… porque quizá venga la televisión a grabarte y el cartelón con las contraseñas del Wi-Fi esté a tu espalda. Viejuno pero divertido, rescatado de Front Line Sentinel vía Schneier.
Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas».
El otro día se apuntaba a que en la documentación del caso MegaUpload se incluían menciones a correos personales de los acusados como parte de las pruebas que presentaba el FBI. Algunos se preguntaron: ¿Cómo pueden estar ahí ese tipo de mensajes? ¿Es que acaso rutinariamente se monitorizan las conversaciones privadas de la gente?
Habría que ser muy ingenuo para pensar que no se hace. En el caso MegaUpload parece bastante evidente que la interceptación se hizo por orden de un juez, a petición del FBI. Es algo normal en todo tipo de casos y las órdenes de «pinchar» correos electrónicos y teléfonos van avaladas por la firma de un juez si se observan indicios de delito. En otros países sucede exactamente igual.
Leer anotación completa: ¿Qué comunicaciones interceptan los servicios secretos? Probablemente más de las que creemos
Si las estimaciones de Doctor Web son correctas, y todo parece indicar que sí lo son, con unos 650.000 ordenadores infectados en todo el mundo Flashback es el malware más extendido para Macintosh desde los lejanos tiempos de nVIR.
Pero a diferencia de nVIR, que era un virus que se replicaba por sus propios medios, fundamentalmente vía diskettes, la versión actual de Flashback es un troyano que se instala aprovechando un fallo de Java.
Este fallo hace que baste con visitar un sitio web comprometido –ya sea con conocimiento de sus dueños o no– para que se produzca la infección. La única diferencia que habrá si introduces o no la clave de administrador en el cuadro de diálogo que aparece al visitar esos sitios será la forma en la que se produzca la infección.
Flashback en acción. El icono recuadrado puede cambiar según la variante del virus y a voluntad de sus programadores.
Esta es una diferencia importante con versiones anteriores de Flashback, que aparecieron en septiembre de 2011 haciéndose pasar por instaladores de Adobe Flash y que no funcionaban a menos que el usuario las abriera e introdujera la clave de administrador.
La noticia relativamente buena en todo esto es que el fallo en cuestión de Java –que por cierto no hay que confundir con JavaScript– afecta a una versión muy concreta, así que en principio parece que sólo deberían verse afectados Macs corriendo Mac OS X 10.6 Snow Leopard o Mac OS X 10.7 Lion.
Ese fallo de seguridad está además corregido –con bastante retraso por parte de Apple, todo hay que decirlo– en Actualización 7 de Java para Mac OS X 10.6 y Java para OS X Lion 2012-001 respectivamente.
Así que lo más fácil es descargarse Test4Flashback, una aplicación desarrollada por Marc Zeedar de la revista Real Studio Developer. Basta con abrirla para que esta haga las oportunas comprobaciones y muestre una ventana diciendo si el Mac está infectado o no.
Si no estás infectado, asegúrate de instalar la actualización de Java enlazada arriba para evitar llegar a estarlo.
También parece que independientemente de la versión de Java que esté instalada en un Mac las variantes hasta ahora conocidas de Flashback no intentan atacar sistemas en los que estén instalados los antivirus VirusBarrier X6, iAntiVirus, avast!, ClamXav, utilidades como HTTPScoop, Little Snitch, Packet Peeper, o el entorno de desarrollo Xcode.
Eso sí, hay que ejecutarlas desde el Terminal, por lo que hay que tener cuidado y seguirlas al pie de la letra, no sea que vaya a ser peor el remedio que la enfermedad.
De todos modos, buscando por ahí he visto que Kaspersky ha sacado hace nada una utilidad llamada Flashfake Removal Tool que se puede descargar de Virus-fighting utilities que por lo visto automatiza el proceso.
Aunque sí es cierto que Apple podría ser un poco más ágil a la hora de parchear vulnerabilidades como esta.
Así que no hay que «panicar» ni nada parecido, y conviene recordar que cuando salga Mountain Lion con Gatekeeper será aún más difícil que este tipo de problemas se reproduzca.
Pero si mientras tanto te quieres instalar alguno de los antivirus gratuitos que hay para Mac OS X, pues tampoco pasa nada.
En cualquier caso, recuerda que los virus, troyanos, y demás malware mutan a manos de sus desarrolladores, así que es fundamental mantener los antivirus actualizados.
(Alguna información vía TidBITS y Macworld).
Hace unos meses Symantec «perdió» unos cuantos smartphones en varias ciudades de los Estados Unidos y Canadá con el objeto de ver qué hacían aquellas personas que se los encontraran con ellos.
A tal efecto les instalaron software que les permitía ver en remoto la ubicación de los teléfonos y lo que hacían con ellos.
Los resultados del estudio, presentados en The 'lost' cell phone project, and the dark things it says about us, fueron al menos curiosos: un 43 por ciento de los que los encontraron abrieron una aplicación llamada «banca en línea», un 53 por ciento en el archivo llamado «Recursos Humanos Nóminas», un 57 por ciento en el archivo «claves guardadas», un 60 por ciento abrió herramientas de redes sociales y el correo electrónico, y una carpeta llamada «fotos privadas» atrajo a un 72 por ciento.
Y a pesar de que el archivo de Contactos de los teléfonos en cuestión tenía sólo dos entradas, una de ellas marcada claramente como la del dueño del teléfono, sólo un 50 por ciento de las personas que los encontraron se pusieron en contacto con el supuesto dueño para devolverlos.
Así que… ¿Tienes tu teléfono protegido por algún tipo de clave? ¿Haces copias de seguridad de sus contenidos? ¿Puedes localizarlo, bloquearlo, o borrarlo en remoto?
Pues ya estás tardando, hace muuuucho que perder un teléfono supone mucho más que la molestia –que tampoco era poco– de perder tu agenda de contactos.
(Vía Schneier on Security).
Lo cuentan en Forbes: Here's How Law Enforcement Cracks Your iPhone's Security Code, ilustrado con este bonito vídeo y otros que hay por ahí.
[Micro Systemation, la compañía sueca que desarrolla el software XRY] actúa de forma similar a como se hacen los jailbreak que permiten a los usuarios eliminar las restricciones instaladas en sus dispositivos [como teléfonos o tablets] buscando fallos de seguridad en el software del teléfono. [El software XRY] puede romper fácilmente la clave de bloqueo de un dispositivo iOS o Android, volcar todo su contenido en un PC, descifrarlo, recuperar información del GPS, los archivos, registros de llamadas, contactos, mensajes e incluso secuencias de las teclas que se han pulsado.
Este software -que está en continuo desarrollo según aparecen teléfonos nuevos y versiones de sistemas operativos- lo utilizan por ejemplo numerosas fuerzas de seguridad para acceder al contenido de los teléfonos de sospechosos.
Tomad nota niños, no utilicéis el móvil para hacer el mal.
Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas».
Quienes lleven más tiempo en Internet recordarán que algunas de las primeras preocupaciones de los pioneros tenían que ver con la privacidad de los internautas en su vida digital en la Red.
Aunque en general en castellano se entiende que intimidad y privacidad son más o menos lo mismo –la información sobre el «ámbito privado» de las personas– en realidad son un poco diferentes. La intimidad es lo más absolutamente personal, en lo que nadie debería interferir, como por ejemplo las conversaciones privadas, el correo o el interior de tu casa. La privacidad, por otro lado, se refiere más bien a las cuestiones de carácter personal que tienen lugar en el ámbito público, como cuando uno va al cine, compra algo en una tienda o consulta un libro en una biblioteca.
Los grados en que se pueden defender la privacidad y la intimidad varían un poco según las circunstancias, pero se consideran derechos constitucionales y están ampliamente protegidos por las leyes. En algunos casos –como en los de personas famosas o personajes públicos– el conflicto de la información pública y estos derechos suponen problemas de todo tipo. También es una situación anómala –pero no por ello inexistente– la violación de la privacidad y la intimidad de muchas personas, por ejemplo cuando se revelan secretos o conversaciones privadas o salen a la luz situaciones que se consideraban en el ámbito íntimo y personal.
Con la llegada de Internet hubo quien pensó que todo lo digital sería una tremenda amenaza para ambas cosas. Muchos tomaron grandes precauciones. También surgieron en aquella época grupos que hicieron un gran trabajo, como la Electronic Frontier Foundation para defender un amplio abanico de derechos digitales, entre ellos el de la «privacidad digital» entendida en su sentido más amplio. Derechos como por ejemplo comunicarse sin que nadie pudiera interferir ni interceptar las comunicaciones, el derecho al anonimato, a no ser rastreado por empresas sin el consentimiento expreso y tantos otros.
Curiosamente, con el paso de los años hemos asistido asombrados a una especie de curiosa paradoja en la Internet actual.
Quienes pensaban que una de las principales preocupaciones de los usuarios de Internet sería proteger su privacidad vieron cómo a la gente en general no parecía preocuparles demasiado – al menos en la práctica. Incluso, al contrario, muchos propiciaban con sus actos volcar toda su intimidad en la Red, sin preocuparles demasiado lo que se pudiera hacer con ella.
No se trataba solo de que la gente enviara correos electrónicos personales sin cifrar que podían ser fácilmente interceptados: es que se publicaban decenas y cientos de datos íntimos sin la más mínima precaución en todo tipo de soportes: foros, diarios, páginas web, bases de datos de contactos y, más recientemente, redes sociales. ¿Hasta qué punto era consciente la gente de lo que estaba haciendo? Probablemente, no mucho.
La paradoja es en cierto modo equivalente a otras situaciones sorprendentes en otros ámbitos. Por ejemplo, mucha gente es muy recelosa de su privacidad pero, ¿quién hubiera pensado que también habría masas de individuos haciendo cola frente a los estudios de televisión para mostrar sus intimidades –literalmente– las 24 horas al día en un Gran Hermano frente a millones de televidentes?
En cierto modo, temíamos al Gran Hermano… pero ahora muchos se arrojan a sus brazos y los demás disfrutan con ello. Incluso los más concienciados vuelcan sus escritos y pensamientos más personales en la Red, sus fotos, sus vivencias diarias… y no ponen demasiado cuidado en evitar poder ser rastreados, a veces sin ser conscientes de que aunque que las grandes empresas del marketing –por no hablar de otras entidades, o incluso gobiernos– puedan hacer con todo ello. En cierto modo, simplemente da igual: a veces es incluso ventajoso hacerlo.
Hoy en día los millones de fotografías volcadas a Internet permiten a software especializado ubicar a cualquier persona por los rasgos de su cara gracias a los sistemas de reconocimiento facial – en el mismo Facebook, sin ir más lejos; sin duda lo mismo estará sucediendo con las imágenes de vídeo de las cámaras de vigilancia de los edificios y calles de las ciudades.
Una indagación ligeramente más profunda permite saber desde dónde se conecta alguien, por dónde navega y qué información lee o qué ficheros transfiere. Si tienes un teléfono inteligente con GPS o te gusta jugar al FourSquare, puedes rastrear (y ser rastreado) por los amigos con un par de clics y saber por dónde andan en cada instante. ¿Quién dijo que prefería que nadie supiera por dónde estaba? Hoy en día es casi más ventajoso estar localizable para ahorrar tiempo, hacer nuevos amigos o trabajar de forma óptima.
Tal vez la paradoja es que creíamos valorar más la privacidad que las ventajas que nos supone hoy en día compartir nuestra intimidad: un mayor contacto con los amigos y los seres queridos, la posibilidad de descubrir a gente nueva–y, lo más importante, ser descubiertos– o las ventajas del contacto instantáneo, permanente y en tiempo real con familiares y conocidos… en incluso con desconocidos, que de todo hay.
¿El siguiente paso? Ya hay quien está dispuesto a compartir lo más íntimo de lo íntimo: su código genético. Proyectos como 1000 Genomas y otros parecidos admiten, casi cual foro al que uno envía fotos, que se envíen perfiles genéticos completos para que los investigadores trabajen con ellos. Ya no se trata de compartir algunas curiosidades genéticas que otrora se habrían considerado íntimas, sino de enviar la secuencia genética completa que nos hace únicos.
Probablemente no se pueda llegar mucho más allá en esta apertura pública de nuestra intimidad, excepto quizá cuando la tecnología permita hacer volcados completos del cerebro en tiempo real y subirlos a alguna especie de dropbox.
Desde luego, los tiempos han cambiado mucho.
{Foto: My 1000 Friends (CC) Todd Huffman @ Flickr}
Unos minutos de explicación muy divulgativa sobre uno de los sistemas de criptografía más revolucionarios de todos los tiempos – usado de forma ubicua en Internet. El problema de que Alice se comunique con Bob sin que Eve –que tiene pinchada la línea– intercepte los mensajes no es tan sencillo como parece, porque han de generar una clave, intercambiarla públicamente, etcétera.
Aunque criptografía asimétrica es un término que suena un poco complicado, con este relato puede entenderse mejor la base de este sistema de claves públicas de forma fácil de entender.
En CityPages publicaron una curiosa noticia con una importante moraleja sobre qué sucede a veces con nuestra información personal y el acceso que las entidades públicas, incluyendo los agentes de las fuerzas de seguridad del estado, pueden hacer de ella. El caso es el de una mujer estadounidense de unos 37 años que había sido policía. Rubia, de ojos verdes y físicamente atractiva, su vida privada sufrió una extraña «invasión» cuando se corrió la voz entre los colegas de trabajo acerca de que «estaba de muy buen ver», de que participaba en competiciones de culturismo y actividades por el estilo.
Unos 104 agentes de 18 agencias diferentes consultaron 425 veces sus datos personales: foto, nombre, dirección, teléfono y demás en la base de datos de Tráfico, que registra a todos los ciudadanos con carnet de conducir (en Estados Unidos es similar al DNI). Algunos llegaron incluso a llamarla para proponerle citas, como si tal cosa. El problema es que esa información personal está protegida por las leyes y no puede consultarla cualquiera así como así. De hecho los ordenadores registran quienes accede a las fichas (e incluso a veces ni eso, gracias a las puertas traseras) y esos cientos de agentes pueden tener ahora serios problemas con la justicia.
Podemos imaginar lo molesta que resultó la situación para la mujer en cuestión. Pero también que si para una nimiedad como es conseguir un teléfono o una dirección para el ligoteo los agentes de la ley se saltan las normas, qué no harán cuando consideran que se trata de algo más importante –según su particular «criterio»–. Es un problema que viene de antiguo: ¿quién vigila a los vigilantes?
La mujer va a denunciar el caso, y dice que no es una cuestión puntual, sino que a pesar de las restricciones legales, la policía utiliza esa base de datos como si fuera un Facebook, y que lleva años siendo así sin que nadie haga nada para impedirlo.
Este caso ejemplifica perfectamente por qué hay tanta gente en contra de registros como los DNI, las cámaras de vídeo en las calles y otras medidas de «seguridad» consistentes en meter toda la información de la gente en grandes bases de datos. Más allá de la supuesta seguridad que proporcionan –que además sabemos que es poca– pueden suponer una importante violación de la privacidad y facilitar los malos usos, tanto por los propios agentes encargados de custodiarla como por quienes puedan sobornarlos o simplemente hackear esos sistemas en remoto y acceder a ellos.
(Vía Neatorama.)
Actualización: Como nos recuerda Iosu, otro terreno donde se producen este tipo de problemas es en el de los historiales clínicos informatizados; véase esta noticia reciente: El Servicio Navarro de Salud debe pagar 125.000 euros por un acceso «ilegítimo» a un historial clínico.
Mencionábamos el otro día la existencia de la curiosa página informativa YouHaveDownloaded.com, que a partir de una dirección IP muestra qué ficheros se han descargado en las redes de torrents/P2P. La página actúa como forma de concienciar a la gente de que lo que se hace a través de Internet no siempre es tan anónimo como parece.
Ahora en ElOtroLado.net cuentan la segunda y deliciosa parte de la historia: cómo la gente se ha entretenido en buscar en el servicios las IPs de empresas y entidades de lo más variopinto, con resultados… sorprendentes:
Los cazadores de BitTorrent cazados (…) en TorrentFreak han comprobado las IPs de las empresas de la industria de los contenidos. Así, publican que desde Sony Pictures se descargan releases de películas, series y música, así como desde NBC, Universal o Fox. Como curiosidad, desde las oficinas de Google se descargó una copia de Windows 7. También comprobaron cómo desde la sociedad de derechos de autor holandesa se han bajado series y videojuegos, pero ésta ha respondido que sus direcciones IP habían sido «usurpadas». (Los miles de usuarios P2P denunciados deberían tomar buena nota de su defensa).
Cazadores cazados, que probablemente no se denunciarán a sí mismos para no entrar en bucle visto el absurdo de todas las cuestiones que rodean estos temas.
Microsiervos { Ecología + Fotografía + Juegos + Ciencia + Internet + Aviones + WTF }
¿Puede un solo bit causar una catástrofe de pareja? Aparentemente, sí. Este pequeño pero absurdo problema de seguridad es típico de muchos servicios de Internet. Si quieres saber si alguien está registrado o no en un servicio web, basta que compruebes en la típica opción de Olvidé mi contraseña qué información te piden para recuperarla. Si se trata del correo electrónico –que hoy en día es lo más corriente– teclea cualquier cosa y comprueba la respuesta: si te confirma algo sobre si esa dirección está o no registrada en el servicio, he ahí un problema.
Esto viene a cuento de una anotación que vi pasar por FayerWayer sobre SecondLove en México, una «red social de infieles, para él y para ella». Se supone que la gente se registra en SecondLove para ponerle los cuernos a su pareja e imagino que «compartir ideas, trucos y recursos» al respecto con otros aventureros de lo prohibido.
Hasta ahí, todo bien. Eso sí: si sus parejas sospechan algo o simplemente quieren comprobar si están siendo corneadas oficialmente sólo tienen que ir a la página Recupera contraseña, teclear la dirección de correo de la otra persona como si la hubiera olvidado y esperar la respuesta. Si aparece «Todavía no eres un usuario registrado de Second love» se puede respirar tranquilo. Si, en cambio, responde que se acaba de enviar un correo… ¡Ooops! Cuidado al salir por la puerta, no te golpees con los cuernos contra el marco.
El problema de seguridad es que el servicio te está transmitiendo una información que no debería dar a un extraño: el dato sobre si una cuenta determinada existe o no. Es un solo bit, pero crítico. Dado que los correos electrónicos identifican personas únicas, puedes saber si una persona está ahí o no está ahí. De hecho, muchos hackers/crackers que se infiltran en ciertos servicios primero prueban con esta técnica qué cuentas existen para luego atacar con diccionarios y otras fórmulas todas las contraseñas posibles e intentar entrar en ellas.
¿Cómo proteger un servicio de este absurdo pero incómodo problema? La alternativa más simple y segura para quienes los desarrollan es simplemente no confirmar lo que haya sucedido en la operación, respondiendo –como hacen muchos– con un mensaje genérico del tipo: «Gracias. Si la dirección de correo que usted ha tecleado está registrada en este servicio, recibirá un correo en unos minutos…» Asunto resuelto.
Otra forma de enfocarlo es intentar registrarse con la dirección de correo de otra persona: si el servicio contesta «ese correo ya está registrado», ¡bingo! En cambio un servicio bien diseñado aceptará el registro con un simple y neutral «Gracias, hemos enviado un correo a su cuenta para que confirme el registro» (exista ya o no). El mensaje subsiguiente en el correo –que sólo llegará al verdadero propietario de esa dirección– será bien para un registro nuevo, bien para avisar de un intento de registro sobre una dirección no válida (por repetida).
En el caso que nos ocupa, parece razonable pensar que ante la evidente pertenencia a una «red social para infieles» la excusa de «sólo estaba mirando» no cuela.
El problema se alivia un poco suponiendo que la gente no es demasiado burra y usa un correo alternativo en vez de su cuenta personal o de empresa para registrarse en ciertos sitios (especialmente en una «red social para infieles») pero como bien sabemos no suele ser el caso.
Eso sí, como aviso de que ha sido cazado por la parienta recibirá horas antes un bonito correo diciendo «Estimado usuario, usted ha solicitado cambiar la contraseña. Pulse en este enlace para iniciar el proceso…» En ese caso, quien piense Mmmm… ¡pero si yo no he pedido cambiar nada…! puede darse por cazado.
{Foto: The Prop Store of London: Minotaur costume from Voyage of the Dawn Treader (CC) PopCultureGeek.com @ Flickr}
Microsiervos { Ecología + Fotografía + Juegos + Ciencia + Internet + Aviones + WTF }