Por @Alvy — 23 de Agosto de 2016

Batteries (cc) michaljamro

Un par de artículos en The Guardian citan un trabajo de unos investigadores del Inria Privatics en Francia y el KU Leuven / iMinds de Bélgica titulado The leaking battery: A privacy analysis of the HTML5 Battery Status API [PDF].

Resumido en pocas palabras y sin entrar en muchos tecnicismos esto funcionaría así: existe una forma en la que una página web de cualquier servidor puede consultar al navegador web del usuario el estado de la batería del equipo sobre el que está funcionando. Esto comenzó a plantearse en 2012 como una forma de ahorrar energía a los usuarios móviles: si la página detectaba que quedaba poca batería podría eliminar ciertas «características de alto consumo» (como animaciones, vídeo, etcétera) mejorando así la experiencia en general. Ya en 2015 esto estaba implementado tanto en Firefox como Chrome y Opera.

Resulta que entre los datos que puede obtener la página está el «nivel de batería» como un número de coma flotante con dos decimales de precisión aunque originalmente es más preciso (hasta 16 decimales). Utilizando diversas fórmulas se puede calcular el porcentaje a mostrar (ej. 98%) pero también en ocasiones (ejemplo: Firefox para Linux) la capacidad total de la batería. Un valor más o menos estándar entre aparatos iguales pero que también varía de uno a otro con el uso (las baterías más viejas se pueden recargar menos). Obteniendo varias lecturas se pueden llegar a calcular los diversos valores, derivando de ellos el tiempo en segundos que tardará en descargarse totalmente, etcétera.

Haciendo algunas cabriolas con todos esos valores (especialmente si se tiene acceso al de mayor precisión) se puede obtener un número de identificación único entre 14 millones, más o menos. Hace años sucedió algo similar con las técnicas de fingerprinting (extraer una «huella dactilar única») de los navegadores, algo que se puede hacer revisando la combinación de datos: sistema operativo, tamaño de pantalla, navegador, plug-ins, tipografías instaladas… El resumen es que básicamente es muy difícil «no ser» un navegador único en el mundo para tener mantener cierto anonimato.

Como esos valores de la batería solo se actualizan una vez cada 30 segundos eso permite «rastrear» al usuario desde una web a otra si se tiene acceso a ese identificador. Una forma típica es utilizar redes publicitarias: un poco puñado de empresas atesoran muchas de esas redes y pueden conseguir ese conocido efecto de «¡esa publicidad me está persiguiendo!» llamado en el argot retargeting.

En otras palabras: si el usuario visita un contenido con el «modo privacidad» activado, o a través de una red privada virtual, pero en los siguientes 30 segundos llega a otra página con el modo privacidad desactivado, se podría usar ese identificador único para concluir que es la misma persona. Adiós privacidad.

La solución al problema no es complicada y puede pasar por obligar dar permiso al navegador para leer la batería o –más fácil todavía– hacer que los navegadores proporcionen los valores de carga con menor precisión.

Más info en The Guardian:

{Imagen (cc0) michaljamro @ Pixabay}

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 19 de Agosto de 2016

Have I been Pwned?

Have I been Pwned? es una web para meter en el cajón de las herramientas de cara al siguiente aviso o filtración de «robo de cuentas» que algún día surgirá sobre algún servicio web popular, alguna red o aplicación.

Esta web básicamente compara tu dirección de correo (o cuenta) con las que aparecen en los listados de esas filtraciones. Si al hacerlo te salta una alerta, mal asunto: lo mejor sería que cambiaras esas contraseñas (o todas las que tengas, si son la misma) y seguir las indicaciones del servicio en cuestión al respecto, evitando por supuesto contraseñas triviales.

Minimizando daños en cuentas «owneadas»
Internet: más que una red de servicios a veces parece un colador

La lista de servicios en los que se han owneado millones de cuentas (un término que proviene del inglés pwnd = «humillado», «ridiculizado») asusta solo de verla. Pero esto depende mucho del grado de paranoia de cada uno; la mayor parte de la gente no suele tener problemas.

Por suerte las mayores vulneraciones tienen ya unos añitos: las de Adobe y Tumblr, por ejemplo, tuvieron lugar en 2013. Y si de vez en cuando se cambia la contraseña (una o dos veces al año) puede que sea suficiente para estar ya libre de problemas.`

El resto además servicios obsoletos o poco habituales en España (ej. Badoo, VK, Tianya…) Pero también hay que tener cuidado con otras como por ejemplo las de los foros de seguridad de Bitcoin o de acceso a servicios de contenidos – que de un modo u otro podrían suponer problemas (identidad, spam, etcétera).

(Feed RSS HaveIBeenPwnedLatestBreaches)

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 10 de Agosto de 2016

RNO revolver impreso 3d

Esta semana la TSA (la agencia para la seguridad en el transporte, en EE UU) se encontró con un revólver impreso en 3D cargado con munición «de verdad» en el aeropuerto de Reno.

Aunque se puede viajar en avión con un arma de fuego siguiendo un procedimiento previo, la munición no puede llevarse en el equipaje de mano. El propietario de la réplica de plástico, impresa en 3D, optó sin embargo por dejar su arma y la munición en manos de la TSA, y continuó su camino.

Tal y como se apuntaba hace unos años en el documental «Clic, imprimir, arma», este tipo de armas de plástico son invisibles para los detectores de metales, aunque no la munición que es de verdad, y si están bien hechas permiten disparar algunos proyectiles antes de romperse.

Pero lo más sorprendente es que ese revólver impreso en 3D es sólo una de las 68 armas de fuego interceptadas por la TESA en una semana. 59 de esas armas estaban cargadas y 21 tenían un cartucho en la recámara. Eso son casi 10 armas interceptadas cada día en los aeropuertos de los EE UU. En 2014 la TSA interceptaba 6 armas de fuego al día.

Imagen: Blog de la TSA.

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 17 de Julio de 2016

El mapa global de de ciberamenazas en tiempo real / kaspersky

La gente de Kaspersky, especialistas en seguridad informática, hospeda este curioso Mapa de ciberamenazas que es tan bonito como espectacular. Se puede abrir con el navegador, ampliar y manejar dándole vueltas con el ratón y haciendo clics en las diversas opciones e iconos.

El mapa muestra puntos de diversos tamaños (más amenazas = más grande) y trazas de saltos de un lugar a otro – todo muy ciber al estilo Tron. Si lo dejas un rato abierto incluso empieza a sobrevolar las «rutas de los ataques» de forma bastante vistosa y de película. Hasta te lo puedes descargar como salvapantallas – ideal para flipar al jefe.

Los diferentes colores se muestran en la leyenda y corresponden con diversos tipos de ataques (se explican en el apartado Data Sources) que se detecta con el software Kaspersky que la gente ha comprado e instalado en sus máquinas. Básicamente son estadísticas recogidas acerca de virus, malware e intrusiones en todas partes del mundo. Se calculan los totales y se guardan las direcciones IP de los equipos, que tras una sencilla geolocalización se corresponden con un punto del mapa. También hay información sobre la detección de virus por correo, intrusiones en redes, vulnerabilidades de software y todo tipo de malware en páginas web o el software o ficheros que a los que los usuarios acceden continuamente.

Compartir en Flipboard  Compartir en Facebook  Tuitear