Thursday, March 11th, 2010
Inteco publica un documento introductorio (PDF, 15 páginas) sobre esteganografía, o lo que es lo mismo, la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto.
Es un documento de fácil lectura, rápida (son 15 hojas que se leen de una tacada) y muy intructivo, ya que introduce al lector en la esteganografía, sus orígenes e historia, sus fundamentos teóricos, muestra ejemplos de cómo funciona el sistema en imágenes (y como se detecta) y muestra aplicaciones curiosas de la esteganografía, que van desde su uso mediante cabeceras del protocolo TCP/IP hasta control del malware, pasando por las marcas de agua digitales.
Es interesante saber que no siempre se aplican a imágenes, ya que cualquier medio es válido (audio, video, ejecutables, etc.) y que su uso no siempre está relacionado con fines poco éticos, ya que puede ayudar en campos como la medicina, la protección de menores,…
Por último, resaltar que suele ir combinado con el uso de criptografía, con el fin de alcanzar un nivel de seguridad razonable: la esteganografía oculta que la conversación se está manteniendo, mientras que la criptografía garantiza la confidencialidad de la conversación.
Un documento interesante y de lectura recomendada.
Tuesday, March 9th, 2010
Interesante aportación, como de costumbre, de fernand0 en su blog más técnico, en el que habla sobre una recopilación de aplicaciones web vulnerables destinadas al aprendizaje y a la práctica con las principales vulnerabilidades en entorno web.
Monday, March 8th, 2010
Un par de semanas atrás comentaba en un artículo las razones por las que creía que el sistema de protección “antipirateo” del juego Assassin’s Creed 2 funcionaría. Pronto aparecerían noticias del supuesto compromiso de este sistema, desmentidos, parece ser, por la propia gente de Ubisoft:
La gente de Ubisoft se ha puesto en contacto con nosotros y nos ha comentado que estos rumores son falsos y que las versiones crackeadas que circulan por la red no están completas y el juego no puede acabarse con ellas. Esto me recuerda a lo ocurrido con Batman: AA y lo que pasaba con las versiones de Jack Sparrow. Así que tildamos esta noticia como rumor y, aunque nos alegra que parece ser que no se ha podido piratear el juego, seguimos sin apoyar la política antipirateria de la que ya os hemos hablado anteriormente.
Finalizaba mi artículo con una pregunta vital:
Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.
Pues mi suposición parece ser que no era del todo correcta, ya que leo que los servidores de autentificación han estado caídos el 7 de marzo. Queda claro que, excepto que respaldes la infraestuctura crítica con una empresa con gran capacidad, del estilo de Akamai, Amazon,…no puedes arriesgar la viabilidad de un servicio cuyo uso impones a tus clienes, en este caso, a los compradores de una copia de tu juego.
Actualización: Parece ser que la caída fue fruto de un ataque.
Wednesday, March 3rd, 2010
Acabo de ver una sección que desconocía, pero que me parece interesante, por lo que la comparto aquí. En la web del “Instituto Nacional de Tecnologías de la Comunicación” disponen de un portal de formación online gratuita, con cursos cuya duración va desde 1 hasta 2o horas.
Las áreas temáticas se dividen en 3:
- Área de Seguridad TIC/eConfianza
- Centro de Excelencia XBRL
- Laboratorio Nacional de Calidad del Software
Para inscribirse en algún curso simplemente hay que registrarse en la plataforma de INTECO.
Wednesday, March 3rd, 2010
Interesante post, en el que RafalLos, del equipo de seguridad de HP, detalla paso a paso cómo un grupo de clientes pasan de ser totalmente excépticos con los ataques por inyección SQL, una de las principales técnicas de compromiso de aplicaciones web, a ser conscientes del peligro que entraña. Buena técnica comercial.
Vía Slashdot.
Saturday, February 27th, 2010
Unos días atras saltaba la noticia de que el juego “Assassin’s Creed 2″ dispondrá de un nuevo sistema de protección, que necesitará de una conexión permanente a Internet para poder jugar, ya que al arrancar el juego realizará una conexión a los servidores del fabricante, y, si en un momento determinado se corta la conexión, el juego se bloquea y el jugador pierde todo el progreso del juego. Además, como medida de seguridad extra, el progreso del juego se almacena en los servidores del fabricante, Ubisoft.
El método tiene bastantes desventajas para un usuario legítimo, ya que sufriría las consecuencias de este sistema de protección en caso de disponer de una conexión de baja calidad o si se produce una caída de los servidores del fabricante. Es un método de protección que no va a dejar indiferente a ningún jugador cuando salga al mercado.
Jeff Vogel, desarrollador de juegos, analiza en su blog las razones por las que funcionará este sistema de protección, desde el punto de vista de un cracker que intenta romper la protección.
Los métodos de cracking se basan, de una forma simplificada, en la modificación del archivo binario allí donde éste lleva a cabo la comprobación. Pero estos sistemas son válidos para programas/juegos convencionales, no para aquellos que almacenan datos en un servidor remoto, y que necesitan, por lo tanto, comunicarse con aquél.
Los métodos de ataque que propone para este nuevo tipo de protección son varios:
- Escribir un servidor que emule a los de Ubisoft y, a la vez, modificar el juego original. Es un trabajo bastante complicado y que puede llevar varios meses. Además, para el futuro jugador, su instalación puede volverse complicada, ya que tendría que instalar el servidor, instalar el software crackeado y configurar todo.
- Engañar a los servidores de Ubisoft, haciéndoles creer que dispones de una copia válida. Es poco probable que un sistema de generación de claves funcione a medio plazo, con lo que tampoco sería un método válido. Lo mismo ocurriría con claves duplicadas, que acabarían por ser desactivadas.
- Crackear el juego, de tal forma que no necesite ser guardado en los servidores remotos. Es también un trabajo difícil, que llevaría varios meses completarlo.
Los métodos que “podrían” funcionar tardarían meses en ser implantados, con lo que el juego llevaría vendido un número considerable de copias, asegurando su éxito en ventas, siempre y cuando los clientes no respondan demasiado mal a un sistema de seguridad tan agresivo.
Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.
Friday, February 26th, 2010
INTECO, el Instituto Nacional de Tecnologías de la Comunicación, acaba de hacer públicos los resultados del Estudio sobre el fraude a través de Internet, que analiza la evolución del fenómeno desde 2007 hasta septiembre de 2009.
El informe describe, desde la óptica del usuario de Internet, la evolución de las situaciones relacionadas con el fraude electrónico desde 2007 hasta el tercer trimestre de 2009, y el impacto que dichas situaciones han tenido sobre el usuario, tanto a nivel económico como en el grado de e-confianza.
El diagnóstico se completa con la información procedente del Repositorio del Fraude Electrónico, que recopila información técnica a partir de los incidentes detectados por INTECO.
Wednesday, February 24th, 2010
En el blog del “FireEye Malware Intelligence Lab” describen dos nuevos métodos de robo bancario mediante troyanos, bastante sofisticados. Ambos métodos se basan en un troyano que, tras instalarse aprovechando un fallo de seguridad del navegador o la instalación de algún software aparentemente no dañino, intercepta la comunicación entre el navegador y el banco, sin que el usuario sea consciente de este hecho.
El primer tipo de robo, llevado a cabo por el troyano Zeus/Zbot, se basa en un elaborado método que intercepta y envía a un usuario externo un código, válido durante 2 minutos, que recibe el usuario auténtico a través de un SMS la primera vez que accede desde un equipo informático a su cuenta bancaria. El troyano, en comunicación con una persona en otra ubicación remota, logra validar el equipo de esta tercera persona, momento a partir del cual puede realizar el robo bancario, mediante una transferencia a otra cuenta.
El segundo tipo de robo, llevado a cabo por el troyano URLZone, intercepta las comunicaciones que tienen lugar entre el navegador del usuario y el banco al realizar una transferencia bancaria, cambiando la cuenta bancaria destino por otra distinta, a través de la que se perpetra el robo. El usuario legítimo nunca percibe este hecho, ya que la dirección se cambia tanto en el camino de ida hacia el banco con en el camino de regreso.
Usuario legítimo Troyano URLZone Banco
Transferencia hacia la cuenta legítima —> [Modificación de la solicitud] —> Transferencia a otra cuenta distinta
Fondos transferidos a la cuenta legítima <— [Modificación de la respuesta] <— Fondos transferidos a otra cuenta
Cabe comentar que este tipo de acciones suelen ser llevadas a cabo a través de cuentas intermedias, de personas que perciben una pequeña comisión por ello, pero que la mayoría de las veces ni siquiera saben qué están haciendo.
Estamos asistiendo a nuevos métodos de obtención de información bancaria, acceso a las cuentas y robo mucho más sofisticadas que las tradicionales, como el phising, de las que la mayoría de usuarios no están a salvo, debido a la transparencia con la que actúan estos troyanos y a la facilidad de acceso a nuestro sistema, al usar exploits “0-day” o fallos de seguridad que muchos usuarios aún no tienen parcheado. No podemos considerar ningún equipo seguro. En una entrada futura trataré de bosquejar los métodos de protección ante este tipo de amenazas.
Imagen CC-by-nc-nd de Micah A. Ponce.
Thursday, April 23rd, 2009
Investigadores en seguridad acaban de demostrar como tomar el control de un ordenador que ejecuta el sistema operativo Windows 7.
Lo peor de todo es que el exploit se aprovecha de un fallo en el diseño del sistema operativo, al asumir que el proceso de arranque es seguro ante ataques, por lo que “no se puede parchear“. Lo “bueno”, que el atacante tiene que tener acceso físico al sistema atacado: la intrusión no puede ser llevada a cabo de forma remota.
Por ahora el exploit usado, denominado VBootkit 2.0, era sólo una “prueba de concepto”.
El sistema fue presentado en la “Hack In The Box Security Conference (HITB)” en Dubai el jueves pasado.
Más información en NetworkWorld y en Slashdot.
Friday, March 6th, 2009
En el Reino Unido están empezando a implantar sistemas de reconocimiento facial para el acceso y para la salida de las escuelas.
La máquina, situada en la entrada del centro, se encarga de validar y registrar de forma segura a cada uno de los usuarios que entran o salen del centro, tal y como se puede ver en este vídeo.
El sistema, que tarda 1,5 segundos en actuar, escanea el rostro de la persona, mediante un lector de infrarojos, y lo compara con los registros almacenados en una base de datos.
Las ventajas que presenta este sistema son claras:
- Control de las personas que se encuentran en el edificio, que puede ser interesante para infinidad de tareas (control de asistencia a clase de forma automática, seguridad en caso de incendios, al poder saber qué personas se encontraban dentro de las instalaciones,…).
- Ahorro del tiempo que gastan los docentes u otro personal en “pasar” lista, que pueden invertir en su trabajo real: enseñar y formar al alumnado.
- …
En su contra, varios factores:
- Coste del producto, de su instalación y mantenimiento.
- Tiempo invertido en el reconocimiento, ya que, además de lo que tarda la máquina en reconocer al usuario, éste tiene que interactuar con el sistema mediante una pantalla táctil, con lo que es posible que en horas “punta” se produzcan colas en las zonas de acceso, con la consiguiente pérdida de tiempo.
- Problemas acarreados por la similitud de dos individuos: gemelos,…
- Problemas de disponibilidad en caso de accidentes, incendios,… dende el punto de vista de poder conocer qué usuarios se encontraban en el edificio, ya que si se ven afectadas las propias máquinas, habría que implantar sistemas redundantes en instalaciones externas, con el consiguiente coste de mantenimiento.
- …
Un asunto interesante, a la vez que polémico.
Merece la pena echarle un vistazo a los comentarios de los usuarios de Slashdot.
La noticia original en Cambridge News Online.
