Archive for the 'Seguridad' Category
La Alianza de Seguridad VoIP (VOIPSA) acaba de lanzar el primer draft de taxonomías de amenazas a esta tecnología.
Plantear una taxonomía de amenazas de seguridad es el primer paso para preparar una tecnología contra problemas potenciales, y de paso para hacer que se comprendan bien esos temas, dejando de lado temas que pueden ser “potenciales de bajo riesgo” como VoIP Spam para focalizarse más en “alto riesgo” como intercepciones de llamadas, troyanos, etc. y que puedan, realmente, comprometer los sistemas en serio.
Matt, el creador de Wordpress, se fue de CNet hace unos días y ya está lanzando su nuevo “proyecto”: Akismet. Un filtro anti spam centralizado que trabaja como un plugin de Wordpress y que trabaja de forma realmente sensacional.
Lo estuve probando desde mediados de septiembre y me frenó desde ese momento unos 700 comment-spam diarios; ahora que Matt deja hacerlo público se lo recomiendo a todo aquel con blog para que evitar el spam sea tan simple como en esta imagen:
El uso es libre para blogs personales, con una licencia de u$s500 para uso comercial y, si tu blog hace al menos u$s500 al mes en publicidad o ingresos.. te piden una suscripción de u$s5 mensuales. Que es un costo muy bajo para olvidarte de estos problemas. Y este sistema pese a ser “remoto” tiene algunas cosas muy interesantes:
(more…)
Algo realmente increíble, la Electronic Frontier Foundation demostró que las impresoras de Xerox incluyen códigos que permiten identificar en que impresora se ha impreso cualquier página; y están investigando tambien las impresoras Canon, Epson, HP y Lexmark.
Lo increíble es que esta práctica no está regulada por ninguna ley, sino que es un “servicio” que le hacen los fabricantes de impresoras al Servicio Secreto de Estados Unidos para poder “detener a falsificadores de dinero”… dejando de lado que también podría ser usado para saber quien imprimió cualquier otra cosa.
Así como esto es una muestra de acuerdos secretos entre algunos gobiernos y las empresas de tecnología para debilitar nuestra privacidad y seguridad ¿que otros acuerdos existirán y nadie tiene la menor idea?
Recuerdo que hace un par de años existía la paranoia con sistemas como Hailstorm y el famoso “backhole” para que la NSA pudiera revisar cualquier PC y todos pensamos que era algo de “película” pero esto evidentemente hace que los miedos del gran hermano sean cada día más reales.
Así de ridículo y peligroso como suena, la gente de Creative Labs vendió más de 4000 reproductores de MP3 Zen Neeon de 5Gb con un virus para Windows incorporado en el disco rígido del reproductor.
El “fylesystem” de esos aparatos esta infectado con el worm Wullik.B (también conocido como Rays.A). Apenas uno conecta el reproductor a la PC, el worm se copia a las “Carpetas Compartidas” y se empieza a replicar autoenviándose por email, es reamente impresionante la falta de responsabilidad de la empresa.. ¿no revisaron el master?
Vía: F-Secure Blog y Press release Oficial
No me gusta hablar de problemas de seguridad sin dar los datos cuando los conozco, pero si usas WP por favor hagan un backup de todo su blog y “sincronicen” el resto de los archivos (imágenes,templates, etc.) hay un grave agujero de seguridad dando vueltas y sólo podés evitarlo usando una versión “no-estable” de WP.
El primero en caer fue el blog de Javier
En algún momento Microsoft impulsó el Proyecto Palladium, buscando armar una plataforma “segura para los usuarios de contenidos digitales en Windows”; la idea básica era prevenir la piratería asociando el soft y los contenidos digitales al hard de cada PC haciendo que las computadoras sean un lugar más seguro para todos (Si, para la RIAA también); luego Palladium paso a tener un bajo perfil increíble.
Pero la novedad es realmente más increíble; incluído en Longhorn vendrá OCP (Output Content Protection) que detectará las capacidades de los monitores conectados a las PC y en base a eso determinará si el contenido “puede ser mostrado o no en esos monitores”
Para que se entienda más facilmente, si uno tiene contenido digital en su PC y quiere usarlo, Longhorn determinará si el monitor es “seguro” (por ejemplo DVI o HDMI c/HDCP); si el monitor no es “aceptado” con algo de suerte reducirá la resolución del contenido (videos o imágenes) para que se vea en menor calidad… si no tenés tanta suerte sólo verás una pantalla en negro y un mensaje explicando que “el monitor no alcanza los requisitos de seguridad” ¿Quien determina los requisitos? el proveedor del contenido, estudios de filmación por ejemplo o la MPAA.
¿La solución? Comprás un monitor mejor y te vas preparando para un mundo donde la protección del contenido digital va a ser ya de tres capas: 1- vía Soft; si lográs piratear algo viene 2- via Hard.. que determinará si tu equipo es “oficial” y “seguro” (porque de esto se tratan todos los acrónimos que puse arriba!) y si lográs verlo, 3- Desde la Bios de la PC con Palladium que sigue a todo paso pero calladito.
Hace un tiempo hice una traducción de La Paradoja Palladium de David Weinberger que es bastante interesante.
Antonio señala la noticia de que el MS Antispyware ahora recomienda “ignorar”el soft de Claria, y aunque ya había una respuesta de Microsoft a este cuestionamiento hay un gran problema con ser juez y parte, sobre todo cuando sos el dueño del entorno operativo (Windows) y cuando la gente en general confía ciegamente en lo que le dice EL sistema.
Tal vez, la mejor propuesta en vista del sistema que usa MS para detectar Spyware la haya hecho Ed Bott en lo que podría ser un gigantesco clearinghouse para partir datos sobre spyware y compartir información sobre seguridad:
# Publish the Windows AntiSpyware database. Put it on the Web. Make it searchable… Make the review process public. Ben Edelman has made this suggestion before, and I agree with it.
# Release control of the detection database to a truly neutral third party
El punto uno formalizaría esto, y cualquier herramienta de segúridad podría sumar sus datos y tomar estos para hacer internet un poco más segura; el punto dos, no sé realmente si existe una tercera parte neutral para controlar esta información actualmente.
Si usan Wordpress deberían actualizar a WP 1.5.1.3 por un problema de seguridad en el código. Si no pueden o no quieren actualizar, borren el archivo “xmlrpc.php” del directorio de su blog.
Update: si uno no hace el reemplazo del archivo o actualiza a la nueva versión, el exploit de seguridad puede permitir que alguien adquiera la password del administrador del blog.
Últimamente estoy viendo cosas en Microsoft que nunca hubiese imaginado y una de estas cosas es esta nueva actitud de acercarse más a la comunidad tecnológica que no es de su “palo” y entre estas “partes enemigas” están los hackers. Hace un tiempo hicieron una reunión llamara Blue Hat en la que se mostraba como se rompía código en la cara de los mismos que lo habían creado y lo pensaban seguro.
Es cierto, que los “grey hat” que fueron son consultores reconocidos y que seguramente no mostraron sus mejores trucos (como los magos no van a revelar sus secretos a la audiencia) y que, seguramente, en el ambiente underground o de “black hats” hay excelentes hackers, pero realmente este tipo de iniciativas es más que importante por más que en algunos sites digan que es una pavada.
Lo impotante es saber que, al menos, se escucha a los que saben; se buscan soluciones o al menos, ideas para mejorar la seguridad y sobre todo, se están abriendo al mundo. Este Jim Allchin me está pareciendo cada día más groso.
El 3 de Junio, la Electronic Frontier Foundation lanzó un comunicado de prensa sobre el reconocimiento que Tor recibio de PC World y pese a que muchos de nosotros no entendemos la necesidad de anonimato o privacidad, en algunas partes del mundo es realmente necesario “cubrir tus huellas”.
“Ciertas tendencias actuales en leyes, políticas y tecnología amenazan el anonimato como nunca antes, lastimando nuestra habilidad de hablar o leer libremente online.”
A ver, estamos acostumbrados a no necesitar el anonimato; pero ponganse por un minuto en la piel de un usuario de Internet en China. A las “prohibiciones y filtros” que Google y Yahoo! ya tenían en funcionamiento ahora se les suma MSN prohibiendo hasta simples búsquedas como â€democracyâ€, “freedom†o “human rightsâ€. Hay veces que la poca importancia que se le dedican a estos temas me hacen pensar que o estamos muy acostumbrados a la “libertad” o simplemente no la apreciamos.
Secunia demuestra una falla de Seguridad en Firefox 1.0.4 (Phishing) que, increíblemente había sido resuelta en las versiones anteriores. Al día siguiente que Microsoft tuvo que “tirar abajo” una parte de MSN por un problema (cross-site scripting) le permitía a un atacante lograr acceso a las cuentas de hotmail de los usuarios.
Pero no se pongan paranoicos, si esto es grave, imaginen la cara de los ejecutivos del Citibank cuando descubrieron que en un envío de UPS se les habían perdido los datos de 3,9 millones de clientes, incluyendo nombres, direcciones, números de seguro social, de cuentas, historiales crediticios, y de préstamos… los que hacen robo de identidad (Id theft) deben estar trabajando a pleno. Y después me dicen que “la red es insegura”.
Para los que se sentían seguros al evitar las plataformas inseguras, ahora pueden ir viendo que la seguridad total es una simple utopía.
Tiger: Leo en Slashdot que se encontró un grave problema de seguridad en el Mac OSX Tiger. Básicamente pueden instalarse “Dashboard Widgets” sin autorización con cierto código en una página web si usas ese sistema operativo y usás Safari. Un ejemplo pueden verlo si visitan esta página (si tienen una Mac solo visítenla bajo su propia cuenta) y para desinstalar ese widget hay que removerlo manualmente y luego rebootear.
Pero eso indica un agujero realmente grave en la seguridad del nuevo sistema de Apple; porque el widget se instala sin autorización y sin que el usuario se entere. ¿Cuanto tardará en aparecer Spyware y/o similares aprovechando este problema?
FF 1.0.3: Por otro lado la gente de FrSIRT acaba de descubrir un “exploit” grave en Firefox 1.0.3; donde, si uno hace click en una página con un código especial ese código puede crear y ejecutar automáticamente un archivo .exe/
Una solución no-oficial es: - Desabilitar JavaScript, y la opción “Allow web sites to install software” dentro del menú [Tools - Options - Web Features].
En su momento, Microsoft presentó su programa AntiSpyware, en Beta, como una gran novedad y un “gran paso para mejorar la seguridad de los usuarios”; al poco tiempo también salió un programa AntiSpyware de McAfee y ahora se suman Symantec-Norton con su versión en fase beta.
Y aunque todavía no se definieron políticas de precios en esos casos, no se olviden del Spybot S+D y del Ad-Aware de Lavasoft, excelentes (mejor si laburan en combinación), gratuitos y que estaban aún cuando este mercado no era un negocio para los grandes.
Hacve un tiempo publiqué una nota sobre PIE (más tracking, menos privacidad), de la empresa UnitedVirtualities.
Afortunadamente en menos de 10 días Greg Yardley acaba de lanzar Objection 0.1: un plugin para Firefox que agrega en el menú de privacidad la posibilidad de desactivar esta “mega-cookie”. Y por ahora sólo está par FF/Win; no creo que pase mucho antes que alguien lo porte a IE, Opera (Fede siempre me acuerdo :P), Linux, Mac, etc.
Recomendación? Instalen.
Choicepoint es una de las empresas más grandes de “provisión de información para una mejor toma de decision y risk-assesment“, la forma delicada de decir que venden datos personales y personales de cualquier persona a cualquier empresa/ente/persona que tenga la plata para pagarlo. Hace unos días esta empresa tuvo un gravísimo problema al darle acceso a criminales que se hicieron pasar por empresas reales acceso a sus bases de datos.
Comentando con otro blogger, la respuesta fue “Bueno, eso pasa en USA el paraíso del DB-marketing”. Lamentablemente no es así, de hecho EPIC “Electronic Privacy Information Center” acaba de hacer públicos una serie de documentos en los cuales se prueba que esta empresa, violando incluso las leyes de su propio país, vendió al FBI información financiera, de antecedentes, y sobre todo de datos de navegación (incluyendo cookies, datos recolectados por Spyware, registros de numeros celulares y de conectividad) de estadounidenses y tambien de “Europeos y latinoamericanos”.
Quizás esto realmente les ayude a entender la cantidad de derechos que uno deja pisotear por desconocimiento o, simplemente, al instalar aplicaciones con spyware, aceptando cookies de sites NO confiables, o dando datos propios a esos sites que prometen cosas increíbles.
