Archivo de Autor

¿Autentificación de dos factores? ¡Cuidado!

Nos lo contaban hace algunas semanas en Fraudsters beat two-factor authentication, steal $45k.

Las compañías están obligadas a hacer las portabilidades rápido:

Well, as it turns out, they took advantage of the mobile phone number portability option offered by telecommunication companies and mandated by the Australian government so that the companies could not lock in customers, and employed social engineering skills to gather the information needed for such a move.

La portabilidad ocasiona problemillas técnicos:

… requested his account to be “ported” to a pre-paid account with an alternative provider. Once the move was completed, they sent the businessman a message supposedly coming from his provider (Vodafone), notifying him that he will likely experience problems with the reception in the next 24 hours, so that he would not become suspicious about the fact that he would not be receiving any calls or messages.

En resumen, el ataque se basa en portar un número temporalmente, hacer operaciones con él y devolvérselo al usuario casi sin que se de cuenta de que ha sido suplantado.

A veces, hay buenos motivos para no hacer algunas cosas demasiado rápido.

Dejar un comentario

Siete recomendaciones sobre vim

No se si es cosa mía o realmente está habiendo un resurgir del conocido editor vim pero el caso es que últimamente veo más referencias por ahí.

En una de ellas encontré el Seven habits of effective text editing que puede ser un buen repaso para los más expertos y descubrirle alguna novedad a los que no lo sean tanto.

Como decía, no es lo único que he visto y otra lectura recomendable podría ser el Vim: revisited sobre las configuraciones del ‘bicho’.
Interesante pero ya algo más técnico.

Dejar un comentario

El mercado del malware con fines gubernamentales

Poco que decir pero interesante recordarlo: Gallery: how the surveillance industry markets spyware to governments: empresas que venden a los gobiernos ‘soluciones’ de espionaje y vigilancia.

Ejemplo:

[...] a German company that sells malware for law enforcement investigations. The company’s marketing materials says that its software, which is deployed through zero day exploits, can intercept encryption keys to provide law enforcement agents with access to encrypted communications.

Ya habíamos hablado de malware a medida con diversos objetivos en:

Ataques a medida con hojas de cálculo.
Puedes estar vigilado.
Vigilancia en el Tibet.
Ataques a objetivos concretos.

En todo caso, la novedad ahora sería mostrar la existencia de una industria alrededor de todo esto.

Dejar un comentario

Aplicaciones web, herramientas y seguridad

En [PDF] Exploring the Relationship Between Web Application. Development Tools and Security un documento interesante que trata justamente de eso: cómo las diversas herramientas disponibles para el desarrollo de una web afectan desde el punto de vista de seguridad.

Mediante una revisión manual del código y una herramienta de penetración automatizada comprobaron 9 implementaciones de la misma aplicación web realizada en tres lenguajes de programación diferentes:

Our findings are:
(1) we do not find a relationship between choice of programming language and application security,
(2) automatic framework protection mechanisms, such as for CSRF and session management, appear to be effective at precluding vulnerabilities, while manual protection mechanisms provide little value, and
(3) manual source code review is more effective than automated black-box testing, but testing is complementary.

Los lenguajes elegidos fueron Perl, PHP y Java.

El número mayor de fallos:

One of the Perl implementations has by far the most vulnerabilities, primarily due to its complete lack of XSS protection. This does not seem to be related to the fact that Perl is the language used, however, since the other two Perl implementations have only a handful of vulnerabilities, and few XSS vulnerabilities.

Que parece tener más bien que ver con la habilidad de los desarrolladores.

Sobre el tipo de fallos detectados:

Manual review is the clear winner for authentication and authorization bypass and stored XSS vulnerabilities, while black-box testing finds more reflected XSS and SQL injection vulnerabilities.

Naturalmente, es un estudio limitado y pequeñito (y a la vez grande, teniendo en cuenta la idea de 9 equipos desarrollando la aplicación) del que no se pueden sacar conclusiones estadísticas, pero aporta algo de luz al tema.

Dejar un comentario

La autenticación y las aplicaciones

En User Authentication: It Doesn’t Belong In Your Application un comentario con buenos motivos sobre el tema. Las cosas que hay que tener en cuenta si montamos nuestro propio sistema de identificación y autentificación, y las ventajas que tiene si utilizamos el sistema de autentificación de un tercero.

Vemos últimamente muchas aplicaciones a las que se puede acceder a través de servicios de terceros (Google, Facebook, …). Como dice el autor, eso puede aligerarnos bastante peso en el desarrollo pero, como todo, hay que tener cuidado. No será la primera vez que a alguien le cancelan la cuenta en uno de estos servicios tan bonitos y baratos y, de pronto, se queda también sin acceso a nuestro servicio. Igual que dice en la primera parte lo de Don’t Forget the Forgotten Passwords añadiría yo lo de no te olvides de que algo puede ir mal en los otros servicios (y no ser culpa tuya).

Interesante lectura, en todo caso.

Dejar un comentario

Un fallo sutil

Parece que últimamente, además de tener este sitio un poco abandonado, apostamos por historias un poco truculentas y sutiles. Supongo que para temas más del día a día hay otros blogs y a uno le gustan las cosas que le gustan. En I Saw An Extremely Subtle Bug Today And I Just Have To Tell Someone cuentan como encontraron un fallo bastante sutil y cómo descubrieron el origen.

De hecho, en este caso se trata de una condición de carrera que es un fallo difícil de encontrar, sobre todo cuando ni siquiera se está pensando en ello.

Podemos extraer enseñanzas generales: tenemos sistemas muy complejos (combinación de hardware diverso, sobre el que va el sistema operativo, y seguramente varios niveles más de software apildos). Cuando el fallo es obvio, está más o menos claro donde mirar; pero cuando hay interacciones, la cosa se complica.

Dejar un comentario

Siempre hay sitio para la optimización

La optimización del código que se ejecuta en nuestros programas es un tema clave (y con el que hay que tener cuidado sobre todo antes de tiempo).
Por eso me gustó leer A Python Optimization Anecdote donde nos cuentan los pasos seguidos para mejorar una función para evitar Cross-Sie scripting en Dropbox.

En resumen: probar, medir (y para eso hay que tener casos de prueba *nuestras pruebas, nuestros datos*) y ver cómo afecta a nuestro código con nuestros datos los cambios que hagamos:

Conclusions
The first, most basic conclusion is that the basic facts of Python
optimization inline functions, use implicit loops, move computation into C
if possible are perfectly valid. Another fact: Python dictionaries are
*fast*. The WHITELIST set and the CACHE_HTML_ESCAPES dict both rely on the
superb hash table implementation for their performance gains.

Other “common wisdom”, like using locals instead of globals, yields
relatively little gain.

Optimizing inner loops in a high-level loops requires lots of trial and
error. It was absolutely amazing that moving to string concatenation from
string interpolation gave such a huge boost to performance.

Finally, measurement is key. It was measurement that told us that HTML
escaping was slow to begin with; and without measuring performance, we
would never have guessed that string interpolation was so slow.

Dejar un comentario

Seguridad ‘hogareña’

El tema de la seguridad ‘hogareña’ (hogar en sentido amplio, dispositivos que interactúan diariamente con nosotros fuera del ámbito profesional: sensores, aparatos, coches, …). Por eso me hizo tanta gracia ver que una empresa de seguridad al uso lanzaba un informe sobre el tema: [PDF] Caution: Malware Ahead y merce ser recordado por aquí.
Está fundamentalmente orientado a los coches y los sistemas integrados que se basan en ordenadores más o menos potentes y sus programas.

Ya hemos comentado, como decía, algunos artículos sobre el tema:

El coche, el mp3 y cosas malas que pueden suceder.
Coches e informática
Ataques a los sistemas de arranque sin llave en coches.
¿pueden atacar tu coche?.
y algún otro. Y, ya sin coches:
La intimidad y los dispositivos inalámbricos
Humanos y virus informáticos
Los electrodomésticos y la seguridad.

Bueno. Ya dije que era un tema que me llama la atención. Hay más enlaces pero no los pongo aquí.

Dejar un comentario

Tu teléfono te espía

No estamos hablando de los casos en los que las aplicaciones envían datos de tu agenda, actividad con el teléfono, etc. sino de otro tipo de espionaje: Según iPhone Accelerometer Could Spy on Computer Keystrokes el acelerómetro de nuestro teléfono (iPhone o cualquier otro, no creo que haya gran diferencia en ese aspecto), tranquilamente reposando sobre nuestra mesa podría estar ‘sintiend0 nuestros tecleos en el ordenador (no en el teléfono, sino en el teclado que no tiene nada que ver con el aparatito) y captar con una probabilidad alta (teniendo en cuenta las vibraciones, frecuencias, la forma del teclado, etc.) lo que hemos ido tecleando.

Me parece bastante curioso y me ha recordado la historia aquella del espionaje a través del reflejo de la pantalla en la pared: Spying on Computer Monitors Off Reflective Objects.

También otros modos en los que nuestro teléfono tiene información sobre nosotros y nuestro entorno, claro: Lo que tu teléfono sabe de ti… Y para qué podría servirte, Lo que tu teléfono sabe de ti (II) o, por ejemplo, Sensores con nosotros: ¿nos harán la vida algo mejor?.

Dejar un comentario

El tamaño (del código) importa

En Size is the best predictor of code quality un par de enlaces y punteros a estudios sobre el tema (cuando los lea tal vez volvamos sobre ello).
Comenta sobre las métricas de código y su impacto en la robustez y fiabilidad del código y cómo parece que el tamaño sigue siendo un buen predictor.

Creo que habíamos hablado del tema en algún momento, pero no lo encuentro.

Dejar un comentario

Entradas más antiguas »
Seguir

Get every new post delivered to your Inbox.