Etiqueta: Seguridad

Un dron que roba datos mientras vuela por los despachos

Publicado el

por Juan Diego Polo

Con una raspberry Pi ejecutando Kali Linux, distribución que fue diseñada principalmente para la auditorí­a y seguridad informática, es posible crear un dron que robe datos informáticos de cualquier lugar.

El secreto está precisamente en el linux que lleva instalado, ya que incluye más 600 programas especializados en escanear puertos, obtener passwords y realizar pruebas de seguridad en redes inalámbricas. El dron en cuestión se encargarí­a de sobrevolar el despacho e ir capturando todo lo que encuentra en los dispositivos que allí­ estén instalados.

Con el nombre Aerial Assault, ha sido creado por investigadores que apuestan por la tecnologí­a opensource, permitiendo así­ que se adapte a las necesidades de los clientes que lo adquieran (generalmente profesionales de seguridad que buscan agujeros para poder taparlos posteriormente). Aún así­, si cae en malas manos, podrí­a volar por el exterior de un edificio capturando datos de todas las oficinas que allí­ se encuentran.

Dron Aerial Assault. Imagen: Engadget
Dron Aerial Assault. Imagen: Engadget

Comentan en edgadget que tiene un precio de 2.500 dólares, y lo pondrán a la venta en wallofsheep.com durante los próximos dí­as.

Como veis en la imagen, su aspecto llama bastante la atención, aunque seguramente la versión final, la que se venderá, tendrá un acabado más discreto para que haga bien su trabajo de espí­a. ¿La solución?, ser proactivos y asegurarse de que las comunicaciones en nuestra empresa están perfectamente cifradas y con un buen protocolo de seguridad.

Instalan cámaras de seguridad en una estación de tren de Japón para detectar viajeros borrachos

Publicado el

por Sergio Asenjo

Imagen: m-louis .® (Flickr).
Imagen: m-louis .® (Flickr).

En Japón, la empresa ferroviaria West Japan Railway ha instalado esta misma semana una serie de cámaras de seguridad en la estación de Kyobashi (Osaka) con el objetivo de evitar posibles accidentes de viajeros ebrios, algo que sucede con más frecuencia de lo que cabrí­a esperar.

De hecho, según estadí­sticas oficiales, entre el mes de abril de 2013 y abril del año siguiente el gobierno japonés grabó todos los accidentes ocurridos en estaciones ferroviarias, en los que 221 personas fueron golpeadas por trenes al acercarse demasiado al andén o caer al mismo. Lo más sorprendente de estas cifras es que de esas 221 personas, más del 60% estaban borrachas. Por esta razón, la compañí­a ha decido instalar cámaras de seguridad especiales con el objetivo de reducir el número de accidentes evitables. Concretamente, han instalado 46 cámaras de seguridad en la estación de Kyobashi que se encargarán de localizar a las personas que parezcan estar bajo los efectos del alcohol en los andenes de la estación. Para ello, el sistema de cámaras estará especialmente alerta ante movimientos o comportamientos sospechosos, como permanecer una gran cantidad de tiempo en el andén sin motivo aparente, dormir en los bancos de la estación o tambalearse al andar. Cuando alguna de las cámaras detecte a alguna persona que parezca estar bajo los efectos del alcohol, alertará entonces a un empleado de la estación para que compruebe personalmente la situación. Por supuesto, las cámaras solo se utilizarán para prevenir accidentes y en ningún momento se usarán para identificar personas.

Sin duda, estamos ante una medida realmente interesante que podrí­a ayudar a reducir el número de accidentes ocurridos por culpa del alcohol. A pesar de que la estación de la que os hablamos es la primera en la que se ha instalado esta tecnologí­a, la compañí­a ferroviaria planea su extensión a otras estaciones del paí­s.

Fuente: The Wall Street Journal.

Protonmail se renueva y se hace OpenSource

Publicado el

por Juan Diego Polo

captura-71

El cliente de email seguro, Protonmail, nos presenta dos grandes noticias: lanzan su versión 2.0 y abren su código al mundo.

La apariencia no ha cambiado mucho en esta nueva versión, pero el código es completamente nuevo, de hecho la plataforma es 10 veces más rápida que en la versión anterior (aún disponible en old.protonmail.ch).

Han rediseñado el login, la ventana de creación de emails, la página de configuración y la vista de mensaje. También permiten arrastrar y soltar emails desde la caja de entrada a las etiquetas o directorios de clasificación, podemos crear una firma HTML personalizada, gestionar de forma rápida los contactos, cifrar los archivos adjuntos para los usuarios que no usen ProtonMail, ver los logs con los intentos de identificación y mucho más.

Los creadores, que han trabajado en CERN, creen en el software de código abierto y el apoyo que la comunidad puede ofrecer. Esta nueva versión puede verse en github, con licencia MIT, y permite que programadores de todo el mundo colaboren en su desarrollo.

También han lanzado un programa de recompensas de errores, especificado con detalle en esta página.

Ahora están trabajando en las apps iOS y Android, y para ello contarán con una campaña de crowdfunding en Indiegogo. La semana que viene darán más información sobre cómo apuntarse a las betas de dichas aplicaciones.

Dropbox ya permite identificarnos usando una llave USB

Publicado el

por Juan Diego Polo

captura-65

Cada vez son más los sistemas que permiten la identificación en dos pasos, aunque generalmente usan un mensaje SMS, o el famoso Authenticator. El uso de llaves USB es menos común, pero cuando la seguridad de los datos es importante, vale la pena invertir en este sistema.

Ahora es Dropbox quien informa que están añadiendo las llaves de seguridad U2F (Universal 2nd Factor) como método adicional a su ya existente sistema de verificación en dos pasos, aumentando así­ la protección de la información.

Después de informar nuestra contraseña, será necesario introducir la llave en el puerto USB de nuestro ordenador, en lugar de informar los seis dí­gitos del mensaje, siendo así­ independiente del móvil (algo que muchos recibirán con los brazos abiertos).

Comentan que el uso de esta técnica impide que sitios que se hacen pasar por Dropbox roben nuestros datos (algo que sí­ pueden hacer de la forma tradicional), ya que el USB solo funciona en el sitio real de Dropbox.

Para usarlo es necesario que tengamos una llave «FIDO Universal 2nd Factor (U2F)», de fidoalliance.org, llave que se podrá configurar en nuestra cuenta de Dropbox de la misma forma que la usamos en Google.

Con la llave en mano, accederemos a la sección de seguridad de la cuenta de Dropbox y pulsaremos en «Añadir Security Key», algo que solo podrá hacerse en dropbox.com usando Chrome.

En caso de no tener el USB a mano, siempre podemos solicitar el mensaje tradicional, por lo que sin acceso no nos quedaremos.

Sí­, ya se pueden contratar detectives privados por Internet

Publicado el

por Juan Diego Polo

captura-49

Otro mercado que comienza a dar pasos para «digitalizarse»: el de los detectives privados.

El clásico teléfono en la sección de anuncios de los periódicos de papel toma vida en una web llamada trustify, un sitio, destacado hoy en producthunt en el que, solo en Estados Unidos, puede contratarse un detective privado para resolver asuntos de todo tipo: sospechas de robo en la empresa, engaños, acosos, timos…

Aún no es una plataforma ideal, tiene varios puntos que podrí­an mejorarse:

– El contrato del detective aún se hace por teléfono, no se puede realizar la solicitación y obtener el presupuesto o el precio por hora directamente desde la web
– El seguimiento del caso se hace por mensajerí­a instantánea, y la plataforma ayuda a aprobar las posibles horas extra de trabajo, pero no hay una ficha completa del caso con todos los datos investigados disponibles en la web.

Está claro que ambos «problemas» buscan la privacidad de la información, reducir el riesgo de que los datos acaben en manos no deseadas (lo que serí­a fatal en un portal así­), por lo que parece que aún estamos en una categorí­a que tardará bastante en modernizarse completamente.

Los perfiles de los detectives aparecen en la web, donde puede verse que hay especialistas en seguridad de la información, personas con experiencia en «cybercrí­menes».

Si usas Firefox, actualiza ahora, hay un problema de seguridad

Publicado el

por Juan Diego Polo

firefox

En el blog de mozilla han anunciado que se ha descubierto un problema de seguridad que afecta a todas las versiones de Firefox que no hayan sido actualizadas a la última versión, la 39.0.3, publicada ayer mismo en este enlace.

El problema fue detectado gracias a un usuario que vió un anuncio en una web de noticias de Rusia en el que se aprovechaba el error, un problema que era capaz de buscar archivos y subirlos a un servidor de Ucrania sin que el usuario lo note.

La vulnerabilidad ocurre por un problema de JS en el visor de PDF, por lo que los productos de Mozilla que no contienen el Visor de PDF, como Firefox para Android, no son vulnerables. El problema no permite la ejecución de código arbitrario, pero fue capaz de usar JavaScript para buscar archivos locales y cargarlos en el servidor antes mencionado.

No se sabe si el anuncio que se mostró en Rusia solamente apareció en dicha web de noticias o si han publicado el banner en otros lugares, pero sí­ se ha podido averiguar que se encargaba de buscar archivos diferentes dependiendo del sistema operativo de la ví­ctima:

– En Windows: buscaba archivos de subversión, s3browser y archivos de configuración de Filezilla, .purple y Psi+, así­ como archivos de configuración de ocho diferentes clientes FTP populares.
– En Linux: se buscaban archivos de configuración globales habituales, como /etc/passwd, así­ como contenido en .bash_history, .pgsql_history, archivos de configuración .ssh, archivos de configuración .mysql_history para Remina , Filezilla y Psi+, etc.

Los usuarios de Mac no tienen que preocuparse en este caso particular, pero sí­ podrí­a realizarse algún tipo de carga, por lo que se aconseja también la actualización.

El problema no deja rastro, no podemos saber si ha sido ejecutado en la máquina local, por lo que si usas Firefox en Windows o Linux serí­a prudente cambiar las contraseñas y claves que se encuentran en los archivos mencionados en su artí­culo.

hack chat, un chat sencillo, práctico, seguro y privado

Publicado el

por Juan Diego Polo

captura-197

En hack.chat tenemos una aplicación ideal para quien quiere comunicarse ví­a chat sin necesidad de complicarse mucho la vida.

Se trata de una herramienta con código libre, disponible en github, y con versión android, con posibilidad de ser ejecutado directamente desde la web creando canales privados para que los usuarios que se conecten puedan charlar entre ellos (podéis probarlo en hack.chat/?wwwhatsnew, donde hay un canal para vosotros).

Para crear un canal solo hay que acceder a la url hack.chat/?nombre_canal, creándose así­ de forma automática, sin necesidad de rellenar formularios de ningún tipo. Una vez creado el canal, tenéis que divulgarlo entre los usuarios que queréis comunicar. Cada vez que uno de ellos pulse en el link, tendrá que especificar su nick para que participe de la conversación.

El chat es extremadamente sencillo, sin posibilidad de incluir imágenes, ideal para quien solo quiere hablar con otras personas sobre temas especí­ficos en un chat privado, ya que no hay listas públicas que permitan a un anónimo encontrar la sala que habéis creado.

En lo que se refiere a seguridad: todo el contenido está cifrado, no se guardan las conversaciones, y todo se destruye de forma automática después de que el chat es abandonado, sin rastros ni en servidor ni en cliente.

En Holanda, un banco permite utilizar tu voz para gestionar tu cuenta bancaria

Publicado el

por Sergio Asenjo

Realizar gestiones bancarias por Internet requiere introducir códigos PIN, contraseñas y demás medidas de seguridad para verificar nuestra identidad, lo cual suele retrasar en mayor o menor medida la velocidad a la que realizamos nuestras gestiones bancarias online. En Holanda, el banco ING lleva un tiempo trabajando en nuevas formas de mejorar la gestión de nuestra cuenta bancaria.

Imagen de shutterstock.com
Imagen de shutterstock.com

Gracias a la colaboración con Nuance (proveedor de soluciones de voz para empresas) y a la tecnologí­a biométrica de voz desarrollada por esta empresa, los clientes de este banco pueden utilizar su voz para realizar todo tipo de tareas con la app para dispositivos móviles, como identificarse o comprobar el saldo disponible en sus cuentas. Ahora, gracias al feedback recibido por los usuarios, ING ha incorporado la posibilidad de realizar pagos usando tan solo la voz. En Nuance consideran que se trata de una forma mucho más conveniente de gestionar tu cuenta bancaria desde un dispositivo móvil. Concretamente, afirman que el uso de la voz resulta mucho más seguro que el de las tí­picas medidas de seguridad, argumentando que el reconocimiento de voz no es susceptible a ataques de fuerza bruta. Además, explican también que cualquier intento de engaño serí­a grabado.

Actualmente, la posibilidad de realizar pagos usando la voz ha sido incluida en la más reciente actualización de la app de ING para iOS y Android. Además, los usuarios de dispositivos iOS con Touch ID también pueden utilizar su huella dactilar para identificarse a la hora de realizar un pago a través de la app.

Fuente: Nuance.

Steam corrige un fallo de seguridad que permití­a cambiar contraseñas ajenas

Publicado el

por Sergio Asenjo

Captura

Tal y como hemos podido leer en Kotaku, durante el fin de semana ha sido descubierto un fallo de seguridad en Steam, la popular plataforma de videojuegos de Valve. Concretamente, el bug del que os hablamos permití­a cambiar la contraseña de otros usuarios en cuestión de pocos segundos.

Sin duda, estamos ante un fallo de seguridad bastante grave, sobre todo si tenemos en cuenta que para poder cambiar la contraseña de una cuenta determinada no era necesario tener acceso al correo electrónico de la ví­ctima. De hecho, explotar el fallo de seguridad del que os hablamos era tan sencillo como solicitar un código de restablecimiento de la contraseña y acceder a la sección de la web en la que se lleva a cabo el proceso para confirmar el cambio. Para ello, normalmente es necesario introducir un código de seguridad enviado a la cuenta de email del propietario de la cuenta de Steam, pero debido al fallo de seguridad la plataforma aceptaba como válido dejar en blanco el campo en el que se solicitaba el código. De esta forma, cualquiera podí­a dejar sin acceso a su cuenta a otros usuarios, cambiando su contraseña sin ningún tipo de verificación de identidad. Desde Steam han comunicado que el fallo de seguridad del que os hablamos ya ha sido solucionado. Concretamente, parece haber afectado a diversas cuentas de usuario entre el 21 y el 25 de julio. La compañí­a se encuentra restaurando las contraseñas de las cuentas afectadas por el fallo.

Fuente: Kotaku.

Ciberseguridad, tipos, casos y un Máster de 600 horas

Publicado el

por Publipost

captura-93

Rara es la semana en la que no leemos algún caso relacionado con la Ciberseguridad en alguna gran empresa. Datos que se filtran, ataques a servidores, robo de información, discos destruidos, móviles que «abren sus puertas al público»… a medida que la tecnologí­a avanza, entregamos más datos en sistemas que, por desgracia, no pueden protegerse completamente de los diferentes ataques que pueden realizarse.

Existe una enorme cantidad de ataques a sistemas informáticos, amenazas que, en general, pueden clasificarse de la siguiente forma:

– De denegación de servicio: Los famosos DDoS, ataques que sobrecargan servidores o redes con el objetivo de impedir que sigan ofreciendo un servicio. Estos ataques pueden ser extremadamente sofisticados, por lo que es prácticamente imposible evitarlos: si millones de diferentes direcciones IP acceden a un mismo servidor, se hace imposible diferenciar a un usuario normal de un ordenador atacando. En este caso se suelen bloquear regiones especí­ficas o grupos sospechosos de direcciones IP, aunque existen sistemas más sofisticados que usan estadí­stica para determinar lo que debe ser bloqueado.
– Man in the middle: La clásica situación en la que el atacante espí­a una comunicación entre dos partes y falsifica datos para hacerse pasar por una de ellas.
– Ataque de dí­a cero: Donde se buscan agujeros de seguridad de programas especí­ficos o se aprovecha algún problema que ya se ha hecho público.
– Ataque por fuerza bruta: Donde se intenta entrar en un sistema intentando obtener la contraseña probando todas las combinaciones posibles.

Hay más categorí­as, más grupos y muchos ataques difí­ciles de clasificar. Ayer mismo vimos como una conocida web de citas entre personas casadas habí­a sido atacada, con 34 millones de datos de usuarios robados (desde nombres a sistemas de pago), aunque aparentemente el robo no tuvo mucho ingrediente tecnológico: alguien de soporte tuvo acceso a los servidores y decidió robar la información.

Crear un sistema seguro no significa crear una maravilla tecnológicamente cerrada, significa crear un flujo de información y una serie de procesos que impidan el acceso no autorizado a datos sensibles, significa entrenar a los trabajadores para entender lo que es seguridad en el mundo de la información digital, y eso es más difí­cil de lo que parece.

Si queréis profundizar en este tema, podéis acceder al Máster de CiberSeguridad organizado por u-tad.com, un máster de 600 horas que empieza en octubre, donde se explicarán técnicas y tácticas de ciberdefensa, ciberataque y análisis forense de sistemas informáticos. El Máster está diseñado para que puedan cursarlo personas con experiencia previa en programación y desarrollo de software, así­ como conocimientos de administración de sistemas operativos y administración de redes.