Un simple correo puede causarnos problemas

En How a Google Headhunter’s E-Mail Unraveled a Massive Net Security Hole cuentan como un simple correo y el intento de verificar si es original o no llevó a Zachary Harris a descubrir que Google utilizaba una clave criptográfica pequeña para la autentificación de los envíos.

De todas formas, casi nadie mira estas cosas…

Harris found three classes of key lengths used by vulnerable domains – 384 bits, 512 bits, and 768 bits.

“A 384-bit key I can factor on my laptop in 24 hours,” he says. “The 512-bit keys I can factor in about 72 hours using Amazon Web Services for $75. And I did do a number of those. Then there are the 768-bit keys. Those are not factorable by a normal person like me with my resources alone. But the government of Iran probably could, or a large group with sufficient computing resources could pull it off.”

In addition to Google, he found that eBay, Yahoo, Twitter and Amazon were all using 512-bit keys. PayPal, LinkedIn, US Bank and HSBC were using 768-bit keys.

“It was good that PayPal and the banks were in the 768 category, but still, for domains that are as heavily phished as PayPal, 768 is really not okay,” Harris says. “They really should have been at 1024, and they have heeded the message and said they really should have had stronger keys all along.”

Anuncios

Tu teléfono te espía

No estamos hablando de los casos en los que las aplicaciones envían datos de tu agenda, actividad con el teléfono, etc. sino de otro tipo de espionaje: Según iPhone Accelerometer Could Spy on Computer Keystrokes el acelerómetro de nuestro teléfono (iPhone o cualquier otro, no creo que haya gran diferencia en ese aspecto), tranquilamente reposando sobre nuestra mesa podría estar ‘sintiend0 nuestros tecleos en el ordenador (no en el teléfono, sino en el teclado que no tiene nada que ver con el aparatito) y captar con una probabilidad alta (teniendo en cuenta las vibraciones, frecuencias, la forma del teclado, etc.) lo que hemos ido tecleando.

Me parece bastante curioso y me ha recordado la historia aquella del espionaje a través del reflejo de la pantalla en la pared: Spying on Computer Monitors Off Reflective Objects.

También otros modos en los que nuestro teléfono tiene información sobre nosotros y nuestro entorno, claro: Lo que tu teléfono sabe de ti… Y para qué podría servirte, Lo que tu teléfono sabe de ti (II) o, por ejemplo, Sensores con nosotros: ¿nos harán la vida algo mejor?.

Borrar datos es difícil

Creía que lo había puesto, pero no lo encuentro. Ya sabíamos que borrar datos de un disco duro no es algo trivial. En [PDF] The broken file shredder Programming traps and pitfalls o [PDF]The broken file shredder Wietse Venema ya nos contaba todas las cosas que podían ir mal en discos convencionales, así que me sorprendió que nadie lo recordara al hablar del nuevo ‘fallo’ que ponemos aquí casi a título de inventario: SSDs do not always scrub-delete files, claim researchers, que hace referencia a un informe [PDF] Reliably Erasing Data From Flash-Based Solid State Drives, donde Michael Wei y sus colegas nos hablan de los problemas de este tipo de discos que, poco a poco, van entrando en nuestras dinámicas habituales de trabajo.

Por si acaso, lo que no queramos que se descubra, mejor no escribirlo nunca.

Tuiteros de seguridad

Tengo la idea de que las grandes listas de enlaces son contraproducentes porque, al verlas, uno se agobia un poco y no se siente con fuerzas para examinar adecuadamente su contenido. Eso no impide que señale aquí un par de listas que descubrí recientemente: Los Twitters de seguridad (el retorno) y Twitteros de Seguridad en Argentina. Malo será que no encontremos alguno de nuestro interés entre todos ellos.

Y aprovecho para anunciar que esta bitácora tiene su propio Twitter, @mbpfernand0 (en pruebas). También se puede seguir al autor en @fernand0.

Malware e ISPs

Ya habíamos hablado del tema en ¿Tienes malware? ¡Te desconectamos!. Ahora es un ISP norteamericano, Comcast pop-ups alert customers to PC infections: notificarán a los usuarios cuyos PCs detecten que tienen problemas (un cambio repentino de aumento de tráfico, un envío masivo de mensajes de correo electrónico, …) para que puedan tomar las medidas que consideren oportunas.

Ya hacían algo similar en el Qwest Customer Internet Protection Program Increases Security For Broadband Customers, Combats Spread Of Viruses And Malware.

Recordemos que en las propuestas que habíamos visto anteriormente desconectaban a los usuarios (dentro de sus empresas). Aquí los proveedores simplemente proponen notificar: puedo imaginar líos con los falsos positivos y luego problemas cuando los usuarios menos avezados (y los más, para qué nos vamos a engañar) cuando accedan a los servicios de atención al cliente que no siempre les ayudarán adecuadamente (tal vez sí, ojalá me equivoque).

La propagación de la información

Me encantó leer Rumorología antivirus que nos muestra como, en un mundo pequeño y cerrado, la información puede propargarse bien aunque sea mala: se trata de la historia del “AlertVir”, un producto de seguridad que algunos antivirus empezaron a detectar como peligroso y que nadie ‘defendió’, de manera que el resto de empresas empezaron a incluir en sus firmas mencanismos para detectarlo y señalarlo como malicioso.

A las empresas les traía más cuenta seguir a la manada que preocuparse de un producto que no conocían y en el que tendrían que invertir tiempo y recursos para determinar que era inocuo.

El ataque de los pines

No soy muy de hardware, la verdad. Esta semana anduve preparando un PC viejo para mi crío y estoy muy sorprendido de ver que todo funcionó a la primera. Pero me parece interesante AllPinouts, un wiki sobre conectores, conexiones y adaptadores de los que la informática es tan prolífica.

Lo vi en Un wiki con todo tipo de información sobre conexiones.

Recogiendo información en la red

La presentación de Christian Martorella, A fresh new look into Information Gathering (pdf) donde da pistas e ideas sobre toda la información que se puede conseguir de alguien en la red me da pié a presentar otro trabajo que iba un poco más allá y que me resultó bastante interesante. Más allá de la inferencia en bases de datos, Jessica Staddon, Philippe Golle y Bryce Zimny hablaban de Web-Based Inference Detection (pdf): si nos llega un documento ofuscado, donde algunos datos ‘sensibles’ han sido ocultados o suprimidos, es posible echar mano del amigo Google (o cualquier otro y alguno de sus complementos) para rellenar esos huecos con información libremente disponible en la red.

Aunque seamos anónimos y no haya documentos con partes ofuscadas, lo cierto es que, como contaba el otro día en El futuro ya está (casi) aquí ya hay servicios que son capaces de reunir, a partir del nombre de alguien, un ‘perfil’ internetero bastante completo.