Categories
Seguridad

Hackear una hardware wallet

Me parecio realmente interesante este video de Joe Grand explicando como lograron una secuencia l’ogica para hackear fisicamente un hardware wallet Trezor One y recuperar asi $2 millones en Theta.

Y aunque Trezor ya haya protegido esta vulnerabilidad el desaf’io de no tener una integración vertical para fabricar todo el hardware (en serio no es lógico pensarlo) muestra que hoy por hoy hay vulnerabilidades que no se pueden solucionar pot la estrategia de “seguridad por obscuridad” de los fabricantes de chips:

But a core issue with the chip that allows fault injection still exists and can only be fixed by the chip maker — which the maker has declined to do — or by using a more secure chip. Rusnak says his team explored the latter, but more secure chips generally require vendors to sign an NDA, something his team opposes. Trezor uses open-source software for transparency, and when Rusnak’s team discovered a flaw in one secure chip they considered using, the chip maker invoked the NDA to prevent them from talking about it.

This means Trezor wallets may continue to be vulnerable to other hacking techniques. Grand is already working on one new method for hacking the STM32 microcontroller used in the wallets. It will work even on wallets with the newest, more protected firmware. He says he won’t release the details publicly, however, because the ramifications go beyond wallets.

Via The Verge
Categories
Estrategias Seguridad

Giphy y el panópticon de Facebook

Facebook compró Giphy y fue una gran adquisición de cualquier forma que lo veas; pero el resúmen es consiguió 700 millones de usuarios con una API que sirve 2.000 millones de pedidos por mes y pagó $400 millones con un descuento del 33% sobre el valor que la empresa tenía en su ultima ronda… y encima lo va a integrar a Instagram.

Pero de toda esa frase lo más interesante es que los 2.000 millones de pedidos de su API implican que ahora Facebook tiene más data points para entender que es lo que está sucediendo en Internet y así aumentar su capacidad omnisciente sobre Internet.

Muchos no lo entendieron

¿Porque digo esto? Porque detectar potenciales outliers hoy es más fácil gracias al analisis de datos que siguiendo el ritmo de los fondos de inversión (que era la forma tradicional) como un ahá moment!

Hay inversiones que a simple vista no se entienden pero que luego tienen sentido y el mejor ejemplo de FB es: compraron Onavo por 200m en 2013… y le dió a Zuck la chance de entender el comportamiento móvil y comprar WhatsApp al mismo tiempo que le permitió a Instagram ver la desaceleración de Snap cuando copiaron los stories.

Hay una realidad y es, con cada adquisición que incluya un SDK y sea distribuída en una era de platformas la competencia se hace más difícil para cualquier startup… la capacidad de distribución, la profundidad de los datos y la agregación a los que ya tienen son las 3 puntas del juego.

Hoy, con esta adquisición, FB (específicamente Instagram) puede saber como se crea y consume contenido con más especificidad que ayer… y no creo que sea bueno para el mercado, aunque para muchos esto sea algo de “comprar una empresa de gatitos y mira que lindo como se inserta!”

Por suerte hay apps y platformas que entendieron esto hace tiempo y luchan por evitar esta concentración de datos (lean este link) o al menos este tweet

Los creadores de Signal entendieron todo.
Categories
Inteligencia Artifical Seguridad

Coronavirus y la vida en un Estado de vigilancia

Cuando el coronavirus arrancó y las noticias hablaban sobre cómo el gobierno chino estaba conteniendo la expansión, pocos se dieron cuenta que este es un momento ideal para entender el concepto de “Estado de Vigilancia” o “Surveillance State”.

Porque a la campaña de control social tradicional que se aplicó -puertas marcando familias con infectados y hasta recompensas por la información de paraderos de personas originarias de las ciudades del virus ( Hubei, Yueyang, Hunan y Xinyang)- se le sumó la vigilancia tecnológica de China que uno conoce por arriba, pero que tiene ahora aplicaciones impensadas, como por ejemplo:

  1. Cámaras remotas capaces de identificar personas con temperatura un poco más alta de lo normal en medio de una multitud; un algoritmo de reconocimiento facial que puede correr aun cuando usen máscaras para respirar y enviar el dato a la policía, en tiempo real, con geo-posicionamento, para intercepción y contención.
  2. Identificar a una persona sin permiso de viaje en un transporte público, aún usando una máscara, y automáticamente notificar a las personas que están cerca de forma física mediante una notificación en sus móviles… y sumarlos a la base de datos de potenciales portadores.

Mientras algunas personas hablan de ratios de contagio del coronavirus, de mortalidad o de expansión o la comparan con enfermedades históricas, me pregunto si toman en cuenta estas capacidades modernas de identificar, aislar y contener movimientos de ciudades enteras en días. No creo que haya un Estado con tanto poder sobre sus ciudadanos como la China de hoy en día.

Mientras BlueDot roba titulares porque, incorrectamente, decía que la IA había predicho el coronavirus, me pregunto si en este caso nadie habla de privacidad o control social porque imaginan que este es un “caso bueno de control” o si simplemente porque recién se está corriendo el velo de las capacidades de vigilancia.

Links interesantes: en Wikipedia “Mainland China during the Wuhan Coronavirus Outbreak” y en Reuters: “Coronavirus brings China’s surveillance state out of the shadows” y En NY Times “China, Desperate to Stop Coronavirus, Turns Neighbor Against Neighbor

Categories
Seguridad

Si no puedes vencer a los hackers, demoralos un poco…

Es realmente interesante la entrevista del New York Times al Director Digital de la campaña de Emmanuel Macron, Mounir Mahjoubi, responsable de que los equipos de hacking rusos que rompieron la seguridad del DNC y de Hillary Clinton no logren hacerles lo mismo a ellos.

Lo que me gusta de la entrevista es el enfoque realista de Mahjoubi, que pese a tener apenas un equipo de 18 personas para todo lo relacionado a “digital” incluyendo Marketing, pudo decir que no a la ayuda que la NSA le ofreció y se dedicó a simplemente demorar a los hackers con honeypots.

Esto es lo brillante de su estrategia, sin recursos ni un equipo gigante (como el de Hillary que NO escuchó al FBI) se dedicó a crear cuentas de mail falsas y documentos falsos y personas inexistentes de la campaña de Macron haciendo que los hackers rusos que, de una manera u otra, iban a logran penetrar sus sistemas tuvieran que perder tiempo verificando cada uno de los documentos que lograban robar y cada una de las cuentas de mail que lograban hackear.

Y cuando el ataque es “time sensitive” porque las elecciones se acercan y necesitas inventar algo para lograr un cambio en la intención de voto… eso es lo que no podés hacer: verificar y liberar :)

[Update: por esta frustración apareció ]

Categories
Seguridad

SECaaS: Seguridad como servicio para Startups

Hoy los datos son uno de los activos más importantes de todo startup. Esos datos son de clientes y en general son personales y son susceptibles de ser usados para perfilar pero también para individualizar personas. No sólo eso sino que las contraseñas entre servicios son, aunque esté mal hecho, compartidas varias veces. Y de todos los nuevos servicios que uno prueba, sean chicos o grandes, como mucho un 10% tiene alguien dedicado a seguridad y apenas la mitad puede responder con cierta coherencia sobre políticas e implementaciones de seguridad… y los datos son tuyos.

Entiendo, y lo digo sinceramente, que un ingeniero de seguridad interno tiene un coste elevado para un startup. También entiendo que cuando tenés un equipo de una decena de personas es complicado que un tipo esté dedicado a seguridad pero lamentablemente tienen que step-up y darse cuenta que la seguridad es un problema no sólo de hackers de película sino de cosas tan simples como empleados con accesos a bases de datos ¿recuerdan a Snowden? :)

Categories
Seguridad

Yahoo y su destrucción

Soy de los que pocos que buscó justificar a Marissa Mayer en su paso como CEO de Yahoo! siendo honestos tomó un barco incendiado, sin motor y sin rumbo; donde sus propios accionistas quería venderlo por partes y donde uno de los fundadores volvió a hacer más daño del posible… pero luego, cuando todo parecía condenado al fracaso apareció Verizon/AOL e hizo una oferta de compra por una parte de Yahoo que tenía sentido, un final que no era feliz pero que en números cerraba.

Un par de meses después, nos enteramos que Yahoo! tuvo una violación de seguridad y más de 200 millones de cuentas fueron hackeadas y nunca reportadas para que los usuarios pudieran borrar esas claves de otros servicios, menos de un mes despues nos enteramos que en 2015 no sólo escaneó mails de sus clientes para las fuerzas de inteligencia de USA sino que creó una herramienta específica para poder leer millones de cuentas en tiempo real de forma encubierta… mientras otras empresas, como Apple o Facebook llevan a juicio al FBI o la CIA para no romper la confianza que uno pone en ellos.

Categories
Seguridad

Charlie Miller, responsable de hackear un Jeep vía 3G, se retira de Twitter

jeep uconnect sistema hackeado

Charlie Miller, el responsable del hack a un Jeep Cherokee via 3G entrando por su sistema de entretenimiento y capaz de tomar control TOTAL del auto se retiró de Twitter. Un detalle, el experimento se hizo con la autorización de Chrysler quien terminó haciendo un recall de 1.4 millones de autos para hacer un upgrade del sistema que ahora previene ese tipo de ataques.

Categories
Seguridad

Hackeando un auto remotamente

car_hackers

Hace un tiempo publiqué como hackeaban físicamente un Prius y un Ford Escape apenas dos años despues lograron hackear con la conectividad 3G de fábrica un Jeep Cherokee y tomar control remoto de todos los sistemas del auto.

Me sorprende que hayan tardado poco tiempo en romper conectividad móvil (con sus protocolos) que viene embebida y donde lo que era apenas un ataque al geoposicionamiento para poder seguir un auto se haya convertido en un ataque donde se toma el control 100% del auto:

Categories
Seguridad

La vida secreta de las contraseñas

The Secret Life of Passwords - NYTimes.com

Si hoy vas a leer algo que sea The Secret Life of Passwords de @ian_urbina donde analiza la carga emocional que uno pone en las contraseñas y como estas pueden decir más de uno que tantas otras cosas; con el ejemplo real del análisis forense de Cantor Fitzgerald luego 9/11 donde casi 700 empleados murieron y los planes de contigencia fallaron por no preveer una catástrofe de esta magnitud pero las descubrieron en menos de 48 horas… todas.

Categories
Seguridad

Las contraseñas y el modelo erróneo de XKCD

xkcd passwords mal hecho
Casi todos los que estamos relacionados con Internet hemos visto este comic de XKCD y como elegir una “contraseña segura”, la lógica siempre me pareció realmente buena por como aumenta el grado de dificultad de ser violada… pero acabo de leer: Password Security: Why the horse battery staple is not correct y la estrategia de @diogomonica me parece genial.

Categories
Apple Seguridad

Apple niega ataque a gran escala sobre iCloud

icloud

Finalmente Apple dió una respuesta oficial sobre las fotos de famosas desnudas que se publicaron hace un par de días y todo apunta a lo que sostuve en su momento: el ataque era quirúrgico y apunta a fallas humanas:

Categories
Seguridad

Las fotos de famosas, la improbabilidad de iCloud y la omnipresencia online

Hola tus fotos estan en todos lados

A estas horas todo el mundo debe estar hablando de la publicación en 4Chan de fotos privadas de muchas famosas estadounidenses y hay algunos que incluso hablan de un hack a gran escala a iCloud, el servicio de almacenamiento en la nube de Apple que sincroniza de forma casi instantanea tus fotos en todos los dispositivos de Apple… personalmente creo que es casi ridículo un hackeo a gran escala en iCloud, pero creo que pocos entienden como funcionan estos servicios y que cuando algo se hace digital no se borra con un click sino que queda, quizás por siempre en algún server.

Categories
Seguridad

Perlitas de Blackhat 2014

logo black hat 2014

Blackhat 2014 viene desarrollandose con algún que otro contratiempo pero nada grave y entre algunos de los papers y presentaciones más interesantes destacaría 4

Categories
Seguridad

¿Y si TOR no es seguro?

HowTorWorks tor-anonimato-online

Hace ya un par de días que estoy siguiendo una discusión en TOR Project sobre la seguridad de la plataforma de anonimato en la red porque pese a que investigadores de Carnegie Mellon dijeron que fueron obligados a cancelar una presentación en Black Hat que mostraba que TOR no era seguro, en la lista oficial negaron esto y solo dijeron que pidieron datos porque creen saber cual es el bug y lo están arreglando.

Categories
Apple Mobile Seguridad

Apple tiene backdoors en todo dispositivo con iOS

backdoor en IOS

Excelente paper académico de Jonathan Zdziarski, que muestra una cantidad preocupante de servicios sin documentar que corren en iOS y que dan acceso a toda tu información en formatos que no son “asociables” o “explicables” por parte de Apple como algo que se use internamente.

Categories
Seguridad

EL tráfico encriptado se cuadruplica en Latam

gmail encriptadoInteresantes estadísticas en TorrentFreak: Encrypted Internet Traffic Surges in a Year donde se muestra que luego de las revelaciones de Snowden el tráfico encriptado en internet se duplico y en Latam llegó a cuadruplicarse.

Categories
Seguridad

La NSA interceptando routers para implantar backdoors

Recuerdo que Huawei anunciaba que abandonaba el mercado estadounidense de networking por ser hostil a su presencia, mientras el senado los acusaba de tener herramientas de espionaje.. hoy Glen Greenwald revela más documentos de Edward Snowden con frases que siguen destruyendo la ilusión de privacidad y seguridad

“Mientras empresas estadounidenses eran alertadas para no usar routers chinos supuestamente no confiables, organizaciones extranjeras deberían haber sido alertadas de estar lejos de equipos hechos en USA. Un reporte de junio de 2010 del jefe del “NSA Access and Target Development” es explícito. “La NSA rutinariamente recibe (o intercepta) routers, servers y otros dispositivos de networking antes de ser exportados a clientes internacionales. La agencia entonces implanta herramientas de vigilancia y backdoors, empaqueta el equipo con sellos de fábrica y los hace continuar su camino a destino. De esta forma la NSA logra acceso a redes enteras y todos sus usuarios

Sin equipamiento confiable hecho en China ni en USA… ¿volvemos a las cartas a mano? :)

Categories
Open Source Seguridad

Heartbleed: esto no terminó

heartbleed passowrds sitios afectados

Si leiste algo de Heartbleed y corriste a cambiar tus claves pensando que todo está seguro estás equivocado, pero como la noticia ya pasó nadie le presta atención y hay servicios que todavía siguen sin cambiar sus certificados… con lo que todos los problemas de Heartbleed siguen existiendo.

Categories
Seguridad

Target: El factor humano

Hace tiempo recibí este mail, mi tarjeta de débito y el consiguiente acceso a mis cuentas fueron “comprometidas” en un hackeo masivo al sistema de puntos de venta de Target; mi banco proactivamente la reemplazó sin cargo y sólo por precaución… ¿la razón? Target, la cadena minorista de USA que gasta decenas de millones de dólares en medidas de seguridad no hizo caso a las repetidas alertas de los sistemas de seguridad instalados por ellos mismos.

Categories
Microsoft Seguridad

Microsoft ofrece servers fisicamente fuera de USA por el caso Snowden

microsoft ilogotipo

Y finalmente comienza la balcanización de Internet; Microsoft se convierte en la primer empresa en ofrecerle a sus clientes internacionales la posibilidad de datacenters físicamente fuera de USA y con conectividad que no atraviese un nodo en USA la NSA debería esforzarse bastante más de la cuenta para poder acceder esos datos.