Antiguo y abandonado blog de Ricardo Galli :-(

Salen más detalles del robo de las tarjetas Mastercard. Según silicon.com no sólo que guardaban datos que no deberían haber almacenado localmente [1], no estaban encriptados [2], sino que ni siquiera se dieron cuenta que les habían entrado hasta la cocina. Y como comentaba en el post anterior, en esta noticia sí se hacen eco que tenían todo el sistema basado en Windows 2000 e IIS. Como puede ser tan chapuza una empresa que gestiona transacciones por 15.000 millones de dólares.

[1] Quizás es lo peor. Dicen que los tenían para “investigación”. Así se cuida la privacidad de los usuarios.

[2] Lo comentó antes jmones.

Ya es ampliamente conocido el robo de los datos de Mastercard. La misma empresa identificó a CardSystems Solutions como la responsable. Curiosamente nadie dice que la plataforma tecnológica principal de esa empresa es Windows (1, 2) con Oracle y SQL Server. Como los “virus de Internet” o los “virus de correo electrónico”.

¿Qué hubiese salido en la prensa si hubiesen sido sistemas GNU/Linux o cualquier otro de software libre?.

PS: Espero ansioso a ver que dice Bruce Schneier del “eslabón más débil” y “seguridad por oscuridad” de este caso.

InformationWeek hizo una entrevista a Eric Schmidt, consejero delegado (CEO) de Google. Le preguntan sobre seguridad:

(more…)

Lo comenta Bruce Schneier, el fichero con la base de datos –known_hosts– de direcciones de servidores y su claves públicas puede ser usado para dirigir los ataques si se conocen las claves del usuario en cuestión (address harvesting).

(more…)

La última genialidad de los documentos PDF censurados con las cajitas negras lo ha comentado hasta el Schneier, no es nada novedoso el tema, pero yo quería probarlos personalmente con unos documentos desclasificados que me ha pasado un amigo (no sé si son los mismo que circulan, pero figuran como desclasificados, aunque “censurados”).

(more…)

Le leo en el weblog de Schneier. La respuesta concisa e irrebatible para aquellos que creen en la seguridad por “oscuridad”.

La publicidad es la recomendación más apropiada para las enfermedades sociales e industriales. Se dice que la luz solar es el mejor desinfectante; la luz eléctrica es el mejor policia.

Totalmente de acuerdo, lo hago extensible al código fuente –por eso el software libre siempre será mejor que el privativo, aunque tome más tiempo, todo llega–.

No es un tema nuevo, pero hoy también lo analiza Bruce Schneier. Y es más grave de lo que parece.

Básicamente significa que dado documentos de Word o Excel codificados con el RC4 es casi un juego de niños encontrar el texto original. El mismo error ya lo habían cometido en 1999 con el Windows Syskeys (la codificación de las claves en la base de datos SAM).

Si se encriptan dos documentos con RC4 usando el mismo keystream, luego basta con hacer un XOR de ambos ficheros para obtener el equivalente al XOR de los ficheros en texto plano. A partir de allí es muy sencillo encontrar los textos originales haciendo análisis de frecuencias de letras y palabras.

Pensar que es muy sencillo evitarlo usando vectores de inicialización distintos. Los errores lo tienen cualquiera, pero si estos errores ocurren en una compañía que dice que invierte más que ninguna otra en temas de seguridad, mejor no seguir mirando

Veo que aquí también lo han reportado y explicado en castellano.

Seguramente habéis leído todo ese follón de ¡problemas de seguridad del kernel!, entre ellos RLIM_MEMLOCK. Ya lo escribiré un día con más detalle, pero respecto a éste último, dicen que era una tontería, que cada día se solcuonan bugs peores y nadie se entera.

De todas formas, como resultado positivo (sobre todo para los outsiders) se está discutiendo la creación de una lista de seguridad para Linux. Linus está a favor, siempre que sea lista abierta, sin que influyan las políticas de los vendedores y sin “embargo” de información: 1, 2, 3, 4, 5, 6.

(more…)

Bruce Schneier comenta en su blog sobre los estudios de seguridad en el Honwypot en Linux y Windows. Básicamente, Linux sobrevivía unos tres meses y Windows unos pocos minutos.

Schneir dice que puede deberse a dos razones:

1. Linux es más seguro que Windows, y

2. los “malos” se concentran en Windows.

Pero además quiero resaltar unas cosas del estudio, se eligieron sistemas Linux especialmente débiles:

• Los distros que se usaron eran muy antiguas (RH 7.2, SUSE 6.3…). La más nueva era Fedora Core 1, instalada en dos ordenadores. Ninguna de las dos fue compremetida.

• Los sistemas GNU/Linux tenían varios servicios en marcha que no hacen falta, incluso Samba.

• Las claves de acceso eran sencillas (expresamente), de hecho dos de los sistemas comprometidos lo fueron gracias a las [malas] claves.

Si se hubiese seleccionado un sistema más moderno y con claves bguenas, seguramente hubiesen tardado mucho más tiempo. Como lo demuestran las dos Fedora no comprometidas.

Se está discutiendo en Slashdot ahora mismo: la India subvencionará conectividad a 2 Mbps y menos de 2 euros. Guillem también lo comenta en la lista de Bulma debido el hilo que se inició por los problemas de los proxies de Telefónica debido a los spywares y troyanos de Windows.

De esa noticia en principio pintorezca ya tengo evidencia suficiente para sostener tres conclusiones profundas :-):

(more…)

Perdón por el título, pero no sabía qué ponerle. En ¿Un segurata para cada coche? comenté la incoherencia de agregar anti spyware y antivirus al sistema operativo en vez de solucionar el problema real: la arquitectura e interfaz de seguridad demasiado compleja para un usuario y programas DLLs que se ejecutan con privilegios de sistema, por poner dos ejemplos. Poner antivirus es como tener un enfermo de neumonía y pretender curarlo aplicándole paños fríos y aspirinas.

Ahora leo que el programa anti spyware de Microsoft ya está en versión beta y está siendo probado… por los propios empleados de Microsoft.

Ahora tengo mis dudas cuál de los dos opciones es cierta, nadie me lo puede aclarar:

(more…)

Últimamente se están vendiendo muchas cámaras con servidor web integrado (como las de Axis que están conectadas a Internet y son usadas como cámaras de seguridad. Lo mejor es que pueden ser ubicadas por Google así o así.

• Thomson Electronics

• Aeropuerto de Stuttgart

• Universidad de Helsinki [1], [2], [3], [4].

• Aeropuerto de Anchorage.

• Sala de billares.

• Parece una finca cerca del mar, con una cámara en movimiento e infrarrojos.

• Una lavandería en Japón.

• He visto varias similares, parecen ser usadas para controlar los que se pasan señales de STOP ([2], [3], [4]).

• Entrada a empresa desconocida.

• No se veía nada, ya lo miraré de día :-).

¿Será una nueva forma de “open security: CTPIYSSS”? (call the police if you see something strange)

Fuente original

NOTA: el konqueror no muestra las imágenes, el Firefox/Mozilla sí.

Éste era uno de esos apuntes que los tenía comenzado y puesto en “borrador” desde hace varios días, desde que Peter Torr de Microsoft publicó su ensayo How can I trust Firefox? (también mencionado en Slashdot).

El autor pone en duda la seguridad de Firefox porque, a diferencia del IE, el propio instalador del Firefox no está firmado y éste tampoco hace control de certificados digitales.

(more…)

Imaginaros que una marca determinada de coches sufre de muchos robos porque es fácil abrir las puertas y poner en marcha el motor. Hay dos soluciones:

1. Cambiar el diseño de las cerraduras de las puertas y del encendido.

2. Comprar una empresa de seguridad para entregar a cada comprador un guardia de seguridad que irá siempre dentro del coche (sí, claro que es una exageración, cambia guardia por alarma antirrobos sofisticada).

   (more…)