Por @Alvy — 20 de Junio de 2017

Anti botnet

¡Ah, la Internet de las cosas! Imaginábamos un planeta de dispositivos hiperconectados de forma inteligente, con coches, señales de tráfico y farolas hablándose para entenderse y hogares con bombillas inteligentes, relojes que se pusieran en hora ellos solos y alertas si había fugas de agua… y en vez de eso tenemos un cacao maravillao de neveras que se vuelven locas, cafeteras que no te dejan usarlas porque «se perdió la conexión a internet». Y, lo peor, hornos microondas y todo tipo de chismes crackeados por el simple hecho de llevar una CPU, minando bitcoins para la darknet o atacando instalaciones nucleares rusas como si fueran zombies de Guerra Mundial Z. ¿Quién dijo que no sería divertido?

Para aliviar un poco la situación la Oficina de Seguridad del Internauta (OSI) ha creado un Servicio Anti-botnet que funciona en Chrome, Firefox y Explorer en forma de plug-in que sirve para chequear si la dirección IP de tu hogar está en alguna lista de zombis de botnets malignas, que es como se llama a los ordenadores y otros equipos sobre los que ha tomado control algún tipo de ataque informático y que dedican su tiempo a obedecer a su nuevo amo maligno en vez de a hacer el trabajo para el que fueron diseñados.

Instalar el Plug-in Antibotnet es muy sencillo, casi trivial. No hace falta nada más que aceptar los permisos que solicita para que periódicamente chequee la IP de casa (que acaba siendo la que utilizan todos los dispositivos de la IoT del hogar); ni siquiera hay que hacer nada en los aparatitos conectados. Si de repente esa IP aparece en la lista centralizada de «máquinas zombies que están atacando a Corea del Sur con un ataque DDoS», por decir algo, saltará un aviso al abrir el navegador.

De este modo al menos se puede cortar la conexión y examinar la red local a ver qué dispositivo ha sido infectado por la semilla del diablo: entre los más típicos están las cámaras de vídeo de seguridad, impresoras y ordenadores, claro, pero también routers, teléfonos móviles y televisores inteligentes. Normalmente no se observa nada raro porque cuando trabajan para el lado oscuro apenas se nota, pero sus maléficas acciones combinadas pueden organizar el caos mundial. Así que ya sabes: más vale prevenir.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 14 de Junio de 2017

Odisseus 2017 jun 14 passwords

Aprovechando listas de contraseñas reales –en su mayoría productos de filtraciones y crackeos– y combinándolas con diccionarios y otros corpus similares de palabras de todos los idiomas, el ingeniero y aficionado a la ciberseguridad Ben berzek0 publica periódicamente tanto los datos en bruto como un pequeño análisis sobre lo que se puede aprender del asunto.

La información es pública y libre, tanto para fines profesionales (generación de contraseñas, comprobaciones de seguridad, etc.) como educativos (aprender sobre seguridad informática). Se pueden descargar de Github desde su página Probable Wordlists (la última versión es la 1.2) y también está disponible en varios torrents – por si acaso necesitas los 45 GB que ocupan completas todas las contraseñas ha recopilado.

Además las enormes listas originales en forma de texto plano también hay versiones destiladas con solo los Top 100, Top 1000 etc. más «populares» o los hashes (versiones «reducidas» de contraseñas más largas, normalmente de más de 40 caracteres).

Tras confirmar como ya sabíamos que 123456 es la contraseña más utilizada del mundo, seguida de password su análisis también indica que:

  • El 80% de las contraseñas tienen entre 8 y 12 caracteres. De menos de 4 o más de 17 hay muy muy pocas.
  • El 90% de las contraseñas solo utilizan minúsculas y números.
  • La mitad de las contraseñas solo están compuestas por letras; un tercio terminan en un número.

Combinando esto con un poco de sentido común y lo que siempre hemos sabido sobre contraseñas, sus recomendaciones prácticas –ojo, que no hacen una contraseña inviolable– incluyen:

  • Utilizar caracteres especiales si es posible, especialmente al principio de la contraseña (ej. *canguro mejor que canguro).
  • Combinar mayúsculas y minúsculas y no solo al principio (ej. *CanGuRo en vez de *canguro)
  • Usar contraseñas de 12 o 13 caracteres como mínimo (ej. *MiCanguroMeMima en vez de *CanGuRo).

Todas estas normas son fáciles de recordar y no demasiado incómodas de poner en práctica. Y en caso de ataque a algún tipo de servicio de acceso el resto de contraseñas puede que sea pasto de los crackers y estás tienen más probabilidad de salvarse.

Eso sí: recordemos que estas ideas pueden ser válidas cuando no hay otra opción como la autenticación de dos factores, que por suerte es cada vez más común y mucho más segura y aconsejable.

(Vía @_odisseus.)

Relacionado:

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 12 de Junio de 2017

Dot laser printers color quartz

En Quartz, Computer printers have been quietly embedding tracking codes in documents for decades,

En 2004, cuando las impresoras láser color todavía eran una novedad, la revista PCWorld publicó un artículo titulado Government Uses Color Laser Printer Technology to Track Documents. Aquella fue una de las primeras referencias a una práctica silenciosa que se ha mantenido durante 20 años. Reveló que las impresoras en color imprimían en los documentos una codificación que contenía el número de serie de la impresora y la fecha y hora en la que se había impreso el documento. Los códigos estaban formados por puntos de menos de un milímetro de diámetro y en tono amarillo que, al imprimirse sobre papel blanco, no resultaban visibles a simple vista.

Dot laser printers color EFF

La esteganografía de impresora empezó a utilizarse como medida de seguridad ante la preocupación que esa tecnología causó entonces en los gobiernos habida cuenta de las posibilidades que ofrecía la impresión láser en color, por ejemplo, para imprimir papel moneda o reproducir documentos oficiales.

Tanto fue así que algunos gobiernos —según el artículo de Qartz que recoge el testimonio de Peter Crean, ex directivo de Xerox— incluso rechazaron la posibilidad de importar esas impresora si no incorporaban algún tipo de medida que les permitiese en un momento dado averiguar quién había impreso el qué y cuándo.

El asunto no es nuevo y tras el artículo de PCWorld la EFF descodificó esos códigos en 2005, como ya recogimos en Microsiervos en su día. Desde entonces la EFF ofrece un programa online que interpreta los códigos detectados en documentos y devuelve su significado (básicamente, número de serie y fecha y hora de la impresión) y un listado (actualizado a 2015) de impresoras láser color para informar de qué fabricantes usan o usaban entonces el código de puntos amarillos y cuáles no.

El tema resurge ahora a raíz de los puntos amarillos detectados en un informe de la NSA (National Security Agency) filtrado recientemente al medio The Intercept.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 18 de Mayo de 2017

Informe trend micro robots industriales

Ni las tres leyes de la robótica de Asimov, ni gaitas. Un informe titulado [en PDF] Rogue Robots publicado por la firma de seguridad Trend-Micro e investigadores de la Universidad Politécnica de Milán, avisa de los riesgos que supone que un ataque malicioso comprometa diferentes tipos de robots industriales. En todo el mundo habrá más de 2,5 millones de estos robots en los próximos tres años, según IEEE Spectrum.

Además del riesgo físico que esto puede suponer para los humanos que comparten espacio de trabajo con los robots —una posibilidad que ya se tiene en consideración y el motivo por el cual en muchos casos los robots industriales están confinados en espacios separados o en jaulas y disponen de botones de parada de emergencia— una modificación inapreciable en las tareas que realiza un robot industrial puede traducirse en “sutiles defectos en los bienes que producen”, explica David Schneider.

Las amenaza que supone un robot industrial hackeado va más allá de los problemas de seguridad y despierta preocupaciones relacionadas con el sabotaje industrial (...) Los fabricantes de bienes quedarían expuestos al chantaje —como en el reciente caso del ransomware WannaCry— con atacantes exigiendo bitcoins a cambio de revelar las partidas y lotes de productos como componentes de freno con defectos.

Además cada vez más robots industriales están diseñados para desarrollar su tarea en colaboración con trabajadores humanos, lo que “podría suponer un problema de seguridad si el software que los controla es intervenido.”

El riesgo a un ataque malicioso se ha visto incrementado por la tendencia a conectar los robots industriales a las redes corporativas y a internet, cuando hasta ahora estaban diseñados para operar como máquinas aisladas. Según el informe de Trend-Micro, “actualmente los robots industriales están conectados a redes de ordenadores principalmente para su programación remota y para que el fabricante pueda realizar actualizaciones de software (...) algunos modelos permiten la conexión remota desde el exterior a través de conexiones HTTP y desde aplicaciones móviles y algunos de ellos incluso proporcionan acceso sin restricciones con la autenticación deshabilitada.”

Aunque David Schneider duda de forma razonable si los autores del informe “no estarán siendo tal vez un poco alarmistas” admite al mismo tiempo la posibilidad de que sea él quien está “subestimando la predisposición de las personas a confiar en el software.”

Compartir en Flipboard  Compartir en Facebook  Tuitear