Por Nacho Palou — 29 de Junio de 2016

Ataque malware ventiladores

En Motherboard, Researchers Make Malware That Steals Data by Spinning Your Computer's Fans,

Investigadores de la universidad Ben Gurion de Israel describen un ataque informático dirigido contra ordenadores aislados que normalmente no resultan accesibles ni tienen conexión (...) el método aplicado por los investigadores israelíes describe cómo controlar y escuchar la velocidad de giro de los ventiladores del ordenador y utilizarlos para transmitir información desde éste a otro dispositivo próximo.

Para que el método funcione primero hay que conseguir infectar el ordenador que se desea atacar, mediante algún tipo de software maligno, malware. Una vez instalado el software se las apaña para convertir el ventilador del ordenador en una espacie de «transmisor de código morse».

Variando la velocidad de funcionamiento del ventilador o encendiéndolo y apagándolo, éste produce producen ondas acústicas que se transmiten por el aire y que llegan a otro ordenador o dispositivo móvil situado más o menos cerca; ese ordenador que está en escucha las recibe y descifra el contenido transmitido,

Por supuesto, la velocidad de transferencia es muy lenta, del orden de los 900 bits por hora manteniendo el dispositivo de escucha a una distancia de 8 metros. Si bien no es una velocidad adecuada para descargar el último disco de Taylor Swift, es suficiente para robar contraseñas y llaves de cifrado.

Irónicamente, el método aprovecha el mismo aire que «aísla» a un ordenador «air-gapped». La buena noticia es que cada más ordenadores, portátiles sobre todo, prescinden del ventilador.

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 8 de Junio de 2016

Electronic voting in Brussels

El voto electrónico es uno de esos animales mitológicos que se suelen usar como ejemplo de un futuro mejor porque «suena bien» pero sobre el que casi todos los expertos te dirán ¡No! ¡Eso es lo único que no debería ser electrónico! Lo explican en un artículo de Futurity: Why online voting would be a «complete disaster»:

Los son chismes muy complicados y no hay forma razonable ni cantidad de recursos suficientes como para garantizar que el software y el hardware están libres de bugs y que no puedan sufrir un «ataque maligno». Los problemas y la complejidad aumenta más rápido que los métodos para evitarlos. La perspectiva de un sistema de voto electrónico basado en que «los ordenadores son perfectos» es realmente una mala idea.

En la práctica los sistemas de voto electrónico están bien para casi cualquier consulta (votos en redes sociales, encuestas e incluso para cuestiones medio serias como contabilizar de votos en organizaciones cerradas) siempre que se sigan unos protocolos de seguridad razonables y se apliquen ciertas garantías, revisiones y auditorías en caso de que se trate de algo realmente necesario e importante.

Hay que recordar, además, que los sistemas de voto para lo que serían unas «elecciones generales» varían una barbaridad de unos países a otros: en algunos es obligatorio votar, en otros no. En otros se vota con papeletas en urnas transparentes, en otros en cajas de cartón. En algunos lugares hay que votar con máquinas especiales (mecánicas o táctiles, que generan un voto en papel) y en otros ya se han dado casos en los que solo se podía votar de forma electrónica, bien desde casa, bien en las sedes electorales.

Pero el voto definitivo, ese que elige los representantes de todo un país durante años y que da acceso a presupuestos de miles de millones para el bien común, a decisiones de vida o muerte, a cuestiones que afectan a derechos fundamentales es demasiado valioso como para dejarlo en manos de máquinas con bugs, gente con intereses y poderío económico suficiente como para amañar un resultado o pirados y bromistas con ganas de fastidiar. O simplemente en manos de un gobierno que pueda manipularlos.

Esencialmente el voto electrónico es un problema de seguridad muy complejo. La cita es de Bruce Schneier, que «desayuna problemas criptográficos», así que convendría hacerle caso tanto a él como a Richard Stallman, el gurú del software libre:

Creo que el voto electrónico es peligroso y que ese peligro no puede evitarse ni siquiera usando software libre.

El peligro es que alguien manipule el software para hacer trampas con los votos. No se puede evitar esto ni siquiera estudiando el código fuente del programa que se va a utilizar durante las elecciones, porque el programa que se esté ejecutando en ese momento podría ser diferente al que te han enseñado antes. Alguien podría reemplazar el original por otro que manipule los votos y restaurarlo al acabar; nadie se percataría de que esto ha sucedido. No habría forma de hacer un recuento.

Así que estoy entre los que opinan que debería haber votos en papel de modo que sea posible un recuento manual.

Este ejemplo es uno de los casos en los que el hecho de que alguien diga que «esto corre con software libre, no se puede manipular» no lo hace necesariamente más seguro. La razón es la que explica Stallman: si corre en un servidor al que no se tiene acceso es imposible en la práctica comprobar que en el preciso instante en que se vota eso que se está ejecutando es lo que se ha podido analizar previamente.

{Foto: Electronic voting in Brussels (CC) Parlamento Europeo @ Flickr}

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 7 de Junio de 2016

La gente de la firma de seguridad Pen Test Partners se percató de la particular manera que tiene el ordenador del Mitsubishi Outlander PHEV de conectarse con la app en el móvil del usuario: en lugar de usar el habitual método de pasar por un servicio en Internet intermedio entre el vehículo y el propietario el coche se conecta directamente a la aplicación a través de una red wifi generada por el vehículo — lo que impide que, estando en el coche o cerca del coche, el teléfono pueda conectarse a la red de datos móviles o a otras redes wifi con conexión a Internet (!)

«Es de suponer que el sistema ha sido diseñado así por una cuestión de costes, ya que de este modo Mitsubishi no tiene que mantener un servicio online ni pagar conectividad, ni pagar hosting, ni pagar desarrollos» (!) escriben en Hacking the Mitsubishi Outlander PHEV hybrid.

El problema es que de la misma forma forma que puedes ver todas las redes wifi de tus vecinos abriendo el menú wifi del móvil u ordenador, también puedes ver todas las redes wifi producidas por vehículos de Mitsubishi, ya que todas las redes wifi siguen el mismo patrón de nombre de red (!)

Siendo así, además de ser posible localizar donde están físicamente esos coches (!), no parece resultar complicado entrar al sistema del vehículo y hacer con él cosas que no se limitan a encender y apagar las luces o jugar con el climatizador: también es posible hacer cosas más delicadas como provocar que se descargue la batería (!), desactivar la alarma y trapichar sistemas más sensibles (!), tal y como se muestra en el vídeo Hacking the Mitsubishi Outlander PHEV SUV.

Según Pen Test Partners, Mitsubishi está avisada de tales vulnerabilidades. La marca asegura estar trabajando en una solución al problema aunque, según la gente de Pen Test Partners, «al principio Mitsubishi no mostró mucho interés en el asunto, no hasta que contactamos con ellos a través de la BBC» (!!)

Mientras tanto, la recomendación de los expertos es desactivar el acceso remoto al vehículo (!) que, en realidad, tampoco tiene mucha utilidad si para poder acceder remotamente a él tienes que está físicamente cerca del coche, dentro del radio de alcance de su red wifi (!)

Hace ahora un año, dos expertos en seguridad demostraron cómo era posible tomar el control de un Jeep que circulaba a kilómetros de su oficina.

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 11 de Mayo de 2016

Identificación biométrica mediante ondas cerebrales / Jonathan Cohen / Binghamton University

Un equipo de científicos de la Universidad de Binghamton (Canadá) han publicado un trabajo en el que se describe un innovador método para identificar patrones biométricos en los electroencefalogramas del cerebro. Esto permitiría utilizar las respuestas de nuestros cerebros como sistema de identificación personal, que en las pruebas realizadas con 50 usuarios y 500 imágenes han resultado efectivas con un cien por cien de precisión – dado que las respuestas a cada estímulo son únicas y personales. El trabajo completo puede leerse en IEEE Xplore: A Novel Method for Very High Accuracy Event-Related Potential Biometric Identification.

Las pruebas cerebrales incluyen las respuestas de diversas áreas del cerebro, tales como las del reconocimiento facial, el sistema primario de visión y los del gusto y el apetito. Aquí se trata de chequear esos valores contra una base de datos previamente entrenada con respuestas ante estímulos tales como la foto de una pizza, una actriz o una palabra.

Esta nueva tecnología se utilizaría principalmente para la identificación personal inequívoca en sistemas de alta seguridad. De momento por sus requisitos de hardware y software es bastante diferente a los lectores de huellas o los de identificación de retinas o rostros, que pueden funcionar más ágilmente. Parece que eso no es todavía tan ágil ni cómodo, pero sí mucho más seguro.

{Foto: Jonathan Cohen / Binghamton University.}

Compartir en Flipboard  Compartir en Facebook  Tuitear