Abr 11 2012

Sin permisos aún es posible robar información sensible de un teléfono Android

Gabolonte Blasfemus

imageLo demostró Paul Brodeur  del Leviathan Security Group, quien, a raíz de todas las noticias del último año sobre aplicaciones que son capaces de obtener información personal supuestamente protegida de dispositivos iOS y Android se hizo una simple pregunta: ¿A cuánto puede acceder una aplicación en Android sin ningún permiso otorgado? La respuesta da miedo:

En primer lugar puede acceder en modo de solo lectura a todos los archivos que no estén ocultos de la tarjeta SD, lugar donde por defecto se guardan todas las fotos que sacamos, lo videos que filmamos, y cientos de aplicaciones depositan archivos con información sensible. Aparentemente, esta característica es conocida y advertida debidamente en la documentación para desarrolladores de Android; aún así son legión las aplicaciones que utilizan la SDCARD para guardar sus archivos de configuración y trabajo. Un caso crítico es el que el mismo Paul detalla con OpenVPN, en cuya versión para Android los certificados de conexión son almacenados por defecto en esta misma locación.

Continue reading


Mar 9 2012

Controla los permisos de tus aplicaciones Android con Permission Explorer

Gabolonte Blasfemus

Si hay un tema de preocupación recurrente en el mundo tecnológico lo es la privacidad de nuestros datos en los smartphones. A pesar de que existen mecanismos de seguridad emplazados para hacer más segura la experiencia de volcar toda nuestra vida en nuestro teléfono móvil, la realidad muestra que el usuario promedio no vigila activamente qué permisos le concede a cada aplicación que instala. También suceden descuidos que permiten acceder a información personal valiosa, como por ejemplo las fotos tomadas desde el terminal. Por todo esto es que nunca está de más, hoy más que nunca, controlar periódicamente los permisos de las aplicaciones que instalamos, su confiabilidad, y sopesar si realmente la necesitamos en nuestro teléfono.

En el caso de Android existe ya una interesante cantidad de aplicaciones que se encargan de revisar los permisos solicitados por todas las demás que hayamos instalado, pero generalmente adolecen de diversos problemas como ser de pago, demorar mucho en escanear el sistema, o lo más paradójico, ser ellas mismas las que solicitan, sospechosamente, demasiados permisos.

Es por eso que Permission Explorer de Criniti Carlo es una opción para recomendar, ya que además de analizar en segundos cientos de aplicaciones instaladas permite detallar los permisos otorgados a cada una, ordenando los resultados por categorías de permisos que hacen mucho más fácil la revisión para, por ejemplo, ver qué aplicaciones en nuestro teléfono se meten con nuestros mensajes de texto.

20120309_202222

También podemos ver todas nuestras aplicaciones listadas cantidad de permisos, para detectar a aquellas que piden demasiado.

20120309_203321

También, si queremos un detallado de cada permiso por separado, podremos visualizarlo en la última solapa, donde podemos averiguar muy fácil cuales son aquellos más populares:

20120309_202305

¿Y lo mejor? Permission Explorer es totalmente gratuito, no muestra publicidad, y no utiliza ni un solo permiso especial para cumplir su función. Podemos descargarlo ya mismo desde el Android Market (ahora rebautizado Google Play) y comenzar a vigilar más de cerca qué pasa en nuestro androide.


Oct 19 2011

Un asesino serial anda suelto en Facebook

Gabolonte Blasfemus

Take This Lollipop - Google Chrome_2011-10-18_05-40-18Se ha escrito hasta el hartazgo sobre los peligros de compartir demasiada información en Facebook, y aún así, todos lo seguimos haciendo en esta y otras tantas redes sociales. Muchos ni siquiera piensan en las posibles consecuencias, asegurando que no pasa nada. Por supuesto que para la mayoría suele ser así, pero también es un hecho que siempre existe la posibilidad de ser víctimas de algún abuso o delito por facilitar cierta información sobre nosotros, hacer click en un link sospechoso, o simplemente creernos lo que nos dice ese nuevo amigo/a que tanto nos atrae. Por estos días es normal también ver en las noticias  hechos policiales que involucran de una forma u otra a perfiles de Facebook, y que no podrían haberse concretado de no ser por éste.

En esa misma línea es que el sitio Take This Lollipop pretende llamar nuestra atención, aunque luego dependerá de nosotros si lo tomamos como un mero entretenimiento o como una advertencia de a lo que se está expuesto si se comparte información personal en redes sociales. Al ingresar a esta aplicación web veremos una típica paleta o chupetín, como le decimos por estas tierras, con la característica de ser color azul y llevar la reconocida f de la red social más famosa. Un mensaje en inglés nos retará a tomarla, y al hacerle click encima la aplicación web nos pedirá acceso a nuestra cuenta de Facebook. Una vez garantizado el acceso y luego de unos segundos se nos presentará, con excelente calidad cinematográfica, un cortometraje en el que seremos protagonistas, ya que veremos como un repulsivo y aterrorizante psicópata, que encaja visualmente con el clásico estereotipo del asesino serial estadounidense, observa con exaltación nuestro perfil de Facebook en su vieja computadora.

Take This Lollipop - Google Chrome_2011-10-18_05-40-54

Veremos cómo desde su monitor espía nuestro muro, nuestra lista de amigos, y aún más aterrorizante, cómo mira nuestras fotos personales, en las que podemos salir nosotros, nuestros amigos o familiares.

Take This Lollipop - Google Chrome_2011-10-18_05-42-09

Luego veremos a este desquiciado ponerse aún más nervioso y excitado cuando, llegando al punto en el que decide que nos quiere hacer una visita, busca nuestra dirección en Google Maps. Veremos que escribe la misma ubicación que tenemos en nuestro Facebook, y lo veremos subirse a su auto para ir a buscarnos. Afortunadamente Buenos Aires queda un poco lejos para ir en auto desde yanquilandia, y con la facha que tiene este tipo dudo que lo dejen subir a un avión Guiño

Take This Lollipop - Google Chrome_2011-10-18_05-41-58

Take This Lollipop se define a sí mismo como una experiencia interactiva de imagen real para Facebook Connect, y vale la pena experimentarlo sólo por su excelente calidad visual, que nos hará creer que realmente un enfermo mental viene tras nosotros. Por supuesto, puede no ser apto para gente fácilmente impresionable, así que recomiendo suma discreción al utilizarlo.

Take This Lollipop - Google Chrome_2011-10-18_05-41-08

Tal vez lo más importante de esta experiencia es la sensación que nos deja luego de vivirla. Yo en lo personal tengo que admitir que las escenas que pueden generar algo de impresión corrieron por un costado muy morboso de mí, por lo que casi lo disfruté como si mirara un capítulo de Dexter, y no me puse a pensar demasiado en la posibilidad de que la información que vuelco en redes sociales pueda convertirme en blanco de algún ataque; pero esto también se debe a que suelo mantener cierto control sobre con quién comparto información personal, además de no compartir demasiado. Después de ver lo que podría suceder con la información personal que compartís en Facebook, ¿te quedaste más preocupado que de costumbre? ¿Borrarías información de tu perfil? ¿Pondrías más restricciones para que sólo tus cercanos vean lo más personal?


Oct 17 2011

Deshabilitar el ingreso como invitado en Ubuntu 11.10

Gabolonte Blasfemus

imageVengo dándole uso a Oneiric Ocelot, la última y reciente encarnación de Ubuntu, desde el primer día de su lanzamiento, y aunque algunas cosas se ven muy bien tuve algunas decepciones. Canonical está de a poco moldeando su producto a gusto propio, y los motivos a favor para hacerlo son varios: Diferenciación de otras distros, interfaz más simple y amigable para el usuario novato, y una mejor integración entre software y servicios del sistema con la interfaz. El problema es que desde que se comenzó con este cambio del shell estándar de Gnome por Unity, se percibe una fuerte tendencia a la sobresimplificación, que no es para nada buena. Una cosa es crear diálogos simples y limpios en la interfaz gráfica que no confundan al usuario y eviten mayormente todo lo que sea configuraciones avanzadas, pero cuando se comienzan a eliminar opciones intermedias-básicas dejando solo las más elementales ya no se trata de simplificar, sino que se corre el riesgo de restringir y entorpecer.

Por supuesto, Ubuntu sigue siendo un Linux, y todo lo que no se pueda hacer por la GUI se puede realizar desde la línea de comandos. Pero entonces, ¿a donde se fue el concepto de Linux para seres humanos si para cambiar algo trivial que cualquier otro SO permite desde su entorno gráfico es necesario recurrir a la consola?

Uno de los ejemplos que encontré en Ubuntu 11.10 sucede con la cuenta de invitado, que queda habilitada por defecto al instalar el sistema. Es indudable que se trata de una función muy útil para cuando hace falta prestarle nuestra computadora a un amigo sin temor a que acceda a nuestro contenido personal, pero también es un serio problema si no estamos interesados en esa posibilidad y estamos más preocupados por la seguridad, ya que el ingreso a un sistema como invitado puede permitir la explotación de vulnerabilidades para penetrarlo, cosa que de otra manera no hubiese sido a lo mejor posible.

Ubuntu 11.10 se diferencia de sus antecesores, entre otras cosas, en que dejó de utilizar el gestor gráfico de sesiones clásico de Gnome, GDM, cambiando a LightDM, el cual es mucho más ligero, personalizable (el diseño de la interfaz de inicio de sesión se hace en HTML) y no depende de las librerías de entornos de escritorio como Gnome en el caso de GDM. Esto es genial, pero el problema es que no se provee ninguna opción gráfica para configurarlo y de donde se pueda elegir si se quiere activar la sesión de invitado o no. Así como viene Ubuntu Oneiric por defecto, un invitado puede iniciar sesión y sólo podemos elegir como entorno de escritorio a Unity (en su versión principal o en la 2D para equipos sin aceleración gráfica por hardware), y no hay mucho que podamos hacer para cambiarlo desde la GUI. Para eso tendremos que pelar la terminal, pero es bastante fácil.

Editamos, con los derechos de superusuario correspondientes, el archivo /etc/lightdm/lightdm.conf:

sudo gedit /etc/lightdm/lightdm.conf

Al abrirlo notamos que su contenido es ínfimo, especificando tan sólo el greeter-session (la interfaz de inicio de sesión que el usuario verá) y el shell de escritorio a cargarse por defecto.

[SeatDefaults]
<br />greeter-session=unity-greeter
<br />user-session=ubuntu

Tan sólo debemos agregar al final la siguiente la línea allow-guest=false y nos quedará así:

[SeatDefaults]
<br />greeter-session=unity-greeter
<br />user-session=ubuntu
<br />allow-guest=false

Luego guardamos y la próxima vez que iniciemos sesión no volveremos a ver la opción de ingreso como invitado.


Sep 4 2011

Dudas Existenciales (84): Justicia y Democracia

Gabolonte Blasfemus

imageAlgo anda mal en el mundo. ¿Qué novedad, no? Los traje acá para decirles esto. Pero síganme por un momento.

Siempre tuvo sus problemas, pero cada vez con más decisión el mundo parece hundirse en el más profundo de los agujeros. Economías que colapsan, incluso las más poderosas. Injusticias de toda clase. Gobernantes, a una primera e inocente vista, incompetentes como mínimo. Está todo tan enrevesado que mucha gente pensante suele replantearse la verdadera utilidad de la democracia y la justicia en las naciones. Yo también lo hice, llegando a cuestionarme si los sistemas judiciales y democráticos actuales fueron creados desde el principio como una pantomima para mantener en los pueblos la ilusión de que controlan su destino.

Pero por un momento me bajé del caballo conspiranóico, y traté de imaginar y comparar lo que sucede ahora con lo que debería suceder antes, en tiempos más inocentes para las sociedades humanas. Principios como que el gobernante de un país sea elegido por la mayoría de los votos, o que todo aquél sospechoso de un crimen sea considerado inocente hasta que se demuestre lo contrario, parecen premisas muy buenas como para descartar, al menos en papel. Y aventuro que muy posiblemente en sus inicios eran mucha más efectivas que ahora. Entonces, ¿qué sucedió?

Esto me llevó a intentar concebir a los sistemas judiciales y democráticos, bases de toda nación que se llame justa, como sistemas informáticos, y por un momento analizarlos, sin ser un especialista en esto tampoco, desde el punto de vista de la seguridad.

Todo geek sabe lo que pasa con un software que deja de ser mantenido y actualizado: Con el tiempo hackers comienzan a encontrarle fallas, agujeros. Se generan xploits que luego todo el mundo conoce, y que como sugiere el término, son formas conocidas y probadas de explotar un sistema. Así, cualquier software que no tenga detrás gente que se encargue de mantenerlo actualizado y cerrando sus vulnerabilidades a medida que se van descubriendo, termina siendo abusado en múltiples formas, hasta que se vuelve inusable. ¿Quién en su sano juicio montaría en Internet un servidor con software de hace 5 años y sin parchear? Bueno, lamentablemente conozco quien lo hace, pero eso no viene al caso.

Continue reading