Desde el lanzamiento oficial del navegador Google Chrome, era obvio que todos iban a estar buscando vulnerabilidades para darse el gustito de decir “Yo sé más que los ingenieros de Google” y como nada es perfecto y mucho menos una beta que no fue tratada de explotar constantemente… ya hay varias vulnerabilidades dando vueltas.
Es realmente impresionante una nota en ZDnet sobre la tercerización del hackeo de CAPTCHAs en India a los que se les paga 2USD por cada 1000 gráficos resueltos y estas empresas ofrecen hasta 500.000 resueltos por dÃa.
CAPTCHA: Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos).
Se trata de una prueba desafÃo-respuesta utilizada en computación para determinar cuándo el usuario es o no humano.
¿Quienes son los principales damnificados? En realidad somos todos los usuarios de Internet porque los clientes son spammers, phishers y esas castas que hacen de Internet un lugar con problemas… pero, los sitios que soportan sus CAPTCHAs destruÃdos con esta nueva tercerización de la economÃa negra de internet MFM son los 4 o 5 grandes y que pueden ser usados para manejar estas defraudaciones: MySpace, Gmail, etc.
Hace ya varios dÃas Georgia, Osetia del Sur y Rusia están en una guerra no declarada que, al menos en los medios, es menos interesante que la apertura de los Juegos OlÃmpicos de Beijing.. más allá de eso es interesante ver un frente de batalla mucho más discreto, Internet.
Arbor Networks detectó un aumento en los ataques de denegación de servicio una semana antes que comience la guerra “fÃsica” orientados hacia sitios gubernamentales de Georgia y deja caer una frase bastante interesante “con el costo por maquina infectada en menos de 4 centavos, podés financiar un ciber ataque completo por menos de lo que cuesta reemplazar un tanque”.
En Silicon Republic, se habla de la pérdida de confiabilidad de todos los sitios georgianos por la cantidad de DDoS y defacements y hackeos constantes que están sufriendo hace varios dÃas… con lo que entra en peligro la integridad de la informacion brindada a la poblacion y entre funcionarios del mismo gobierno. El detalle esta vez, la Cancilleria Georgiana abrió un blog en blogspot.com para evitar DDoS y hackeos ¿no es medio naif confiar en la infraestructura de Blogspot/Google para las comunicaciones oficiales de un paÃs en plena guerra?
Y tal vez la mejor pregunta de Mashable en mucho tiempo ¿podemos confiar nuestros datos en algo que está cada dÃa más siendo un objetivo estratégico en caso de conflictos?
Manu publicó en Celularis un link MUY útil si sos dueño de una Blackberry: Como comprar o vender una Blackberry con un PDF oficial de Research in Motion donde te explican paso a paso como “limpiar” tu BB antes de venderla o.. justo después de comprarla.
Pese a que puede parecer una cosa simple, la realidad es que el dispositivo está asociado a una cuenta BIS podés tener un problema de seguridad aún cuando sea divertido tratar de encontrar data del usuario anterior; en definitiva, sigan estos pasos antes de sacarse de encima el BB y saltarle encima a la nueva Blackberry Bold ;)
Ayer Symantec presentó su estudio de amenazas de seguridad en Internet, el ISTR v.13, y además de varios datos interesantes… el dato extraño: Buenos Aires fue la ciudad con más PCs infectadas por Bots en el último semestre de 2007
¿Que es el ISTR? Básicamente un estudio hecho sobre toda la infraestructura de Internet a la que Symantec tiene acceso, desde honeypots propios hasta las PCs con sus sistemas de seguridad instalados; y entonces es de los estudios más neutrales que hay dando vueltas porque en total son 120 millones de dispositivos tomando y enviando datos.
Cambio de paradigma en seguridad
Fue muy buena la presentacion que hicieron Douglas Wallace y Hernán Coronel porque se muestra el cambio de paradigma que está metiéndose en la seguridad online, en cierto sentido acompañando el desarrollo de la Web 2.0
Pese a que el NYT y Seattle Times digan que Microsoft COFEE es una manera de saltar todo tipo de encriptación de archivos soy bastante escéptico sobre algo tan contundente.
¿Que es Microsoft COFEE? Una memoria Flash USB con más de 150 programas desarrollados en Microsoft que fueron brindados a algunas agencias de seguridad de USA como una “navaja suiza de seguridad” que les permitirÃa, supuestamente, poder saltar la encriptación y seguridad de cualquier PC a la que se conecten para hacer análisis forense de pruebas.
Excelente recopilación de SpeckyBoy: Top 10 Security and Protection Plugins for Wordpress que me permito traducir en caso que a alguien le resulten útiles… todo esto va más allá de los básicos para un Wordpress seguro: siempre tener la última versión instalada y no usar admin como acceso ;)
Pocas aplicaciones para hacer backups locales de tu cuenta de GMAIL funcionaban tan rápido como G-Archiver pero, si la usás, por favor desinstalá y cambiá tu clave de GMAIL porque un error de código hizo que la versión anterior envÃe al desarrollador tu usuario y contraseña de tu ceunta con lo que gana acceso total a todos tus servicios de Google.
Esta vez fue un error que descubrió el desarrollador, incluso publicando un screenshot de su cuenta con lo que venÃa recibiendo y aclarando que ya están sacando esas lÃneas del código… algo que no creo sea útil porque ¿quien va a volver a confiar sus datos a esta aplicacion? ;)
En la conferencia de seguridad Sydney 2006, Adam Boileau, presentó una herramienta llamada Winlockpwn que te permitÃa hackear cualquier PC con Windows XP en segundos a través de un simple puerto firewire [PDF].
Casi dos años después el bug no fue arreglado asi que, el creador, decidió liberar la herramienta en su site esperando que, tal vez asÃ, MSFT decida solucionar el problema.
No es un bug, es una función ;)
¿Porque no se solucionó? Porque la capacidad de usar el puerto firewire para acceder a la memoria de una PC es, en realidad, una función (estos de FayerWayer son peligrosos :P) y, según Sophos, lo mejor es desconectar los puertos FW si no los usás en ese momento ¿soy el único al que ese consejo le parece ridÃculo? :S
Una noticia que los macosos van a tomar mal, pero si el jefe de Seguridad de Paypal dice que usar un navegador no es completamente seguro… yo tiendo a creerle ;)
Es interesante ver que recomiende usar IE 7, IE8, FF2, FF3 u Opera antes que Safari, y que, principalmente sea la falta de soporte para Extended Verification una tecnologÃa antiphishing relativamente nueva.
Si uno está preocupado sobre la privacidad de datos personales dando vueltas en las redes sociales, el ejercito canadiense está a un paso de ser paranoico y acaba de pedirle a sus soldados no usar Facebook o usarlo en forma limitada, porque “Miembros de Al Qaeda están vigilando Facebook y otras redes sociales,”
Supuestamente Al Qaeda revisa FB y otras redes para encontrar datos personales y atacar a militares o familiares de estos y, por eso, les piden no subir fotos donde usen uniforme, no revelar datos personales, ni nada por el estilo.
HAce un par de dÃas Matt Cutts, el otro, publico un par de consejos sobre como hacer más segura la instalación de tu Wordpress y evitar sorpresas y Rubén lo tradujo al español.
Básicamente sus consejos son: restringà el acceso al panel de control sólo a tu IP (lo que es bueno, si tenés una IP fija y sino no podés hacerlo); borrá la información de que versión de Wordpress usás en tu blog (más simple y efectivo es tener siempre el CMS actualizado) y, finalmente, agregá un index.html vacÃo al directorio de plugins para que no sepan que tenés instalado (mejor, usá htaccess para que no muestre el contenido de los directorios)
No digo que sus consejos no sean buenos, de hecho creo que con esos se frenarÃan el 90% de los ataques hechos por script-kiddies; pero si querés una instalación mucho más segura, te recomiendo que descargues un PDF de BlogSecurity que, en español, Anieto2K tradujo y explicó de manera más completa y que te da tips para hacer segura hasta la base de datos ;)
A través de Smartmobs llego a un artÃculo de Popular Mechanics sobre sistemas de vigilancia y muestra los resultados de una prueba:
There’s a man in Salt Lake City who knows what I did last summer. Specifically, he knows what I did on Aug. 24, 2007. He knows that I checked my EarthLink e-mail at 1:25 pm, and then blew a half an hour on ESPN’s Web site. He also knows that my wife, Anne, wanted new shoes, from Hush Puppies or DSW, and that she synced her electronic planner—”she has quite a busy schedule,” the man noted—and downloaded some podcasts. We both printed out passes for free weeklong trials at 24 Hour Fitness, but instead of working out, apparently spent the evening watching a pay-per-view movie. It was Bridge to Terabithia or Zodiac, he thinks.
Ese tipo de sistemas de inteligencia, sumados a las cámaras y similares, me hacen sentir que vivimos en un Panopticón esa carcel diseñada por Jeremy Bentham en 1791 donde se podÃa observar todo lo que hacÃan los prisioneros durante las 24 horas sin que ellos supieran si estaban siendo vigilados o no, generando ese sentimiento de omnipresencia vigilante que es peor aún que la de 1984.
Hace unos dias Barracuda Networks publico un estudio diciendo que el 95% de todos los mails que se envÃan en Internet era SPAM una cifra que me pareció demasiado exagerada… hasta que hoy Postini lanzó su propio análisis del tema y da un número similar, llegando al 90% de todos los mails enviados
Vale la pena leer ambas noticias porque todas tienen algunos datos interesante; tal vez lo mejor es la historia de como evoluciona el spam que da Barracuda: 2003 - Open relays, blast emails, spoofing; 2004 - Automated generation of spam variants; 2005 - Rotating URL spam; 2006 - Image spam and botnets y en 2007 ya se ve spam en formatos múltiples con sistemas de ocultacion de envÃo y similares…
En definitiva, puede ser que no lo veamos pero el juego del gato y el ratón es cada dÃa más fuerte y, si los spammers siguen desarrollando técnicas es porque la gente sigue haciendo click ;)
Muy buena presentacion de Ross Anderson en Google; es una hora de duración.. asà que no es apto para ver en la oficina, pero vale la pena verlo para entender algunas técnicas de los spammers y la lógica de su economÃa :)
Lo và en el blog de Akismet
Denken Ãœber es mi weblog donde escribo sobre tecnologÃa, estrategias y cosas de internet.
Podés comentar en cada artÃculo o enviarnos noticias o links.
Mas info: Autor | Archivos | Contacto
