Facebook forzado a mejorar la privacidad

29 05 2010

Facebook despide en estos momentos un olor similar al de Microsoft a mediados de los 90, cuando se enfrentaba a un proceso por prácticas monopolísticas, y al de Google desde hace un tiempo, por su escaso respeto a la intimidad y su potencial para subvertir modelos de negocio. La tormenta sobre la red social más poblada del planeta tiene también que ver con la privacidad, pero hay algo que distingue a Facebook de otros gigantes tecnológicos de halo amenazante: la relación emocional con sus miembros. Allí, en esa segunda vida virtual, los internautas ríen y lloran, explican qué están haciendo o pensando, muestran fotos de familiares y amigos. Y eso es lo que explica que su fundador haya mandado parar.
Primero fue un mensaje del pasado domingo en un blog especializado. «Hemos cometido un puñado de errores», reconoció Mark Zuckerberg, quien hace seis años creó la red para sus compañeros de la universidad de Harvard y ahora está cerca de gestionar los datos personales –incluidas 48.000 millones de imágenes, el mayor archivo fotográfico del mundo– de 500 millones de personas. Y ayer, en un artículo en The Washington Post, Zuckerberg
–cuyo perfil en la red informa de que le gusta el «minimalismo», las «revoluciones», «crear cosas» y «romper cosas»– anunció que «en las próximas semanas» simplificará los filtros de privacidad. Solo han pasado cuatro meses y medio desde que el empresario proclamase que la era de la intimidad había acabado y que el rol de su compañía era reflejar las actuales normas sociales. El encargado de precisar el nuevo orden, por supuesto, era el propio Zuckerberg.

Hay que remontarse hasta diciembre del pasado año para entender qué ha ocurrido. Facebook transformó entonces su política de privacidad, convirtiendo la mayor parte de los datos que los miembros cuelgan en sus perfiles –las ciudades en las que viven, sus nombres, sus fotos, los nombres de sus amigos, sus gustos musicales y cinematográficos, sus intereses o las causas que defienden– en públicos por defecto. Los usuarios pueden convertirlos en privados, pero para eso necesitan (habrá que ver en qué consiste la simplificación anunciada por Zuckerberg) casi una licenciatura en informática: el menú para el cambio de estatus llega a ofrecer hasta 150 opciones distintas.
El motín, en múltiples frentes, comenzó a principios de año. Las búsquedas en Google sobre cómo borrarse de Facebook se han duplicado en lo que va de curso respecto al mismo periodo del 2009. Hay senadores estadounidenses que han pedido a su Gobierno que intervenga, importando una polémica vivida en Europa y Canadá. Hay gurús tecnológicos que han dicho que ya no quieren saber nada de la red social. Hay campañas que piden a los usuarios que el 31 de mayo se borren de Facebook. Y hay, por último, un inminente largometraje –The social network, producido por Kevin Spacey– en el que Zuckerberg aparece como un tipo acomplejado que creó su empresa, plagiando ideas de otros compañeros de Harvard, después de que lo dejase su novia. Aún no hay nada capaz de destruir tantas reputaciones como una película.

Y el fundador de la red ha entonado el mea culpa, sí, pero sin pedir disculpas. Zuckerberg, de 26 años, usa un tono casi paternalista para contar por qué todos deben tener un asiento de primera fila desde el que escrutar los gustos y los amigos de los demás. «La gente quiere compartir más –escribe en The Washington Post–. Si comparten más, el mundo será más abierto y mejor conectado. Y un mundo más abierto y mejor conectado es un mundo mejor».

Anuncios




¿Por qué existen redes WiFi inseguras?

2 05 2010

Hace ya una año, nuestro compañero Alekusu se fue a visitar México a presentar en un congreso un artículo titulado “Living in the Jungle”. Este artículo recoge una parte del trabajo que habíamos estado realizando para crear una métrica de seguridad en redes inalámbricas y que terminó por se implementado en Mummy, una herramienta que os hemos enseñado en alguna conferencia. Tenéis publicada una versión en castellano del mismo en MundoInternet: Viviendo en la Jungla.

La base de ese artículo es medir el grado de inseguridad que tiene un usuario legítimo de una red WiFi conectado a una red WiFi insegura. Es decir, el típico usuario que llega a un hotel y le dan una conexión a una WiFi que está con WEP o con WPA2 con una buena password pero con cantidad de malos vecinos.

En una parte de ese artículo escribimos sobre el motivo de la existencia de las redes WiFi inseguras y recogimos varios motivos como la compatibilidad hacia atrás, los costes que suponen las migraciones o la falta de conocimientos técnicos. Todo muy bien, pero creo que esta viñeta del Gran Dilbert lo recoge mucho mejor que nadie:


Viñeta 1: ¡Buenas noticias! Ganamos la oferta para construir una red inalámbrica a nivel nacional.

Viñeta 2: ¡Malas noticias! No sabemos como construir una red inalámbrica a nivel nacional.

Viñeta 3: Es sin cables. ¿Cuánto dificil puede ser no instalar cables?





Navegadores: Una cuenta de seguridad

24 04 2010

El experto en seguridad Chema Alonso publicó la Comparativa de seguridad de navegadores en sistemas Windows, un documento donde se han mirado muchos aspectos de la seguridad de los navegadores. Sí, muchos ya habéis oido hablar de ellos y de otros he hablado ya en su blog Un informático en el lado del mal, pero ayer actualizron el conteo de vulnerabilidades que hicimos, y estos son los resultados. El documento está disponible en la web de Informática64 en la siguiente URL: Comparativa de seguridad de navegadores en entornos Windows.

Periodo y versiones de estudio

Hacer una comparativa de vulnerabilidades de navegadores es dificil cuando Firefox no da soporte más atrás de la versión 3.5 y esta es del 30 de Julio de 2009 mientras que Internet Explorer 8 ha cumplido ya un año. La cosa se complica cuando tenemos a Google que con Chrome, de vivir en la beta perenne de Gmail, ha pasado a tener una versión final cada 4 meses. Así que tuvimos que hacer un cálculo de compromiso y luego prorratearlo por meses para hacernos una idea de las vulnerabilidades medias. Así, se han contado las vulnerabilidades de:

– Internet Explorer 8: 12 meses
– Chrome 2, 3 y 4: 10 meses
– Firefox >= 3.5: 9 meses
– Opera >=9.6: 14 meses
– Apple Safari 4.0: 9 meses

A unos les parecerá bien, a otros les parecerá mal, pero este documento no pretende nada más que ilustrar un poco que ha pasado en ese tiempo.

Vulnerabilidades

En primer lugar se han contado las vulnerabilidades que han tenido en esas versiones en ese periodo de tiempo.


Gráfico 1: Número total de vulnerabilidades contadas
Este resultado, prorrateándolo entre el número de meses nos deja un valor mensual de:


Gráfico 2: Vulnerabilidades media por mes
Estos datos dan una imagen de los parches que pueden ser esperados cada mes de cada uno de los navegadores, nada más.

Modificadores

Por supuesto, el número de vulnerabilidades no es el factor determinante, hay muchas otras características que mirar, como su grado de criticidad, su estado de parcheo, etc… Además, hay que tener en cuenta, que no todos los navegadores despiertan el mismo grado de interés dentro de la comunidad de investigación donde Opera, por ejemplo, está un poco olvidado. Por supuesto, las vulnerabilidades en navegadores más utilizados son las más deseadas por las mafias para la distribución de malware. La cuota de mercado por familias, comprobada ayer, dejaba estos resultados:


Gráfico 3: Cuota de mercado de uso por familias
Como se puede apreciar, tanto Firefox con Internet Explorer, son los más apetecibles hoy en día para la industria del malware.

Otro factor, que no hemos querido tocar, es la curva de descubrimiento de vulnerabilidades a lo largo de la historia. Según un varia la antigüedad de un producto varía su grado de descubrimiento de vulnerabilidades. Todos estos aspectos no se han evaluado, porque el objetivo no es sacar un valor que responda a todas las preguntas del universo, sino traer un poco de luz al asunto.

Niveles de Criticidad

Para tomar estas medidas se ha optado por utilizar el sistema de medición y la terminología de Secunia. Y este es el gráfico por niveles SIN prorratear por meses.


Gráfico 4: Niveles de criticidad
Como se puede ver Internet Explorer 8 tiene 7 vulnerabilidades marcadas como Extremly Critical. Sin embargo, este resultado merece una explicación.

La única diferencia entre una vulnerabilidad Highly Critical y una Extremly Critical es que de la Highly Critical se sabe a ciencia cierta que existe un exploit público que se ha utilizado antes de que exista el parche. Sin embargo, estructuralmente, las vulnerabilidades Highly Critical y Extemly Critical son iguales.

En segundo lugar, en la cuenta sale perjudicado el sistema de publicación acumalado, tal y como hace Internet Explorer – y Firefox en Marzo – en el que salen varias vulnerabilidades juntas en un mismo advisory. Esto implica que el nivel de criticidad de todas las vulnerabilidades fuera el del advirosy, y éste tiene el de la vulnerabilidad de mayor criticidad.

En la mayoría de los estudios en los que se evalúan las prácticas de desrrollo las vulnerabilidades Highly Critical y Extremly Critical, al ser identicas y depender su diferencia sólo de factores externos, estas se unifican, pero nosotros hemos querido dejarlas separadas.

La presentación

Las diapositivas recogen los otros apartados evaluados en el paper dentro de las opciones de seguridad del navegador y están recogidos en la siguiente presentación.





Unos intrusos torpedearon el sistema de claves de Google en diciembre

24 04 2010

Los autores del ciberataque del pasado diciembre contra el sistema de la compañía Google obtuvieron información de las claves de acceso de millones de usuarios, incluidos los correos electrónicos y aplicaciones empresariales, informa The New York Times.

El programa, con el nombre en clave Gaia, el de la diosa Tierra en la mitología griega, agrega el diario, recibió un ciberataque durante dos días.

Aparentemente, los “intrusos”, como así los define el periódico, no habrían robado claves personales de los usuarios del servicio de correo electrónico de Google (Gmail), aunque el gigante de internet inició entonces rápidos cambios en la seguridad de sus redes.

Para el diario, estos detalles aumentan el debate sobre la seguridad y la privacidad de los grandes sistemas y servicios como Google, que centralizan información digital de millones de personas y empresas.

The New York Times recuerda la vulnerabilidad de lo que popularmente se describe como “la nube”, el grupo de ordenadores que alojan cantidad ingente de información, y señala que una sola ruptura de sus códigos o de su seguridad puede tener consecuencias devastadoras.

El robo ocurrió con un mensaje enviado a un empleado de Google en China que empleaba el programa Messenger de Microsoft, según la fuente que exigió el anonimato.

Al acceder a un enlace “envenenado” de una página web, el empleado permitió involuntariamente que los “intrusos” accedieran a su ordenador personal y luego a un grupo de computadoras de un grupo altamente cualificado en su sede central de Mountain View (California).

Tras la ciberintrusión la empresa anunció el pasado 12 de diciembre que modificaba su política en China por los ataques a la propiedad industrial y los riesgos de las cuentas personales de dos defensores de los derechos humanos en China.

El anunció desató tensiones entre Pekín y Washington, que tuvieron como consecuencia que Google decidiera mover sus operaciones en China a la Región Administrativa Especial de Hong Kong.

Fuente: El Periódico de Catalunya.





Explicando el AES (Advanced Encryption Standard)

14 02 2010

Usando el estilo de monigotes de xcdc, el autor (Jeff Moser)  muestra la evolución hacia el AES o Rijndael y luego incluso explica bastante bien detallado  el funcionamiento del algoritmo de encriptación, en teoría, más seguro a día de hoy.

 También puedes acceder al código fuente aquí.

 En este enlace hay una animación Flash en Castellano explicando también el funcionamiento.

 Y para ver toda la explicación completa:

 Moserware





Seguridad Web

17 01 2010

La empresa Cenzic ha elaborado un completo informe detallando las amenazas y los números relacionados con la seguridad Web en 2009. Puedes descargar todo el documento en PDF desde aquí.

Voy a intentar hacer un pequeño resúmen con lo más interesante de este fantástico artículo de Smashing Magazine. Voy a mantener en inglés el nombre de los ataques para evitar confusiones, ya que es su terminología habitual.

Lo primero es saber que significa URI: Uniform Resource Identifier. Es la forma en la que introduces la ruta de un fichero en una URL en tu navegador, por ejemplo: 

http://farm4.static.flickr.com/3172/3041842192_5b51468648.jpg

 Todas estas rutas son potencialmente accesibles, aunque algunas se bloquean para que no puedas acceder. Cada URI puede tener también parámetros, que son instrucciones que puedes enviar al script localizado en la URI colocando un símbolo de ? y separados por &.  Por ejemplo, si quieres buscar en Google “cachorros” puedes usar la siguiente URI:

http://www.google.com/search?q=cachorros

Y siquieres que busque por ejemplo a partir de los primeros 50 resultados:

http://www.google.com/search?q=cachorros&start=50

Mirando el código fuente de las páginas web puedes encontrar información sobre los parámetros que puedes insertar en estas URIs. Tienes que tener especial cuidado con tu página web y con estos parámetros que se pueden ejecutar.

Tipos de ataques:

SQL Injection: un atacante accede a tu base de datos enviando unos comandos SQL a tu servidor vía URI o un formulario. Uno de los que más sabe sobre este tema es Chema Alonso, aquí puedes ver una charla en la Defcon sobre este tipo de ataque.

Cross-Site Scripting (XSS): posiblemente este sea el más común de todos. Un atacante inyecta código Javascript dentro de tus documentos web (código) añadiendose al final de la URI como si fuera un parámetro o un formulario. En el artículo original puedes ver un ejemplo práctico de este tipo de ataques. En la web XSSED.org puedes ver un  listado de las webs vulnerables a este tipo de ataque.

Path Traversal: permitir path o directory traversal en tu servidor es realmente una mala idea. Si no asignas bien los permisos de acceso a toda la estructura de tu página web, un usuario podría acceder y navegar por todas las carpetas. Un ejemplo práctico en el artículo original.

Cross-Site Request Forgery (CSRF): es un exploit que permite acceder a ciertas funcionalidades sin comprobar ni saber qué usuario la ha iniciado. Aquí tienes un completo FAQ sobre este tipo de ataque.

Remote File Inclusion (RFI): un atacante se aprovecha de un fallo en tu web para inyectar código desde otro servidor para ejecutarlo en el tuyo. Es parecido al XSS pero más problemático porque tienes acceso completo a tu servidor por lo que cualquier código inyectado podría ejecutar comandos del servidor, bajar y subir ficheros, ver las contraseñas, etc …

Phishing: es una técnica para engañar a un usuario para que introduzca datos en un sitio web falso que aparenta ser seguro. El más usado es el típico correo que parece un banco solicitando tus datos de acceso al mismo.

ClickJacking:  es una forma de usar CSS y frames para engañar de nuevo a los usuarios para que hagan click sin saber que lo están haciendo. Uno de los más famosos ha sido el “dont click me” de Twitter.

Todo el documento con más información y consejos en:

Smashing magazine.

Visto en Cyberhades.





El FBI investiga un ataque cibernético contra Citibank y sus clientes, según ‘The Wall Street Journal’

28 12 2009

El FBI investiga un ataque contra el sistema de seguridad informático de Citibank en el que supuestamente fueron robados decenas de millones de dólares y tras el que parecen estar grupos criminales rusos, según publica hoy el diario The Wall Street Journal.

El periódico cita a funcionarios gubernamentales familiarizados con la investigación, pero el banco niega la veracidad de dichas alegaciones. “Las alegaciones de una violación en los sistemas de Citi y las pérdidas asociadas son falsas”, señaló el banco en un comunicado que reproduce The Wall Street Journal, que abre su edición de hoy con la noticia sobre la investigación.

“Aunque ha habido intentos de interferir con nuestro sistema, ninguno de ellos resultó en ninguna violación, puso en peligro la información de nuestros clientes o causó pérdidas a Citi”, señaló Citigroup, matriz de Citibank, participada en la actualidad en un 27% por el Gobierno estadounidense.

Según las fuentes oficiales consultadas por el diario, el ataque afecta a la banca minorista de Citibank en América del Norte. El rotativo señala que los atacantes también asaltaron otras dos entidades, y al menos una de ellas fue una agencia gubernamental.

Indica además que el ataque contra Citibank se descubrió durante los meses de verano en EEUU, pero los investigadores no descartan que tuviera lugar muchos meses antes o incluso un año antes.

El diario británico asegura que los investigadores detectaron el ataque tras observar tráfico sospechoso de direcciones de internet que habían sido utilizadas por la Red de Negocios Rusa, una organización rusa que ha vendido programas informáticos para acceder a los sistemas gubernamentales estadounidenses.

Los agentes que investigan el caso temen que además de haber robado dinero, los piratas informáticos puedan intentar destruir o manipular datos.