Consultorio del Dr. Ogalinski

Blog personal de Orlando Alonzo sobre tecnología, gadgets e Internet

Etiqueta: Seguridad Página 1 de 6 4

Mozilla y la adopción de la especificación EME del W3C en FireFox

FireFox con un candado de DRM

Mozilla se encuentra en el ojo del huracán por la adopción de la especificación EME (Encrypted Media Extensions) del W3c en FireFox, que es básicamente DRM (Digital Rights Management), o, como dice Mozilla, más bien lo facilita. Como te podrás imaginar, siendo FireFox el que enarbola la bandera de una web abierta, pues esto no le ha sentado bien a muchos. Primero lo primero: ¿qué es EME? es una especificación del W3c que indica como reproducir vídeo usando HTML5 a través de un módulo llamado CDM o Content Decryption Module, que es el que implementa la funcionalidad DRM…este CDM es propietario y no se especifica en detalle, y apenas y se detalla una API de JavaScript para accesarlo. La tecnología de este CDM viene de Adobe, y como muchos de ustedes saben, si hay una compañía que puede ser considerada hostil hacia lo gratuito y open source, pues no vayan mas lejos que con Adobe…y Oracle por supuesto, pero esa es otra historia. Ahora bien, Mozilla se enfrentó a una posición incómoda: por un lado, hacerla de insurgente y luchar contra la corriente no implementando el CDM y dejar que sus competidores lo rebasen (pues sus usuarios si podrían ver contenido que los de FireFox no), o bien implementarlo. Muy a su pesar, Mozilla ha optado por lo segundo: implementar la especificación EME en FireFox, pero con algunos detalles. Primero que nada, el CDM se ejecutará sobre un sandbox, el cual proveerá la información de identificación de dispositivo que requieren los esquemas de DRM para casar contenido con tu dispositivo, de modo que el CDM no tenga conocimiento de lo que pasa en tu equipo. Vale la pena mencionar que este sandbox de Mozilla será open source por lo que podrá estar abierto al escrutinio de Adobe y del público en general…pero para los que piensen en modificarlo, malas noticias, pues no será tan fácil debido a que Adobe tiene un mecanismo de validación de dicho Sandbox que funciona basado en oscuridad, es decir, nadie sabe como funciona. Pero funciona. Y si lo tocas, adiós sandbox, y adiós soporte para este DRM; y también vale la pena mencionar que todo esto es, tristemente, legal.

Por un momento me pongo del lado de Mozilla y pienso que están en una posición difícil; FireFox ya no es el navegador pequeño y luchón que era al inicio, que fue más el inicio de un movimiento que otra cosa; ahora es un navegador establecido con muchos millones de usuarios, y nos guste o no Mozilla pensó primero en conservar su base instalada, y la única salida para lograr esto era dando el brazo a torcer, e implementar la especificación EME; y creo que hicieron lo correcto, que es implementar esta especificación a su manera. Creo que Mozilla se está esforzando por tratar de pasar por el pantano y ensuciarse al mínimo de lodo, y de paso ensuciar a todos sus usuarios. Creo que es un esfuerzo loable, y al menos a mi me parece congruente con lo que representa FireFox.

Mega: ¿el nuevo paraíso de la privacidad y piratería?

Siluetas de MEGA (tomado de Forbes.com)

¿Quién no sabe del lanzamiento de MEGA a estas alturas? vamos, el evento súper exagerado, realizado al mismo momento que fue realizado el allanamiento del FBI a la mansión de Kim Dotcom un año atrás, todo para lanzar el clon de su producto anterior, MegaUpload. Al poco tiempo de apertura ya habían 250,000 registros, consumiendo de 0 a 10 gigabytes de transferencia en 10 minutos, luego un millón de registros, luego MEGA-fail y el servicio se cayó por tanta demanda…pero bueno, MEGA ya está andando de nuevo para todos los taringeros usuarios desesperados por subir sus “respaldos” de información. De todo esto hay varias cosas que llaman la atención: el slogan de la empresa, el cual es “La compañía de la privacidad.” ¿A que se debe esto? bueno, en particular a la forma en que funciona este nuevo MEGA: de acuerdo con lo que dicen, ni el mismo MEGA no sabrá que es lo que subes a su servicio, gracias al mecanismo de encriptación que usan: todos los archivos y folders están encriptados simétricamente (lo que significa que se usa una misma llave para encriptar y desencriptar la información) en AES-128, un estándar de encriptación bastante usado; la llave usada se genera al inscribirse en el servicio, y a su vez se encripta con tu password; es decir, pierde tu password  y dile adiós tus archivos, pues perderás también tu llave.

Hasta aquí podrá parecer que todo es bastante seguro, pero aún hay más.

MEGA tiene todavía más seguridad: cuando te registras, se te crean las llaves pública y privada RSA de 2048 bits, mismas que se usan en un sistema de criptografía asimétrica (también llamado de llave pública), usado para la comunicación entre el servicio MEGA y los usuarios. En los mecanismos de criptografía asimétrica, como mencioné antes, se crean dos llaves: una pública y una privada. La pública la tiene cualquiera que quiera enviarte algún contenido encriptado, el cual desbloquearás con tu llave privada, o viceversa. Por supuesto, la llave privada es sólo tuya y de nadie más. Todo bien hasta aquí, y sigue pareciendo seguro.

Pero, como otros que saben mucho más han notado prontamente, la generación de dichas llaves RSA no se hace como debiera ser; la cosa es que gran parte de los métodos criptográficos dependen de la generación de números primos, y desafortunadamente, las computadoras actuales (con tecnología actual y comercial) no son capaces de generar números aleatorios reales, a lo mucho generan números pseudo-aleatorios, lo cual no es bueno para métodos criptográficos, pues introducen debilidad en las llaves generadas…en este caso, las de RSA. Un método para brincar este problema es añadir un componente extra llamado entropía, el cual a grandes rasgos se usa para medir la cantidad de información en un conjunto dado de símbolos; en el caso de la generación de claves RSA, a más entropía, más aleatorias serán las llaves generadas. En el caso de MEGA, esto se hace – supuestamente – al mover el ratón y teclear, pero no se especifica en que momento hacerlo. Para cuando avisa, muchos ya dejaron de mover el mouse y también de teclear…el resultado de esto podrían ser llaves débiles, susceptibles a ataques, como por ejemplo, suplantación de identidad, lo cual sería simplemente terrible.

Sigue leyendo

¿Es posible identificar psicópatas por sus tweets?

Norman Bates de Psycho

Investigadores presentarán los resultados de una investigación interesante en el marco de las conferencias de seguridad DefCon 20; el identificar a potenciales psicópatas por el contenido de sus tweets. Antes, un poco de antecedentes: de acuerdo con un estudio del 2011 se estableció que hay un patrón entre los psicópatas y el lenguaje que usan; de aquí que a algunos investigadores se les ocurriera aplicar el estudio a las redes sociales de modo que se pudiera ayudar a las agencias de seguridad a identificar rasgos de potenciales psicópatas. Para lograr esto, se comparó una auto valoración de tres razgos “obscuros” que son psicopatía, maquiavelismo y narcisismo con otros cinco razgos personales que con apertura, conciencia, extraversión, amabilidad y nivel de neurosis con la información de Twitter. Para este estudio usaron una muestra de 2,927 participantes, entre los cuales se encontraron relaciones estadísticamente significativas entre los razgos más obscuros de tales personas y su actividad en Twitter, al igual que identificaron relaciones entre la actitud del usuario hacia la privacidad, sus razgos personales y su uso de Twitter. Suena por demás interesante que presentarán los enfoques técnicos para recolectar, almacenar y analizar los datos de Twitter con herramientas open source, así como también discutir los problemas éticos, de privacidad y de derechos humanos relacionados con el análisis de datos de medios sociales.

Vale la pena mencionar otros datos importantes del estudio, como por ejemplo que el set de datos obtenido se procesó en Kaggle, un lugar donde científicos de datos compiten para crear modelos predictivos, pero a estos se les dieron datos convertidos – es decir, los datos de Twitter se conviertieron en puntos de datos, 337 para ser exactos. Estos puntos significan características linguísticas, puntuaciones de Klout, frecuencia de tweets y otros más, esto supongo fue hecho con miras a “anonimizar” la información de modo que los investigadores no tengan idea de que representa cada número más allá de lo necesario. Luego de esto, el set de datos de Twitter se partió en dos: el primero se usó para hacer ingeniería inversa sobre la valoración personal, y luego construir un modelo que correlacione los datos de Twitter con las puntuaciones que recibieron los usuarios en los tests de personalidad. Estos modelos predictivos se usaron en el segundo set de datos para ver cual predecía mejor las puntuaciones obtenidas por los usuarios de Twitter en sus pruebas.

Por supuesto este método no es completamente 100% confiable, como todo lo que es basado en estadísticas; sin embargo uno de los que lo expondrán en el DefCon dice que con aprendizaje por computadoras se podría incrementar significativamente la predicción. Por ahora, si se usara este método quizás hasta a mi me agarraría la policía, a juzgar por este tweet mío:

Cuando que fue una broma inspirada por una línea de una película sobre Manuel Noriega. Si, ya sé, mala idea. Pero la tecnología y su capacidad de procesamiento está avanzando tremendamente, y de hecho ya se hacen estudios sobre medios sociales en la actualidad, aunque por ahora creo que no es lo mejor aplicar métodos como este, en particular debido a que, al menos en Twitter, muchos usuarios lo usan como si fuera Second Life, es decir, muchas cuentas son el realidad el alter ego de sus usuarios, lo que quisieran ser en la vida, ya sea un matón, un tipo rudo, una adicta al sexo o un cínico, y debido a que están dentro de un papel, difícilmente se les podrá analizar correctamente: aquí es donde entrarían las computadoras para analizar patrones y poder determinar al mentiroso del que habla en serio.

Como yo en el tweet anterior. :sqwhat: ¡ja! es broma, última vez que lo hago.

Nuevo malware Flame es el más sofisticado hasta ahora

Diagrama de ataque de Flame (tomado de artículo de Kaspersky)

La empresa Kaspersky encontró lo que parece ser un nuevo malware llamado Flame, completamente distinto a todo lo que se conoce hasta ahora y al que llaman “el arma cibernética más compleja jamás liberada.” (hey, son una empresa que fabrica un antivirus, que querían que dijeran). Tristemente, Flame al parecer tiene exclusividad para Windows.Este malware Flame tiene varias características en común con los anteriores Duqu y Stuxnet, este último que se usó para sabotear controles industriales ligados al controversial programa nuclear de Irán; al igual que estos dos últimos, se cree que Flame forma parte de las guerras cibernéticas que se libran en Oriente Medio. Pero vamos de regreso a Flame: la complejidad de este viene debido a varias características que tiene, como por ejemplo el hecho de que es un conjunto de herramientas (es modular), donde cada herramienta tiene una tarea en particular, llámese husmear en el tráfico de la red, capturar pantallas, grabar conversaciones desde el micrófono de la computadora comprometida, interceptar el teclado y muchos otros más: toda esta información queda a disposición de varios servidores de los atacantes, los cuales si lo desean pueden integrar más módulos para hacer más eficiente a Flame; de acuerdo con Kaspersky, hay unos 20 módulos identificados, aunque se desconoce el propósito de todos.

Otra característica atípica de Flame es su gran tamaño: los componentes de Flame pueden llegar a sumar 20 MB entre ellos, y tan solo uno tiene tamaño de 6 MB. También hace uso de una máquina virtual de Lua, un lenguaje que es una extraña opción para este tipo de malware. Y también usa bases de datos locales cortesía de SQLite, con varias consultas empotradas directamente en el software, así como diversos métodos de encriptación, algoritmos de compresión, manipulación a través de scripts de Windows Management Instrumentation (WMI), manipulación del micrófono, uso de dispositivos BlueTooth (incluso como balizas o un punto de distribución, y muchas otras joyas.

¿Qué es lo que hace Flame?

Básicamente, robar información a través de muchos canales: graba audio y lo almacena en formato comprimido, tiene la habilidad de capturar pantallas, incluso captura pantallas de aplicaciones “interesantes” como mensajeros instantáneos. Toda esta información se envía a los servidores de los atacantes a través de canales SSL. Cabe aclarar que todo esto es preliminar y aún se está analizando…lo cual por cierto puede tardar algo: Kaspersky tardó meses en analizar el código de Stuxnet, y sólo eran 500 KB.

Sigue leyendo

Twitter apaga TweetDeck debido a un error de seguridad

Tecla de Twitter (tomado de Mashable)

Seguro a estas horas te debes haber dado cuenta que no puedes accesar usar TweetDeck por más que hagas; aparentemente el servicio fue apagado temporalmente por Twitter debido a un error de seguridad que permitió que una persona llamada Geoff Evanson pudiera accesar cientos de cuentas debido a un error que ni siquiera tuvo que explotar. A pesar de que Twitter sólo ha dicho que está investigando la situación, al parecer si es un problema severo, pues tiene horas que el servicio no ha sido levantado.

Que triste. Bajo la batuta de Twitter, TweetDeck sólo ha ido empeorando con el paso del tiempo.

El fiasco iWiks: crónica de una muerte anunciada

Seguramente muchos de ustedes sabían de iWiks, una red social mexicana que se decía iba a ser “la evolución de las redes sociales“, y que se lanzó el día de hoy. Tristemente, muchos nos enteramos (algunos desde hace tiempo) que no era, por mucho, la revolución que su hablador CEO quiso que todos pensaran: no aguantó ni siquiera la entrega, pues sufrió diversos problemas, los más graves de ellos siendo de seguridad. Todo esto ocasionó que iWiks cerrara sus puertas temporalmente en horas. Este es un recuento de lo que ha pasado con este fiasco llamado iWiks:

Antecedentes

Para los que no lo conocen (aclaro que yo no lo conocía hasta hace tres días), iWiks es un proyecto de estudiantes de la Universidad Xochicalco de Tijuana, proyecto que les tomó dos años desarrollar, y entiendo que su objetivo era fusionar tres aspectos: completa privacidad, perfil público y comercio electrónico. De alguna manera lograron conseguir publicidad significativa, y aparecieron incluso en televisión; se permitieron registros con antelación, y según sé la cuenta de preregistrados rebasó los 50,000, que se suponía serían los primeros en subirse al tren de la evolución, mismo que no sabía descarrilaría a unas horas de haber arrancado. Cabe mencionar que se anunció como la primera red social de México, garrafal error puesto que no lo son.

Que empiecen los problemas

Como mencioné antes, el “tren de la evolución” empezó a descarrilarse de fea manera. Para empezar, no sé ustedes que piensen, pero el diseño es atroz. Sólo basta ver el formulario de registro:

Claramente, esto es un indicio de lo que verías cuando entraras; es exactamente lo opuesto a lo refinado que es la web hoy en día; tristemente, ni siquiera se tomaron la molestia de traducir los meses. Pero el diseño, si bien es atroz (y lo es), se puede pasar por alto, pues nadie ha muerto por un botón feo o un formulario desalineado. Los verdaderos problemas son de seguridad, y ya estaban presentes incluso antes de que abriera este sitio, pues muchos de los errores son verdaderamente de amateur; no voy a repetir lo que ya se ha dicho, los que quieran conocer a fondo los múltiples y estúpidos problemas de seguridad lo pueden hacer en el blog de Puchunguis, conocido mío por cierto. Por otro lado, recordemos que una de las características de iWiks es la “completa privacidad“: lástima que por ningún lado apareció su política de privacidad, luego jamás nos enteramos de como iban a llevar a cabo su plan. Para colmo de males, por más que cacarean en sus vídeos como es que iWiks es una idea nueva, por ningún lado explican cual es su factor diferenciador de FaceBook, Twitter, y el mismo eBay, plataformas que pretenden emular e integrar. ¿Porqué demonios debería de registrarme en iWiks y no en FaceBook? ¿van a tener una oferta tan vasta como la de eBay? es decir, ¿cuál es su estrategia? la respuesta es que nadie lo sabe, ni siquiera ellos mismos.

Sigue leyendo

Cómo eliminar el gusano Stuxnet de tu PC

En caso de que no lo conozcas, el gusano Stuxnet es un malware del que se supo por ahí de junio de este año, el cual de acuerdo con varios investigadores que se encargaron de diseccionarlo tenía la meta de infectar redes industriales que ejecutaran el software WinCC de Siemens. Desgraciadamente, debido a su naturaleza todas las PCs con Windows eran vulnerables al ataque, y aunque en su momento se publicaron parches rápidos, no fue suficiente para eliminar la diseminación de este gusano. Por cierto y ya que estamos en el tema, el día de hoy Microsoft lanzó varios parches, uno de ellos afortunadamente repara esta vulnerabilidad, así que apenas veas el aviso de actualización aplica estos parches tan pronto como puedas.

El gusano Stuxnet aprovecha una vulnerabilidad de Windows para entrar en acción sin ejecución de archivos de por medio, y cuando lo hace instala dos rootkits y un backdoor en tu sistema. Algunos antivirus no lo detectan, así que si quieres asegurarte que no pescaste una infección por Stuxnet, puedes descargar la Herramienta de Eliminación de Stuxnet creada por BitDefender, la cual es gratuita, compatible con Windows de 32 y 64 bits, y elimina todas las variantes conocidas de Stuxnet. Aparte, es portátil, por la que la puedes llevar en tu memoria USB y verificar varios equipos sin esfuerzo.

Fuente: gHacks

Porqué no deberías distraerte por tus gadgets en la calle o manejando

Estos dos casos quizás ayuden a que cuando vayas en la calle, caminando o en auto, te fijes menos en tus gadgets, sean iPod, smartphones, celulares o lo que sea que lleves. El primer caso (bastante triste por cierto) es el de Caesar Muloki, un jóven que tratando de cruzar unas vías de tren fue arrollado; el conductor del tren quizo advertirle mediante accionando el claxon, pero Muloki no escuchó el sonido debido a que llevaba puesto su iPod, presumiblemente a un volúmen bastante elevado. Tan solo por salud auditiva no es recomendable escuchar un reproductor digital a volúmenes altos, y como el caso antes mencionado demuestra, tampoco es bueno porque te resta atención de tu entorno. El otro caso es conocido por todos: el texting y hablar por teléfono, ambos mientras se conduce; sólo en los Estados Unidos la estadística del 2001 al 2007 dice que han muerto más de 16,000 personas, de los cuales un número alarmante es por debajo de los 30 años, cifra que va creciendo año con año. Y aunque las cifras anteriores son aplicables a Estados Unidos, en México no creo que estemos mejor: en la ciudad donde vivo todo el tiempo veo a personas de todas las edades hablando por teléfono o enviando mensajes mientras conducen; es fácil saber quién está viendo su celular, aunque lo quieran ocultar. Y de esos que te encuentras, digamos 10, la mitad o un poco más hacen alguna estupidez (aparte de llamar y textear al conducir) que te afecta de alguna forma.

Puede parecer trillado e incluso hasta cursi, pero la realidad es que llamar por teléfono y/o textear mientras conduces es una tontería…no, mejor estupidez, que te puede costar mucho más caro de lo que piensas. No lo hagas. No vale la pena arruinar tu vida o la de los demás.

Entradas anteriores