Yahoo y su destrucción

Soy de los que pocos que buscó justificar a Marissa Mayer en su paso como CEO de Yahoo! siendo honestos tomó un barco incendiado, sin motor y sin rumbo; donde sus propios accionistas quería venderlo por partes y donde uno de los fundadores volvió a hacer más daño del posible… pero luego, cuando todo parecía condenado al fracaso apareció Verizon/AOL e hizo una oferta de compra por una parte de Yahoo que tenía sentido, un final que no era feliz pero que en números cerraba.

Un par de meses después, nos enteramos que Yahoo! tuvo una violación de seguridad y más de 200 millones de cuentas fueron hackeadas y nunca reportadas para que los usuarios pudieran borrar esas claves de otros servicios, menos de un mes despues nos enteramos que en 2015 no sólo escaneó mails de sus clientes para las fuerzas de inteligencia de USA sino que creó una herramienta específica para poder leer millones de cuentas en tiempo real de forma encubierta… mientras otras empresas, como Apple o Facebook llevan a juicio al FBI o la CIA para no romper la confianza que uno pone en ellos. Continue reading “Yahoo y su destrucción”

Charlie Miller, responsable de hackear un Jeep vía 3G, se retira de Twitter

jeep uconnect sistema hackeado

Charlie Miller, el responsable del hack a un Jeep Cherokee via 3G entrando por su sistema de entretenimiento y capaz de tomar control TOTAL del auto se retiró de Twitter. Un detalle, el experimento se hizo con la autorización de Chrysler quien terminó haciendo un recall de 1.4 millones de autos para hacer un upgrade del sistema que ahora previene ese tipo de ataques.

Hackeando un auto remotamente

car_hackers

Hace un tiempo publiqué como hackeaban físicamente un Prius y un Ford Escape apenas dos años despues lograron hackear con la conectividad 3G de fábrica un Jeep Cherokee y tomar control remoto de todos los sistemas del auto.

Me sorprende que hayan tardado poco tiempo en romper conectividad móvil (con sus protocolos) que viene embebida y donde lo que era apenas un ataque al geoposicionamiento para poder seguir un auto se haya convertido en un ataque donde se toma el control 100% del auto: Continue reading “Hackeando un auto remotamente”

La vida secreta de las contraseñas

The Secret Life of Passwords - NYTimes.com

Si hoy vas a leer algo que sea The Secret Life of Passwords de @ian_urbina donde analiza la carga emocional que uno pone en las contraseñas y como estas pueden decir más de uno que tantas otras cosas; con el ejemplo real del análisis forense de Cantor Fitzgerald luego 9/11 donde casi 700 empleados murieron y los planes de contigencia fallaron por no preveer una catástrofe de esta magnitud pero las descubrieron en menos de 48 horas… todas. Continue reading “La vida secreta de las contraseñas”

Las contraseñas y el modelo erróneo de XKCD

xkcd passwords mal hecho
Casi todos los que estamos relacionados con Internet hemos visto este comic de XKCD y como elegir una “contraseña segura”, la lógica siempre me pareció realmente buena por como aumenta el grado de dificultad de ser violada… pero acabo de leer: Password Security: Why the horse battery staple is not correct y la estrategia de @diogomonica me parece genial. Continue reading “Las contraseñas y el modelo erróneo de XKCD”

Apple niega ataque a gran escala sobre iCloud

icloud

Finalmente Apple dió una respuesta oficial sobre las fotos de famosas desnudas que se publicaron hace un par de días y todo apunta a lo que sostuve en su momento: el ataque era quirúrgico y apunta a fallas humanas: Continue reading “Apple niega ataque a gran escala sobre iCloud”

Las fotos de famosas, la improbabilidad de iCloud y la omnipresencia online

Hola tus fotos estan en todos lados

A estas horas todo el mundo debe estar hablando de la publicación en 4Chan de fotos privadas de muchas famosas estadounidenses y hay algunos que incluso hablan de un hack a gran escala a iCloud, el servicio de almacenamiento en la nube de Apple que sincroniza de forma casi instantanea tus fotos en todos los dispositivos de Apple… personalmente creo que es casi ridículo un hackeo a gran escala en iCloud, pero creo que pocos entienden como funcionan estos servicios y que cuando algo se hace digital no se borra con un click sino que queda, quizás por siempre en algún server. Continue reading “Las fotos de famosas, la improbabilidad de iCloud y la omnipresencia online”

¿Y si TOR no es seguro?

HowTorWorks tor-anonimato-online

Hace ya un par de días que estoy siguiendo una discusión en TOR Project sobre la seguridad de la plataforma de anonimato en la red porque pese a que investigadores de Carnegie Mellon dijeron que fueron obligados a cancelar una presentación en Black Hat que mostraba que TOR no era seguro, en la lista oficial negaron esto y solo dijeron que pidieron datos porque creen saber cual es el bug y lo están arreglando. Continue reading “¿Y si TOR no es seguro?”

Apple tiene backdoors en todo dispositivo con iOS

backdoor en IOS

Excelente paper académico de Jonathan Zdziarski, que muestra una cantidad preocupante de servicios sin documentar que corren en iOS y que dan acceso a toda tu información en formatos que no son “asociables” o “explicables” por parte de Apple como algo que se use internamente. Continue reading “Apple tiene backdoors en todo dispositivo con iOS”

La NSA interceptando routers para implantar backdoors

Recuerdo que Huawei anunciaba que abandonaba el mercado estadounidense de networking por ser hostil a su presencia, mientras el senado los acusaba de tener herramientas de espionaje.. hoy Glen Greenwald revela más documentos de Edward Snowden con frases que siguen destruyendo la ilusión de privacidad y seguridad

“Mientras empresas estadounidenses eran alertadas para no usar routers chinos supuestamente no confiables, organizaciones extranjeras deberían haber sido alertadas de estar lejos de equipos hechos en USA. Un reporte de junio de 2010 del jefe del “NSA Access and Target Development” es explícito. “La NSA rutinariamente recibe (o intercepta) routers, servers y otros dispositivos de networking antes de ser exportados a clientes internacionales. La agencia entonces implanta herramientas de vigilancia y backdoors, empaqueta el equipo con sellos de fábrica y los hace continuar su camino a destino. De esta forma la NSA logra acceso a redes enteras y todos sus usuarios

Sin equipamiento confiable hecho en China ni en USA… ¿volvemos a las cartas a mano? :)

Heartbleed: esto no terminó

heartbleed passowrds sitios afectados

Si leiste algo de Heartbleed y corriste a cambiar tus claves pensando que todo está seguro estás equivocado, pero como la noticia ya pasó nadie le presta atención y hay servicios que todavía siguen sin cambiar sus certificados… con lo que todos los problemas de Heartbleed siguen existiendo. Continue reading “Heartbleed: esto no terminó”

Target: El factor humano

Hace tiempo recibí este mail, mi tarjeta de débito y el consiguiente acceso a mis cuentas fueron “comprometidas” en un hackeo masivo al sistema de puntos de venta de Target; mi banco proactivamente la reemplazó sin cargo y sólo por precaución… ¿la razón? Target, la cadena minorista de USA que gasta decenas de millones de dólares en medidas de seguridad no hizo caso a las repetidas alertas de los sistemas de seguridad instalados por ellos mismos. Continue reading “Target: El factor humano”

Microsoft ofrece servers fisicamente fuera de USA por el caso Snowden

microsoft ilogotipo

Y finalmente comienza la balcanización de Internet; Microsoft se convierte en la primer empresa en ofrecerle a sus clientes internacionales la posibilidad de datacenters físicamente fuera de USA y con conectividad que no atraviese un nodo en USA la NSA debería esforzarse bastante más de la cuenta para poder acceder esos datos. Continue reading “Microsoft ofrece servers fisicamente fuera de USA por el caso Snowden”

The New York Times pide la amnistía de Snowden

Es interesantísmo leer el editorial del The New York Times Edward Snowden, Whistle-Blower con una lógica aplastante:

“Cuando alguien revela que funcionarios del gobierno han rutinaria y deliberadamente violado la ley, esa persona no debería enfrentarse a una condena de vida en prisión a manos de ese mismo gobierno. Es por eso que Rick Ledgett, quien lidera el grupo de trabajo de la NSA sobre Snowden, dijo recientemente a CBS News que él consideraría una amnistía si Snowden frena cualquier fuga adicional. Y es por eso que el presidente Obama debería ordenarle a sus asistentes que comiencen la búsqueda de una forma de acabar con la difamación del Sr. Snowden y darle un incentivo para volver a casa.”

A diferencia de muchos de los países donde vivimos algunos de nosotros, cuando un juzgado dictamina que el Ejecutivo violó una ley hay consecuencias, cuando el director de Inteligencia le miente al Congreso también hay consecuencias y esto muestra la separación de poderes…

Snowden ha violado leyes para demostrar que otros han violado leyes y sigo sosteniendo que esto es la noticia tecnológica del año por las implicancias sociales y políticas que tuvieron.. en serio, balcanizaron Internet y finalmente se perdió la inocencia.

RSA y su contrato con la NSA

rsa-securid Todo aquel que trabaje en una empresa con una VPN corporativa conoce a RSA, la empresa que genera un código de autenticación de dos vías que es supuestamente la mejor solución para conectarse a una red corporativa, pero resulta que RSA recibió u$10 millones de dólares de la NSA para usar un algoritmo débil en esa herramienta de generación de números aleatorios… haciendo de esta una combinación insegura.

Continue reading “RSA y su contrato con la NSA”

Huawei y la infraestructura como arma

Huawei, el proveedor chino de equipos de telecomunicaciones abandona el mercado de USA por encontrarlo “hostil” y cansado de acusaciones de espionaje. Es interesante leer lo que dijo un legislador de USA en 2012:

“Tenemos que estar seguros de que las empresas de telecomunicaciones chinas que trabajan en Estados Unidos son confiables para acceder a nuestra infraestructura crítica” … “Cualquier error, beacon o backdoor puesto en nuestros sistemas podrían permitir un efecto dominó catastrófico y un devastador efecto dominó de fallos a través de nuestras redes.”

Pese a que no hay pruebas públicas del link Huawei/Espionaje, esta frase la dicen en un país donde hay toda una infraestructura de inteligencia dedicada a espiar, vulnerando hasta estándares de seguridad y hackeando servicios estadounidenses… extraña coincidencia.

México, Brasil, Francia, Alemania… perdiendo la inocencia

Hace unos 6 meses cuando comenzó el el caso Snowden y PRISM dije que esto tenía la posibilidad de destruir Internet como la conocemos y sigo convencido que esto es real y no nos estamos dando cuenta del problema.

“TAO successfully exploited a key mail server in the Mexican Presidencia domain within the Mexican Presidential network to gain first-ever access to President Felipe Calderon’s public email account.” Mayo de 2010… en adelante la seguridad fue destrozada

Continue reading “México, Brasil, Francia, Alemania… perdiendo la inocencia”

Crypto Wars… otra vez

Si no hubiera leido que el Decano de Johns Hopkins le pidió a Matthew Green, profesor de Criptografía de esa Universidad que remueva los posts sobre la NSA de sus servers, tal vez, no me hubiera dado cuenta que definitivamente las revelaciones de Edward Snowden están llevando una guerra en la comunidad de criptografía como no había desde hace décadas y 1 Password hizo genial en resucitarla para entender el momento actual.

servicios vulnerados por la NSA

Continue reading “Crypto Wars… otra vez”