Por @Alvy — 18 de Junio de 2018

Encontré este vídeo CHM Tech que explica cómo se calcula cuántos patrones de bloqueo diferentes existen para los teléfonos Android, teniendo en cuenta que las reglas más habituales, que son las siguientes:

  • El número mínimo de números que hay que conectar es 4.
  • Todos los números que se conectan deben ser distintos.
  • Si al trazar una línea se pasa sobre un número intermedio, ese punto debe haber sido ya conectado anteriormente.

Según parece el dato apareció por primera vez en el trabajo Smudge Attacks on Smartphone Touch Screens (Ataque mediante análisis de las manchas en las pantallas de teléfonos inteligentes) donde se analizaba la forma un tanto rústica –pero muy efectiva– de desbloquear un móvil simplemente mirando la pantalla al contraluz para atisbar el dibujo del patrón.

Naturalmente la gente no es muy original con sus dibujos de patrones y formas como las letras L, O, N, S y similares son las que se usan habitualmente – el equivalente de usar 1234 como PIN numérico. La investigadora Marte Løge explicó en una conferencia que el 44% de la gente empieza por el 1 (arriba a la izquierda) y la es muy habitual dibujar la letra inicial del nombre propio.

Los cálculos para llegar al número exacto de 389.112 patrones han de tener todas las reglas en cuenta, pero se puede empezar por los grandes números: cuántas combinaciones hay de 4, 5, 6, etc. números sin repetición, todas ellas sumadas. Pero luego hay que eliminar las que no cumplen la tercera regla. Así por ejemplo una secuencia que empiece conectando los números 1236… es válida, pero 1326… es imposible porque no se puede pasar del 1 al 3 –que están en línea recta– sin pasar por el 2. En cambio 4753691… sería válido: de 9 a 1 se pasa por el 5 ya se había pasado previamente por él.

Quienes tengan paciencia pueden ver este vídeo de 12 horas donde se muestran esas 389.112 combinaciones, una por una; los dígitos están numerados del 0 al 8 en vez del 1 al 9 que es lo habitual.

La mayor parte de los teléfonos y tarjetas permiten PINs de 4 dígitos (10.000 combinaciones posibles) pero desde hace tiempo se permiten y recomiendan 6 dígitos (1.000.000 de combinaciones) o incluso más. Se puede decir que un PIN de 6 dígitos bien elegido es más seguro que el dibujo de un patrón – al menos frente a un ataque «por fuerza bruta».

¿Es pues más seguro usar un PIN, un patrón, la huella dactilar o el reconocimiento facial para bloquear el móvil? De momento parece que el PIN sigue ganando, pues el reconocimiento de huellas y rostros tiene sus propios problemas todavía (falsos positivos y falsos negativos) e incluso Google reconoce que no están todavía al mismo nivel de seguridad que un buen PIN.

Relacionado:

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 13 de Junio de 2018

Los trabajos académicos sobre seguridad informática más influyentes de la historia

Esta lista de los Trabajos más influyentes sobre seguridad informática es una recopilación de lo mejor de lo mejor. Recopila los trabajos más citados en las nueve principales conferencias anuales sobre seguridad informática durante las últimas décadas.

Cada trabajo concreto se ha citado en diversas ocasiones en otros trabajos, y esa lista de citas marca su «influencia» – un poco al estilo PageRank. Como los valores absolutos en «número de citas» varían bastante de un año a otro para el cálculo se normalizan sobre el promedio, de modo que el trabajo #1 es quizá está un 3280% «por encima del promedio de ese año», etcétera.

Este sería el Top #3:

El más influyente es el que describe el modelo de oráculo aleatorio para mostrar la dificultad de «romper códigos» criptográficos. Este vídeo de Udacity explica qué son y cómo funcionan estos curiosos «oráculos» que no pueden existir pero que asumiendo su existencia permiten en la práctica construir sistemas criptográficos (como las funciones hash/resumen) cuya «perfección» es tal que son casi indistinguibles de la «distribución aleatoria perfecta» que se les supone. (El vídeo tiene dos partes, busca la segunda cuando acabe)

Existe una lista similar más específica sobre trabajos criptográficos, en este caso procedentes de seis conferencias. Aquí el Top #3:

También se puede consultar el Top 100 sobre criptografía.

(Vía Boing Boing.)

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 23 de Mayo de 2018

No es que Rekognition sea precisamente «una novedad» ni nada de eso (data de 2016), pero el sistema de análisis de videos e imágenes basado en aprendizaje profundo de Amazon está siendo noticia estos días porque según cuentan lo está «vendiendo activamente» a fuerzas policiales. Y esto a grupos de activistas como la ACLU no les gusta nada de nada.

Según Amazon,

Amazon Rekognition facilita la incorporación del análisis de imágenes y videos a sus aplicaciones. Usted tan solo debe suministrar una imagen o video a la API de Rekognition y el servicio identificará objetos, personas, texto, escenas y actividades, además de detectar contenido inapropiado. Amazon Rekognition también ofrece reconocimiento y análisis facial con un alto nivel de precisión. Puede detectar, analizar y comparar rostros para una amplia variedad de casos de uso de verificación de usuarios, catalogación, conteo de personas y seguridad pública.

Según la ACLU,

(…) por ejemplo la policía de Washington y Orlando son clientes de Rekognition desde 2017. Han recopilado bases de datos con 300.000 fotos policiales y han alimentado con ellas el software de Amazon. Incluso han desarrollado una app para comparar en plan rápido la cara de un sospechoso obtenida en cualquier lugar con las de la base de datos (…) La gente debería ser libre de caminar por la calle sin que el gobierno les esté mirando. Al automatizar esta forma de vigilancia masiva los sistemas de reconocimiento facial como Rekognition amenazan estas libertades, en especial para las comunidades más injustamente tratadas por el clima político actual. Una vez que se construyen y despliegan estos sistemas el daño ya está hecho y es muy difícil retirarlos.

Por otro lado Rekognition es una de las muchas APIs que hay en el mercado que hacen básicamente lo mismo, solo que superpotenciado con el poderío de Amazon y sus servicios web – lo cual a mucha gente le da un poco de yuyu y repelús. Y recuerda a sitios como China, donde ha habido demostraciones de poderío –aunque no precisamente fiables– como encontrar el rostro de un sospechoso perseguido por la policía en un concierto. Gran Hermano (el de Orwell, ¿eh?) y todo eso.

Amazon, al igual que Google o Apple tienen más datos en bruto y probablemente más potencia técnica y dispositivos con los que mejorarlo, finar y hacer precisos estos análisis que otras compañías. Pensemos en los Amazon Echo y otros dispositivos con Alexa como asistente en todos los hogares. Miedito puede dar.

Pero por otro lado, también nos maravillamos cuando nos hablan de robots que reconocen nuestras emociones a simple vista, sistemas de seguridad para los coches que saben si estamos nerviosos o nos dormimos o vehículos que conducen solos porque distinguen a las personas de las farolas.

Es un poco el «eterno dilema» de estas tecnologías. Por otro lado es un poco absurdo que se pudiera vender Rekognition a particulares y empresas pero no a las fuerzas del orden y la seguridad – ya hemos vistos casos parecidos como el de los Stingray y similares. Al final todo el mundo sabe que cualquier chisme de estos acabará llegando tarde o temprano a quien más jugo le vaya a poder sacar, sea legal o no.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 22 de Mayo de 2018

Harris stingray

Ayer comentamos en el podcast de Los Crononautas #S02E25 un asunto tecnológico de «espías»: el de las decenas de rastreadores de teléfonos móviles que se han encontrado (o más bien «confirmado») en las calles de Washington D.C. Puede escucharse como siempre a través de iVoox, de iTunes o directamente con el reproductor web, como de costumbre.


Rastreadores de teléfonos móviles a partir de 62:00

El caso es que un reciente reportaje de la NBC ha explicado muy gráficamente cómo un investigador ha detectado hasta 40 dispositivos de localización y rastreo de teléfonos móviles mediante lo que se conoce como «simuladores de antenas de telefonía». Estos dispositivos se hacen pasar por antenas de las empresas de telecomunicaciones y cuando los teléfonos móviles de las «personas de interés» a las que se está «investigando» pasan cerca acaban revelando su posición aproximada mediante triangulación.

Estas «cajas» se conocen como Stingray y existen en «relativa oscuridad» desde la década pasada. Los fabrica una empresa llamada Harris Corporation. Son altamente controvertidos porque la policía y otros cuerpos de seguridad los utilizan a veces sin pasar por la preceptiva orden judicial.

Gracias a las películas y series de televisión cualquiera sabe que hoy en día cualquier teléfono se puede triangular, pero para crear esos «triángulos» se necesitan los vértices, que suelen ser las torres o antenas de telefonía desplegadas por la ciudad. Así que normalmente sólo pueden hacerlo las compañías telefónicas. El proceso normal consiste en pedir una orden al juez, quien hace llegar la petición a las operadoras y a su vez facilitan esa información a la policía.

Harris stingray

Pero con suficientes dispositivos Stingray –relativamente baratos– se pueden cubrir fácilmente amplias zonas de una ciudad o incluso transportarlos en coches. Emiten una señal falsa más potente que la de una antena convencional, haciéndose pasar por las compañías telefónicas, de modo que muchos teléfonos intentan conectarse con ellos – aunque cuando no lo logran prosiguen con la antena convencional que más cerca encuentren.

Pero ahí queda el registro, junto con la posición física exacta del Stingray en ese momento. Los 40 dispositivos encontrados en Washington estaban cerca de embajadas (sobre todo la de Rusia) y zonas habituales de reuniones, por ejemplo los despachos de los lobistas, la Casa Blanca y similares.

Para utilizar estos dispositivos previamente hay que averiguar el IMSI (Identidad Internacional del Abonado a un Móvil) que es un número único para cada tarjeta SIM que existe. No es difícil seguir físicamente a una persona, por ejemplo en coche, y comparar los números que «reciben» los Stingrays con los movimientos de la persona. Una vez se tiene el dato como seguro basta ir viendo cómo se desplaza por el mapa, convenientemente triangulado según la potencia con la que se conecta a cada antena.

Algunos Stingray pueden incluso interceptar mensajes SMS y llamadas en las redes de telefonía antiguas (GMS), algo que con las nuevas 3G/4G ya no es tan fácil. También podían usarse un tanto toscamente para bloquear llamadas, por ejemplo impidiendo llamar a los números de servicios de emergencia. Todo esto se sabe desde que salieron a la luz los manuales de estos gadgets espía.

La EFF siempre ha considerado que el uso de los Stingray vulnera los derechos de los ciudadanos en Estados Unidos – más que nada porque se hace sin orden judicial. Tan sólo se ha sabido de su uso generalizado –a veces incluso para temas nimios– tras muchas investigaciones y peticiones oficiales de información por parte de abogados y también de jueces. Según parece, además de Estados Unidos, Reino Unido y China su uso se ha ido extendiendo en los últimos años a otros países – incluyendo Alemania, Francia y ¡tachán! también España.

(Vía Boing Boing.)

Compartir en Flipboard  Compartir en Facebook  Tuitear