martes, 29 de julio de 2008

Lentes infrarrojos vs CCTV.

A lo largo de un día común, cuántas cámaras CCTV lo captan a uno? De entrada cuando uno entra a sucursales financieras, a edificios públicos y hasta en la calle. ¿Qué dirían si fuera posible que nuestra cara apareciera como un gran punto blanco en la imagen que envía la cámara y no nuestro rostro? Pues bien, esto podría ser posible.

Una persona  grabó un video de cómo lograr que nuestro rostro aparezca como un punto blanco en la imagen enviada por las cámaras de video usando dispositivos infrarrojos en los lentes. La idea es hacer orificios al frente de unos lentes (en cada una de las esquinas) y manualmente instalar estas pequeñas luces infrarrojas que van conectadas a unas pequeñas baterías de litio que también van en los lentes.

No me meteré en cuestiones técnicas, pero la idea es que esa luz infrarroja al ser enviada a una cámara va a crear un punto blanco alrededor de la cara, bloqueando la posibilidad de que la cámara capte nuestro rostro. Recuerden que cuando vamos a voltear a ver a la cámara CCTV, los infrarrojos de nuestros lentes estarán apuntando directamente a la cámara, creando el ya mencionado punto blanco.

Ingenioso, pero habría que comprobarlo (no todo lo que cualquiera sube a Internet resulta cierto). Originalmente la idea del creador de estos lentes es usarlo contra paparazzis que traten de grabar con una cámara de video. Sin embargo, de comprobar por medio de un estudio serio y con pruebas que este método logra poner un punto blanco en cámaras (incluyendo obviamente las CCTV), imaginen simplemente las posibilidades…

El video lo pueden ver en:
http://www.abrutis.com/video-lunettes+anti+paparazzi-11937.html

martes, 22 de julio de 2008

Blackberry al estrado por vulnerable.

Esta semana le toca el turno a BlackBerry ya que según información de Secunia, diversos "smartphones" de este fabricante resultan afectados. Sé que diario emergen decenas de debilidades, pero ésta llamó mi atención ahora que al parecer está de moda lo "móvil". La cuestión es que al abrir un archivo PDF (especialmente diseñado) se puede ejecutar código no deseado en el "smartphone". Basta con que un atacante se de a la tarea de crear este PDF "maligno". No se sabe de código de explotación y ya hay parches disponibles; especialmente los usuarios empresariales deben estar atentos a este aviso.

Algunas reflexiones:
1.- Los dispositivos móviles son cada vez más populares y tienen cada vez más poder de cómputo; esto los ha vuelto objetivos apetecibles sobre todo por la información que pueden manejar o porque sirven de plataforma para lanzar ataques. Mi predicción es que veremos un incremento (realmente un incremento) en las debilidades y ataques para dispositivos móviles; estamos viendo el inicio.

2.- Para variar, el fabricante pide a los usuarios "abrir este tipo de archivos sólo de fuentes confiables" o de plano "no permitir la apertura de archivos PDF". Estoy cansado de este tipo de advertencias ridículas. ¿Por un error de programación del fabricante debo dejar de abrir archivos PDF? ¿Entonces para qué me compré un dispositivo de este tipo? ¿Por un error de programación debo ahora YO ser cauteloso y abrir archivos PDF de fuentes confiables? ¿Por qué le transfieren al cliente la responsabilidad? ¿Qué es una fuente confiable después de todo? Si me llega un archivo PDF de un amigo debo de abrirlo aunque el dispositivo de mi amigo esté infectado y el mensaje lo haya enviado un código malicioso automáticamente?

Conclusión: yo pienso que en lugar de hacer recomendaciones del tipo "no abras archivos" o "abre archivos confiables", la verdad deberían decir algo más inteligente o de plano decir que por el momento no hay solución y que están trabajando en un parche. Mejor aún, que diseñen y codifiquen bien su software para evitar estas situaciones. Ya nada más falta que nos digan que de plano apaguemos el "smartphone" hasta nuevo aviso.

El aviso de Secunia:
http://secunia.com/advisories/31092/

lunes, 21 de julio de 2008

Ahora son bugs en Intel.

Un investigador de seguridad (Kris Kaspersky) planea demostrar cómo atacar a chips Intel durante una conferencia en Malasia llamada Hack In The Box (HITB) Security Conference.


Primero.- No sé si Kris Kaspersky tenga algo que ver con el fundador de la compañía antivirus Kaspersky o es sólo una coincidencia. Al parecer es la última.


Segundo.- ¿Cuándo tendremos en México conferencias de seguridad de este tipo? El nivel de este tipo de conferencias donde se presentan "papers" de investigación "innovadores" es algo que creo necesitamos desesperadamente. Al menos cuando yo voy a algunas de las conferencias de seguridad organizadas en el DF la verdad se habla de lo mismo con diferentes palabras y bonitos slides de PowerPoint. Intentaré ir al Congreso de Seguridad en Cómputo de la UNAM a ver si ahí me encuentro alguna agradable sorpresa.


Tercero.- entiendo que el investigador Kris demostrará que con código Java especialmente codificado o bien con paquetes de TCP/IP diseñados específicamente, es posible atacar un equipo basado en Intel y tomar control total de él. Esto último se logra sin importar si tengo Linux o Windows. Es posible atacar los chips gracias a bugs (o también llamados "errata"). Según el investigador existe código malicioso que ya se aprovecha de estas debilidades en los chips.


Bueno, yo me mantengo a la espera de la presentación ya que me quedan algunas dudas. ¿Qué tan extendido es el uso de estas debilidades en chips para hacer malware y cómo logró el investigador identificar esta situación? ¿Las compañías antivirus saben esto y no han dicho nada porque no hay mucho que sus productos puedan hacer contra esto? ¿Qué responderá Intel (si es que responde algo)? Me imagino que la respuesta de los fabricantes de sistemas operativos será algo como "eso no nos corresponde ya que son cuestiones de los chips, buena suerte". En fin, parece que estamos frente a otro vector de ataque con esto de los chips.


La información completa en:

http://www.networkworld.com/news/2008/071408-researcher-to-demonstrate-attack-code.html


La conferencia de seguridad de Malasia:

http://conference.hitb.org/hitbsecconf2008kl/?page_id=214}

sábado, 19 de julio de 2008

Un 52% navega con IE viejo

Investigadores de IBM y Google (entre otros) llevaron a cabo un estudio sobre las amenazas al usar navegadores. Resulta que sólo el 60% de los navegantes usan la última versión de su navegador. Entrando en detalle, un 92% de los usuarios de Firefox usa la versión 2, mientras que para Internet Explorer, sólo 52% usa la última versión de este navegador (es decir, la versión 7).

Primero que nada, el navegador se ha vuelto uno de los objetivos favoritos de los atacantes que usan Internet para desplegar sus ataques de todo tipo. Realmente es necesario usar la última versión de nuestro navegador preferido (IE, FireFox, Opera, etc.) ya que si bien no son perfectos, ofrecen más ventajas de seguridad que versiones anteriores y eso se traduce en una mitigación del riesgo de ser atacado exitosamente. Sobra decir que además de usar la última versión, también es necesario mantenerlo parchado.

Llama mi atención que los usuarios de Firefox son más disciplinados y tienen la versión 2 del navegador (el estudio al cual hago referencia se hizo cuando todavía no salía la última versión 3). Pienso que los usuarios de FireFox de alguna manera son más "geeks" o mejores "entendedores" de la tecnología y por eso seleccionaron un navegador diferente y también entienden mejor la necesidad de tener la última versión; es un poco aventurada mi opinión pero es una razón que me viene a la mente.

En general, hablar de que sólo 52% de los usuarios de IE usan la última versión es algo desalentador. Y como siempre, de este tipo de estudios estamos enterados las personas a quienes les "sobra" este tipo de información. Me explico: es precisamente ese 48% de usuariosrestantes con versiones anteriores de IE que en todo caso necesitarían saber de estos estudios para que entendieran que es necesario actualizar (y parchar) y es precisamente ese 48% de usuarios a quienes este tipo de estudios/avisos no les llegará y seguirán con sus viejas versiones de IE. ¿Cómo poder reducir el riesgo que implica el hecho de navegar cuando una gran mayoría permanece "ignorante" y navegando sin las mínimas medidas de seguridad? Difícil tarea tenemos los que nos dedicamos a la seguridad para "divulgar la palabra", no lo creen?


El estudio lo pueden encontrar en:
http://www.techzoom.net/publications/insecurity-iceberg/

jueves, 10 de julio de 2008

Andrew Jaquith y Gil Díaz en ISF 2008.

El lunes 7 de julio habló el señor Jaquith en el InfoSecurity Forum 2008. Básicamente dijo que los sistemas relacionados a la identidad de la actualidad no servirán de mucho para los dispositivos móviles. Por ejemplo, las contraseñas se usan en las computadoras pero son difíciles de usar con dispositivos móviles como por ejemplo teléfonos ya que normalmente los manipulamos con una sola mano y es difícil introducir contraseñas. Los dispositivos móviles no son herramientas de trabajo con los cuales uno trabaje por largo tiempo; normalmente son para tareas rápidas y sencillas dado que son pequeños, sin teclado y con pantalla chica. El Internet móvil tendrá auge en un futuro cercano y el acto o manera de profesar una identidad tendrá que cambiar en los dispositivos móviles ya que no es práctico usar los mismos esquemas que se usan en una computadora. La interfaz de los dispositivos móviles tendrá que cambiar y una propuesta es la interfaz "touchscreen" que aparatos como el iPhone ya tienen, el cual facilita la interacción usuario-dispositivo.

El mismo lunes 7 presentó el señor Gil Díaz. A mi parecer no dijo nada relevante y se enfocó a mostrar estadísticas y otras cuestiones ya conocidas o sin mucha importancia para la seguridad. Por cierto que identifiqué varios errores ortográficos en su presentación. Esta parte de la conferencia pasó sin pena ni gloria y mejor me levanté de mi lugar para tomar un café y galletas que estaban muy sabrosas.

lunes, 7 de julio de 2008

Marcus Ranum en ISF 2008.


Hoy lunes 7 de julio y mañana martes se lleva a cabo el InfoSecurity Forum 2008 en el Sheraton de Reforma. En este evento se ofrece un ciclo de conferencias con reconocidas personalidades. A lo largo de estos días les compartiré lo que a mi juicio fue lo más interesante de las pláticas y también subiré algunas fotos. Estas últimas las subiré a partir del miércoles ya que en estos momentos no tengo manera de pasarlas a la computadora. La estrella de este evento fue Marcus Ranum, sin duda reconocido experto en el área de seguridad de la información. Con él iniciaron estas conferencias y aquí les expongo algunos puntos de interés:

* Uno de los mayores retos es exponer los temas y preocupaciones de seguridad a los altos ejecutivos; es un deber poder transmitir lo que nosotros sabemos a la alta dirección de manera que nos entiendan.

* En los últimos años se ha invertido más en seguridad pero al mismo tiempo los ataques se han incrementado (hay más equipos comprometidos que antaño). Esto responde a diversos factores como el auge de Internet. No podemos dejar de invertir en seguridad o tendremos un problema aún mayor.

* Marcus identifica un problema con China, ya que existen muchas personas ahí con conectividad y habrá más en el futuro. Sin embargo, estos cibernautas tienen en su mayoría Windows piratas y no reciben parches de seguridad, lo que se traduce en un nivel muy bajo desde el punto de vista de seguridad; es un problema y estará peor en un futuro cercano.

* Marcus piensa que los últimos 10 años han sido poco efectivos en el área de seguridad de la información; ha habido pocos avances en general y se tienen más problemas cada vez en lugar de tener menos.

* La respuesta de los gobiernos ante la inseguridad es legislación, lo cual puede no siempre ser suficiente.

* Los practicantes de seguridad pasan ahora mucho tiempo tratando de "demostrar" su nivel de seguridad al gobierno; es decir, se invierte mucho tiempo en marcos regulatorios. La cuestión es operar para mantener la seguridad o hacer documentación (principalmente de regulación).

.* Un efecto de la regulación es que los abogados sólo desean cumplirla, sin embargo no comprenden de lo que se tratan los temas fundamentales de seguridad.

* Los ataques dedicados (targeted attacks) son muy difíciles de detener y muchas son las organizaciones que no resistirían un ataque de este tipo.

* De lo más importante que propone Marcus es que el paradigma de protección debe de cambiar de manera generalizada: no más protecciones basadas en lo que no debe ejecutarse, sino protecciones basadas en listas de programas de lo que se puede ejecutar. Es decir, firewalls personales que sólo permitan lo "correcto" o benigno y no más antivirus que se basan en firmas de lo que se considera peligroso. Estos esquemas son necesarios ya en equipos caseros y corporativos.

* Windows Vista no resolverá el problema de la seguridad por nosotros, no es "la solución". Debemos conocerlo y administrarlo de manera correcta; es decir, tomar una actitud proactiva y no esperar que se nos resuelvan los problemas "mágicamente" o trasladando la responsabilidad de la seguridad al fabricante.

* Marucs es escéptico con los programas que previenen fuga de datos (data leakage). Aunque el problema es real, es difícil prevenir la fuga de datos y en especial sólo usando medios tecnológicos.

* Debemos de tener en cuenta que la seguridad de la información es un área "nueva" que tiene unos 20 ó 30 años de existencia; antes no se tenía un "problema" como tal de seguridad.

* Otro punto importante que dijo Marcus es que se deben mantener los datos personales y corporativos separados: las personas cada vez con más frecuencia usan los dispositivos corporativos para uso personal y viceversa. Se tienen datos corporativos y personales en un mismo ambiente. Si los usuarios respetan este división, se tendrán menos problemas de seguridad.

Ya una vez que acabó la conferencia y que me saqué la debida foto con Marcus, le pregunté sobre el problema de la banca en línea y lo que pueden hacer las instituciones para que sus clientes hagan transacciones seguras. En primera, me dijo que él no hace banca en línea por ser inseguro. Segundo, me comentó que no identificaba una solución efectiva para el problema. Interesante respuesta.

Por demás interesante fue lo que comentó Marcus en su plática y me pareció muy ilustrativa. Ya les seguiré compartiendo los puntos importantes del resto de las conferencias, que por cierto no todas fueron igual de interesantes y al menos hubo una (ya sabrán cuál) que de plano estuvo fatal y sentí que me trataban como principiante. En fin.

miércoles, 2 de julio de 2008

Google Earth: herramienta de dos filos.

Apareció una nota de que jóvenes del Reino Unido usan Google Earth para localizar albercas y poder nadar en ellas y organizar fiestas. Recordemos que Google Earth ofrece vistas aéreas de varias ciudades alrededor del mundo. Al parecer los jóvenes localizan una alberca en una casa de su vecindario (o en poblados con casas de descanso donde probablemente encuentren casas vacías) y después de verificar que no hay nadie en la vivienda, organizan fiestas juveniles con todo e invitados, muy propicio para esta época de calor.

Bien por ellos, y qué tiene de malo? El ejemplo de las albercas es una situación hasta cierto punto catalogada como "travesura". ¿Podría ser utilizado para otros fines? ¿Qué tal buscar una instalación gubernamental aquí en México (o tal vez una cárcel) y tener vistas aéreas de las mismas? Se me ocurren otras ideas para "aprovechar" este servicio, pero mejor me las reservo. Los invito a pensar en otros fines "obscuros" en los cuales tener una vista aérea podría significar una ventaja para un atacante.

Históricamente, las vistas aéreas han y seguirán siendo usadas por militares para analizar un objetivo y planear un ataque o una defensa. Si ellos lo usan, por qué no también un civil con malas intenciones?