jueves, 15 de marzo de 2012

"As an individual, what security threats scare you the most?"

En una entrevista a Bruce Schneier le hicieron una pregunta cuya respuesta me pareció muy interesante. 
Les dejo el texto y la liga por si desean leer el documento completo:

--

As an individual, what security threats scare you the most?

My primary concerns are threats from the powerful. I'm not worried about criminals, even organised crime. Or terrorists, even organised terrorists. Those groups have always existed, always will, and they'll always operate on the fringes of society. 

Societal pressures have done a good job of keeping them that way. It's much more dangerous when those in power use that power to subvert trust. Specifically, I am thinking of governments and corporations.

Let me give you a few examples. The global financial crisis was not a result of criminals, it was perpetrated by legitimate financial institutions pursuing their own self-interest. 

The major threats against our privacy are not from criminals, they're from corporations trying to more accurately target advertising. 

The most significant threat to the freedom of the Internet is from large entertainment companies, in their misguided attempt to stop piracy. And the cyberwar rhetoric is likely to cause more damage to the Internet than criminals could ever dream of.

http://thebrowser.com/interviews/bruce-schneier-on-trust?page=full



miércoles, 14 de marzo de 2012

Cancelar registros LFPDPPP

Estoy seguro que más de uno tendrá problemas con esta sección del artículo 11 de la LFPDPPP :-)

--
Cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las
finalidades previstas por el aviso de privacidad y las disposiciones legales aplicables, deberán ser
cancelados.

http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

domingo, 11 de marzo de 2012

viernes, 9 de marzo de 2012

¿Te crees muy chingón protegiendo tu información?

Aunque con otro título :-) la idea es la misma: ¿nos creemos "muy muy" protegiendo la información?

Les dejo el artículo que hice para ComputerWorld. 


Confieso que la idea central del artículo me la dio David (@dstmx) cuando intercambiamos algunos tweets respecto a la pérdida de una laptop de la NASA.

miércoles, 7 de marzo de 2012

Secure Coding and Software Security

Infographic by Veracode Application Security

jueves, 1 de marzo de 2012

Kill Switch en Windows 8


Me llamó la atención un artículo de ComputerWorld llamado “Microsoft: We can remotely delete Windows 8 apps”. En pocas palabras lo que dice es que en Windows 8 se tendrá la capacidad de borrar aplicaciones remotamente si es que se detecta que representan un riesgo de seguridad; por cierto, sin pedir permiso. 

Eso me suena a hack. Microsoft no es reconocido por codificar con demasiada seguridad, pero ese es tema de otro blog-post. Lo que estamos viendo en pocas palabras es que se va a introducir un mecanismo para que esa empresa pueda borrar aplicaciones desde la mothership. ¡Maravilloso!

Si ese mecanismo de borrado remoto va a ser impecable, no estaría escribiendo este post. Pero lo estoy haciendo. Imaginen las posibilidades. Un mecanismo ya incluido por default y de fábrica para acceder remotamente a miles de computadoras. Mmmhhh. 

Las opciones van desde hackearlo y borrar las aplicaciones de la Windows Store, o bien borrar de plano todas las aplicaciones y claro, si el mecanismo de fábrica lo permite, hasta acceder remotamente a un equipo para instalar dos o tres códigos o bien, husmear en los archivos del usuario. Si lo anterior falla, siempre se puede tratar de hacer un DoS (bloqueando la ejecución de apps, reiniciándolas, etc.).

Seguro los Sith dedicados al robo bancario en línea estarán muy interesados en esta nueva “característica” para ver si pueden explotarla y plantar troyanos bancarios de alguna forma. Ya lo estoy viendo venir. 

Y las instituciones de gobierno y/o de seguridad nacional felices de que un tercero y desde una mothership pueda entrar remotamente a sus sistemas. Supongo que habrá una llave del registry o alguna directiva donde se pueda deshabilitar esta característica; es lo primero que voy a buscar.

Por cierto, vean la sección “Can Microsoft remove apps or data from my device?” de los términos de uso de la Windows Store. Para este post no importan tanto los términos, sino el hecho de que habrá un mecanismo remoto de borrado. A mí me huele feo, ya veremos.