Por @Alvy — 17 de Julio de 2016

El mapa global de de ciberamenazas en tiempo real / kaspersky

La gente de Kaspersky, especialistas en seguridad informática, hospeda este curioso Mapa de ciberamenazas que es tan bonito como espectacular. Se puede abrir con el navegador, ampliar y manejar dándole vueltas con el ratón y haciendo clics en las diversas opciones e iconos.

El mapa muestra puntos de diversos tamaños (más amenazas = más grande) y trazas de saltos de un lugar a otro – todo muy ciber al estilo Tron. Si lo dejas un rato abierto incluso empieza a sobrevolar las «rutas de los ataques» de forma bastante vistosa y de película. Hasta te lo puedes descargar como salvapantallas – ideal para flipar al jefe.

Los diferentes colores se muestran en la leyenda y corresponden con diversos tipos de ataques (se explican en el apartado Data Sources) que se detecta con el software Kaspersky que la gente ha comprado e instalado en sus máquinas. Básicamente son estadísticas recogidas acerca de virus, malware e intrusiones en todas partes del mundo. Se calculan los totales y se guardan las direcciones IP de los equipos, que tras una sencilla geolocalización se corresponden con un punto del mapa. También hay información sobre la detección de virus por correo, intrusiones en redes, vulnerabilidades de software y todo tipo de malware en páginas web o el software o ficheros que a los que los usuarios acceden continuamente.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 7 de Julio de 2016

Relojes relojes para todos

En IEEE Spectrum, Your Smart Watch Can Steal Your ATM PIN,

Si utilizas un smartwatch deberías ser precavido —explica el experto en seguridad Yan Wang. Los wearables pueden conocer y enviar el PIN de tu tarjeta de crédito entre otras muchas cosas (...) gracias a los sensores de movimiento que miden la aceleración, orientación y dirección de los dispositivos que se llevan en la muñeca un equipo de investigadores fue capaz de obtener los PIN de tarjetas de crédito con entre un 80 y 90 por ciento de aciertos.

Aplicando un algoritmo bautizado como Backward PIN-sequence Inference Algorithm el equipo de investigadores del instituto Hoboken de tecnología, en Nueva Jersey, procesó los valores medidos por los sensores de movimiento que se encuentran en relojes y pulseras, caso de LG W150 o el Moto360, dos de los dispositivos utilizados.

Dado que los sensores «registran los movimientos de la mano al milímetro» el equipo tuvo que procesar los movimientos «hacia atrás», desde el momento en el que se conoce qué posición ocupa la mano respecto al teclado, el instante en el cual el usuario termina de teclear la clave y «aceptar». De ahí el nombre del algoritmo.

Desde esa posición se reconstruyen los movimientos de la mano y por tanto su posición respecto al teclado. Basta con que el usuario use tres veces la tarjeta (que escriba tres veces el PIN) para obtener una clave que, con una alta probabilidad, será correcta.

«Se puede camuflar el verdadero PIN haciendo movimientos aleatorios con la mano entre tecla y tecla —explica Wang—, puede resultar raro pero funciona.»

También puedes teclear la clave con la otra mano en la que no llevas smartwatch ni pulsera.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 29 de Junio de 2016

Ataque malware ventiladores

En Motherboard, Researchers Make Malware That Steals Data by Spinning Your Computer's Fans,

Investigadores de la universidad Ben Gurion de Israel describen un ataque informático dirigido contra ordenadores aislados que normalmente no resultan accesibles ni tienen conexión (...) el método aplicado por los investigadores israelíes describe cómo controlar y escuchar la velocidad de giro de los ventiladores del ordenador y utilizarlos para transmitir información desde éste a otro dispositivo próximo.

Para que el método funcione primero hay que conseguir infectar el ordenador que se desea atacar, mediante algún tipo de software maligno, malware. Una vez instalado el software se las apaña para convertir el ventilador del ordenador en una espacie de «transmisor de código morse».

Variando la velocidad de funcionamiento del ventilador o encendiéndolo y apagándolo, éste produce producen ondas acústicas que se transmiten por el aire y que llegan a otro ordenador o dispositivo móvil situado más o menos cerca; ese ordenador que está en escucha las recibe y descifra el contenido transmitido,

Por supuesto, la velocidad de transferencia es muy lenta, del orden de los 900 bits por hora manteniendo el dispositivo de escucha a una distancia de 8 metros. Si bien no es una velocidad adecuada para descargar el último disco de Taylor Swift, es suficiente para robar contraseñas y llaves de cifrado.

Irónicamente, el método aprovecha el mismo aire que «aísla» a un ordenador «air-gapped». La buena noticia es que cada más ordenadores, portátiles sobre todo, prescinden del ventilador.

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 8 de Junio de 2016

Electronic voting in Brussels

El voto electrónico es uno de esos animales mitológicos que se suelen usar como ejemplo de un futuro mejor porque «suena bien» pero sobre el que casi todos los expertos te dirán ¡No! ¡Eso es lo único que no debería ser electrónico! Lo explican en un artículo de Futurity: Why online voting would be a «complete disaster»:

Los son chismes muy complicados y no hay forma razonable ni cantidad de recursos suficientes como para garantizar que el software y el hardware están libres de bugs y que no puedan sufrir un «ataque maligno». Los problemas y la complejidad aumenta más rápido que los métodos para evitarlos. La perspectiva de un sistema de voto electrónico basado en que «los ordenadores son perfectos» es realmente una mala idea.

En la práctica los sistemas de voto electrónico están bien para casi cualquier consulta (votos en redes sociales, encuestas e incluso para cuestiones medio serias como contabilizar de votos en organizaciones cerradas) siempre que se sigan unos protocolos de seguridad razonables y se apliquen ciertas garantías, revisiones y auditorías en caso de que se trate de algo realmente necesario e importante.

Hay que recordar, además, que los sistemas de voto para lo que serían unas «elecciones generales» varían una barbaridad de unos países a otros: en algunos es obligatorio votar, en otros no. En otros se vota con papeletas en urnas transparentes, en otros en cajas de cartón. En algunos lugares hay que votar con máquinas especiales (mecánicas o táctiles, que generan un voto en papel) y en otros ya se han dado casos en los que solo se podía votar de forma electrónica, bien desde casa, bien en las sedes electorales.

Pero el voto definitivo, ese que elige los representantes de todo un país durante años y que da acceso a presupuestos de miles de millones para el bien común, a decisiones de vida o muerte, a cuestiones que afectan a derechos fundamentales es demasiado valioso como para dejarlo en manos de máquinas con bugs, gente con intereses y poderío económico suficiente como para amañar un resultado o pirados y bromistas con ganas de fastidiar. O simplemente en manos de un gobierno que pueda manipularlos.

Esencialmente el voto electrónico es un problema de seguridad muy complejo. La cita es de Bruce Schneier, que «desayuna problemas criptográficos», así que convendría hacerle caso tanto a él como a Richard Stallman, el gurú del software libre:

Creo que el voto electrónico es peligroso y que ese peligro no puede evitarse ni siquiera usando software libre.

El peligro es que alguien manipule el software para hacer trampas con los votos. No se puede evitar esto ni siquiera estudiando el código fuente del programa que se va a utilizar durante las elecciones, porque el programa que se esté ejecutando en ese momento podría ser diferente al que te han enseñado antes. Alguien podría reemplazar el original por otro que manipule los votos y restaurarlo al acabar; nadie se percataría de que esto ha sucedido. No habría forma de hacer un recuento.

Así que estoy entre los que opinan que debería haber votos en papel de modo que sea posible un recuento manual.

Este ejemplo es uno de los casos en los que el hecho de que alguien diga que «esto corre con software libre, no se puede manipular» no lo hace necesariamente más seguro. La razón es la que explica Stallman: si corre en un servidor al que no se tiene acceso es imposible en la práctica comprobar que en el preciso instante en que se vota eso que se está ejecutando es lo que se ha podido analizar previamente.

{Foto: Electronic voting in Brussels (CC) Parlamento Europeo @ Flickr}

Compartir en Flipboard  Compartir en Facebook  Tuitear