USA y con conectividad que no atraviese un nodo en USA la NSA debería esforzarse bastante más de la cuenta para poder acceder esos datos. Continue reading

The New York Times pide la amnistía de Snowden

Standard

Es interesantísmo leer el editorial del The New York Times Edward Snowden, Whistle-Blower con una lógica aplastante:

“Cuando alguien revela que funcionarios del gobierno han rutinaria y deliberadamente violado la ley, esa persona no debería enfrentarse a una condena de vida en prisión a manos de ese mismo gobierno. Es por eso que Rick Ledgett, quien lidera el grupo de trabajo de la NSA sobre Snowden, dijo recientemente a CBS News que él consideraría una amnistía si Snowden frena cualquier fuga adicional. Y es por eso que el presidente Obama debería ordenarle a sus asistentes que comiencen la búsqueda de una forma de acabar con la difamación del Sr. Snowden y darle un incentivo para volver a casa.”

A diferencia de muchos de los países donde vivimos algunos de nosotros, cuando un juzgado dictamina que el Ejecutivo violó una ley hay consecuencias, cuando el director de Inteligencia le miente al Congreso también hay consecuencias y esto muestra la separación de poderes…

Snowden ha violado leyes para demostrar que otros han violado leyes y sigo sosteniendo que esto es la noticia tecnológica del año por las implicancias sociales y políticas que tuvieron.. en serio, balcanizaron Internet y finalmente se perdió la inocencia.

RSA y su contrato con la NSA

Standard

rsa-securid Todo aquel que trabaje en una empresa con una VPN corporativa conoce a RSA, la empresa que genera un código de autenticación de dos vías que es supuestamente la mejor solución para conectarse a una red corporativa, pero resulta que RSA recibió u$10 millones de dólares de la NSA para usar un algoritmo débil en esa herramienta de generación de números aleatorios… haciendo de esta una combinación insegura.

Continue reading

Huawei y la infraestructura como arma

Standard

Huawei, el proveedor chino de equipos de telecomunicaciones abandona el mercado de USA por encontrarlo “hostil” y cansado de acusaciones de espionaje. Es interesante leer lo que dijo un legislador de USA en 2012:

“Tenemos que estar seguros de que las empresas de telecomunicaciones chinas que trabajan en Estados Unidos son confiables para acceder a nuestra infraestructura crítica” … “Cualquier error, beacon o backdoor puesto en nuestros sistemas podrían permitir un efecto dominó catastrófico y un devastador efecto dominó de fallos a través de nuestras redes.”

Pese a que no hay pruebas públicas del link Huawei/Espionaje, esta frase la dicen en un país donde hay toda una infraestructura de inteligencia dedicada a espiar, vulnerando hasta estándares de seguridad y hackeando servicios estadounidenses… extraña coincidencia.

México, Brasil, Francia, Alemania… perdiendo la inocencia

Standard

Hace unos 6 meses cuando comenzó el el caso Snowden y PRISM dije que esto tenía la posibilidad de destruir Internet como la conocemos y sigo convencido que esto es real y no nos estamos dando cuenta del problema.

“TAO successfully exploited a key mail server in the Mexican Presidencia domain within the Mexican Presidential network to gain first-ever access to President Felipe Calderon’s public email account.” Mayo de 2010… en adelante la seguridad fue destrozada

Continue reading

Crypto Wars… otra vez

Standard

Si no hubiera leido que el Decano de Johns Hopkins le pidió a Matthew Green, profesor de Criptografía de esa Universidad que remueva los posts sobre la NSA de sus servers, tal vez, no me hubiera dado cuenta que definitivamente las revelaciones de Edward Snowden están llevando una guerra en la comunidad de criptografía como no había desde hace décadas y 1 Password hizo genial en resucitarla para entender el momento actual.

servicios vulnerados por la NSA

Continue reading

Shodan o el buscador de “la internet de las cosas”

Standard

Hoy en una nota de Forbes se habla de Shodan un buscador que uso cada tanto para ver como lo van actualizando y que tiene una particularidad, no busca documentos sino dispositivos conectados a Internet con dos detalles, una serie de filtros te permiten encontrar cosas muy específicas como cámaras Cisco vulnerables a ciertos ataques que estén localizadas en una ciudad y se hayan instalado entre X fechas… y así, lo que el fundador pensó que podía ser usado para mapear el mundo de The Internet of Things, resultó una excelente herramienta para darse cuenta que nadie le presta atención a la seguridad de estos dispositivos.

SHODAN - Computer Search Engine

Por poner un ejemplo, si uno busca en la zona de exploits va a ver que hay noticias donde se dice cuales son los equipos susceptibles de fallas de seguridad pero si uno encuentra muchos equipos conectados y hace una búsqueda en Google tonta como linksys cameras default password y sabe sumar 2+2… ya saben sobre que cosas pueden tomar control :)

Continue reading

PRISM sigue generando daño en Internet

Standard

Hace tres meses dije que PRISM tiene el potencial de dañar Internet para siempre; hace unos días el Gobierno Británico le pasó por arriba a los derechos de la pareja del periodista de The Guardian y esto solo demuestra que nadie en la comunidad de Inteligencia sabe la amplitud ni profundidad de los datos que Snowden filtró o tiene encima pero nos guste o no, esto va a cambiar el panorama de Internet definitivamente. Continue reading

El correo electrónico dejó de ser seguro

Standard

email inseguroGenial nota de Silent Circle: Why can’t email be secure? que explica excelentemente bien porque el email no es considerado seguro actualmente y, básicamente, tiene que ver con su diseño original y el aumento de poder de procesamiento:

Como se puede ver, la seguridad de correo electrónico se ha vuelto más compleja de lo que solía ser. En el pasado, con “asegurar” el cuerpo del mensaje era suficiente. Las herramientas y técnicas utilizadas para el espionaje no tenían una escala lo suficientemente grande como para permitir que los metadatos sean útiles. Con la intervención de los proveedores de la red troncal de Internet, los espías pueden ver todo el tráfico en Internet. Los días en los que era posible que dos personas tengan una conversación realmente privada por correo electrónico, si es que alguna vez existieron, son pasado.

Y es interesante porque esto se relaciona de forma directa con la forma de establecer relaciones entre los POI y cualquier otra persona, cuando eso lo agregás a bases externas y decidís que querés saber el contenido de una charla… tu poder de procesamiento te permite destruir las capas de seguridad. Buena nota en serio.

Google Chrome y su peligroso manejo de claves

Standard

Vamos a poner algo en claro: si alguien tiene acceso físico a tu PC o Mac puede acceder a todos tus datos, lo único que cambia es el tiempo que tarde. Ahora, si en esa PC o Mac tenés instalado Google Chrome con solo abrirlo puede ver todas tus claves de Safari o Firefox o Chrome con 3 clicks y que el jefe de seguridad de Chrome diga que “no usamos una clave maestra ni otras protecciones para que no haya una falsa sensación de seguridad” es simplemente ridículo. Lo ridículo es que recién hoy me doy cuenta de esto por el post de Elliot Kember

Continue reading