Categoría: Seguridad

Facebook prohibido para militares de Canadá

Si uno está preocupado sobre la privacidad de datos personales dando vueltas en las redes sociales, el ejercito canadiense está a un paso de ser paranoico y acaba de pedirle a sus soldados no usar Facebook o usarlo en forma limitada, porque “Miembros de Al Qaeda están vigilando Facebook y otras redes sociales,”

Supuestamente Al Qaeda revisa FB y otras redes para encontrar datos personales y atacar a militares o familiares de estos y, por eso, les piden no subir fotos donde usen uniforme, no revelar datos personales, ni nada por el estilo.

Seguridad en WordPress, algunos consejos

HAce un par de días Matt Cutts, el otro, publico un par de consejos sobre como hacer más segura la instalación de tu WordPress y evitar sorpresas y Rubén lo tradujo al español.

Básicamente sus consejos son: restringí el acceso al panel de control sólo a tu IP (lo que es bueno, si tenés una IP fija y sino no podés hacerlo); borrá la información de que versión de WordPress usás en tu blog (más simple y efectivo es tener siempre el CMS actualizado) y, finalmente, agregá un index.html vacío al directorio de plugins para que no sepan que tenés instalado (mejor, usá htaccess para que no muestre el contenido de los directorios)

No digo que sus consejos no sean buenos, de hecho creo que con esos se frenarían el 90% de los ataques hechos por script-kiddies; pero si querés una instalación mucho más segura, te recomiendo que descargues un PDF de BlogSecurity que, en español, Anieto2K tradujo y explicó de manera más completa y que te da tips para hacer segura hasta la base de datos ;)

El panopticon moderno

A través de Smartmobs llego a un artículo de Popular Mechanics sobre sistemas de vigilancia y muestra los resultados de una prueba:

There’s a man in Salt Lake City who knows what I did last summer. Specifically, he knows what I did on Aug. 24, 2007. He knows that I checked my EarthLink e-mail at 1:25 pm, and then blew a half an hour on ESPN’s Web site. He also knows that my wife, Anne, wanted new shoes, from Hush Puppies or DSW, and that she synced her electronic planner—”she has quite a busy schedule,” the man noted—and downloaded some podcasts. We both printed out passes for free weeklong trials at 24 Hour Fitness, but instead of working out, apparently spent the evening watching a pay-per-view movie. It was Bridge to Terabithia or Zodiac, he thinks.

Ese tipo de sistemas de inteligencia, sumados a las cámaras y similares, me hacen sentir que vivimos en un Panopticón esa carcel diseñada por Jeremy Bentham en 1791 donde se podía observar todo lo que hacían los prisioneros durante las 24 horas sin que ellos supieran si estaban siendo vigilados o no, generando ese sentimiento de omnipresencia vigilante que es peor aún que la de 1984.

Casi el 95% de todo el email es SPAM

Hace unos dias Barracuda Networks publico un estudio diciendo que el 95% de todos los mails que se envían en Internet era SPAM una cifra que me pareció demasiado exagerada… hasta que hoy Postini lanzó su propio análisis del tema y da un número similar, llegando al 90% de todos los mails enviados

postini-spam-estadisticas.jpg

Vale la pena leer ambas noticias porque todas tienen algunos datos interesante; tal vez lo mejor es la historia de como evoluciona el spam que da Barracuda: 2003 – Open relays, blast emails, spoofing; 2004 – Automated generation of spam variants; 2005 – Rotating URL spam; 2006 – Image spam and botnets y en 2007 ya se ve spam en formatos múltiples con sistemas de ocultacion de envío y similares…

En definitiva, puede ser que no lo veamos pero el juego del gato y el ratón es cada día más fuerte y, si los spammers siguen desarrollando técnicas es porque la gente sigue haciendo click ;)

P2P: amenaza a la seguridad nacional

Asi lo declaró Wesley Clark, un General del ejercito de USA que ya está retirado y trabaja, casualmente para una empresa que provee soluciones de seguridad para P2P:

“Si la gente conociera el alcance de los riesgos de las redes P2P, America estaría enojada y demandaría soluciones. Si esperan un juicio, es que esperaron demasiado”

Lo interesante es que como ejemplo ponen 200 documentos del pentágono que, supuestamente, estarían en redes P2P. ¿La realidad? es que seguramente los usuarios de las PCs donde están esos documentos son el idiota promedio que, en vez de compartir directorios, comparte su PC completa.

Por eso en un ejemplo de Darmouth (me extraña de esa universidad) hablan de “una persona que guardó un email conteniendo su número de tarjeta VISA en el directorio de canciones que compartía en LimeWire… y alguien la usó” este ejemplo, que es el único que se menciona explícitamente en la nota, no demuestra que una tecnología sea una amenaza a la seguridad nacional, sino que ese usuario de LimeWire es el peligro ;)

Pero, mientras tanto, el FUD sigue creciendo.

Francia bloquea el uso de Blackberry en sus funcionarios

Francia parece tener una fijación con la seguridad de los servicios basados en USA; no sólo tiene ciertos problemas con Google y Apple, sino que ahora acaba de prohibirle a sus funcionarios usar Blackberries.

blackberry-logocolorsm.jpg

¿La razón? Como los servidores están instalados en USA, dice que todos los datos pueden ser monitoreados por ese Gobierno; y pese a que RIM declaró que son la solución más segura del mundo (y no lo discuto a nivel técnico porque conociendo algunas soluciones no lo dudo) hace falta ver si al invocar algo como la Patriot Act o similares, deberían o no, darle acceso a esos servers al Gobierno.

No nos olvidemos que hasta ahora solo Verizon y Google se negaron a darle datos al Gobierno de USA cuando se les pidieron invocando “razones de seguridad nacional”…

¿Spammers a la cárcel?

En la BusinessWeek se está siguiendo el juicio a Robert Soloway uno de los 10 spammers más grandes del mundo, o al menos asi definido por Microsoft y The SpamHaus Proyect, aunque es cierto que me da bastante más seguridad las estadísticas que dan ellos que las de otros blacklisters de Internet.

Un dato que me llama la atencion es que este spammer siguió operando en el mercado, aún cuando en el 2005 lo hicieron pagar u$s7 millones a Microsoft y u$s10 millones a un ISP por otro juicio por spam; luego de ese juicio, el gobierno de USA le bloqueó 4 cuentas bancarias y, aún así, pudo pagar los nuevos abogados, una multa de u$s773,000 y vivir bastante bien.

Teniendo en cuenta que cobra u$s495 por cada 20 millones de mails que envía, ¿cuantos billones de correos basura envía este tipejo por día? ¿es posible operar unared propia para enviarlos? No y esto demuestra que para ser un “spammer exitoso” necesita infectar máquinas y armarse sus botnets

BadBunny, un virus multiplataforma para Open Office

Estoy totalmente sorprendido por BadBunny, el primer virus multiplataforma que sale para OpenOffice y que, en realidad, más una prueba-concepto que un virus real; de hecho el código del mismo fue enviado directamente a SophosLabs para que lo destripen, entiendan y lancen una actualización de seguridad.

Lo que más me sorprende del virus no es que sea multiplataforma, sino la cantidad de scripts que usa dentro de una de las macros de OpenOffice para atacar cada sistema operativo de la forma más eficiente. En Windows, BadBunny usa JavaScript, en Mac OS X trabaja en Ruby, y en Linux aprovecha Perl y Python.

El virus se lanzó con un documento de Open Office Draw, puede infectar equipos con Windows, Mac OS X, y Linux; trata de propagarse en Internet a través del mIRC y XChat; sólo lo logra en Win y Linux aunque no en Mac OSX. Hay más informacion en Ars Technica y, tal vez, sea un buen momento para volver a recomendar no tener macros activas por default ;)

e-Token HSBC, homebanking más seguro

Un interesante aparatito recibí hoy de la gente del HSBC un e-Token para complementar la seguridad de las operaciones de HomeBanking o Internet Banking. Es básicamente un generador digital de códigos de seguridad de 6 caracteres que hay que activar cada vez que haces una operacion en el banco vía internet.

etoken.jpg

La idea no es mala, tampoco es el summun de la comodidad, pero es el tipo de cosas que genera cierta tranquilidad al momento de hacer pagos o transferencias electrónicas y con un funcionamiento bastante simple.

Ingresás en la página de PC Banking, ponés tu usuario, contraseña, apretás el botón del e-token para que te genere una clave de seguridad que debés introducir en un formulario y listo… lo mismo al momento de hacer una operación.

¿Ventaja de esto? Si averiguan tu usuario/contraseña deberían descubrir la clave digital; y aunque consigan una de estas, como sólo sirven en una operación solo podrían ingresar pero no autorizar pagos ni transferencias…. pero debés llevar con vos este aparatito a todas partes.

Microsoft Forefront, antivirus versión MS

seguridad microsoft Pese a que según Symantec, Windows es el sistema operativo más seguro, durante este mes va a salir Microsoft Forefront el cliente “oficial” de seguridad para Windows.

El concepto está bastante bien pensado y pretenden frenar todo el malware, virus, spyware, y otras amenazas; poner todo en una sola “central de comando” cuando es una instalación corporativa y, algo que Pablo había comentado en 2005 cuando se filtraban los primeros detalles del IE7, está basado en dos compras de MS; GeCAD y Giant Company Software.

Más allá de eso, la Beta 2 funciona bastante bien (podés descargarla de aca) y, si MS en serio empieza a apalancar el poder de su Sistema Operativo, Symantec y todos los proveedores de seguridad van a tener problemas…. aunque me pregunto: en vez de lanzar nuevos programas que instalar ¿no sería mejor hacer un OS seguro y listo?

El exploit de Safari era de Quicktime

Finalmente se supo que la vulnerabilidad de Safari con la que habían tomado control de la macbook es, en realidad, un exploit que se aprovecha de la forma en la que Quicktime interactúa con Java.

Por lo que el problema afecta también a los usuarios de Firefox y de, obviamente, Windows. Y vale la aclaración porque enseguida empezaron los “macosos vs. anti-macosos” a ver si OSX era seguro o no y, en definitiva, nadie pudo tomar control de la macbook directamente.

Mac OSX vulnerado a través de Safari.

mac_osx.jpg Aunque durante las 24 horas en la que había un premio para vulnerar una Macbook sin aplicaciones corriendo nadie lo ganó, el premio de u$s10.000 por entrar vía algún agujero de seguridad en aplicaciones tuvo un ganador.

El agujero de seguridad permitió con una URL tomar control de una cuenta de usuario de la máquina y, como era parte del concurso, fue enviado por 3Com a Apple para que lo “cierren”; lo interesante es que la “puerta de entrada” no estaba en el OS sino en Safari y no lograron tomar acceso root en la mac.

Firefox más seguro que IE, según Symantec

Si el otro día Symantec dijo que Windows el es Sistema Operativo más seguro ahora afirman que Firefox es más seguro que Internet Explorer.

Pero si miramos un poco más los datos que presentan, esto es SOLO en el ultimo semestre de 2006 porque en el primer semestre Firefox parece haber tenido 10 fallos de seguridad más que IE; aunque su velocidad de respuesta fue mejor que la de Microsoft…

Windows el Sistema Operativo más seguro

Al menos eso dice Symantec en su Internet Security Threat Report y comenta Internet News; Windows terminó, en ese reporte, muy por arriba de Red Hat, de Mac OSX, de HP-UX y de Solaris de SUN.

Los parámetros para llegar a esa conclusión son la cantidad de vulnerabilidades de cada OS y la velocidad de respuesta en lanzar parches para solucionarlo….

Windows – 39 vulnerabilidades, 12 severas, tiempo promedio de parche 21 días
Mac OSX – 49, 1 severa, promedio 66 días
Red Hat – 208, 2 severa, promedio 13 días
HP-UX – 98, promedio 101 días
Solaris – 63, promedio 122 días

Obviamente las respuesta ya empiezan a llegar y el primero en decir que “los datos no son correctos” es SUN, que reconoció 36 vulnerabilidades para Solaris y un tiempo de liberación de parches de 5 días.

Y, del otro lado, ya aparecieron los “consultores” que dicen que MS toma la seguridad mucho más en serio que Apple y Red Hat porque “con poco market share su respuesta era laxa”.

Dos puntos que NO se aclaran en el estudio, ¿no son más importantes las vulnerabilidades severas? ¿las vulnerabilidades se deben al OS o a aplicaciones integradas, o no, al mismo? Personalmente estoy demasiado sorprendido por estos números, casi tanto como la comunidad /.

Seguridad en la OLPC

Excelente artículo en la Wired sobre BitFrost el sistema de seguridad de la OLPC; con unos principios que son realmente impresionantes… y encima en un equipo de bajo costo.

Principios: – Debe tener un diseño abierto para no depender de secretos;
– sin lockdown para que el usuario pueda elegir;
– sin necesidad de leer mensajes para que no sea requerimiento si el usuario no sabe leer y
– no debe ser intrusiva.
Objetivos: – sin contraseñas, con usuarios de 5 años no se puede depender de eso;
– con autenticación encriptada;
– seguridad “out-of-the-box” sin necesidad de descargar parches de movida;
– con PKI institucionales limitadas para no ser usadas como identificador de usuarios y
– sin posibilidad de pérdida de datos permanentes.

Continuar leyendo “Seguridad en la OLPC”

Hacking Blogs

La semana pasada le tocó a FayerWayer, ayer a la madrugada me tocó a mi por eso el site desapareció completamente.

La realidad es que “crackear”, porque lo que hicieron fue eso, un blog no es una tarea extremadamente complicada y lo demuestra que, en el caso de FY fue fuerza bruta y en mi caso fue simplemente error mío dejar una “puerta abierta” y, si tenés tiempo libre, lo más seguro es que lo logres.

¿Porque digo que fue un crackeo? Porque una vez que entraron y accedieron a la base, simplemente hicieron un drop de todas la tablas borrando absolutamente todo lo que había (posts, comentarios, etc.) y se fueron.

Continuar leyendo “Hacking Blogs”

La activación de Windows Vista crackeada

Con menos de una semana de presentado el Windows Vista para usuarios corporativos, ya apareció una forma de crackear la activación del OS, y como siempre, usando los servicios de activación para licenciamiento de empresas.

Lo interesante es que lo que crackearon esta vez es el server de activaciones corporativas que te da “carta blanca” por 180 días; el server “trucho” está instalado y corriendo en China…

Continuar leyendo “La activación de Windows Vista crackeada”

¿Nuevo problema en Vista? Seguridad Cerrada

McAfee publico un advertorial en el Financial Times diciendo que MS es irrealista y que su nuevo enfoque es inseguro; Symantec dice que “Vista reducirá las opciones de los usuarios” y Microsoft dice que es “mejor que la seguridad de kernel solo la manejemos nosotros”

Y más allá de que las quejas de Symantec sean porque MS sigue incluyendo programas dentro de su Sistema Operativo, y seguramente esto lleve a un nuevo juicio o presentación por practicas monopólicas, lo que no puedo entender es que se imaginen que una empresa sola puede defender el corazón de un sistema operativo dejando totalmente fuera a las empresas de seguridad.

La explicación del lado de MS la da Scott Field, uno de los bloggers del equipo vista, que explica el “kernel patch protection” a fondo y la verdad es que suena bastante lógico, pero repito que una empresa sola [y menos MS con su historial de problemas de seguridad] no vaa poder frenar los ataques al corazon del OS.

Kaspersky Labs defiende la postura de MS interesante, no?

Haxxxor: l33t pr0n para hackers

Haxxor es el titulo de una serie de películas de bajo presupuesto que enseñan y dan ejemplos de hacking pero con pr0n… es bastante extraño pero las comercializan en convenciones como la DefCon además de en su propio site y tienen su propia entrada en la Wikipedia.

Es MUY freak leer que los capítulos de los DVD tienen temas como: “Buffers: Zero Day Girl and Code Red teach buffer overflows”; “Dumpster Diving: Lady Debug (also known as Binary Babe) does some dumpster diving”, “OSI Striptease: Zero Day Girl strips the 7 layers of OSI network model”, y como en cada escena buscan la manera de darle a las hackers que “enseñan” (en todo sentido) la temática del hack.

Y para que vean que es un tema serio… lo vi en Reuters