Hace unos meses les contaba como crear una contraseña más segura con algunos consejos sencillos, pero ¿qué tan segura es una contraseña segura? (valga la redundancia). Son varios los factores que determinan el tiempo en que se puede resolver una contraseña usando fuerza bruta, pero lo determinante:

• Más de 8 caracteres.
• Usar mayúsculas, minúsculas, números y símbolos.

Las diferencias son impresionantes, usando un ordenador relativamente rápido (con una conexión de banda ancha) intentando crackear una contraseña de 8 caracteres que solo usa letras en minúscula, tardarías 2.42 días, pero si agregas una letra en mayúscula y un “*” el tiempo aumentaría a: ¡2.10 siglos! y si aumentas 1 caracter más (por ejemplo “@” o “%”) se requerirían 20 milenios.

Al final tomar medidas de seguridad para mantener tus datos privados y seguros no son tan complicados ni costosos.

Enlace: Descubre la complejidad de tu contraseña

Ya he hablado del mal gusto que resulta el acumular contactos de una red social como si de postales coleccionables se tratara. Hoy en día, sea en Facebook, MySpace o incluso Flickr, la gente pide ser agregada sin discriminación y otros tantos, buscando llenar alguna necesidad propia, aceptan y acumulan a gente desconocida entre sus contactos.

Esto es un agujero de seguridad en sí mismo: normalmente en esos lugares hay fotos, datos y detalles muy importantes y personales de más de uno, que pueden quedar a la vista de gente que no desearíamos que lo hiciese, o incluso, pueden ser reunidos con fines comerciales.

Las opciones son claras: no subir datos relevantes a estos sitios o agregar a la gente que realmente conoces o quieres que te conozca. Sino vean lo que le pasó al hijo del gobernador de Tabasco (México), que apareció en portada de un periódico mientras viajaba con su novia en el avión oficial del gobierno del estado, provocando un escándalo político. Sí, unas fotos de Facebook.

No será la primera vez que una red social airee los trapos sucios de más de uno, que no sabe que en esos sitios son observados constantemente. Así que cuiden los contactos… o lo que publican en sus cuentas. Yo sé de más de uno a los que tienen convenientemente trackeados a través de Twitter e incluso por lo que publican en su blog. Y es que la vida digital cada vez es más pública.

Alec Saunders, CEO de iotum, entre otras cosas los creadores de una aplicación de videoconferencias para Facebook escribe una columna de invitado en GigaOM donde propone un manifiesto de privacidad en la era del Web 2.0 caracterizada por recoger muy grandes cantidades de información personal. Tres eventos, incluyendo el caso de Robert Scoble y Facebook lo animan a escribir un manifiesto de privacidad en la era del Web 2.0.

Es una gran lectura y me tomo la libertad de traducirlo:

1. Cada usuario tiene el derecho de saber qué información privada está siendo guardada. Esto deja fuera cualquier esquema secreo de recolección de datos, o de métodos de monitoreo no aceptados por el usuario. También elimina cualquier esquema de publicidad que se basa en el uso de cookies en discos duros sin previa aceptación por el usuario.

2. Cada usuario tiene el derecho de saber para qué se guardan datos, antes de que se los pidan. Las empresas deben dejar claro qué intentan y no dar excusas después. Límites razonables deben ser impuestos en la recolección de datos e información personal y estos deben tener consistencia con el objetivo final de dicha recolección de datos. Además se debería prohibir la práctica de decir que los términos de uso pueden ser modificados, sin aviso previo, en cualquier momento. Si las empresas que recogen datos quieren cambiar sus términos de uso deben de obtener permiso de los usuarios antes de hacer el cambio.

3. Cada usuario es dueño de su información personal. Las empresas no pueden venderla a otros sin previo permiso del usuario quienes podrán pedir la modificación de su información en cualquier momento. Si la información contiene errores debería borrarse de la base de datos.

4. Los usuarios esperan que la información personal sea guardada en sitios seguros. Empleados y otras personas con acceso a dicha información deben mantener los mismos niveles de seguridad y cuidado con los datos.

Cuidar la información de tus usuarios es una responsabilidad adquirida en el momento que la pides.

Enlace: A Privacy Manifesto for the Web 2.0 Era

Aparentemente sí. El caso de uno de los bloggers en UNEASYsilence que usando Little Snitch detectó el intento de conexión de una de las aplicaciones de Adobe CS3 a: 192.168.112.2O7.net un dominio engañoso que pertenece a Omniture, una empresa que analiza los comportamientos de usuarios.

Que una aplicación intente contactar a esa dirección IP podría tener alguna relación con la búsqueda de software que use el mismo número de serie en la red, es decir, una medida básica anti-piratería, podría llegar a ser considerado como normal para algunos (y a duras penas…), pero que se use ese tipo de dominios para engañar a usuarios más experimentados me parece un poco chungo.

Enlace: Lies, Lies and Adobe Spies

Actualización: Una aclaración, a mi cualquier forma de espiar, por más normal que lo consideren algunos me parece una salvajada.

El presidente de la oficina de la policía federal de Alemania hizo unos interesantes comentarios relacionados con la seguridad de encriptación usada por Skype, y es que simplemente no han logrado romper, bajo sospechas de mensajes entre terroristas.

Skype encripta todos los mensajes de texto y todas las conversaciones de voz y video, por lo cual pasar datos “sensibles” puede ser bastante seguro por el momento. Recuerda que no existen sistemas de seguridad perfectos, que siempre habrá una forma de romperlos y que eso de la confianza ciega no siempre es lo mejor.

Enlace: German police chief says Skype is hard to crack

Asterisk Revealer muestra el contenido oculto en cualquier campo de texto de contraseñas (passwords) de una página web. No se trata de una extensión, es un código Javascript que copias y pegas en la barra de direcciones de Firefox y por medio de un popup te revela la contraseña.

Funciona bien para aquellas ocasiones en que guardaste un password para el login de algún sitio pero no recuerdas cuál es.

Enlace: Firefox Asterisk Revealer | Vía: Lifehacker

No solo los hombres pueden verse influenciados por sus pasiones y creencias, resulta que sus ordenadores son una imagen fiel de sus dueños islamistas. O al menos esta es la alarma que quiere levantar McAfee al publicar los datos sobre E-Yihad, un software que recluta las computadoras para luchar en favor de la Yihad:

El rudimentario programa tiene un funcionamiento similar al de los de programas maliciosos (también conocidos como malware) que se instalan sin el permiso de los usuarios en decenas de miles de ordenadores, y los manipulan en beneficio propio, usándolos para reenviar spam (correo no deseado) o cometer todo tipo de actividades delictivas, como los mencionados ataques del tipo DDoS (Denegación de Servicio Distribuida, en sus siglas en inglés).

Según cuenta Francois Paget -uno de los especialistas de la empresa- el programa en sí, no tiene importancia alguna, sino que lo reseñable es lo que demuestra: que hay actividad de grupos terroristas en la red.

Desde luego, no se trata de nada nuevo. Todo lo que existe en el mundo real es fácil de ser extrapolado a la red. Pero no salgan corriendo a comprarse un carísimo y pesadísimo antivirus para protegerse de los señores malos de barba. Hay soluciones gratuitas, y desde luego, menos alarmistas.

Enlace: Cyber Jihad - I’ll say good and quiet November 11 to you | Vía: ADN

Es de esas aseveraciones que te dejan un poco mareado, ¿es un rumor? — ¿es una teoría conspiratoria? — ¿es real? se trata de un artículo en Cryptome que lleva algún tiempo siguiendo la pista de direcciones IP usadas por la NSA (National Security Agency de Estados Unidos) y aseguran que tienen acceso a sistemas operativos y redes ejecutando productos de Microsoft, incluyendo teléfonos móviles. Así de fuerte. Traducción de Kriptópolis:

Los amplios rangos de IP publicados por Cryptome son utilizados por la NSA, por contratistas del sector privado que trabajan con la NSA y por agencias gubernamentales no estadounidenses amigas de la NSA para acceder tanto a sistemas independientes como a redes ejecutando productos de Microsoft. Esto incluye el espionaje de “smartphones” ejecutando Microsoft Mobile. Los privilegios de administración remota permiten utilizar puertas traseras en los sistemas operativos de Microsoft mediante los puertos TCP/IP 1024 a 1030. Esto es disparado con más frecuencia cuando los ordenadores visitan los servidores de actualizaciones de Microsoft. Una vez se han establecido los privilegios de administración remota, los ordenadores pueden ser accedidos de forma remota a voluntad. Algunos fabricantes de cortafuegos y software de detección de intrusos facilitan eso de forma consciente. Detalles más amplios sobre qué fabricantes y sus medios de facilitación no están ahora mismo disponibles, pero serán proporcionados a Cryptome cuando se descubran.

En Kriptópolis que llevan la pista a Cryptome desde hace algún tiempo sospechan que tienen un informador interno dentro de la NSA (y de ahí obtienen los rangos de IP); si esto se hace muy grande, no solo tiran al suelo toda su reputación, seguramente obtendrán una fuerte demanda por parte de Microsoft si esto se hace muy grande.

Toca ver cómo reaccionan los medios a la noticia, por el momento no hay mención alguna según Google News (el resultado puede cambiar cuando esto esté publicado) pero la blogosfera ya está moviéndose con el tema.

Enlace: Latest Updated NSA-Affiliated IP Resources 11

El sistema de CAPTCHA, ese que te hace escribir las letras y números que aparecen en una imagen no es realmente infalible (ningún sistema de seguridad lo es), y descifrarlos siemplemente requiere de pacencia, dependiendo del número de personas que lo haga, el saltarse esa seguridad para crear cuentas de forma automatizada es simplemente una cuestión de tiempo.

La pregunta es cómo, por ejemplo los spammers están descifrando el CAPTCHA de Yahoo! usando personas que no tienen idea que los están ayudando:

1. Personas buscan videos de chicas desnudas, striptease, amateur y similares.
2. El spammer abusa de esa “curiosidad sexual” y pone páginas de descarga de videos, siempre y cuando contestes un CAPTCHA.
3. En realidad lo que estás viendo es el CAPTCHA de Yahoo! Mail, al contestarlo no pasa nada (no descargas ningún video) pero ellos obtienen un correo electrónico más para hacer spam.

¿Es OpenID la solución? tampoco, es necesario crear un sistema estandarizado de identificación, pero que no sea centralizado, ni obligatorio, ni controlado por unos cuantos, ni que atente a la privacidad, o al derecho del anonimato.

Hay un largo camino que recorrer.

Enlace: CAPTCHA Wish Your Girlfriend Was Hot Like Me? | Vía: Seth Godin

La misma agencia de Seguridad en el Transporte de Estados Unidos hace revisiones periódicas a los sistemas de seguridad en los aeropuertos de ese pais, los resultados son un tanto fuertes, demostrando, al menos en parte, que la seguridad impuesta a partir de atentados terroristas es falsa y aún es posible meter explosivos en aviones.

En el Aeropuerto Internacional de Los Angeles el 75% de las veces fue posible pasar los puntos de seguridad con material para armar una bomba en cabina. Los escondieron entre el equipaje de mano, bolsas de aseo y fundas de CDs; en Chicago no les fue mejor: 60% de los intentos, pero en San Francisco las cosas cambiaron solo un 20% de las intentos de filtrar materiales peligrosos fueron positivos.

¿Por qué tanta diferencia? San Francisco utiliza una empresa de seguridad privada, en lugar de los trabajadores de la TSA. Incrédulos, los autores del estudio pusieron a prueba a este aeropuerto 145 veces, en comparación a las 70, de Los Ángeles, y la 75, de Chicago.

¿Es realmente cierto o simplemente San Francisco con menos tráfico y más tiempo para revisar a los pasajeros sin que se pierdan vuelos o conexiones las cosas cambian? — mientras algunos creen que ir a aeropuertos pequeños con menos controles sería mejor, todo indica que es justamente lo contrario. Ese dicho de “al final los terroristas meten lo que quieren a los aviones” va a ser medianamente cierto.

Enlace: Agentes con falsas bombas pasan los controles de aeropuertos de EE UU

SlashID es un nuevo sitio que aparentemente pretende competir contra OpenID, su objetivo es gestionar identidades online, supuestamente más seguro porque encripta contraseñas con una llave que solo el usuario dispone por medio del navegador que está usando.

Al igual que OpenID, el sitio tiene soportarlo para que el usuario pueda aprovechar la seguridad ofrecida, a la larga parecen integrarse mejor al actual concepto de usuario y contraseña, pero siento que centralizar toda tu vida online y darle la llave maestra a un solo proveedor no es la solución.

Aprovechando el tema de la seguridad de tus identidades en línea, me pregunto cuántas contraseñas usan los lectores; en mi caso uso diferentes dependiendo del tipos de servicio o acceso, pero las repito muchas veces, ¿y ustedes?

Con el ya famosísimo filtro o publicación por algún interno en la compañía (aún no queda claro) de los correos electrónicos de Media Defender (no, no fue un hack) no solo se ha comprobado que las discográficas usan el P2P para estudios de mercado, también funcionan como excelentes pruebas de que los grandes estudios pagan a hackers profesionales para que ataquen y saboteen sus servidores lo cual es básicamente ilegal, mientras que compartir archivos en Suecia sigue siendo legal; por ese motivo The Pirate Bay ha decidido demandar a:

• Twentieth Century Fox, Sweden AB
• Emi Music Sweden AB
• Universal Music Group Sweden AB
• Universal Pictures Nordic AB
• Paramount Home Entertainment (Sweden) AB
• Atari Nordic AB
• Activision Nordic Filial Till Activision (Uk) Ltd
• Ubisoft Sweden AB
• Sony Bmg Music Entertainment (Sweden) AB
• Sony Pictures Home Entertainment Nordic AB

Los cargos son sabotaje de infraestructura, ataques de negación de servicio (DoS), hacking, spamming, todos a nivel comercial. Las cosas se ponen muy interesantes.

Considerando que “password y “123456” son las contraseñas más usadas en la red, tal vez es momento de crear una un poco más segura y más difícil de adivinar. Strong Password Generator es un sitio que hace exactamente eso a partir de un par de parámetros que indiques, qué tan larga debe de ser y si puede contener símbolos.

También el sitio da algunos consejos para usar una contraseña más difícil de adivinar o de crackear:

• Debe tener 7 a 14 caracteres debido a la forma en que la encriptación funciona, 14 caracteres es preferible.
• Debe tener caracteres en Mayúscula y minúscula.
• Debe tener números
• Debe tener símbolos como ` ! ” ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ’ ~ # | \ < , > . ? /
• Por la manera en que la encriptación funciona, debe tener un símbolo en la segunda, tercera, cuarta, quinta, o sexta posición.
• No debe parecerse a ninguna de tus contraseñas anteriores.
• No debe ser tu nombre, el nombre de un amigo, familia o parte del nombre de usuario.
• No debería ser una palabra de diccionario o un nombre común.

Me parece un sitio especialmente bueno para administradores de sistemas que tienen que asignar contraseñas a usuarios, como es una aplicación web, es accesible desde cualquier equipo con conexión a internet lo cual lo hace aún más útil.

Enlace: Strong Password Generator | Vía: Bits 20

Muy bien me decían hace unos años, que había que diferenciar bien entre amigos y simples colegas. Ese consejo sería perfectamente aplicable a las redes sociales tan de moda hoy en día, y en las que coleccionar contactos sin finalidad alguna, parece ser el mayor deporte.

Una consultora de seguridad lo quiso comprobar, y lo cuenta Ícaro Moyano en La Tejedora:

Sophos, una reputada consultora de seguridad, ha demostrado (de forma no del todo científica) que los usuarios de FaceBook empiezan a comportarse de forma precipitada y están dispuestos a agregar como ‘amigo’ a cualquier desconocido indocumentado. Para su experimento crearon a Freddi Staur, un personaje inexistente, y solicitaron a 200 usuarios al azar de FaceBook convertirse en ‘amigos’. De su muestra, 87 aceptaron la petición sin más e incluso 82 dejaron que Freddi tuviera acceso a información personal (léase correo electrónico, dirección, teléfono…).

El uso que tenía Facebook en sus orígenes era conectar compañeros de universidad, de hecho, tu perfil sólo podría ser visto por tus compañeros de clase. Hoy en día, esa familiaridad ha empezado a perderse con el crecimiento del servicio.

De momento ya se habla de una Myspace-ización del servicio, en el que los usuarios parecen competir a diario por coleccionar contactos, sin mayor finalidad que engrosar un contador. Parece que volvemos a los viejos años en los que se valoraba más la popularidad, que la amistad -vista desde el punto de la calidad y buena utilidad de las relaciones amistosas-.

¿Qué criterios usa el común de los mortales para aceptar un contacto? ¿Simpatía, interés, afinidad personal o profesional, voluptuosidad en la foto…? Parece que los quaterbacks y las porristas vuelven a estar de moda.

Creo que ya todos saben que el iPhone tiene un problema de seguridad relativamente grave, relacionado con un buffer overflow en el Mobile Safari incluído en el preciado teléfono. Ahora puedes ver en video cómo sucede exactamente:

Si ya tienes uno, cuidado, y también cuidado con los envidiosos que aún hay muchos por ahí…

Enlace: Vídeo del agujero de seguridad del iPhone

Realmente curiosa hasta donde puede llegar la paranoia terrorista en Estados Unidos. Cecilia Beaman, una abuela de 57 años ha sido multada con 500 dólares y fichada en el registro de alerta contra terroristas. ¿Su delito? Haber dejado en su bolso, el sandwich que se había preparado junto al cuchillo que había utilizado.

Aunque la abuela se disculpó, un agente de la Administración de Seguridad en el Transporte en el Aeropuerto de los Angeles le dijo: “Usted ha cometido un crimen y ahora es considerada una terrorista”. Algunos agentes de seguridad deberían dejar de ver 24, desde luego.

Ahora ya lo saben, cuidado con estos accidentes, o podrían ir a dar ustedes a Guantánamo a la mínima. Así que ya saben, según indica la TSA: nada de armas, dinamita, fuegos artificiales, gasolina, granadas de mano o Nunchakus en mano. ¡Ah sí, y nada de pedos!

Enlace: Grandma with bread knife fined and placed on terrorist watch list

Interesante, PayPal se comporta cada vez más como un banco, me hace recordar a aquellas épocas en que la empresa insistía en que no se lo identifique como tal, pero las medidas de seguridad y el manejo de dinero tan fuerte que tienen no les deja opción:

PayPal está implementando en eBay una llave de seguridad llamada token. ¿Para qué sirve?. Antes que una persona va a realizar una compra con tarjeta de crédito se genera una clave en el token. Luego se escribe dicha clave en el sitio y los datos que siempre se han insertado. De esta manera es muchísimo más complicado que prácticas fraudulentas como pishing se lleven a cabo.

HSBC México (país donde actualmente resido) hace lo mismo, a mi me enviaron (me parece que sin costo, o uno muy bajo) uno de estos tokens que funcionan como deberían y al tener dos pasos de seguridad para hacer transferencias y otros movimientos te dan cierta confianza de no caer en temas como phishing o que alguien que llegó a descubrir mi contraseña esté haciendo maldades.

PayPal está cobrando 5 dólares por el envío (Estados Unidos, Alemania y Australia por el momento) de uno de estos aparatitos, yo creo que sí voy a pedir el mío para mi cuenta en EEUU; lo que no me gustaría es terminar teniendo cuatro o cinco, una por cada cuenta de banco o servicio que use.

Enlace: PayPal implementa nuevo sistema de seguridad

El equipo de respuesta a incidentes de seguridad francés lanzó ayer un aviso de “poca importancia” en relación a la posibilidad de ataques DoS que afectan a la BlackBerry Pearl con sistema operativo versión 4.2 o menor.

El ataque consiste en lograr que el usuario entre a un URL muy largo con el navegador del teléfono, esto hace que se ponga súper lento o inclusive deje de funcionar por completo. Se supone que el problema se corrige actualizando al OS 4.2.1, pero si conoces a alguien que te cae mal y sabes que tiene una Pearl, ya sabes cómo “joderlo”, bajo tu propia responsabilidad, claro.

(Vía RIMarkable)

El sistema operativo “más seguro del mundo’ (para Bill Gates unicamente) ya tiene su primer generador de números seriales o keygen, aunque este es un poquito diferente, lo explican en Agamum.net:

Aunque lo cierto es que no es extactamente un keygen, sino más bien un “keyfinder”… Es decir, en concreto lo que hace el programa es probar una y otra vez (lo que se suele llamar fuerza bruta) a introducir números de serie en Windows Vista hasta dar con uno que el sistema admita como válido.

Toma como base el número de serie existente (por lo visto incluso si has instalado Windows Vista sin darle un número de serie, el sistema genera uno por defecto) y tiene en cuenta ciertas reglas, para ir probando hasta dar con uno bueno.

¿Fuerza bruta? pero… pero… ¿¡qué pasó Microsoft!? cómo es posible que un sistema tan avanzado no tenga un simple y sencillo detector de fuerza bruta… ¡Hasta Hotmail lo tiene!

El archivo es descargable desde Keznews.com.