Noticias de Seguridad

Coronavirus y la vida en un Estado de vigilancia

Cuando el coronavirus arrancó y las noticias hablaban sobre cómo el gobierno chino estaba conteniendo la expansión, pocos se dieron cuenta que este es un momento ideal para entender el concepto de "Estado de Vigilancia" o "Surveillance State".

Porque a la campaña de control social tradicional que se aplicó -puertas marcando familias con infectados y hasta recompensas por la información de paraderos de personas originarias de las ciudades del virus ( Hubei, Yueyang, Hunan y Xinyang)- se le sumó la vigilancia tecnológica de China que uno conoce por arriba, pero que tiene ahora aplicaciones impensadas, como por ejemplo:

  1. Cámaras remotas capaces de identificar personas con temperatura un poco más alta de lo normal en medio de una multitud; un algoritmo de reconocimiento facial que puede correr aun cuando usen máscaras para respirar y enviar el dato a la policía, en tiempo real, con geo-posicionamento, para intercepción y contención.
  2. Identificar a una persona sin permiso de viaje en un transporte público, aún usando una máscara, y automáticamente notificar a las personas que están cerca de forma física mediante una notificación en sus móviles... y sumarlos a la base de datos de potenciales portadores.

Mientras algunas personas hablan de ratios de contagio del coronavirus, de mortalidad o de expansión o la comparan con enfermedades históricas, me pregunto si toman en cuenta estas capacidades modernas de identificar, aislar y contener movimientos de ciudades enteras en días. No creo que haya un Estado con tanto poder sobre sus ciudadanos como la China de hoy en día.

Mientras BlueDot roba titulares porque, incorrectamente, decía que la IA había predicho el coronavirus, me pregunto si en este caso nadie habla de privacidad o control social porque imaginan que este es un "caso bueno de control" o si simplemente porque recién se está corriendo el velo de las capacidades de vigilancia.

Links interesantes: en Wikipedia "Mainland China during the Wuhan Coronavirus Outbreak" y en Reuters: "Coronavirus brings China's surveillance state out of the shadows" y En NY Times "China, Desperate to Stop Coronavirus, Turns Neighbor Against Neighbor"

| Inteligencia Artifical Seguridad
Tags:
Coronavirus privacidad Seguridad

Malware en DNA

Interesnte artículo en WIRED: Biohackers Encoded Malware in a Strand of DNA en versión TL;DR

  • Cualquier metodo de almacenamiento de información puede ser usado como un vector de ataque. Si la información proviene siempre de fuentes externas (eg: ADN para análisis) el riesgo de ataque aumenta. Cuando la información es leída automáticamente (ej: un secuenciador) el riesgo vuelve a aumentar
  • Almacenar información hoy en ADN es complicado, pese a algunos experimentos exitosos con videos, pero ya se demostró que es posible almacenar datos y malware en muestras de ADN, la amenaza es real aunque a largo plazo
| Rants
Tags:
biocomputacion Seguridad

Kik y la seguridad de los menores otra vez en la mira

Por @laclaux (*)

Un reporte conjunto de Forbes y Point Report sentenció de forma tajante que Kik, el sistema de mensajería canadiense con cerca de 275 millones de usuarios en el mundo, "es la aplicación 'de facto' para el grooming de niños on-line". Básicamente el informe concluye que, gracias a sus características técnicas y su ineficiente gestión de las denuncias de la comunidad, Kik es el terreno ideal para pedófilos que no sólo capturan nuevas víctimas sino que lo usan para compartir pornografía, consejos y "experiencias" de abuso a menores. Todo eso en una aplicación en la que, de sus 15 millones de usuarios activos mensuales, el 57% tiene entre 13 y 24 años. Leer completa

| Opinión
Tags:
abuso de menores kik Seguridad

Internet of things, of bricks... de otros

Si la obsolescencia programada nos parecía una locura porque la vida útil de un objeto se diseñaba con una vida útil atada a las necesidades de una empresa, la evolución de este concepto en la era de Internet of Things es alienante y el ejemplo de Google "apagando" el hub de smart-home Revolv es el mejor ejemplo de los peligros de ceder el control de tus cosas, ya no solo de tus datos, a un tercero.

Revolv era un producto realmente interesante, que hacía de "hub" concentrador de smart things, conectando equipos de diferentes marcas en una app y creando hasta macros para que estos funcionen en sintonía y la idea era interesante porque tener un Sonos, un Nest, varias Hue Phillips y etc complicaba tu vida... hasta que Google, a través de Nest, lo compró y prometió que el "soporte de por vida" no iba a terminar.

¿La realidad? no sólo terminaron el soporte de por vida, dejando que un equipo que conecta funciones vitales de un smart-home se vuelva viejo y vulnerable a ataques, sino que Google remotamente desactivará el dispositivo el dia 15 de mayo de 2016 haciendolo inusable para todo, con una app que cesará funciones y con lo que era tu smart-home sin el "cerebrito" que lo conectaba.

Hay varias versiones dando vueltas, que enviaron un email, que Nest (subsidiaria de Alphabet/Google) avisó hace un mes y varias otras, pero al fin del día esto muestra que ni aún las promesas de "servicio de por vida" pueden evitarte que un día una empresa cierre remotamente tu acceso a algo que compraste, repito COMPRASTE y no alquilaste, porque cambiaron sus prioridades de mercado.

Seguro van a existir justificaciones pero esto muestra que hay más de un tema que regular en Internet, especialmente cuando infraestructura cada día más sensible y vital se conecta a la red y puede ser remotamente apagada.

| Google hardware
Tags:
internet of things IoT revolv Seguridad

PRISM sigue generando daño en Internet

Hace tres meses dije que PRISM tiene el potencial de dañar Internet para siempre; hace unos días el Gobierno Británico le pasó por arriba a los derechos de la pareja del periodista de The Guardian y esto solo demuestra que nadie en la comunidad de Inteligencia sabe la amplitud ni profundidad de los datos que Snowden filtró o tiene encima pero nos guste o no, esto va a cambiar el panorama de Internet definitivamente.Leer completa

| Seguridad
Tags:
espionaje PRISM Seguridad

Apple ID: grave fallo de seguridad permite hackearla con mail y fecha de nacimiento

Apple está pasando un momento que no termino de entender; problemas con sus updates de iOS, problemas con passwords, un sistema de verificación de dos pasos que te fuerza a esperar 3 días para que puedas agregar seguridad a tu cuenta y ahora un fallo de seguridad tan grave que permite apropiarse de tu Apple ID con tu email y fecha de nacimiento.

apple evil falta de seguridad

Leer completa

| Apple
Tags:
Apple ID Seguridad

Caída parcial de Gmail en Google Apps

Si sos usuario de Gmail o de Google Apps estás seguramente empezando a tener ciertos problemas, que pueden ir desde la falta de acceso al mail hasta la imposibilidad de tener el multiple sign-in para acceder a diferentes cuentas. Lo más seguro es que veas un detalle que dice “Temporary Error (500)” pero si hacés click vas a ver el código 93 como “detalle”.

El problema está siendo general, podés reportar el problema en el thread oficial de Google Support y esperar a ver que sucede; pero te recomiendo que lo reportes porque cuantos más datos tengan más simple es para ellos saber lo amplio del problema.

Por otro lado, si sos usuario de Google Apps y tenés este problema el Dashboard de tu cuenta te deja ver el estado de todos los servicios y ver donde hay problemas como en este (mi Dashboard) donde se ve que Gmail tiene “nivel naranja” o sea “Service Disruption” pero sin llegar a Rojo “Service Outage”

Por ahora no recibí ni aviso ni veo reportes oficiales del origen del problema pero los reportes creen por segundo y el problema que más me preocupa es que hay reportes que los que recuperan acceso a sus cuentas tienen los mails que se enviaron a esas direcciones sin aparecer [actualizado]los mails enviados en el momento del problema se recuperaron… pero NO enviaron reportes de error a los destinarios con lo que no podés saber quien te mandó un mail siquiera…

Y no, esto no quita mi confianza en los Cloud Services ni en Google como proveedor de estos servicios ;)

| Google
Tags:
cloud services Seguridad

Analizando las contraseñas de usuarios de Sony

Los investigadores de seguridad están de parabienes gracias a LulzSec y su ataque a Sony, tienen decenas de miles de combinaciones de usuario/password para analizar y el análisis de Troy Hunt me parece simplemente genial porque muestra como estadísticamente la gente sigue sin hacerle caso a las recomendaciones de mejores claves y no compartirlas. Ah, por si hace falta, los Black hat también tienen el archivo y deben estar explotando muchas de estas combinaciones.

| Minipost
Tags:
Seguridad

El sneakernet de Osama Bin Laden

¿Como consiguió Osama comunicarse por email durante años con su equipo alrededor del mundo? Usando un sneakernet, escribía en una PC sin conexión, cargaba un texto plano en un flash-USB, un custodio iba a un cibercafé hacía copy-paste para enviarlo y hacía copy-paste de los recibidos para leerlos en esa PC. Detalle, Osama guardaba los drives y por eso recolectaron 100 de estos con números de teléfono y direcciones de mail que el FBI ahora va a investigar... sin orden judicial obviamente. + AP

| Minipost
Tags:
Seguridad

Alan Turing el documental

Saber que hay un proyecto para crear un documental sobre Alan Turing y que podemos donar y ayudar para que este sea filmado y distribuido globalmente merece ser amplificado lo máximo posible; para que al menos en el centenario de su nacimiento sea reconocido como uno de los científicos más importantes de la historia.

Turing no sólo ayudó a descubrir el código Enigma sino que creo el famoso Test de Turing en 1950 (Link al paper orginal) y tantas cosas que les recomiendo leer en serio y con detenimiento el artículo de Alan Turing en la Wikipedia en Inglés sobre todo para entender su relación con el desarrollo de la inteligencia artificial y la ciencia de la computación

Y saber que la carrera de Turing terminó al ser procesado por su condición de homosexual, donde no se defendió de los cargos y eligió la castración química con consecuencias físicas que terminaron en su suicidio en 1954 es poco menos que deprimente, tal vez por eso saber que uno puede donar y ayudar a que un documental sea un reconocimiento póstumo más que el "perdón" que le pidieron... 2009!

| Rants
Tags:
efemerides Seguridad

Rustock y Waledac: como Microsoft decapitó dos botnets

Skull_skulls Hace un año Microsoft decapitaba una de las botnets más grandes del mundo en esa época, Waledac con casi 1 millón de PCs infectadas era uno de los más grandes distribuidores de spam y malware y hace una semana lograron dejar sin operación a Rustock otra de las más grandes botnets del mundo.

Y necesité leer demasiado de un tema que me parece fascinante porque en cierto sentido Microsoft con su Operación b107 o la de Waledac, hicieron algo que es similar a una decapitación más que a una batalla, no destruyeron la amenaza en si, ni "desinfectaron" las PCs/Mac infectadas a lo largo del mundo sino que cortaron la comunicación con los únicos habilitados para dar órdenes.... y repito, no atraparon ni a los generales (bot masters) ni masacraron soldados (los zombies) con lo que es imposible pensar que la batalla está terminada.

Leer completa

| Microsoft Seguridad
Tags:
botnet rustock Seguridad Spam waledac

Twitter más seguro con HTTPS por defecto

Cada día hay más formas de acceder a tus datos, y lo último de moda es el sidejacking de Firesheep, con el que son incontables las cuentas de Twitter y/o Facebook que uno puede acceder. Pequeño consejo ¿querés mantener tu cuenta de Twitter un poco más segura? Hacé lo siguiente: Cerra tu sesión, limpiá las cookies, reiniciá el navegador, entrá en este link, andá abajo de todo, hacé click en "Usar siempre HTTPS" y guardá los cambios... al menos un poco de seguridad acabás de sumarle a tu cuenta.

| Minipost
Tags:
Seguridad twitter

37 Signals retira el soporte a OpenID

Para entender el presente de OpenID les recomiendo leer este post de 37 Signals uno de los primeros en saltar a brindar apoyo a lo que parecía ser una solución de identificación unificada frente a la continua aparición de nuevos servicios online...

it just made things harder. Especially when people were having problems with the often flaky OpenID providers and couldn't log into their account. OpenID has been a burden on support since the day it was launched.

Leer completa

| Internet
Tags:
openid Seguridad

Traitorware: una nueva denominación para el Malware

Traitorware: dispositivos que actúan a tus espaldas para traicionar tu privacidad.

Viendo la cantidad de información personal que se sabe de vos y que las aplicaciones o equipos o sitios comparten sobre vos sin siquiera avisarte la denominación Traitorware que se suma a los ya conocidos como Malware del estilo Rootkits y Backdoors me parece acertadísima.

Lo ridículo es que el traitorware muchas veces es soportado y distribuído por empresas de hard gigantescas o desarrolladores de software de los que uno no esperaría eso ¿los mejores ejemplos? El análisis que se hizo de las aplicaciones móviles o los ejemplos que la EFF puso online en el artículo de Eva Galperin

| Derechos
Tags:
privacidad Seguridad

Fallo de seguridad en Twitter

Apenas 5 días después de lanzar el Nuevo Twitter apareció una vulnerabilidad que aprovecha la capacidad de esta versión de autoreconocer e interpretar URLs acortadas por su propio servicio (t.co) e inyecta javascript que puede, potencialmente, ser malicioso. Simple: usá Seesmic, Tweetdeck u otro :) + ALT1040 Actualización: está controlado

| Minipost
Tags:
exploits Seguridad twitter

Backupify levanta u$s4.5 millones en su primer ronda

Backupify backups onlineHay muchos servicios de backup online, de hecho sus ofertas parecen ir de la mano con el crecimiento del cloud computing y hoy, Backupify un un servicio que reseñe hace un tiempo porque se especializa en guardar tu vida online... en forma online, acaba de lograr u$s4.5 millones en su primer ronda de inversión.

Leer completa

| Web2.0
Tags:
backups Seguridad

Una clave fuerte no es necesariamente la mejor defensa

En el NYT: A Strong Password Isn’t the Strongest Security es una muy buena nota sobre los sitios con muchos requerimientos para tener una clave y como, estas capas forzadas de seguridad terminan generando un punto de vulnerabilidad por su falta de usabilidad para los usuarios.

| Minipost
Tags:
passwords Seguridad

Ciberguerra: primer reconocimiento de USA

En The Washington Post el Secretario Adjunto de Defensa de USA reconoció el primer ciberataque que vulneró las defensas de USA. En 2008 un llavero USB insertado en una notebook en Medio Oriente infectó, sin que nadie se dé cuenta, sistemas clasificados y reenvió datos secretos del Comando Central... el responsable de distribuir las órdenes de guerra.

| Minipost
Tags:
ciberguerra Seguridad

Si comprás usuarios, Twitter lo sabe

"Actualmente estamos forzando un cambio de contraseñas en aquellos usuarios que usaron servicios de terceras partes para sumar followers" Dice: @spam y, luego de aplaudirlos, traduzco: "tu necesidad de tenerla más grande, genera un riesgo de seguridad para todos, si no cambiás la clave, cerramos tu cuenta"

| Minipost
Tags:
Seguridad twitter Web 2.0

Sacar fotos en lugares públicos no es delito

Interesante análisis en Popular Science: Taking Photos In Public Places Is Not A Crime: Analysis que tira abajo uno de los mitos de la paranoia post 9/11 que hay en el mundo... aunque con la cantidad de teléfonos y cámaras que hay en el mercado sea encima una quimera ;)

| Minipost
Tags:
Derechos paranoia privacidad Seguridad