Jun 5 2010

Reclamando la privacidad de Facebook

Gabolonte Blasfemus

image El invento no tan in invento que hizo que el niño Zuckerberg no tuviera que preocuparse más por su futuro económico dio bastante que hablar en las últimas semanas, y siempre alrededor de un mismo tema: Facebook y sus constantes abusos a la privacidad de sus usuarios, que a estas alturas pueden equipararse a la franja de población mundial que tiene acceso a Internet.

Por un lado algunos tuvimos bien presente la propuesta de QuitFacebookToday.com, un sitio que proponía a modo de protesta que todos los que se hayan decidido o convencido de dejar a la red social más grande se den de baja en un mismo día, que fue el pasado 31 de Mayo. Algo más de 36 mil usuarios se comprometieron a abandonarlo para siempre, pero, qué son 36 mil al lado de los 400 millones que la f más famosa de la red alega poseer?

Y déjenme ser bien sincero acá, yo estuve muy cerca de ser uno de esos 36 mil y pico, y más cuando los nuevos controles de privacidad aparecieron repentinamente en mi cuenta, sintiéndome empernado y víctima del cuento del tío una vez más. Hasta llegué a borrar fotos familiares de mi perfil y todo (aún sabiendo que posiblemente Facebook se las guarde para siempre) y a avisar a amigos de mi próxima despedida, preparando todo para el 31. ¿Qué pasó entonces? Para empezar me olvidé y se me pasó la fecha, y aquí pueden culpar al sitio organizador del éxodo masivo el cual no tenía un formulario funcional al momento de dejar mi email para que me lo recuerde; por otro lado estuve a punto de hacerlo igual cuando me acordé, pero hay que admitirlo, la adicción es muy fuerte, y más cuando se ve que es más fuerte en tus amigos. ¿Qué sentido tiene ir a una red social que nadie usa? Es el mismo motivo por el que por años hemos usado MSN/Windows Live Messenger y no Jabber; porque todas las chichis están en el primero. Y ahora todas, absolutamente todas, tienen su cuentita para que Zucker-boy pueda chusmear las fotos de una distinta cada día sin repetir jamás en toda su vida.

image Y mientras no me decidía si despedirme para siempre de las invitaciones de aplicaciones al pedo y los estados delirantes que no dicen nada, me encontré con ReclaimPrivacy.org, un sitio que permite afinar de una forma simple la configuración de privacidad de Facebook, incluso para quienes se marean en ella y no saben que tocar. Para eso sólo debemos ingresar al sitio y arrastrar el botón gris que el mismo presenta hasta nuestra barra de marcadores, para luego accionarlo cuando ingresemos a la página principal de controles de privacidad. Al accionar el botón Scan for Privacy, un script chequeará todos los parámetros de nuestra cuenta para avisarnos si existen ítems de nuestra cuenta que estén demasiado expuestos, y nos ofrecerá el link correspondiente para ir directamente a la página de Facebook donde puede cambiarse. Una vez reajustada la privacidad a nuestros deseos, podemos volver a realizar un escaneo para estar seguros.

image

Este botón funciona sin problemas tanto en Firefox como en Opera según pude probar, aunque en este último aparece un poco fuera de lugar en la página, por lo que puede traer algunos problemas a la hora de arrastrarlo a una barra; de todas es probable que trabaje en cualquier navegador moderno. Y no puedo más que reconocer su utilidad, ya que encontró unos sectores de mi perfil que estaban “demasiado compartidos”, y que, entre tantos cambios adrede a los controles de privacidad por parte de Facebook, increíblemente había perdido de vista.

Pero hay lugar para lo extraño y todo: Incluso antes de ponerme a jugar con ReclaimPrivacy.org noté sorprendentemente que mi página de perfil no cargaba más desde un navegador que no estuviese con la sesión iniciada en otra cuenta.

5839_full ¿Debemos realmente dejarlo antes de que guarde suficiente como para destruirnos? ¿Es una locura, un suicidio social, y debemos seguir usándolo? Tal vez las dos ideas son exageradas por igual, creo que estamos tan jugados como lo podemos estar dejando nuestras fotos y pensares en cualquier otro sitio que no controlamos (ok, tal vez un poquito más), y el mejor consejo para quien quiera seguir usándolo será reducir el grado de exposición: Menos fotos intimas y familiares, menos pensamientos sin pasar por el filtro de la sensatez, y cuidarnos de la misma forma que lo haríamos en un salón lleno de gente. Y si no nos importa nada porque estamos rejugados, no tenemos ni una profesión por la que nos pueda preocupar lo que salga en nuestro perfil, y nunca vamos a levantar cabeza, bueno, matensé ahí…


Ene 29 2010

Averiguando qué fácil de ubicar somos con Panopticlick

Gabolonte Blasfemus

image La inexistente privacidad que todos padecemos en Internet es siempre un tema recurrente, y en particular muchas veces se ven artículos que explican cómo pueden detectarse y ubicarse usuarios únicos en la web no sólo a través de las conocidas cookies, sino también gracias al valor único que muchas veces constituye la combinación de diversos datos extraíbles del navegador como su UserAgent, resolución de pantalla, sistema operativo en el que se ejecuta, y la combinación y versiones de plugins instalados, entre otros.

Panopticlick es un proyecto financiado por la Electronic Frontier Foundation que nos permite tomar cabal conciencia de cuán desnudos estamos a nivel privacidad en Internet, mostrándonos que tan único de detectar resulta nuestro navegador.

Desde ya acciones como deshabilitar Javascript o utilizar el modo privado o de incógnito de algunos navegadores ayuda a hacernos más indetectables, pero aún así es sorprendente lo fácil que podemos ser de ubicar entre un infinito mar de navegadores con firmas únicas.

image

Por el momento Panopticlick lleva recolectada las firmas de alrededor de 186.000 navegadores, por lo que cuanto más visitantes ingresen y realicen el test, más fiables serán los datos sobre qué tan única es la información que deja nuestro navegador en cada sitio web que visitamos.

Vía LifeHacker.


Ago 7 2009

Notebooks con malware de fábrica en el BIOS

Gabolonte Blasfemus

¿Qué pasaría si repentinamente descubrieras que más de la mitad de las notebooks y laptops actuales se venden infectadas con un rootkit? ¿Y que se aloja en el BIOS del sistema, los antivirus lo permiten, y que no importa cuántas veces reinstales y formatees nunca te lo vas a poder sacar de encima? ¿Te parece un argumento para una película de cyberespionaje o algún delirio conspiranóico? A continuación vas a poder sacar tus propias conclusiones.

image En primer lugar presentemos un producto que algunos ya deben conocer: El servicio anti-robo de rastreo y control de notebooks Computrace LoJack for Laptops, el cual está también disponible en países como el nuestro, y está pensado para que, en caso de robo o pérdida, sea posible ubicar a la máquina ni bien se conecte a Internet, así como también optar por borrar remotamente todos sus datos. La misma compañía asegura que su sistema es imposible de eliminar del equipo con un formateo o cambio de disco ya que se aloja en la BIOS del mismo, aseveración que siempre me sembró dudas, ya que solía preguntarme cómo harían para instalarte algo en el BIOS que fuera compatible a nivel hardware con tu equipo en particular (existen miles de configuraciones de hardware), y de donde sacan espacio en un BIOS que ya está ocupado por el firmware original.

Mis dudas se revelaron al enterarme de la demostración que hicieron Alfredo Ortega y Anibal Sacco en la conferencia Black Hat 2009, donde justamente exponen el peligro de este código: El agente de software que permite la conexión con este servicio ya viene incorporado de fábrica en el 60% de las notebooks nuevas, más precisamente en las fabricadas por HP, Dell, Lenovo, Toshiba, Gateway, Asus, Fujitsu, Panasonic e incluso Apple, así como también de otros ensambladores OEM. De esta forma es perfectamente explicable el soporte a nivel hardware, ya que cada fabricante se ocupa del mismo para cada uno de sus modelos. Este módulo viene incorporado al sistema como una Option ROM, su activación de realiza supuestamente por medio de una API secreta en el SMBIOS o por strings de DMI, y su funcionamiento básico consiste en escribir en el disco, al encender el sistema, un nuevo servicio en la instalación de Windows que se encuentre instalada. Para eso por supuesto, este agente ya incluye controladores capaces de acceder al disco rígido del sistema en cuestión e interactuar con particiones FAT y NTFS, soportando incluso sistemas cifrados bajo BitLocker. Este servicio luego será el que se comunicará con los servidores de la compañía cada vez que Windows se conecte a Internet, el cual pasa inadvertido en el sistema ya que figura con un nombre (tanto el servicio como el ejecutable) muy similar al de un servicio propio del sistema operativo, estando además, gracias a cientos de alianzas llevadas a cabo por la empresa que lo fabrica, en la lista blanca de todos los antivirus, lo cual lo hace virtualmente indetectable.

image

Pero lo que Alfredo y Anibal expusieron de forma más alarmante fue la carencia de seguridad y autenticación en las acciones que este “rootkit legalizado”, tanto en los datos que extrae/escribe del disco, como en las comunicaciones con los servidores centrales. Esta última es llevada a cabo vía HTTP y sin ningún tipo de cifrado contra una URL cuya dirección es almacenada en el Registro de Windows por el mismo agente residente en el BIOS. Esto significa que ya por lo pronto, ya sea con un ataque de envenenamiento DNS o ARP, o con sólo alterar dicha entrada en el Registro, es posible lograr que cualquier notebook se conecte a un servidor en control de un atacante, pasando también entonces a tener control sobre este equipo. Por supuesto, imaginen esto multiplicado por los miles de notebooks que incorporan esta funcionalidad, es lo más parecido al sueño húmedo de un administrador de botnets.

image

Todo esto haría posible que nuestra notebook, así como miles más, pudieran ser remotamente controladas con la sola ejecución de un malware que en primer lugar active el agente Computrace residente en el BIOS en caso de no lo estuviese ya, y luego altere las entradas del Registro de Windows pertinentes para que en lugar de reportarse a los servidores originales, lo haga a otros bajo el control de los atacantes; y todo esto sin mencionar también que, sin llegar a alterar la comunicación entre los servidores de Computrace y el agente que reside en cada notebook, al viajar en plano el tráfico es totalmente visible en la red, especialmente cuando se usan redes inalámbricas desprotegidas, dando lugar a una alarmante amenaza a la privacidad. Como ven, las implicancias de este descubrimiento son enormes.

Los métodos para librarse de esta desagradable sorpresa escondida en nuestra notebook son variados, y su eficacia dependerá del equipo y versión del agente en sí, siendo una de las más fáciles redireccionar mediante el archivo hosts la URL a la que éste intenta conectarse una vez activo, search.namequery.com. También se menciona una herramienta de detección especialmente creada por  Ortega y Sacco, aunque no me fue posible encontrar ningún link de descarga a la misma.

Absolute, la compañía detrás de este agente que reside oculto en los BIOS de más de la mitad de las laptops del mundo, rápidamente salió a refutar las aseveraciones realizadas por estos expertos en seguridad, discutiendo algunas de las afirmaciones hechas por los mismos, aunque no mencionando absolutamente nada (cuak!) sobre lo fácil que sería interceptar las comunicaciones de su software sin necesidad siquiera de alterar el BIOS de los equipos.

Les sugiero leer cuidadosamente la documentación esta investigación, disponibles en Core Security Technologies, donde se explica con bastante detalle el funcionamiento de este invitado no deseado al BIOS de nuestras notebooks, y las opciones para neutralizarlo.


Abr 22 2009

Cómo navegar seguro a través de SSH (3): Uso de un cliente SSH para establecer un túnel cifrado

Gabolonte Blasfemus

Finalmente, esta es la tercera y esperada última parte sobre cómo conectarse a Internet de manera segura para que nuestras cuentas de usuario no puedan ser interceptadas cuando accedemos desde zonas Wi-Fi o incluso desde nuestro trabajo. En la primera parte vimos la instalación de un servidor SSH en nuestra PC hogareña, en la segunda la configuración de un servicio de DNS dinámico que nos permita acceder a dicho servidor a pesar de estar por una conexión con IP dinámica, y ahora en el siguiente video vamos a ver cómo usar PuTTY Tray, que es una versión ligeramente modificada de Putty, un cliente SSH muy conocido para Windows, de manera tal que podamos crear un túnel SSH especial que se comportará como un proxy SOCKS local para que lo utilicen los demás programas. También veremos como obligar a una aplicación que no admite la configuración de un SOCKS proxy, proxyficándola a través de una herramienta como GPass.

No tienen idea lo que me costó hacer esta última parte, porque siempre me trababa o fallaba algo. Pero cuando se me pase esta paja atómica que vengo teniendo seguramente habrá más cosas de este estilo, por acá y por otro lado. Ojalá les sea tan útil como a mí y ahora puedan conectarse más seguros.


Abr 16 2009

Cuando la invasión a la privacidad de Google Latitud es buena

Gabolonte Blasfemus

image Desde que San Google lanzó su servicio de geolocalización Latitude todo lo que se escucha son comentarios negativos sobre las preocupantes consecuencias que puede tener de cara a nuestra privacidad, pero esta vez, al menos, alguien pudo sacar un buen provecho de ello. A una mujer de San Francisco, USA, le robaron su cartera en la calle (video), pero lo que su ladrón ignoraba era que dentro de la misma llevaba su teléfono móvil, el cual tenía instalado la aplicación de Google Maps con Latitude corriendo de fondo todo el tiempo, y por lo tanto diciéndole a sus contactos, minuto a minuto, dónde se encontraba. A Janina Valiente, la víctima de este arrebato, le tomó sólo el esfuerzo de llamar a su hermana, quien estaba en su lista de Latitude y por ende podía ver la localización de su teléfono en todo momento, para que ella llamara a la policía y les dijera por dónde andaba el criminal que atacó a su hermana.

Desde ya, esto puede pasar sólo en USA y Europa, porque si nos roban a nosotros caminando por el microcentro porteño o en la estación de Liniers, ni San Google va hacer que un cana mueva un dedo para devolvérnoslo, a menos que tengamos pensado ir nosotros y hacer “justicia por mano propia”, lo cual nos puede salir mal y encima a nosotros sí nos va a ir a buscar la ley porque no tenemos carnet de chorro (me fui al carajo, ya sé).

Vía LifeHacker.