Mencionábamos el otro día la existencia de la curiosa página informativa YouHaveDownloaded.com, que a partir de una dirección IP muestra qué ficheros se han descargado en las redes de torrents/P2P. La página actúa como forma de concienciar a la gente de que lo que se hace a través de Internet no siempre es tan anónimo como parece.

Ahora en ElOtroLado.net cuentan la segunda y deliciosa parte de la historia: cómo la gente se ha entretenido en buscar en el servicios las IPs de empresas y entidades de lo más variopinto, con resultados… sorprendentes:

Los cazadores de BitTorrent cazados (…) en TorrentFreak han comprobado las IPs de las empresas de la industria de los contenidos. Así, publican que desde Sony Pictures se descargan releases de películas, series y música, así como desde NBC, Universal o Fox. Como curiosidad, desde las oficinas de Google se descargó una copia de Windows 7. También comprobaron cómo desde la sociedad de derechos de autor holandesa se han bajado series y videojuegos, pero ésta ha respondido que sus direcciones IP habían sido «usurpadas». (Los miles de usuarios P2P denunciados deberían tomar buena nota de su defensa).

Cazadores cazados, que probablemente no se denunciarán a sí mismos para no entrar en bucle visto el absurdo de todas las cuestiones que rodean estos temas.

Leer Más:
Deliciosamente irónico: ¿Quién caza a los cazadores? Otros cazadores más ingeniosos

El Crypteks USB es un pendrive que además de utilizar un cifrado AES de 256 bits por hardware está diseñado en aluminio con cinco rodillos a modo de mecanismo de seguridad, a la antigua usanza: solo se puede abrir para enchufar si conoces la «palabra secreta» y luego la contraseña adecuada para acceder a los ficheros.

Digamos que no es que no se pueda conseguir lo mismo con un pendrive normal y corriente del todo a 100, pero con uno de estos se puede hacer lo mismo con estilo.

(Vía DVICE Atom Feed.)

Leer Más:
Crypteks: el USB doblemente seguro

Mmm… Repasemos las noticias de hoy, a ver… clic, clic…

• Investigadores alertan que las impresoras se pueden hackear para que ardan en llamas (Fayerwayer)

Pse, lo habitual, nada alarmante. Ilustrativa foto, por cierto…

Leer Más:
Avances en hackeos pirómanos

Mmm… Repasemos las noticias de hoy, a ver… clic, clic…

• Investigadores alertan que las impresoras se pueden hackear para que ardan en llamas (Fayerwayer)

Pse, lo habitual, nada alarmante. Ilustrativa foto, por cierto…

Leer Más:
Avances en hackeos pirómanos

¿Puede un solo bit causar una catástrofe de pareja? Aparentemente, sí. Este pequeño pero absurdo problema de seguridad es típico de muchos servicios de Internet. Si quieres saber si alguien está registrado o no en un servicio web, basta que compruebes en la típica opción de Olvidé mi contraseña qué información te piden para recuperarla. Si se trata del correo electrónico –que hoy en día es lo más corriente– teclea cualquier cosa y comprueba la respuesta: si te confirma algo sobre si esa dirección está o no registrada en el servicio, he ahí un problema.

Esto viene a cuento de una anotación que vi pasar por FayerWayer sobre SecondLove en México, una «red social de infieles, para él y para ella». Se supone que la gente se registra en SecondLove para ponerle los cuernos a su pareja e imagino que «compartir ideas, trucos y recursos» al respecto con otros aventureros de lo prohibido.

Hasta ahí, todo bien. Eso sí: si sus parejas sospechan algo o simplemente quieren comprobar si están siendo corneadas oficialmente sólo tienen que ir a la página Recupera contraseña, teclear la dirección de correo de la otra persona como si la hubiera olvidado y esperar la respuesta. Si aparece «Todavía no eres un usuario registrado de Second love» se puede respirar tranquilo. Si, en cambio, responde que se acaba de enviar un correo… ¡Ooops! Cuidado al salir por la puerta, no te golpees con los cuernos contra el marco.

El problema de seguridad es que el servicio te está transmitiendo una información que no debería dar a un extraño: el dato sobre si una cuenta determinada existe o no. Es un solo bit, pero crítico. Dado que los correos electrónicos identifican personas únicas, puedes saber si una persona está ahí o no está ahí. De hecho, muchos hackers/crackers que se infiltran en ciertos servicios primero prueban con esta técnica qué cuentas existen para luego atacar con diccionarios y otras fórmulas todas las contraseñas posibles e intentar entrar en ellas.

¿Cómo proteger un servicio de este absurdo pero incómodo problema? La alternativa más simple y segura para quienes los desarrollan es simplemente no confirmar lo que haya sucedido en la operación, respondiendo –como hacen muchos– con un mensaje genérico del tipo: «Gracias. Si la dirección de correo que usted ha tecleado está registrada en este servicio, recibirá un correo en unos minutos…» Asunto resuelto.

En el caso que nos ocupa, parece razonable pensar que ante la evidente pertenencia a una «red social para infieles» la excusa de «sólo estaba mirando» no cuela.

El problema se alivia un poco suponiendo que la gente no es demasiado burra y usa un correo alternativo en vez de su cuenta personal o de empresa para registrarse en ciertos sitios (especialmente en una «red social para infieles») pero como bien sabemos no suele ser el caso.

Eso sí, como aviso de que ha sido cazado por la parienta recibirá horas antes un bonito correo diciendo «Estimado usuario, usted ha solicitado cambiar la contraseña. Pulse en este enlace para iniciar el proceso…» En ese caso, quien piense Mmmm… ¡pero si yo no he pedido cambiar nada…! puede darse por cazado.

{Foto: The Prop Store of London: Minotaur costume from Voyage of the Dawn Treader (CC) PopCultureGeek.com @ Flickr}

Leer Más:
Una forma sencilla forma de comprobar si te ponen los cuernos gracias a un típico problema de seguridad

¿Puede un solo bit causar una catástrofe de pareja? Aparentemente, sí. Este pequeño pero absurdo problema de seguridad es típico de muchos servicios de Internet. Si quieres saber si alguien está registrado o no en un servicio web, basta que compruebes en la típica opción de Olvidé mi contraseña qué información te piden para recuperarla. Si se trata del correo electrónico –que hoy en día es lo más corriente– teclea cualquier cosa y comprueba la respuesta: si te confirma algo sobre si esa dirección está o no registrada en el servicio, he ahí un problema.

Esto viene a cuento de una anotación que vi pasar por FayerWayer sobre SecondLove en México, una «red social de infieles, para él y para ella». Se supone que la gente se registra en SecondLove para ponerle los cuernos a su pareja e imagino que «compartir ideas, trucos y recursos» al respecto con otros aventureros de lo prohibido.

Hasta ahí, todo bien. Eso sí: si sus parejas sospechan algo o simplemente quieren comprobar si están siendo corneadas oficialmente sólo tienen que ir a la página Recupera contraseña, teclear la dirección de correo de la otra persona como si la hubiera olvidado y esperar la respuesta. Si aparece «Todavía no eres un usuario registrado de Second love» se puede respirar tranquilo. Si, en cambio, responde que se acaba de enviar un correo… ¡Ooops! Cuidado al salir por la puerta, no te golpees con los cuernos contra el marco.

El problema de seguridad es que el servicio te está transmitiendo una información que no debería dar a un extraño: el dato sobre si una cuenta determinada existe o no. Es un solo bit, pero crítico. Dado que los correos electrónicos identifican personas únicas, puedes saber si una persona está ahí o no está ahí. De hecho, muchos hackers/crackers que se infiltran en ciertos servicios primero prueban con esta técnica qué cuentas existen para luego atacar con diccionarios y otras fórmulas todas las contraseñas posibles e intentar entrar en ellas.

¿Cómo proteger un servicio de este absurdo pero incómodo problema? La alternativa más simple y segura para quienes los desarrollan es simplemente no confirmar lo que haya sucedido en la operación, respondiendo –como hacen muchos– con un mensaje genérico del tipo: «Gracias. Si la dirección de correo que usted ha tecleado está registrada en este servicio, recibirá un correo en unos minutos…» Asunto resuelto.

Otra forma de enfocarlo es intentar registrarse con la dirección de correo de otra persona: si el servicio contesta «ese correo ya está registrado», ¡bingo! En cambio un servicio bien diseñado aceptará el registro con un simple y neutral «Gracias, hemos enviado un correo a su cuenta para que confirme el registro» (exista ya o no). El mensaje subsiguiente en el correo –que sólo llegará al verdadero propietario de esa dirección– será bien para un registro nuevo, bien para avisar de un intento de registro sobre una dirección no válida (por repetida).

En el caso que nos ocupa, parece razonable pensar que ante la evidente pertenencia a una «red social para infieles» la excusa de «sólo estaba mirando» no cuela.

El problema se alivia un poco suponiendo que la gente no es demasiado burra y usa un correo alternativo en vez de su cuenta personal o de empresa para registrarse en ciertos sitios (especialmente en una «red social para infieles») pero como bien sabemos no suele ser el caso.

Eso sí, como aviso de que ha sido cazado por la parienta recibirá horas antes un bonito correo diciendo «Estimado usuario, usted ha solicitado cambiar la contraseña. Pulse en este enlace para iniciar el proceso…» En ese caso, quien piense Mmmm… ¡pero si yo no he pedido cambiar nada…! puede darse por cazado.

{Foto: The Prop Store of London: Minotaur costume from Voyage of the Dawn Treader (CC) PopCultureGeek.com @ Flickr}

Leer Más:
Una forma sencilla de comprobar si te ponen los cuernos gracias a un típico problema de seguridad

A la izquierda el teclado de un cajero; a la derecha la imagen infrarroja, tomada con una cámara térmica después de haber sido utilizado.

No es un método perfecto ni muy práctico, pero hay que reconocer que es bastante ingenioso. Lo ha estudiado un grupo de investigadores del Departamento de Ciencias Informáticas de la Universidad de California en San Diego.

Se trata de utilizar una cámara térmica, que revela el calor de los objetos, para averiguar qué teclas se han pulsado en el cajero automático al introducir el número secreto o PIN de la tarjeta. Es decir, a cuáles de ellas se ha transferido calor del cuerpo al pulsarlas.

Los autores del estudio pudieron leer el PIN en el 80 por ciento de los casos si usaban la cámara justo después de que el cliente se marchara; y hasta el 50 por ciento de las veces si transcurría hasta un minuto. Más allá las posibilidades de acertar se reducen a un 20 por ciento.

El método sería aplicable, en teoría, todo es en teoría, en cerraduras por clave y similares.

Entre los factores que degradan la efectividad del método están los materiales de las teclas (plástico o goma o metal), la forma en que las personas pulsan las teclas y toca el cajero y hasta la presión sanguínea del usuario, que contribuye a transferir más o menos calor durante su utilización. Además operaciones más o menos largas –incluso al teclear la cantidad de dinero a retirar– pueden dificultar averiguar qué las teclas correspondientes al PIN, y el orden.

Lo anterior sin contar el coste de este tipo de cámaras (~12.000 euros) en comparación con una cámara en miniatura convencional.

¡Ah! y el hecho de que se puede anular el hackeo simplemente dejando reposar la mano sobre el teclado al terminar, para calentar bien todas las teclas.

El estudio está en [PDF] Heat of the Moment: Characterizing the Efficacy of Thermal Camera-Based Attacks, vía Technology Review.

Leer Más:
Al asalto de cajeros automáticos con cámaras térmicas

(Imagen: DestroySites.com)

…para su supervivencia, claro.

El equipo de seguridad de Google, formado por unas 250 personas repartidas en distintas oficinas del mundo, se dedica a evaluar riesgos, establecer medidas y resolver cualquier incidente que pueda afectar a sus servicios, plataforma y datos.

Para asegurar que la compañía es capaz de adaptar su servicio ante posibles desastres, Google rutinariamente pone a prueba a sus empleados sobre cómo manejarían distintas situaciones, incluyendo casos como una invasión alienígena de sus oficinas o la desaparición de California.

Para Eran Feigenbaum, director de seguridad de Google, manejar este tipo de escenarios es parte de un plan que asume que “lo ha sucedido lo peor”,

La realidad es que los incidentes de seguridad suceden por distintos motivos. La cuestión es cómo reaccionamos ante ellos.

Respecto a la seguridad y fiabilidad que supone computación en la nube, Feigenbaum cree que, aún sin ser perfecto en ese aspecto, sí que resulta “tan seguro, si no más, de lo que la mayoría de las empresas tienen hoy”.

(Computerworld, The Next Web.)

Leer Más:
Los marcianos invaden la Tierra, pero Google tiene un plan…

Mundo Hacker TV, que nació en la radio para luego saltar a la televisión por Internet a través de Globbtv, ahora va a poder llegar al gran público en Telecinco a través de Nosolomúsica. Será con cuatro programas especiales que se emitirán este verano, en horario muy «hackeril», a las 4.00 de la madrugada del domingo al lunes. (Lo que quiere decir que el primero es esta misma noche.)

El programa se podrá ver en Telecinco, tras terminar Nosolomúsica, o bien a posteriori en en la web MundoHackerTV.com. El programa tiene un tono divulgativo, mucho sentido del humor y la intención de aproximar todo lo relacionado con la seguridad informática a la gente corriente de forma amena. Quien tenga unas mínimas nociones de informática y curiosidad por aprender encontrará en el programa un buen refugio para sus inquietudes.

Leer Más:
Mundo Hacker TV: seguridad informática y hacking en la tele, todos los fines de semana de agosto

Este pincho de memoria USB [original: en ruso] proviene de Steampunker, y combina una memoria moderna con un mecanismo estilo candado que permite utilizarla si se conoce la combinación. No es tan seguro como un sistema de identificación de huellas digitales pero bonito sí que es. En este otro enlace puede verse otra variante más elaborada todavía digna de novela de Julio Verne.

(Vía Engadget.)

Leer Más:
El pincho de memoria USB steampunk con seguridad estilo candado