Pese a que el NYT y Seattle Times digan que Microsoft COFEE es una manera de saltar todo tipo de encriptación de archivos soy bastante escéptico sobre algo tan contundente.
¿Que es Microsoft COFEE? Una memoria Flash USB con más de 150 programas desarrollados en Microsoft que fueron brindados a algunas agencias de seguridad de USA como una “navaja suiza de seguridad” que les permitiría, supuestamente, poder saltar la encriptación y seguridad de cualquier PC a la que se conecten para hacer análisis forense de pruebas.
Excelente recopilación de SpeckyBoy: Top 10 Security and Protection Plugins for Wordpress que me permito traducir en caso que a alguien le resulten útiles… todo esto va más allá de los básicos para un Wordpress seguro: siempre tener la última versión instalada y no usar admin como acceso ;)
Pocas aplicaciones para hacer backups locales de tu cuenta de GMAIL funcionaban tan rápido como G-Archiver pero, si la usás, por favor desinstalá y cambiá tu clave de GMAIL porque un error de código hizo que la versión anterior envíe al desarrollador tu usuario y contraseña de tu ceunta con lo que gana acceso total a todos tus servicios de Google.
Esta vez fue un error que descubrió el desarrollador, incluso publicando un screenshot de su cuenta con lo que venía recibiendo y aclarando que ya están sacando esas líneas del código… algo que no creo sea útil porque ¿quien va a volver a confiar sus datos a esta aplicacion? ;)
En la conferencia de seguridad Sydney 2006, Adam Boileau, presentó una herramienta llamada Winlockpwn que te permitía hackear cualquier PC con Windows XP en segundos a través de un simple puerto firewire [PDF].
Casi dos años después el bug no fue arreglado asi que, el creador, decidió liberar la herramienta en su site esperando que, tal vez así, MSFT decida solucionar el problema.
No es un bug, es una función ;)
¿Porque no se solucionó? Porque la capacidad de usar el puerto firewire para acceder a la memoria de una PC es, en realidad, una función (estos de FayerWayer son peligrosos :P) y, según Sophos, lo mejor es desconectar los puertos FW si no los usás en ese momento ¿soy el único al que ese consejo le parece ridículo? :S
Es interesante ver que recomiende usar IE 7, IE8, FF2, FF3 u Opera antes que Safari, y que, principalmente sea la falta de soporte para Extended Verification una tecnología antiphishing relativamente nueva.
Si uno está preocupado sobre la privacidad de datos personales dando vueltas en las redes sociales, el ejercito canadiense está a un paso de ser paranoico y acaba de pedirle a sus soldados no usar Facebook o usarlo en forma limitada, porque “Miembros de Al Qaeda están vigilando Facebook y otras redes sociales,”
Supuestamente Al Qaeda revisa FB y otras redes para encontrar datos personales y atacar a militares o familiares de estos y, por eso, les piden no subir fotos donde usen uniforme, no revelar datos personales, ni nada por el estilo.
Básicamente sus consejos son: restringí el acceso al panel de control sólo a tu IP(lo que es bueno, si tenés una IP fija y sino no podés hacerlo); borrá la información de que versión de Wordpress usás en tu blog (más simple y efectivo es tener siempre el CMS actualizado) y, finalmente, agregá un index.html vacío al directorio de plugins para que no sepan que tenés instalado (mejor, usá htaccess para que no muestre el contenido de los directorios)
No digo que sus consejos no sean buenos, de hecho creo que con esos se frenarían el 90% de los ataques hechos por script-kiddies; pero si querés una instalación mucho más segura, te recomiendo que descargues un PDF de BlogSecurity que, en español, Anieto2K tradujo y explicó de manera más completa y que te da tips para hacer segura hasta la base de datos ;)
There’s a man in Salt Lake City who knows what I did last summer. Specifically, he knows what I did on Aug. 24, 2007. He knows that I checked my EarthLink e-mail at 1:25 pm, and then blew a half an hour on ESPN’s Web site. He also knows that my wife, Anne, wanted new shoes, from Hush Puppies or DSW, and that she synced her electronic planner—”she has quite a busy schedule,” the man noted—and downloaded some podcasts. We both printed out passes for free weeklong trials at 24 Hour Fitness, but instead of working out, apparently spent the evening watching a pay-per-view movie. It was Bridge to Terabithia or Zodiac, he thinks.
Ese tipo de sistemas de inteligencia, sumados a las cámaras y similares, me hacen sentir que vivimos en un Panopticón esa carcel diseñada por Jeremy Bentham en 1791 donde se podía observar todo lo que hacían los prisioneros durante las 24 horas sin que ellos supieran si estaban siendo vigilados o no, generando ese sentimiento de omnipresencia vigilante que es peor aún que la de 1984.
Vale la pena leer ambas noticias porque todas tienen algunos datos interesante; tal vez lo mejor es la historia de como evoluciona el spam que da Barracuda: 2003 - Open relays, blast emails, spoofing; 2004 - Automated generation of spam variants; 2005 - Rotating URL spam; 2006 - Image spam and botnets y en 2007 ya se ve spam en formatos múltiples con sistemas de ocultacion de envío y similares…
En definitiva, puede ser que no lo veamos pero el juego del gato y el ratón es cada día más fuerte y, si los spammers siguen desarrollando técnicas es porque la gente sigue haciendo click ;)
Muy buena presentacion de Ross Anderson en Google; es una hora de duración.. así que no es apto para ver en la oficina, pero vale la pena verlo para entender algunas técnicas de los spammers y la lógica de su economía :)
Asi lo declaró Wesley Clark, un General del ejercito de USA que ya está retirado y trabaja, casualmente para una empresa que provee soluciones de seguridad para P2P:
“Si la gente conociera el alcance de los riesgos de las redes P2P, America estaría enojada y demandaría soluciones. Si esperan un juicio, es que esperaron demasiado”
Lo interesante es que como ejemplo ponen 200 documentos del pentágono que, supuestamente, estarían en redes P2P. ¿La realidad? es que seguramente los usuarios de las PCs donde están esos documentos son el idiota promedio que, en vez de compartir directorios, comparte su PC completa.
Por eso en un ejemplo de Darmouth (me extraña de esa universidad) hablan de “una persona que guardó un email conteniendo su número de tarjeta VISA en el directorio de canciones que compartía en LimeWire… y alguien la usó” este ejemplo, que es el único que se menciona explícitamente en la nota, no demuestra que una tecnología sea una amenaza a la seguridad nacional, sino que ese usuario de LimeWire es el peligro ;)
¿La razón? Como los servidores están instalados en USA, dice que todos los datos pueden ser monitoreados por ese Gobierno; y pese a que RIM declaró que son la solución más segura del mundo (y no lo discuto a nivel técnico porque conociendo algunas soluciones no lo dudo) hace falta ver si al invocar algo como la Patriot Act o similares, deberían o no, darle acceso a esos servers al Gobierno.
No nos olvidemos que hasta ahora solo Verizon y Google se negaron a darle datos al Gobierno de USA cuando se les pidieron invocando “razones de seguridad nacional”…
Un dato que me llama la atencion es que este spammer siguió operando en el mercado, aún cuando en el 2005 lo hicieron pagar u$s7 millones a Microsoft y u$s10 millones a un ISP por otro juicio por spam; luego de ese juicio, el gobierno de USA le bloqueó 4 cuentas bancarias y, aún así, pudo pagar los nuevos abogados, una multa de u$s773,000 y vivir bastante bien.
Teniendo en cuenta que cobra u$s495 por cada 20 millones de mails que envía, ¿cuantos billones de correos basura envía este tipejo por día? ¿es posible operar unared propia para enviarlos? No y esto demuestra que para ser un “spammer exitoso” necesita infectar máquinas y armarse sus botnets
Estoy totalmente sorprendido por BadBunny, el primer virus multiplataforma que sale para OpenOffice y que, en realidad, más una prueba-concepto que un virus real; de hecho el código del mismo fue enviado directamente a SophosLabs para que lo destripen, entiendan y lancen una actualización de seguridad.
Lo que más me sorprende del virus no es que sea multiplataforma, sino la cantidad de scripts que usa dentro de una de las macros de OpenOffice para atacar cada sistema operativo de la forma más eficiente. En Windows, BadBunny usa JavaScript, en Mac OS X trabaja en Ruby, y en Linux aprovecha Perl y Python.
El virus se lanzó con un documento de Open Office Draw, puede infectar equipos con Windows, Mac OS X, y Linux; trata de propagarse en Internet a través del mIRC y XChat; sólo lo logra en Win y Linux aunque no en Mac OSX. Hay más informacion en Ars Technica y, tal vez, sea un buen momento para volver a recomendar no tener macros activas por default ;)
Un interesante aparatito recibí hoy de la gente del HSBC un e-Token para complementar la seguridad de las operaciones de HomeBanking o Internet Banking. Es básicamente un generador digital de códigos de seguridad de 6 caracteres que hay que activar cada vez que haces una operacion en el banco vía internet.
La idea no es mala, tampoco es el summun de la comodidad, pero es el tipo de cosas que genera cierta tranquilidad al momento de hacer pagos o transferencias electrónicas y con un funcionamiento bastante simple.
Ingresás en la página de PC Banking, ponés tu usuario, contraseña, apretás el botón del e-token para que te genere una clave de seguridad que debés introducir en un formulario y listo… lo mismo al momento de hacer una operación.
¿Ventaja de esto? Si averiguan tu usuario/contraseña deberían descubrir la clave digital; y aunque consigan una de estas, como sólo sirven en una operación solo podrían ingresar pero no autorizar pagos ni transferencias…. pero debés llevar con vos este aparatito a todas partes.
Denken Über es mi weblog donde escribo sobre tecnología, estrategias y cosas de internet.
Podés comentar en cada artículo o enviarnos noticias o links.
