Tomando el control de un Windows 7

windows-7-hackInvestigadores en seguridad acaban de demostrar como tomar el control de un ordenador que ejecuta el sistema operativo Windows 7.

Lo peor de todo es que el exploit se aprovecha de un fallo en el diseño del sistema operativo, al asumir que el proceso de arranque es seguro ante ataques, por lo que “no se puede parchear“. Lo “bueno”, que el atacante tiene que tener acceso físico al sistema atacado: la intrusión no puede ser llevada a cabo de forma remota.

Por ahora el exploit usado, denominado VBootkit 2.0, era sólo una “prueba de concepto”.

El sistema fue presentado en la “Hack In The Box Security Conference (HITB)” en Dubai el jueves pasado.

Más información en NetworkWorld y en Slashdot.

Reconocimiento facial en escuelas británicas

reconocimiento facialEn el Reino Unido están empezando a implantar sistemas de reconocimiento facial para el acceso y para la salida de las escuelas.

La máquina, situada en la entrada del centro, se encarga de validar y registrar de forma segura a cada uno de los usuarios que entran o salen del centro, tal y como se puede ver en este vídeo.

El sistema, que tarda 1,5 segundos en actuar, escanea el rostro de la persona, mediante un lector de infrarojos, y lo compara con los registros almacenados en una base de datos.

Las ventajas que presenta este sistema son claras:

  • Control de las personas que se encuentran en el edificio, que puede ser interesante para infinidad de tareas (control de asistencia a clase de forma automática, seguridad en caso de incendios, al poder saber qué personas se encontraban dentro de las instalaciones,…).
  • Ahorro del tiempo que gastan los docentes u otro personal en “pasar” lista, que pueden invertir en su trabajo real: enseñar y formar al alumnado.

En su contra, varios factores:

  • Coste del producto, de su instalación y mantenimiento.
  • Tiempo invertido en el reconocimiento, ya que, además de lo que tarda la máquina en reconocer al usuario, éste tiene que interactuar con el sistema mediante una pantalla táctil, con lo que es posible que en horas “punta” se produzcan colas en las zonas de acceso, con la consiguiente pérdida de tiempo.
  • Problemas acarreados por la similitud de dos individuos: gemelos,…
  • Problemas de disponibilidad en caso de accidentes, incendios,… dende el punto de vista de poder conocer qué usuarios se encontraban en el edificio, ya que si se ven afectadas las propias máquinas, habría que implantar sistemas redundantes en instalaciones externas, con el consiguiente coste de mantenimiento.

Un asunto interesante, a la vez que polémico.

Merece la pena echarle un vistazo a los comentarios de los usuarios de Slashdot.

La noticia original en Cambridge News Online.

Prohibidas las máquinas de votación electrónicas en Alemania

vote-machine

La Corte Federal Constitucional Alemana acaba de declarar ilegal el uso de las máquinas de votación electrónica Nedap ESD1 and ESD2 usadas en las elecciones estatales del 2005.

La causa que argumenta el tribunal es que contradice el principio de elección pública; es decir, que los votos puedan ser contados en público: el principio de transparencia.

El tribunal no declaró las máquinas ilegales por si mismas, si no que lo que consideró ilegal es el propio proceso, ya que no es posible verificar los resultados una vez que fueron emitidos. El procedimiento para verificar el funcionamiento se basó en la toma aleatoria y verificación de muestras.

Como es habitual en este tipo de máquinas, el código fuente no es público, por lo que no puede ser auditado por cualquier ciudadano.

A pesar de todas estas irregularidades, los resultados de la elección se declararon válidos, aunque de poco habría servido declararlas inválidas y convocar nuevas elecciones, ya que éstas se convocan este mismo año.

Vía Slashdot.

Kevin Mitnick, de “promoción” en Madrid

kevin-mitnick

El famoso hacker Kevin Mitnick acaba de pasarse por Madrid a impartir una conferencia sobre Ingeniería Social en la Casa de la Moneda, donde también se presenta el Cluster de Seguridad de la Comunidad de Madrid.

Aprovechó el paso para responder unas preguntas en un encuentro virtual en el periódico “El Mundo“.

Creo que las preguntas eran las típicas a las que está acostumbrado a contestar, por lo que no aportó nada nuevo, aunque dejó un par de detalles que me resultaron “curiosos”:

¿Qué Sistema Operativo usa? Leopard.
…Las empresas tienen mayores beneficios y, por supuesto, no podría vivir sin mi iPhone.

Al menos, peculiar.

Cómo echar por tierra el sistema de seguridad de un banco

Seguro que el Bank of New York Mellon Corp se gasta una candidad ingente de dinero en seguridad informática, pero hacen copias de seguridad en cintas sin encriptar y las envían por paquetaría.

Resultado: los datos de 4,5 millones de clientes, perdidos, en manos del que los encuentre.

No comment.

Más información en Kriptópolis.