Por @Alvy — 13 de Marzo de 2019

Igual que existe la llamada internet de las cosas que adolece de unos cuantos problemas de seguridad, unos investigadores de la Universidad de Purdue están proponiendo preparar la seguridad para la «internet del cuerpo» antes de que se produzcan. En este vídeo el profesor Shreyas Sen cuenta cómo lo están haciendo.

Lo que plantean es utilizar el propio cuerpo humano como red local. Sería lo que denominan Red de Área Corpórea (frente a la tradicional WAN o Red de Área Inalámbrica). Las señales funcionarían mediante conductividad eléctrica, en lo que denominan una «distancia electro-cuasiestática» (una especie de «capa» con alcance a tan solo unos 15cm de la piel) frente a los 5 metros o más que alcanzan redes Bluetooth o Wi-Fi. La red corpórea no irradia las señales más allá de lo necesario para funcionar.

Tecnología de seguridad para crear una «internet del cuerpo» que sea imposible de «crackear» / Universidad de Purdue
Red de Área Corpórea vs. Red de Área Inalámbrica / Imagen: Universidad de Purdue

Gracias a esta red que abarcaría todo el cuerpo podrían conectarse dispositivos no sólo desde la cabeza a los dedos de los pies; también hasta el interior del cuerpo. Por ejemplo se podrían enviar señales desde un reloj de tipo smartwatch a (potencialmente) un marcapasos, algo extremadamente delicado como es lógico y que nadie querría que fuera crackeado indebidamente (como ya se ha demostrado que se puede hacer). Pero también podría servir para los sistemas de entrenamiento que cuentan pasos y miden otras constantes vitales (privadas); para las píldoras-cámara, los nanorrobots y cosas así.

Una tecnología interesante para proteger mediante criptografía fuerte sistemas que son extremadamente delicados y que sólo los médicos deberían poder «reprogramar», estando cerca del paciente, no algo que cualquiera que pase cerca al alcance del Bluetooth o tenga acceso al wifi porque alguien usó contraseñas débiles en plan 1234 pudiera crackear indebidamente.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 8 de Febrero de 2019

Quantum Terrorism: Collective Vulnerability of Global Quantum Systems

He aquí uno de esos trabajos inquietantes a la par que llamativamente futurista, porque tiene que ver con computación cuántica. Se refiere a ciertos métodos que los malos podrían usar hipotéticamente para desestabilizar las redes cuánticas «a prueba de hackers». La forma de hacerlo sería aprovechando cierto tipo de vulnerabilidades que se lograrían trabajando de forma coordinada para producir una «disrupción máxima» en el estado cuántico de los sistemas de una red de este tipo.

Estos ataques a la internet cuántica o a la Internet Cuántica de las Cosas serían prácticamente imposibles de detectar ya que no producen ningún cambio en los hamiltonianos ni pérdidas de pureza; tampoco requieren comunicación en tiempo real; y pueden empezar y terminar en un solo segundo. Podría incluso que estos ataques se vieran amplificados por el carácter estadístico de los grupos extremistas, los insurgentes y los terroristas modernos. Una medida correctiva podría consistir en integrar las futuras tecnologías cuánticas en redes redundantes.

El trabajo al completo puede leerse aquí; como puede esperarse es muy muy técnico: Quantum Terrorism: Collective Vulnerability of Global Quantum Systems.

(Vía MIT Technology Review.)

Relacionados:

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 6 de Febrero de 2019

Password Checkup

Esta es probablemente una de las mejoras más importantes en seguridad de los últimos tiempos para quienes no se preocupan mucho de esos temas pero se pasan el día en Internet. Lo que hace la Password Checkup (extensión gratuita para Google Chrome) es comprobar que las contraseñas que se introducen en diversos servicios de Internet no han visto comprometida su seguridad. Si alguien las hackeó en el pasado y se supo de esa brecha de seguridad, saltará una alerta avisando para que no se utilice o se cambie.

Independientemente de dónde inicies sesión, si introduces un nombre de usuario y una contraseña que ya no son seguros porque aparecen en una quiebra de seguridad de datos de la que Google tiene constancia, recibirás una alerta. Si eso ocurre, te rogamos que cambies la contraseña. Si utilizas el mismo nombre de usuario y la misma contraseña en otras cuentas, cambia la contraseña de esas cuentas también.

Aunque parezca que esto puede violar otras normas de seguridad o ser un poco inseguro porque haya contraseñas viajando de un sitio para otro en realidad no es así. Existen un montón de sitios fiables como Have I been Pwned? que se dedican precisamente a alertar sobre las contraseñas que se publican después de los «ataques» a sitios conocidos; basta poner allí el email (en otros se pone la contraseña, pero sin indicar la cuenta) y se hace la comprobación.

Password Checkup lo que hace es utilizar funciones hash para comparar los nombres de usuario y contraseñas con la información procedente de esos sitios, de modo que no «conoce» los valores originales, pero las comparaciones se pueden considerar tan válidas como seguras.

Password Checkup
Así funciona Password Checkup (zoom para ampliar)

El resultado es que todos los nombres de usuario y contraseñas, tanto las tuyas como las que fueron hackeadas en el pasado, viajan cifradas por la red. Pero si hay una coincidencia salta la alerta: «¡Ey, esto es inseguro!, ya lo crackearon hace tiempo!» y se pueden tomar las medidas oportunas; básicamente: cambiar la contraseña.

Relacionado:

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 16 de Noviembre de 2018

Muchas veces conseguir cosas es tan fácil como pedirlas con educación. Por eso es muy instructivo –y a la vez divertido– escuchar de boca del propio Kevin Mitnick, uno de los hackers más famosos de todos los tiempos, cómo usó la ingeniería social para hacerse con el código fuente del Motorola MicroTAC que era «como el iPhone X de la época». Estamos remontándonos a 1992 y todo era un poco diferente.

Siendo entonces un fugitivo de la justicia –había sido atraído un poco por el Lado Oscuro– Mitnick llamó directamente al servicio de información telefónica para pedir el número de las oficinas de Motorola. Pidió amablemente que le pasaran con el jefe de producto del MicroTAC.

La burocracia de las grandes empresas es como es, de modo que esa llamada le hizo saltar por siete u ocho personas intermedias, mientras aprendía qué departamentos había y algo sobre cómo trabajaban, hasta que llegó a un vicepresidente de la compañía, quien le dio el nombre y extensión de la jefa de producto en cuestión. Casualmente estaba de vacaciones pero había dejado el nombre de otra compañera de trabajo en el mensaje grabado, así que con mucha paciencia Mitnick siguió llamando hasta que logró hablar con ella para pedirle el código. «¿Qué versión quieres?» le dijo. «La última y la mejor» fue su respuesta.

Como en toda buena historia, nuestro héroe está a punto de fracasar en tan rocambolesco camino. Pero el hecho de que hubiera cientos de directorios con cientos de ficheros no fue un impedimento (enseñó a su interlocutora a usar TAR para comprimirlo todo en un archivo de 5 MB). Ni tampoco que el FTP donde le pidió que lo subiera estuviera fuera de la red de Motorola y no funcionara: la buena mujer se levantó para hablar con el responsable de seguridad y volvió con su nombre de usuario y contraseña para dárselo a Mitnick. Desde ese momento todo fue mucho más fácil.

Como es bien sabido el protagonista de esta historia acabó pasando una temporadita a la sombra, no exactamente por esto (el código resultó no ser gran cosa) sino por otros asuntos similares anteriores, que lo llevaron a un controvertido juicio con el FBI en su contra.

Tras esto Mitnick se convirtió en un hacker redimido y actualmente trabaja como consultor de seguridad para un montón empresas y suele dar conferencias por todo el mundo. En su twitter aparecen siempre cosas interesantes: @KevinMitnick.

Bonus: mi vídeo de ingeniería social favorito, Jessica Clark haciendo de madre agobiada mientras roba una cuenta de la compañía telefónica y cambia la contraseña de su supuesto «novio». Oro puro que merece estudiar detalle a detalle.

(Vía Motherboard.)

Compartir en Flipboard  Compartir en Facebook  Tuitear