The Google Chrome Netbooks security


Recently Google announced its Google Chrome netbooks aka Chromebooks. They have great features like 3G support, boot time of seconds, automatic updates, review of core files integrity on every boot and more. With all these new functionalities on netbooks the security is extremely important because they have no experience with this set of technologies and they don’t know how people will take these changes and how “hackers” will take this new challenge.

Let’s review some of the security concepts and possible cons within the Chromebook.
Continue reading The Google Chrome Netbooks security

Do you really know what a hacker is ?


Personally I almost never use the word “Hacker”. Why’s that? Well, I don’t like how people use it nowadays. Newspapers, magazines, TV, even Internet use to name “hacker” to every person who breaks into a bank account, steals information, gets into an e-mail account, corrupts a program and, in general, any kind of criminal acts related to computing.

Personally I think being a “hacker” involves much more than that. People with some computing knowledge know that when you find a real hacker you will not want to loose the contact. Being a real hacker involves to know a lot of useful things about almost everything. You can ask them something about literature and they will know about the topic, you can ask them about politics and they will know, about administration, psychology and, really, almost every topic you can think of.

How do they obtain the information ? Well, it’s a simple question but the answer can be very complex.

Reading (also real books obviously), blogging, watching, listening and with almost every activity they do. After that the information is analyzed, is associated, linked and stored very very carefully for being able to find it in the future, when ? when they need it and just when they need it. Real hackers will never tell you all the stuff they know, will never presume their knowledge, even they will not tell you if you are wrong until you ask for their opinion. You must never underestimate a hacker, that is a terrible mistake and you must know that the way they think is extremely fast. Maybe you’re thinking that you will surprise them but trust me, they already thought in that situation.

All that information can only be acquired sacrificing part of their life. Usually the social part.

They know the power they have and they know exactly the things they can do. Even so… they know that they will never know everything.

Authentication methods and stronger security in Google and Facebook

Authentication is the process of identifying an individual, an artifact or something that needs to be identified. We “practice” authentication every time we log in to an account, for example, our computer operating system, hotmail or facebook accounts, a bank application and more.

When we talk about authentication we usually deal with one of the three general options available:

  • Something that you know: This is the most common method everywhere. We just have to know “something” and remember it each time we need to log in to an account. Usernames, passwords, NIPs, all of them are “things” we know and we type them when we want to access our accounts. The weak behind this method is that if someone else knows this information, that person could access our accounts in the same way as we do.
  • Continue reading Authentication methods and stronger security in Google and Facebook

    iPhone, Android, Win 7 y el almacenamiento de datos tan polémico

    Desde hace unas semanas se ha hablado mucho de que los móviles iPhone, el OS Android y el Windows 7 para móviles almacenan ciertos datos de los usuarios sin su consentimiento. El tipo de datos que almacena de esta forma son las ubicaciones de redes inalámbricas, antenas 3G,GSM y otros tipos de enlaces a los que el dispositivo se pudiera conectar de forma inalámbrica.

    Pueden ver un poco de cómo surgió la noticia en los siguientes enlaces:

  • http://www.infosecurity-magazine.com/view/17562/apple-and-android-smartphones-silently-track-their-users/
  • http://www.infosecurity-magazine.com/view/17658/apple-responds-to-user-location-controversy/
  • http://www.techradar.com/news/phone-and-communications/mobile-phones/jobs-responds-to-iphone-tracking-fears-we-don-t-track-anyone–947661
  • http://www.infosecurity-magazine.com/view/17609/now-windows-7-smartphones-collect-your-location-data/
  • Como pueden ver es una funcionalidad común entre estos dispositivos. Aparentemente el motivo de que almacenen estos datos es para poder reconectarse a estos puntos de acceso de forma más rápida.

    Si tienes un iPhone, existe una aplicación que te permite leer esa información almacenada en tu dispositivo y mostrarte, en forma gráfica y bastante conveniente, lo que realmente contiene esa base de datos.
    Una imagen de como te muestra esa información la aplicación y el link de descarga los puedes encontrar aquí: http://petewarden.github.com/iPhoneTracker/.

    Uno de los principales problemas del almacenamiento de esta información es que el archivo donde se encuentran los registros no se encuentra cifrado, es decir, cualquier persona podría leerlo facilmente. Pudiendo así extraer ese archivo sin que el usuario se pueda percatar de eso y poder rastrear su actividad. Si bien, como dice Apple, no lleva un “tracking” de los movimientos del usuario, pero sí lleva un registro de las conexiones que ha hecho o que el dispositivo ha detectado. Con lo cual uno fácilmente se puede dar una idea de los movimientos de dicha persona.

    Si quieren conocer más a detalle como funciona y los datos exactos que almacenan estas bases de datos pueden consultar el siguiente enlace: http://www.hispasec.com/unaaldia/4570.

    The attack to RSA and the Flash Platform role


    As you could remember RSA, the Security Division of EMC Corporation suffered a security attack last month. It’s completely ironic because one of the RSA jobs is to prevent these kind of information security attacks.

    If you want to know the details there is a lot of information on Internet

  • http://searchsecurity.techtarget.com/news/1528805/RSA-breached-in-APT-attack-SecureID-info-stolen
  • http://www.rsa.com/node.aspx?id=3872
  • You can just Google it and you’ll find hundreds of articles and posts related to this incident.

    In this post I will focused on the role of the Flash Platform in this incident.
    Continue reading The attack to RSA and the Flash Platform role

    Protección en los smartphones. Móvil perdido/robado ?

    Inspirado un poco por algunos artículos recientemente leidos y por la inquietud de concientizar a la gente de los peligros que implica el utilizar dispositivos “smartphones” y las redes sociales sin la seguridad adecuada, escribo este post para mostrar algunos ejemplos de lo que podría suceder en sucesos desafortunados donde nuestros dispositivos fueran utilizados con otros fines, digamos, maliciosos y algunas formas de evitar catástrofes en este sentido.

    Comenzaré con una simple pregunta. Qué pasaría si, por alguna razón, perdieran su smartphone ?

    Conozco a infinidad de personas que han estado bajo esa situación ya sea porque les robaron su maleta o bolsa y se encontraba ahí dentro, o porque lo dejaron olvidado en algún lugar o se les cayó en algún transporte, etc. Después del pánico inmediato al darte cuenta de eso viene la preocupación y en lo primero que normalmente piensa uno es “Mis contactos!!!” y lo pensamos porque la gran mayoría de la gente no respalda sus contactos en algún otro medio y únicamente los deja en el móvil porque es lo más “a la mano” que tiene para anotar. Pues les diré algo: “el hecho de no haber respaldado sus contactos es lo último por lo que deberían de preocuparse si perdieron su smartphone o fue robado”.

    Supongamos que su smartphone cae en manos de algún delincuente por alguna de las razones citadas previamente. Supongamos que es un delincuente curioso y quiere conocer un poco de su víctima. De primer instancia tomará el celular y, si está encendido, bastará con oprimir alguna tecla para que se ilumine la pantalla y pueda ver la pantalla de home desde la cuál se puede visualizar si hay algún mensaje de texto en espera de ser leído, algún correo electrónico en la bandeja de entrada y, en el caso de las redes sociales, si existe algún DM, reply o mensaje esperando a ser leído.

    Hoy en día la usabilidad de estos dispositivos ha sido muy bien implementada y no se requieren amplios conocimientos o conocimientos técnicos para poder manejar, a nivel de usuario, estos equipos por lo que facilmente cualquier persona puede acceder a las aplicaciones instaladas en el dispositivo.
    Al ser un dispositivo móvil al cual accedemos en muchas ocasiones durante el día casi siempre dejamos las aplicaciones con la opción de “recordar contraseña” activa para no tener que estar escribiendo las credenciales cada que queramos ver información por medio de esa aplicación. Esto provoca que cualquier persona que inicie la aplicación podrá acceder al contenido incluyendo, mensajes, actualizaciones, modificacion de cuenta y credenciales y más.

    Otro punto importante es la cantidad de datos personales que contiene nuestro dispositivo móvil: los mensajes de texto, los correos electrónicos descargados, imágenes, archivos, contactos, etc. La mayor parte de esta información no se almacena directamente en la memoria del dispositivo sino en una memoria extraíble (comúnmente mini o micro SD), es decir, ni siquiera necesitamos el equipo para acceder a esos datos. Con el simple hecho de desmontar la memoria del dispositivo e introducirla en una computadora podremos acceder a toda esa información, normalmente, sin ningún “candado”, “password” o barrera que impida que sea leía por cualquier persona.

    Con estos sencillos pasos, sin ningún tipo de seguridad, una persona podría tener en sus manos información de:

  • Todos los SMS enviados y recibidos desde y hacia nuestro dispositivo
  • Todas las imágenes capturadas con las cámaras de nuestro equipo
  • Todos los correos electrónicos descargados al equipo para visualización junto con sus archivos adjuntos
  • Los contactos almacenados en la libreta de direcciones y toda la información de cada entrada
  • Acceder a las cuentas configuradas en el dispositovo y a los datos de cada servicio por ejemplo, en el caso de facebook acceder a los mensajes, amigos, actualizar status, etc; en el caso de Twitter: generar post, los replies que nos han enviado, los DMs recibidos y enviados; en el caso de 4square: acceder a los lugares donde han estado y la cantidad de acompañantes con los que estuvieron
  • En el caso de otros servicios la información básica a la que alguien podría acceder es al perfil de la persona incluyendo la modificación de los datos
  • El historial de llamadas y, por supuesto, la o las personas con quien más se comunican quien, usualmente, es una persona cercana
  • Poder suplantar la identidad de la víctima al poder realizar llamadas, enviar mensajes, e-mails, postear, públicar y enviar información como si se tratara de la persona correcta pudiendo así engañar y/o estafar a personas cercanas a nosotros.
  • Podría enlistar unas cuantas cosas más pero con esto será suficiente para tratar el siguiente punto: “la técnicas de protección de esa información”

    Para mitigar el daño que puede causar el perder un smartphone y todos los datos dentro del dispositivo mencionaré algunas sencillas técnicas:

    Activar la contraseña de desbloqueo.Esta opción obliga a que, si el equipo se encuentra apagado o en modo standby, introduzcamos una contraseña para poder acceder a las aplicaciones, configuraciones y datos almacenados en él.Esto forzará al delincuente a pasar algunas horas de su tiempo intentando “adivinar” o “romper” (si cuenta con el equipo y conocimientos adecuados) la contraseña y así acceder a la información. Cabe destacar que solo ayudará a impedir parcialmente el acceso a los datos almacenados en el dispositivo y no los datos que se encuentren en la memoria extraíble.

    Almacenar la información de contactos y mensajes en la memoria del teléfono y no la memoria extraíbleSi bien a muchos no nos gusta esta opción porque la memoria del teléfono usualmente es ocupada para la instalación de aplicaciones y configuraciones, es muy recomendable, por seguridad, almacenar esos datos en el teléfono ya que así evitaremos que con el simple hecho de extraer la memoria externa puedan acceder a este tipo de datos.

    Eliminar remotamente la información en la memoria del dispositivo y la memoria extraíble.Existen programas precisamente creados para esto. Aquí podrán encontrar una lista de algunos de ellos para diferentes sistemas operativos de smartphones. Solo añadiría tres excelente aplicaciones. En primero lugar Lookout disponible para Windows Mobile, Blackberry y Android; en segundo lugar WaveSecure de McAfee mismos OS +SymbianOS y para Windows Phone 7 existen los servicios de Skydrive. Estas aplicaciones/servicios tiene extraordinarias funcionalidades para proteger nuestro equipo de virus, robos o pérdidas.

    Cifrar la información de nuestro equipo y tarjeta extraíbleTambién existen aplicaciones para este fin: SecuBox, SD Card Store Optimizer. Estas aplicaciones permiten cifrar los datos, configuraciones y aplicaciones de nuestro equipo y memoria extraíble permitiéndonos establecer una contraseña para descifrar los datos y hacerlos legibles. Así, aunque se extraiga la memoria externa del equipo y se inserte en una computadora no se podrá acceder a la información sensible ya que dicha información estará cifrada.

    Cambiar todas las contraseñas de las cuentas de servicios que teníamos configuradas en el smartphonePara evitar la suplantación de nuestra identidad en esos servicios o sistemas es recomendable realizar esta acción lo antes posible. Si bien, el cambiar la contraseña, no evita el acceso inmediato a nuestra información desde el equipo pero, con un poco de suerte, se terminará la batería, o apagarán el teléfono para no recibir llamadas buscándolo. Posteriormente, cuando se encienda el equipo las aplicaciones tendrán que re-autenticarse en los servicios y se encontrarán con que la contraseña almacenada en el equipo y “recordada” por la aplicación ya no es la misma con la cuál pueden acceder al servicio web llámese e-mail, exchange, twitter/facebook/4square/buzz, dropbox, o cualquier otro servicio que hayan configurado desde su móvil.

    Desactivar la tarjeta SIM y no almacenar datos sensibles en ellaLas tarjetas SIM (Subscriber Identity Module) son chips portátiles que utilizan los smartphones, o casi cualquier otro celular en el mundo, para poder recibir llamadas por medio del operador contratado. Las tarjetas SIM contienen información como el número telefónico pero pocos saben que puede contener practicamente cualquier otro tipo de información. Algunos equipos permiten guardar contactos y mensajes en la tarjeta SIM por lo tanto hay que evitar almacenar información confidencial o importante en esa tarjeta ya que desde los smartphones no tenemos tanto control de la información almacenada en ellos como lo tenemos con las tarjetas extraíbles y no podemos cifrar esa información de manera sencilla.Existen lectores de SIM con los cuales se pueden obtener facilmente información de las tarjetas por lo que es muy importante reportar inmediatamente el robo del equipo para que el operador desasocie la información contenida en el SIM con la victima.

    Estos fueron solo algunos consejos para asegurar sus equipos y preocuparse considerablemente menos por la información contenida en el smartphone perdido.

    Si tienen algún otro los invito a complementar este post con algún comentario.

    Megabytes vs Megabits [Cultura general en sistemas]

    El día de ayer decidí llamar por teléfono a una empresa para contratar su servicio de Internet de banda ancha. Como era de esperarse inmediatamente me atendieron y me comenzaron a proporcionar los datos para realizar la transferencia electrónica a lo cual respondí que primero me interesaba que me resolvieran unas dudas técnicas que tenía referente a su servicio.
    Debido a que eran dudas técnicas me transfirieron al area de soporte técnico para que me pudieran ayudar. Una vez ahí la plática transcurrió más o menos como sigue:

  • soporte: Buenas tardes. Mi nombres es […] en qué le puedo ayudar ?
  • yo: Que tal, buenas tardes. El objetivo de mi llamada es aclarar unas dudas técnicas que tengo ya que me interesa contratar un plan de Internet con ustedes.
  • Continue reading Megabytes vs Megabits [Cultura general en sistemas]