Feb 11 2014

Whatsapp y el error de confundir libreta de contactos con mensajería instantánea

Gabolonte Blasfemus

whatsapp_sAlgunos lo notaron antes de que ya fuera noticia en todos lados, y era obvio que algo raro pasaba. Dependiendo del usuario podía llegar a pasar que de un día para el otro se pasaba de tener una lista de contactos de Whatsapp llena de imagencitas a una muy despoblada, casi como cuando eso de poner una imagen de avatar era una novedad.

Es que en Whatsapp por fin se estaban poniendo las pilas con un pequeño asunto de privacidad que era sabido hace mucho: Cualquiera que tuviera nuestro número de celular registrado en la libreta de su teléfono podía ver nuestra imagen de contacto y mensaje de estado por Whatsapp, y en tanto no conociéramos su número de línea para bloquearlo no había mucho que se pudiera hacer, porque por defecto todo el mundo, con excepción de quienes hubiésemos bloqueado, lo pueden ver. El cambio que hicieron en la última semana – desde el lado de sus servidores, por lo que no hace falta ninguna actualización de la aplicación – intenta limitar esa exposición descontrolada, y ahora sólo pueden ver nuestra imagen aquellos a quienes nosotros tengamos en nuestra agenda.

Vi a más de un par aplaudir la decisión, sin darse cuenta que, aunque antes las cosas no estaban bien como estaban, este cambio de política genera nuevos inconvenientes.

Continue reading


Feb 5 2014

La misión ¿imposible? de convertir usuarios de Whatsapp a Telegram

Gabolonte Blasfemus
"Nosotros te cuidamos, y para eso necesitamos ver todas tus fotos, videos y charlas subidas de tono. Es por tu seguridad..."

“Nosotros te protegemos del terrorismo, y para eso necesitamos ver todas tus fotos, videos y charlas subidas de tono. Es por tu seguridad…”

Un tiempo después de que la gran bomba de la NSA explotó, un fuerte deseo de dejar que la misma continúe empernándose al planeta entero comenzó a surgir en todos sus rincones, y eso dio lugar a varios proyectos (la mayoría ubicados fuera del país de la libertad vigilada) que intentan brindar algún canal de comunicación libre de los men in black.

En el campo de lo que podríamos calificar como mensajería por smartphone, todos sabemos que hace tiempo Whatsapp ganó la batalla como el reemplazo definitivo a los arcaicos SMSs. Algunas de sus virtudes para hacerlo no son las más loables pero tampoco podemos desmerecerlo: Lo hizo por una combinación de factores como ser uno de los primeros, ser multiplataforma desde el principio, gratis (siempre amenazan que van a cobrar pero siguen sin hacerlo porque saben que ahí se les pianta el ganado), usar una interfaz limpia y sin publicidad, pero por sobre todo, funcionar y haber tenido versiones hasta para teléfonos económicos como los viejos semi-smartphones Serie 40 de Nokia.

El problema con Whatsapp, además de que aún sueñan con algún día hacerte pasar por caja, es que en sus condiciones de servicio (que aprobaste sólo por usarlo) estás en falta desde el vamos y jamás le prestó atención a la seguridad, lo que hace que al día de hoy, incluso cuando se supone que desde hace un tiempo cifran los mensajes, aún sea posible espiarlos a todos. Imaginen entonces la papa que es para la agencia más querida del mundo mirar lo que se le antoje.

Continue reading


Feb 2 2014

Disco rígido con mente propia = ideas impropias

Gabolonte Blasfemus

wdImaginate que, de la manera que sea, descubrís que infectaron tu PC. Ninguna solución antimalware parece erradicar los malos bits, por lo que procedés, mecánicamente, al mismo paso que cualquier haría: Formateo de disco y reinstalación de cero del SO. Cuando finalizás la instalación, descubrís que el malware de la instalación original continúa ejecutándose en la nueva. Ya, algo nervioso, procurás el medio de instalación más confiable que consigas y, luego de asegurarte de haber eliminado todas las particiones del disco, haber sobrescrito la MBR 2 veces, y haber reinstalado nuevamente el sistema sin siquiera haber copiado en el ni un solo archivo de la instalación original, volvés a encontrarte con el rostro del mal en tu propia computadora. Puede ser tranquilamente la pesadilla de todo geek, y ahora también sabemos que puede ser una realidad para algunos.

El especialista en seguridad Bruce Schneier es uno de los que le dedican completa atención a los ya famosos archivos filtrados de la NSA, y regularmente viene listando diversos artilugios de espionaje que figuraban en el catálogo del 2008 de la infame agencia, con nombres tan creativos como sus funciones, y que parecen sacados de una película de 007. Uno de ellos es IRATEMONK (que traducido al español sería algo como Monje Furioso), y se trata ni más ni menos de uno de esos fantasmas temibles cuyos cuentos espeluznantes nos quitan el sueño a quienes estamos en IT: Malware implantado en el firmware. Pero lo que hace especial a este monje es que no se refugia en un lugar ya común de la paranoia como el BIOS del motherboard de una PC, sino que lo hace en un lugar prácticamente ignorado y desconocido por la mayoría: La electrónica del disco rígido. Desde ahí, puede asegurarse que no importa cuantos reparticionados, formateos o instalaciones sufra, el sistema finalmente instalado siempre terminará teniéndola adentro. Eso significa que un blanco de espionaje, en tanto y en cuanto siga con su misma máquina y/o disco rígido, siempre tendrá su equipo comprometido, no importa cuántas veces instale desde cero el software.

Continue reading


Abr 11 2012

Sin permisos aún es posible robar información sensible de un teléfono Android

Gabolonte Blasfemus

imageLo demostró Paul Brodeur  del Leviathan Security Group, quien, a raíz de todas las noticias del último año sobre aplicaciones que son capaces de obtener información personal supuestamente protegida de dispositivos iOS y Android se hizo una simple pregunta: ¿A cuánto puede acceder una aplicación en Android sin ningún permiso otorgado? La respuesta da miedo:

En primer lugar puede acceder en modo de solo lectura a todos los archivos que no estén ocultos de la tarjeta SD, lugar donde por defecto se guardan todas las fotos que sacamos, lo videos que filmamos, y cientos de aplicaciones depositan archivos con información sensible. Aparentemente, esta característica es conocida y advertida debidamente en la documentación para desarrolladores de Android; aún así son legión las aplicaciones que utilizan la SDCARD para guardar sus archivos de configuración y trabajo. Un caso crítico es el que el mismo Paul detalla con OpenVPN, en cuya versión para Android los certificados de conexión son almacenados por defecto en esta misma locación.

Continue reading


Mar 9 2012

Controla los permisos de tus aplicaciones Android con Permission Explorer

Gabolonte Blasfemus

Si hay un tema de preocupación recurrente en el mundo tecnológico lo es la privacidad de nuestros datos en los smartphones. A pesar de que existen mecanismos de seguridad emplazados para hacer más segura la experiencia de volcar toda nuestra vida en nuestro teléfono móvil, la realidad muestra que el usuario promedio no vigila activamente qué permisos le concede a cada aplicación que instala. También suceden descuidos que permiten acceder a información personal valiosa, como por ejemplo las fotos tomadas desde el terminal. Por todo esto es que nunca está de más, hoy más que nunca, controlar periódicamente los permisos de las aplicaciones que instalamos, su confiabilidad, y sopesar si realmente la necesitamos en nuestro teléfono.

En el caso de Android existe ya una interesante cantidad de aplicaciones que se encargan de revisar los permisos solicitados por todas las demás que hayamos instalado, pero generalmente adolecen de diversos problemas como ser de pago, demorar mucho en escanear el sistema, o lo más paradójico, ser ellas mismas las que solicitan, sospechosamente, demasiados permisos.

Es por eso que Permission Explorer de Criniti Carlo es una opción para recomendar, ya que además de analizar en segundos cientos de aplicaciones instaladas permite detallar los permisos otorgados a cada una, ordenando los resultados por categorías de permisos que hacen mucho más fácil la revisión para, por ejemplo, ver qué aplicaciones en nuestro teléfono se meten con nuestros mensajes de texto.

20120309_202222

También podemos ver todas nuestras aplicaciones listadas cantidad de permisos, para detectar a aquellas que piden demasiado.

20120309_203321

También, si queremos un detallado de cada permiso por separado, podremos visualizarlo en la última solapa, donde podemos averiguar muy fácil cuales son aquellos más populares:

20120309_202305

¿Y lo mejor? Permission Explorer es totalmente gratuito, no muestra publicidad, y no utiliza ni un solo permiso especial para cumplir su función. Podemos descargarlo ya mismo desde el Android Market (ahora rebautizado Google Play) y comenzar a vigilar más de cerca qué pasa en nuestro androide.