¿Podría haber un backdoor en un sistema operativo de código abierto?

noviembre 19, 2013 § 2 comentarios

Que la NSA propuso a Linus Torvalds introducir una puerta trasera en Linux era un rumor que el propio creador del kernel ya reconoció en septiembre durante la conferencia LinuxCon. Ahora sin embargo ya es un hecho confirmado porque así se reveló durante la audiencia sobre la vigilancia de masas en el Parlamento Europeo de esta semana.

Nils Torvalds, padre de Linus y miembro del Parlamento Europeo de Finlandia, comentaba (minuto 3:09:06 del vídeo): “Cuando a mi hijo mayor le hicieron la misma pregunta: ‘¿te ha hecho la NSA alguna propuesta sobre backdoors’, dijo ‘No’ , pero al mismo tiempo él asintió. Era una clase de libertad legal. Le había dado la respuesta correcta, [pero] todos entendieron que la NSA se había acercado a él”.

La historia no nos dice todavía qué respondió Linus Torvalds a la NSA, pero supongo que les dijo que no sería capaz de inyectar puertas traseras, aunque quisiera, ya que el código fuente es abierto y todos los cambios son revisados por muchas personas independientes. Después de todo, esa es una de las ventajas del código fuente abierto y la razón por la que, en teoría, se podría confiar cuando se trata de seguridad.

Y digo en teoría porque en este mundo ya nadie se ríe y piensa que eres un paranoico si afirmas que, aun así, también podrían haber introducido un backdoor en Linux, aunque sea un sistema operativo de código abierto…

Descargar e instalar un paquete firmado de un sitio oficial sólo te garantiza de dónde viene y que no ha sido modificado en tránsito. Pero, ¿se puede confiar en que realmente haya sido compilado sin haberse modificado ningún fichero del repositorio público o se hayan introducido cambios reconocidos pero con funcionalidades adicionales ocultas?

Realmente la respuesta da un poco igual para la mayoría. Si lo piensas ¿quién descarga y compila el código de una distribución? Sólo algunos profesionales y entusiastas. Es más, aunque recompilen el código ¿cuantos lo han revisado? Seguramente no haya nadie o muy pocos que tengan la capacidad de analizar todos los componentes del sistema operativo.

Supongamos que alguien decide analizar exhaustivamente el código para verificarlo. Si recordáis hace poco en el blog hablábamos de una iniciativa de financiación colectiva sólo para auditar el código de Truecrypt. Imaginaros el coste de auditar una distribución Linux cuyo código es más de 10 veces mayor.

Pero vayamos un poco más allá. Pensemos por un momento que alguien asume la inversión y se lleva a cabo la revisión completa del código del sistema operativo. Lo lógico sería que la revisión se dividiera por partes ¿no sería factible controlar a una empresa o a algunos grupos de desarrolladores? Es más, ¿no sería posible ocultar un backdoor delante de sus narices?. Ya en 2003 se cambiaron en el kernel dos líneas de código que parecían un error tipográfico pero que al llamar la función sys_wait4 daban acceso como root…

Pensarlo por un momento. Yo amo a Linux porque ofrece más libertad y al menos te da la opción de revisar y modificar el código pero creo que sí sería posible introducir una puerta trasera en el sistema operativo, aunque sea de código abierto… ¿por qué si no la NSA se habría dirigido a Linus Torvalds?

Fuente: Hackplayers

Responsible full disclosure… por ambas partes

noviembre 13, 2013 § Deja un comentario

La revelación responsable de vulnerabilidades es un viejo debate, pero no necesariamente zanjado. Vamos a observarlo desde el punto de vista del sistema vulnerable o afectado, no desde el investigador (que es al que normalmente se le exigen las responsabilidades). Si se practica la revelación responsable, este adjetivo debe aplicarse tanto al que lo detecta, como al afectado.

La anécdota

En ElevenPaths, alertamos hace algunas semanas sobre un pequeño fallo en la web de Cisco, en concreto de su servicio Meraki de redes a través de la nube. En una ruta concreta se divulgaba información quizás sensible.

Entre otros, se observa el nombre de usuario ssh, el servidor SVN, rutas a la red interna, y otros nombres de usuarios SVN. Quizás no se encuentren actualizados los datos y su impacto sea mínimo, pero es una información que definitivamente no debería estar ahí.

Cisco determina en su programa, bajo estas condiciones, las normas para alertar sobre fallos de seguridad:

We take these reports seriously and will respond swiftly to fix verifiable security issues. […] Any Cisco Meraki web service that handles reasonably sensitive user data is intended to be in scope. This includes virtually all the content under *.meraki.com. […] It is difficult to provide a definitive list of bugs that will qualify for a reward: any bug that substantially affects the confidentiality or integrity of user data is likely to be in scope for the program.

La revelación de información se les notificó a principios de noviembre. Dos días después la respuesta de Meraki fue peor de lo esperado:

I have looked into your report and, unfortunately, this was first reported to us on 9/23/13, with a resolution still pending from our engineers.

Esto implica que se alegaba que un tercero lo había descubierto previamente y lo que es peor, que el problema les era conocido desde hacía al menos cinco semanas y aún no lo habían (y no lo han) resuelto. Simplemente se trata eliminar una página de un servidor o protegerla con contraseña.

Contenido completo en fuente original ElevenPath

‘Vigilantes vengadores’ o compasión: dos caminos contra el cyberbullying

noviembre 13, 2013 § Deja un comentario

Kelly Simpson era una cyberbully. En la secundaria y preparatoria fue una de las primeras en utilizar el Messenger de AOL, junto con otros programas de chat, para fastidiar y molestar a sus amigos y compañeros de clase.

Durante mucho tiempo, lo hizo sin preocuparse.

Era algo omnipresente en mi escuela”, recuerda Simpson, quien ahora tiene 27 años. “No pensábamos en eso como un gran problema”. Era solo la clásica “chica mala”, dice.

Entre sus formas de diversión estaba enviar enlaces al (ahora inexistente) sitio web crush007.com, donde se hacían cuestionarios, y luego enviaba las respuestas a las personas mencionadas en la encuesta. Debido a que las preguntas eran sobre amores secretos y hábitos sexuales, los resultados a menudo eran bastante vergonzosos. Por ejemplo, uno de los blancos de Simpson reveló ser bisexual, una noticia que rápidamente se transmitió en su vieja escuela.

Todo era diversión hasta que alguien hackeó su cuenta y reveló sus propios secretos: triángulos amorosos y sentimientos escondidos; todo el “drama de chicas de la preparatoria”, dice Simpson.

De repente estaba excluida y sola. “Perdí a todos mis amigos, y como mis amigos eran casi mi identidad, estaba en una mala situación”, dice. “No me quedó nada”.

¿Justicia o venganza?
Debido a la naturaleza tipo Viejo Oeste de la web, con provocadores anónimos en las redes sociales y una mezcolanza de leyes que gobiernan los discursos en línea, algunas personas creen que las autoridades no hacen lo suficiente para acabar con los bullies.

Anonymous, el colectivo de hackers, ha estado particularmente activo en algunos casos de violación relacionados con el cyberbullying, incluidos el de la canadiense Amanda Todd, quien se suicidó en 2012 después de que una fotografía de ella en topless llevara a que la molestaran y abusaran de ella en la escuela, y el caso de la estadounidense Daisy Coleman, quien dice que fue violada por un jugador local de futbol americano.

Pero otros ciudadanos también se han involucrado.

Contenido completo en CNN México

Rik Ferguson cuestiona la seguridad de Android

noviembre 3, 2013 § Deja un comentario

El director de investigaciones de seguridad informática en Trend Micro desestima las seguridades de Google.

La seguridad, o vulnerabilidad, de Android, es un tema controvertido. Las empresas de seguridad informática públican frecuentemente informes donde advierten sobre las reiteradas vulnerabilidades de la plataforma móvil de Google. El elemento más recurrente es que la propagación de apps malignas ha alcanzado niveles formidables.

Recientemente, Eric Schmidt, presidente de la junta directiva de Google, declaró que Android era más seguro que iOS, el sistema operativo móvil de Apple, aunque sin explicar sus dichos con información concreta o verificable. Por lo tanto, la declaración puede ser considerada, en el peor de los casos, desinformación deliberada por parte de Schmidt, o en el mejor de los casos, un exabrupto sin mayor relevancia.

Recientemente, una fuente más seria, Adrian Ludwig, director de seguridad de Android en Google, dictó una charla en Berlín, Alemania, donde se refirió al tema. Ludwig dijo que un número considerablemente reducido de aplicaciones malignas logra penetrar las capas de seguridad de Android, y que Google no siempre está de acuerdo con las empresas de seguridad informática en la definición de “apps potencialmente dañinas”, y que tales empresas carecen de cifras confiables sobre índices de infección.

Mientras que las palabras de Schmidt motivaron risotadas o encogimiento de hombros, el análisis de Ludwig ha provocado respuestas más elaboradas.

Rik Ferguson, director de investigaciones de seguridad y comunicaciones en Trend Micro Europa, comenta en su blog la charla de Ludwig y, en particular, las seguridades dadas por éste en el sentido que sólo el 0.001% de las apps para Android logran penetrar “las múltiples capas de seguridad” instaladas por Google en su sistema operativo móvil, señalando que “se trata de una declaración impresionante, al tratarse de un sistema operativo tan propagado, y tan preferido por los delincuentes”.

Aparte de cuestionar el porcentaje presentado por Ludwig, Ferguson no explica cuál sería, según Trend Micro, el porcentaje real de infecciones en Android. Ferguson hace referencia a la propia detección de malware en Android, por parte de Trend Micro, señalando que la empresa ha analizado 3,7 millones de apps y actualizaciones. De este total, la empresa estima que el 18% no sólo son “apps potencialmente dañinas”, sino directamente dañinas. El 13% es considerado software de alto riesgo. De las apps malignas, más del 46% fueron detectadas en Google Play.

“Aparte del hecho que un gran número de estas capas de seguridad son dejadas totalmente en manos del usuario, en forma de ventanas de diálogo, también hay otras trampas”. Ferguson dice no haber podido encontrar en los datos disponibles indicaciones sobre el número concreto de aplicaciones que Google considera malignas, o los niveles de distribución proactiva.

A juicio de Ferguson, constituye un gran problema y desafío que “los consumidores sólo en contadas ocasiones leen las preguntas que se les están haciendo, y menos aún entienden las potenciales implicaciones de los permisos que están dando a la aplicación. Así entonces, ¿quién necesita forzar su entrada al sistema cuando el propio usuario te está dando permiso?”. Ferguson agrega que las solicitudes de permiso son hechas una sola vez, y no pueden ser revocadas subsecuentemente, de una manera expedita. “Es todo o nada, en los desarrolladores de apps apuestan por la conocida fórmula de hacer clic en ‘siguiente, siguiente, siguiente’ con la que los usuarios están familiarizados mediante la computación tradicional”.

La conclusión del artículo de Ferguson es que Trend Micro sabe más sobre lo que ocurre en Google Play que la propia Google. Será interesante entonces esperar la eventual respuesta de Google, en particular de Adrian Ludwig, a los comentarios de Rik Ferguson.

Fuente: DiarioTI

La percepción de Google sobre el espionaje de la #NSA

octubre 29, 2013 § 1 comentario

Por Inés Tornabene

Uno ve el título de la nota publicada en Google y piensa: “¿supuesto?” espionaje… La nota original que luego voy a citar lleva por título: “La CE ve insuficientes las respuestas de EEUU sobre el supuesto espionaje”. Para Google es “supuesto”, un espionaje absolutamente desenmascarado ya en los foros internacionales y que dejó a la luz una realidad que todos intuíamos pero que la mayoría desconocíamos en total alcance: gracias a las actividades del gobierno de los Estados Unidos no existe más la privacidad en Internet.

En su discurso de ayer, la presidenta de Brasil, Dilma Rousseff, dejó muy claramente expuesto un concepto básico para la defensa de los derechos humanos todos en Internet: sin privacidad no hay derechos humanos en la red. La privacidad está ligada a derechos tan humanos y tan personalísimos que son indisolubles. Internet es tecnología, y tecnología que puede mejorar la vida de todos y cada uno de los habitantes de nuestro planeta. Internet, aunque haya nacido en un proyecto militar en los Estados Unidos, aunque haya crecido en las cuatro principales academias de los Estados Unidos, ya hoy no es propiedad ni monopolio de los Estados Unidos. Ni de nadie. Internet es una herramienta de la humanidad.

Por lo tanto, como herramienta de la humanidad, Internet debe ser defendida, como instrumento de paz, de libertad, de integración y de igualdad, entre las personas y entre las naciones. De eso al menos se trata una parte de lo que hablamos cuando decimos “protección de datos personales”.

Algunos de los puntos más salientes del discurso de Dilma de ayer fueron reproducidos en algunos matutinos de hoy. Por ejemplo, en La Nación podemos leer:

“Semejante injerencia [a las comunicaciones privadas] es un quebrantamiento del derecho internacional y una afrenta a los principios de las relaciones entre los países, especialmente si son amigos”, en clara relación al programa de espionaje PRISM que el ex empleado de la CIA, Edward Snowden puso a la luz.

“El ciberespacio no puede ser utilizado o manipulado como arma de guerra a través del espionaje”, continuó.

“La soberanía de un país no puede basarse en una acción que sea en detrimento de la soberanía de otro”, señaló Dilma, que repitió a lo largo de todo el discurso su enojo ante la violación de la soberanía brasileña.

Y una vez más, la presidenta de Brasil dijo lo que muchos pensamos y decimos en nuestras conversaciones diarias, en los eventos académicos donde nos reunimos para aprender y para debatir, en la planificación de las políticas y de la gestión: ”Resulta inaceptable la información que la intercepción sirve para frenar el terrorismo. Es insostenible“

Gracias Dilma.

La presidenta de Brasil lo dijo ante las Naciones Unidas. Basta ya con la historia de justificar que accedan, guarden, filtren y analicen toda nuestra comunicación, pública o privada, excusándose y escudándose en el hecho de que se están protegiendo del terrorismo.

Gracias Dilma por decirlo con todas las letras y sin titubeos.

“Sin derecho a la privacidad no se tiene una real libertad de expresión y de opinión, entonces no hay democracia -continuó Rousseff-. Estamos ante una grave violación de los derechos humanos y las libertades civiles”.

La gravedad de los hechos de espionaje es de tal magnitud que pese al poderío, supremacía y dominio de todos los medios de comunicación por parte de Estados Unidos, pudieron salir a la luz de una forma incontenible. Sin embargo, y realmente no me extraña, Google todavía habla de un “supuesto” espionaje. Y digo no me extraña porque también se conocen las herramientas que utiliza Google para el acceso a la información privada, incluso de los archivos que van cifrados. Para quien le interese el tema, les dejo un link del blog del especialista en seguridad de la información, Cristian Borghello, con una nota “Gmail espia demasiado, hasta ZIP con contraseña” (Raúl, redacción de Segu-Info).

La Comisión Europea considera insuficientes las explicaciones que ha dado Estados Unidos sobre el espionaje de datos personales por parte de la NSA. Según la fuente, la comisaria europea de interior Cecilia Malmstrôm, habría dicho ante la Comisión de Libertades Civiles del Parlamento Europeo: “No estoy satisfecha con lo que hemos recibido hasta ahora”.

Parece que Malmström se puso en contacto por teléfono y por carta con el subsecretario del Tesoro para Terrorismo e Inteligencia Financiera de EE.UU., David Cohen, para solicitar información y que desde Washington respondieron con una única carta el pasado 18 de septiembre que, según la comisaria, no responde a las preguntas planteadas por Bruselas.

“Necesitamos más claridad y espero que la tengamos pronto”, recalcó la comisaria, al tiempo que se declaró “muy preocupada” por las informaciones aparecidas en la prensa, que apuntan hacia el posible acceso ilícito de la NSA al servicio de transferencia de datos bancarios Swift.

Según Malmström, si se prueba que estas alegaciones tan severas son ciertas, estaríamos ante una infracción del acuerdo de protección de datos entre EE.UU. y la UE y habría que suspenderlo. Es bueno recordar que el programa de vigilancia de la financiación del terrorismo (TFTP) que mantienen ambas partes se encuentra de momento detenido hasta que se aclare lo ocurrido.

Respecto al servicio de transferencia de datos bancarios, la consejera general de Swift, Blanche Petre, sostuvo que aún no les consta que se hayan efectivizado accesos no autorizados a la información que manejan y que permanentemente están haciendo grandes esfuerzos para garantizar la protección de los datos que resguardan.

Sin embargo, la eurodiputada socialista Carmen Romero consideró que la UE no dispone de los mecanismos adecuados para defenderse de la intrusión que puede producirse con motivo de la extensión de las nuevas tecnologías. Por su parte, el eurodiputado popular Agustín Díaz de Mera dijo en que existen posibilidades dentro del propio acuerdo con EE.UU. para poder apelar por ejemplo a la ley estadounidense de abuso y fraude informático e iniciar un procedimiento judicial contra Washington.

En suma, mientras en el mundo se habla con claridad sobre las acciones de espionaje de la NSA, Google considera que se trata de “supuesto” espionaje. Y no conforme con eso, analiza nuestro correo electrónico, incluso aquellos archivos que se encuentran comprimidos. Y a ello cabría agregar que la empresa de seguridad RSA Security ha enviado el pasado jueves una carta a sus clientes de los productos BSAFE Toolkit y Data Protection Manager (DPM) para que dejen de usar un componente esencial de criptografía que podría contener una puerta trasera (backdoor) de la Agencia de Seguridad Nacional (NSA) de los EEUU. Ya ni la criptografía nos queda!!!

De nuevo, gracias Dilma por decir las cosas con tanta claridad y firmeza en el lugar donde las cosas deben decirse.

Fuente: Ines Tornabene

SIBIOS: El sistema de control total de Argentina

octubre 25, 2013 § Deja un comentario

El reporte de ANRed profundiza conceptos acerca del sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Opinión similar tiene Assange, al afirmar que “Argentina tiene el sistema de vigilancia mas invasivo de Latinoamérica”.

El gobierno encabezado por la presidenta Cristina de Kirchner está utilizando un sistema biométrico que, gracias al nuevo DNI, en pocos años tendrá un registro de rostros y huellas dactilares de toda la población. Si bien la presentación del sistema SIBIOS – Sistema Federal de Identificación Biométrica para la Seguridad- se realizó en noviembre de 2011, el debate y la discusión política han sido escasos a pesar de ser la mayor violación a las libertades individuales desde el regreso a la democracia en la Argentina.

En noviembre de 2011 el gobierno nacional argentino presentó el sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Se trata de un nuevo sistema de identificación biométrica centralizado, con cobertura nacional, que permitirá a los organismos de seguridad (Policía Federal, Gendarmería, Prefectura, Policías provinciales) y otros organismos estatales (puede ir la Infografía) cruzar información con datos biométricos y otros datos personales. Un dato biométrico es una característica física única que permite identificar con poco margen de error a una persona. Ejemplos de estos datos son las huellas dactilares, el ADN, la geometría de la mano, análisis del iris, análisis de retina, venas del dorso de la mano, reconocimiento facial, patrón de voz, firma manuscrita, análisis gestual, etc.

Como si fuese un plan perfectamente ejecutado, la noticia ni sonó en los grandes medios de comunicación ni tampoco tuvo ningún tipo de debate a nivel social y político, algo que sí sucedió en la mayoría de los países donde se quiso implementar este tipo de tecnologías intrusivas y controversiales.

Pocos gobiernos democráticos en el mundo han logrado concretar un plan tan ambicioso como este, al que sin dudas podríamos calificar como la mayor violación a las libertades individuales desde el regreso a la democracia en Argentina. Han sido numerosos los países que han emprendido proyectos similares y que no han podido implementarlos, bien sea por la resistencia de la sociedad o por declararlos inconstitucionales.

Otros países

En Inglaterra, una de las democracias más vigiladas del mundo, en el año 2010 una ley obligó al estado a destruir todos los registros biométricos almacenados, derogando la ley del 2006 que creaba un registro nacional de identidad donde se almacenaban los datos de las tarjetas de identidad. Algunas de las razones de su fracaso fueron las inquietudes expresadas por organizaciones de derechos humanos, activistas, profesionales de seguridad informática y expertos en tecnología así como de muchos políticos y juristas. Muchas de las preocupaciones se centraron en las bases de datos que almacenaban los datos de las tarjetas de identidad, luego de que algunas dependencias estatales “perdieron” discos con datos pertenecientes a 25 millones de británicos.

En EE.UU., a pesar de los intentos de varios gobiernos, no existe a la fecha ninguna tarjeta o documento de identidad nacional, ni tampoco hay una agencia federal con jurisdicción en todo el país que pueda emitir tarjetas de identidad de uso obligatorio para todos los ciudadanos estadounidenses. Todos los intentos legislativos para crear una han fracasado debido a la tenaz oposición de los políticos tanto liberales como conservadores, que consideran al documento nacional de identidad como un signo de una sociedad totalitaria (En EEUU no existe un registro de identidad). A pesar de ello luego de las ocupaciones de Irak y Afganistán el ejército estadounidense construyó una base de datos con registros biométricos de 1 millón de afganos y 2 millones de irakies.

En Francia en marzo de 2012 se declaró inconstitucional la ley que establece que más de 45 millones de sus habitantes deberán digitalizar sus rostros y huellas dactilares en lo que se convertiría en la mayor base de datos de registros biométricos de aquel país. Los argumentos para tomar esa decisión fueron que la nueva ley viola los derechos fundamentales a la privacidad y presunción de inocencia.

El Nuevo DNI argentino

En 2011 se comienzan a entregar los nuevos DNI, por primera vez en la historia argentina. Los tan necesarios DNI -a diferencia de muchos países en Argentina es obligación identificarse cuando la policía lo requiera y para la mayoría de los trámites en organismos estatales y privados- son entregados en un tiempo récord: solo una demora de entre quince y treinta días y no como anteriormente cuando la espera podía llegar a demorar mas de un año. Ahora está claro que la contraparte de facilitar y agilizar en todo el país el trámite para obtener el nuevo DNI es obtener lo más rápidamente posible los registros biométricos (rostros y huellas dactilares) de los cuarenta millones de argentinos.

En marzo de 2012, hace más de un año, el gobierno señaló que había 14 millones de registros biométricos y que llegarían a completar los 40 millones de argentinos en los siguientes dos años.

El objetivo de SIBIOS: vigilancia masiva y menos libertades

En el discurso de presentación del sistema SIBIOS, la presidenta argentina señaló que este representa “un salto cualitativo en la seguridad y en la lucha contra el crimen”, gracias a la posibilidad de poder identificar a cualquier persona en tiempo real “sobre todo hoy donde hay en casi todos los lugares cámaras que permiten filmar e identificar rostros”. Con el nuevo sistema se podrá identificar a cualquier persona que circule por un espacio público donde haya cámaras de videovigilancia y si es necesario personal policial podrá mediante un lector de huellas dactilares conocer en tiempo real la identidad de un individuo.

¿Por qué el uso de la biometría atenta contra nuestra libertad?

El potencial de abuso de un sistema de estas características es incalculable, sobre todo conociendo el poco feliz historial de nuestras fuerzas de seguridad: desde poder identificar a los participantes de una manifestación pública, hasta poder controlar a alguien en base a sus movimientos, cruzando datos con otros registros privados y estatales.

En un estado realmente democrático una herramienta como SIBIOS otorga demasiado poder al Estado y reduce significativamente el de sus habitantes.

Como señalábamos en otra nota, ya estamos viviendo en una sociedad de control, sociedad que se propone aplicar a cada uno de sus miembros dispositivos de control y vigilancia que antes estaban únicamente destinados a los delincuentes.

Para el filósofo Giorgio Agamben, en las sociedades de control, la relación normal del Estado con los ciudadanos es biométrica, es decir, de sospecha generalizada: todos somos criminales en potencia que vivimos en un Estado de excepción permanente que está haciendo desaparecer la distinción entre la esfera pública y la privada. En este estado de excepción, el Estado de derecho es desplazado cotidianamente por la excepción, y la violencia pública del estado queda libre de toda atadura legal.

SIBIOS es un exponente de este estado de excepción permanente, de este nuevo Estado biométrico que viola nuestras libertades en nombre de una mayor seguridad para la población.

Por todo esto decimos que SIBIOS es el mayor atropello a las libertades individuales desde la vuelta a la democracia, principalmente porque es invasivo a nuestra privacidad y porque viola el principio de presunción de inocencia. Por otra parte las supuestas ventajas de la biometría son más que discutibles. Mientras la creciente industria de la seguridad y la biometría convence a políticos y empresarios de su fiabilidad y precisión hay innumerables ejemplos de que esto no es tan así.

5 argumentos contra el uso de la biometría y de SIBIOS:

1. Dá demasiado poder al Estado a costa de nuestras libertades
2. Viola nuestro derecho a la privacidad y el principio de presunción de inocencia
3. Es un arma de doble filo por el potencial de abuso de los datos almacenados
4. La biometría no es una tecnología infalible y ya se han demostrado muchos de sus fallos
5. La biometría es una tecnología que mientras más tolerada y aceptada sea, más facilita la implantación de un estado totalitario

Fuente: Control de Acceso y ANRed

¿De verdad se ha encontrado malware para Firefox OS?

octubre 24, 2013 § Deja un comentario

El poder de un buen titular es hipnótico. El que copa muchas noticias de seguridad estos días es el “descubrimiento del primer malware para Firefox OS”. El título es atractivo, pero ¿es correcto? El desarrollo de la noticia invita a la reflexión sobre qué ha ocurrido exactamente, en qué consiste el “descubrimiento” y por qué todavía no se han superado ciertos mitos.

Firefox OS es un reciente sistema operativo basado en web. Todas sus programas son web, creados a partir de JavaScript, CSS3 y HTML5. Esto implica que las aplicaciones se puede distribuir de dos formas: En un zip que lo contenga todo, o a través de una URL que la aloje y se visite. Un chico de 17 años ha creado una prueba de concepto de malware para Firefox OS. Presentará sus investigaciones en una convención en noviembre. Dice que su aplicación permite realizar ciertas acciones potencialmente no deseadas sobre el dispositivo de forma remota, controlándolo a través de comandos.

¿Es esto malware? Depende. Habrá aplicaciones legítimas que necesiten acceder a datos en la SD, a los contactos, etc. Se les permitirá porque el usuario normalmente confiará en el fabricante/programador. Como bien describe el documento sobre seguridad de Firefox OS, existe un modelo basado en la confianza en la aplicación.

Lo que llama la atención es el control de aplicaciones ajenas (habla de controlar la radio). También invita a llamarlo “malware” que el se hable de “enviar comandos”, aunque una vez la aplicación está instalada, parece sencillo enviar comandos… así que en general el problema no es tanto qué haga esa prueba de concepto que se ha creado sino cómo lo hace, cómo llega a disponer de esos permisos o cómo ha conseguido hacerlo. Por lo poco que sabemos, suponemos que el usuario lanza una aplicación alojada en un servidor, y esta realiza ciertas acciones que pueden ser potencialmente no deseadas por el usuario.

Contenido completo en fuente original Eleven Paths

¿Dónde estoy?

Actualmente estás explorando la categoría opinión en Seguridad Informática.