Jun 10 2012

Dudas Existenciales (90): Los “Sos un boludo”

Gabolonte Blasfemus

Anoche me espanté (suena un poco gay o de vieja malhumorada decir “me espanté” me parece, pero bueno, es la palabra que más se acerca a la sensación que tuve y que se me ocurre en este momento) luego de leer que a Richard Stallman le robaron en Buenos Aires el bolso donde contenía su notebook, pasaporte, dinero y medicamentos en medio de una conferencia que estaba dando en la Universidad de Buenos Aires. Aparentemente el ladrón aprovechó la confusión mientras algunos asistentes al evento se sacaban fotos con él. Aunque de momento no circuló demasiado la noticia, por lo que no estoy 100% seguro de que no sea alguna clase de broma, creo que no es inusual encontrarse con relatos de este tipo en la web, en particular en lo concerniente a la realidad de nuestro país. Y eso si no nos sucedió a nosotros mismos.

Continue reading


Abr 21 2011

Medidas contra robo gratuitas para un smartphone con Android

Gabolonte Blasfemus

imageMe acuerdo de tiempos generosos, cuando en mi Windows Mobile con una sola aplicación gratuita y fabulosa como Lookout (antes conocido como Flexilis)podía tener Antimalware, Firewall, Backup en la nube y protección anti-robo, que incluía geolocalización, borrado remoto de datos, e incluso la posibilidad de hacer sonar una alarma en el teléfono por si anda cerca.

Hoy en día las cosas son distintas, o al menos lo son para Android. En esta plataforma también Lookout sigue siendo la opción con más estrellas, pero hay algunos cambios: No hay más firewall (tiene sentido si consideramos que Android con su herencia Linux incluye a iptables), y dos de las opciones más importantes en cuanto a protección contra robo, como el borrado y bloqueo remoto, sólo están disponibles para las cuentas premium de pago. Y mientras que me parece genial el servicio de esta firma e invito a quien lo tenga en sus posibilidades a pagarlo y disfrutar del mismo, permítanme abordar la perspectiva del usuario tercermundista de escasos recursos que no quiere tener un cargo recurrente más en su tarjeta de crédito, si es que tiene una.

Pero vamos por partes: A nivel antimalware, difícilmente encontremos en estos momentos una solución más probada y eficiente sin pagar nada que Lookout, el que continúa siendo el mejor, sin experimentar extrema lentitud o consumo excesivo de batería en el equipo por utilizarlo. También nos sirve para localizar nuestro smartphone si lo hemos perdido vía geolocalización y alarma remota (hacer sonar el móvil), por tanto lo que realmente necesitamos es un reemplazo gratuito que se encargue de aquellas dos funciones vitales restringidas a usuarios premium: El bloqueo y, mucho más importante, borrado de datos remoto. También debemos tener en cuenta que la mencionada aplicación, aunque es capaz de ser disparada mediante un SMS, este solo puede provenir de la misma Lookout y depende fuertemente de que el teléfono esté conectado a Internet para su correcto funcionamiento, algo de lo que no podemos estar absolutamente seguros que siga sucediendo en caso de que nos sea sustraído. Lo que necesitamos es una aplicación similar a la genial RemoteTracker para Windows Mobile, que no depende de ninguna conexión de red al recibir comandos nuestros directamente por SMS desde ciertos números de control configurados con anterioridad. En Android tenemos una solución equivalente que, aunque aún le falta desarrollarse, promete mucho: TotalCare.

De hecho TotalCare funciona de una forma muy similar al mencionado RemoteTracker, recibiendo comandos vía SMS con una sintaxis definida y una clave de validación. Por ejemplo uno de los comandos que podemos enviar es el siguiente:

MCS 12345 DELETE MMC

Con este comando enviamos la orden para que sea completamente borrada la tarjeta SD, donde 12345 es el PIN o clave que hayamos elegido (posee la limitación de ser solo numérica). Otro comando que nos permite borrar datos, pero en este caso todos los contactos de nuestra agenda, es:

MCS 12345 DELETE CONTACTS

De la misma forma existen comandos para eliminar los mensajes SMS y el registro de llamadas, y también uno para borrar todo de una sola vez:

MCS 12345 DELETE ALL

Una de las funciones que aún faltan sin embargo, principalmente por su carácter temprano de aplicación en fase beta, es la posibilidad de realizar un bloqueo remoto del dispositivo. De todas formas es algo que podemos paliar activando el bloqueo automático en Android luego de unos minutos de inactividad mediante una clave. En cambio sí ya podemos disfrutar de comandos sumamente útiles en caso de hurto o extravío como:

MCS 12345 START AUTO ANSWERING

Con esta función habilitamos la respuesta automática ante cualquier llamado que reciba nuestro teléfono perdido, al mismo tiempo que la rutea por el altavoz, por lo que puede tener una doble utilidad: Utilizar nuestro móvil extraviado como un micrófono espía remoto en caso de llamar con el que tengamos en mano con su micrófono mudo, o utilizarlo para comunicarnos y hacernos escuchar fácilmente con aquel que se encuentre en poder de nuestro smartphone. En el sitio oficial de la aplicación podemos ver la lista completa de comandos y su descripción

Es importante hacer notar que esta aplicación no coloca ningún tipo de icono en el sistema para ser invocada una vez instalada; todo lo que debemos hacer para activarlo una vez que lo instalamos es reiniciar el teléfono. Al volver a arrancar aparecerá automáticamente la pantalla de configuración de la aplicación, la cual nos permitirá definir la clave numérica y dos números de teléfono móvil de control desde donde se aceptarán los comandos, los cuales llegarán sin ningún tipo de notificación o registro en la aplicación de mensajes SMS del sistema. Una vez configurada y activada, y en caso de necesitar cambiar la clave o los números de control, también podemos hacerlo vía comandos SMS.

Por último, tampoco se descuida una parte vital de todo software de control por SMS: El envío automático de un mensaje de aviso a los números de control configurados en caso de cambio de la SIM. Por tanto, mientras el equipo no sea sometido a un hard reset y tenga una SIM con crédito, siempre podremos mantener el control de nuestro equipo.

TotalCare es totalmente gratuito, al menos de momento en esta temprana etapa, pero demostró ser eficaz y bastante estable. Su autor asegura haber hecho todo lo posible para que el servicio tenga un consumo muy reducido y al mismo tiempo no pueda ser matado nunca, invitando a los usuarios a probarlo y reportarles errores o sugerirle nuevas funciones, y podemos instalarlo desde el Android Market.


Oct 19 2010

Localización y borrado/recuperación de datos por robo en teléfonos Windows Mobile

Gabolonte Blasfemus

imagePerder o ser víctimas del robo de nuestro móvil es algo ya de por sí bastante traumático, ya que sumado al trastorno del hurto o asalto en sí perdemos el mayor nodo de comunicación e información con el que casi toda persona cuenta hoy en día: Ya no nos pueden ubicar fuera de nuestra casa, no podremos consultar información sin importar el lugar que estemos, y ni siquiera planificar nuestra semana, teniendo en cuenta que una cantidad cada vez mayor de gente utiliza su móvil, sea smartphone o no, como agenda de citas, tareas y eventos, ya que es ni más menos que el lugar ideal para hacerlo, en ese objeto de veneración/adoración/odio y por sobre todo necesidad que cargamos incluso hasta en el baño en estos tiempos. Pero si existe algo aún peor que la mencionada pérdida temporal y repentina de tantas funciones vitales para el día a día propio es la posibilidad de que la información personal almacenada en nuestro celular pueda ser utilizada para realizar nuevos ilícitos contra nosotros o incluso nuestros amigos y conocidos que figuraban en la libreta de contactos del terminal siniestrado.

Tampoco debemos volvernos locos de paranoia pensando en que ni bien tengamos la mala suerte de no volver a ver nuestro móvil seguidamente nosotros y nuestros amigos nos convertiremos en víctimas de robo de identidad o delitos peores, la realidad al menos de países como Argentina es que el robo y reciclado de teléfonos celulares es un mercado tan inmenso y aceitado que a menos que sepan que se trata del móvil de alguien acaudalado o importante difícilmente le dediquen el tiempo y la inteligencia necesaria para tales operaciones, siguiendo el terminal un automatizado proceso de hard reset y reciclado para ser revendido a tentadores precios en locales de baja calaña y/o sitios de merca libre. Aún así, la amenaza es real, existe, y sería mejor tratar de estar preparados para ella antes de que nos suceda. Y acá es donde entran en juego las aplicaciones anti-robo para smartphones, en nuestro caso para Windows Mobile.

Continue reading


Sep 7 2009

Dudas Existenciales (64)

Gabolonte Blasfemus

imageSe acuerdan de Pungabucks?

Puede que ya haya quedado en el olvido de las fugaces cabecitas twiteras, pero no hace mucho hubo todo un revuelo por culpa del robo de una Mac Book en un StarBucks de Buenos Aires, el cual destapó muchos otros hechos delictivos ocurridos dentro o a la salida de las sucursales porteñas de esta cadena yanqui (es altamente recomendable leer todos los comentarios de cada link, saltándose los vivos que entraron nomás que a regodearse de la herida ajena), así como también un consenso general en la poca higiene del lugar y pésima atención de los tragasables empleados que atienden en las sucursales con más antigüedad. De este revuelo quedaron básicamente un par de cosas en claro:

  1. Aunque te sientas muy especial y a gusto yendo religiosamente a un StarBucks para tus reuniones o encuentros de amigos y bloggers, seguimos viviendo en Argentina, y:
  2. A StarBucks le chupa uno y la mitad del otro que dentro o a la salida de sus instalaciones te quiten la notebook o el gadget que te costó los ahorros de todo el año o del que aún te falta pagar el 90% de las cuotas, ya que como bien cuenta uno de los damnificados, no tienen seguridad privada ni cámaras que registren el movimiento entre los clientes; sólo tienen una apuntando a la caja. Como si fuera más interesante para un chorro llevarse la recaudación del día que uno o más portátiles de varios miles de pesos cada una; pero claro, sólo protegen su culo. Y si te pasa algo, no se hacen cargo ni de pedirte disculpas por poco.

Debido a estos hechos, muchos se quejaron y amenazaron, o directamente propusieron, no ir más a los locales de esta cadena, al menos por un tiempo.

Continue reading


Ago 7 2009

Notebooks con malware de fábrica en el BIOS

Gabolonte Blasfemus

¿Qué pasaría si repentinamente descubrieras que más de la mitad de las notebooks y laptops actuales se venden infectadas con un rootkit? ¿Y que se aloja en el BIOS del sistema, los antivirus lo permiten, y que no importa cuántas veces reinstales y formatees nunca te lo vas a poder sacar de encima? ¿Te parece un argumento para una película de cyberespionaje o algún delirio conspiranóico? A continuación vas a poder sacar tus propias conclusiones.

image En primer lugar presentemos un producto que algunos ya deben conocer: El servicio anti-robo de rastreo y control de notebooks Computrace LoJack for Laptops, el cual está también disponible en países como el nuestro, y está pensado para que, en caso de robo o pérdida, sea posible ubicar a la máquina ni bien se conecte a Internet, así como también optar por borrar remotamente todos sus datos. La misma compañía asegura que su sistema es imposible de eliminar del equipo con un formateo o cambio de disco ya que se aloja en la BIOS del mismo, aseveración que siempre me sembró dudas, ya que solía preguntarme cómo harían para instalarte algo en el BIOS que fuera compatible a nivel hardware con tu equipo en particular (existen miles de configuraciones de hardware), y de donde sacan espacio en un BIOS que ya está ocupado por el firmware original.

Mis dudas se revelaron al enterarme de la demostración que hicieron Alfredo Ortega y Anibal Sacco en la conferencia Black Hat 2009, donde justamente exponen el peligro de este código: El agente de software que permite la conexión con este servicio ya viene incorporado de fábrica en el 60% de las notebooks nuevas, más precisamente en las fabricadas por HP, Dell, Lenovo, Toshiba, Gateway, Asus, Fujitsu, Panasonic e incluso Apple, así como también de otros ensambladores OEM. De esta forma es perfectamente explicable el soporte a nivel hardware, ya que cada fabricante se ocupa del mismo para cada uno de sus modelos. Este módulo viene incorporado al sistema como una Option ROM, su activación de realiza supuestamente por medio de una API secreta en el SMBIOS o por strings de DMI, y su funcionamiento básico consiste en escribir en el disco, al encender el sistema, un nuevo servicio en la instalación de Windows que se encuentre instalada. Para eso por supuesto, este agente ya incluye controladores capaces de acceder al disco rígido del sistema en cuestión e interactuar con particiones FAT y NTFS, soportando incluso sistemas cifrados bajo BitLocker. Este servicio luego será el que se comunicará con los servidores de la compañía cada vez que Windows se conecte a Internet, el cual pasa inadvertido en el sistema ya que figura con un nombre (tanto el servicio como el ejecutable) muy similar al de un servicio propio del sistema operativo, estando además, gracias a cientos de alianzas llevadas a cabo por la empresa que lo fabrica, en la lista blanca de todos los antivirus, lo cual lo hace virtualmente indetectable.

image

Pero lo que Alfredo y Anibal expusieron de forma más alarmante fue la carencia de seguridad y autenticación en las acciones que este “rootkit legalizado”, tanto en los datos que extrae/escribe del disco, como en las comunicaciones con los servidores centrales. Esta última es llevada a cabo vía HTTP y sin ningún tipo de cifrado contra una URL cuya dirección es almacenada en el Registro de Windows por el mismo agente residente en el BIOS. Esto significa que ya por lo pronto, ya sea con un ataque de envenenamiento DNS o ARP, o con sólo alterar dicha entrada en el Registro, es posible lograr que cualquier notebook se conecte a un servidor en control de un atacante, pasando también entonces a tener control sobre este equipo. Por supuesto, imaginen esto multiplicado por los miles de notebooks que incorporan esta funcionalidad, es lo más parecido al sueño húmedo de un administrador de botnets.

image

Todo esto haría posible que nuestra notebook, así como miles más, pudieran ser remotamente controladas con la sola ejecución de un malware que en primer lugar active el agente Computrace residente en el BIOS en caso de no lo estuviese ya, y luego altere las entradas del Registro de Windows pertinentes para que en lugar de reportarse a los servidores originales, lo haga a otros bajo el control de los atacantes; y todo esto sin mencionar también que, sin llegar a alterar la comunicación entre los servidores de Computrace y el agente que reside en cada notebook, al viajar en plano el tráfico es totalmente visible en la red, especialmente cuando se usan redes inalámbricas desprotegidas, dando lugar a una alarmante amenaza a la privacidad. Como ven, las implicancias de este descubrimiento son enormes.

Los métodos para librarse de esta desagradable sorpresa escondida en nuestra notebook son variados, y su eficacia dependerá del equipo y versión del agente en sí, siendo una de las más fáciles redireccionar mediante el archivo hosts la URL a la que éste intenta conectarse una vez activo, search.namequery.com. También se menciona una herramienta de detección especialmente creada por  Ortega y Sacco, aunque no me fue posible encontrar ningún link de descarga a la misma.

Absolute, la compañía detrás de este agente que reside oculto en los BIOS de más de la mitad de las laptops del mundo, rápidamente salió a refutar las aseveraciones realizadas por estos expertos en seguridad, discutiendo algunas de las afirmaciones hechas por los mismos, aunque no mencionando absolutamente nada (cuak!) sobre lo fácil que sería interceptar las comunicaciones de su software sin necesidad siquiera de alterar el BIOS de los equipos.

Les sugiero leer cuidadosamente la documentación esta investigación, disponibles en Core Security Technologies, donde se explica con bastante detalle el funcionamiento de este invitado no deseado al BIOS de nuestras notebooks, y las opciones para neutralizarlo.