Google: ¿In?seguridad

Ahora que Google ha revuelto las aguas con la noticia de la ampliación del tamaño de sus cuentas de correo bajo pago (como cuenta por ejemplo Dirson) hay otros aspectos de gmail que merece la pena reseñar.

En concreto veo a través de kriptópolis un interesantísimo caso práctico de hacking en público a una cuenta de gmail, contado en ZDNet.

Leyendo tanto el artículo de ZDNet como el punto de vista de kriptópolis se ve que aunque no vaya a haber una oleada de ataques y se complique mucho el asunto tomando una serie de precauciones, el peligro está ahí.

Empieza a pisar hielo muy fino google apostando por servicios de pago (cuando otras compañías lo dan gratuitamente) y dejando abiertas dudas sobre la seguridad (aún no he visto respuesta o explicación de google al ataque). Entre eso y las dudas sobre la censura de su buscador, junto con su crecimiento brutal hace que rápidamente vaya perdiendo el look “de buen ambiente” que tan bien le ha venido para su crecimiento y expansión.

La fidelidad y confianza en servicios en Internet es especialmente volátil, es de suponer que tendrán bien pensada su estrategia… porque hay unos cuantos competidores que disfrutarían con su parte del pastel.

Captchas

Aunque a muchos no os suene la palabra, seguro que los habéis visto en ocasiones. ¿Qué es un captcha? Básicamente, una comprobación de que el usuario es realmente un usuario, y no una aplicación o sistema automático simulando serlo. Como el test de Voight-Kampf de Blade Runner, vamos.

Así, se evitan procesos automáticos de registro, de publicación de mensajes, de spam, etc.

Básicamente sacrifican comodidad (¿Disculpe, seguro que es usted una persona? ¿Le importa completar esta información para confirmarlo?) por seguridad.

El test es concreto suele ser la imagen de una serie de caracteres alfanuméricos distorsionados que el usuario debe reconocer. Si el tipo de letra, los caracteres y la distorsión va cambiando, ningún OCR va a reconocer qué pone (y a más de un humano también le va a costar).

Han ido apareciendo captchas más evolucionados, como una serie de imágenes de chicas poco agraciadas junto con la de una top model, y el usuario debe elegir a la más jugosa… aquí sacrificamos aburrimiento por discriminación.

Aún así, el mejor captcha lo he localizado hoy en microsiervos…

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

El número hexadecimal que he fijado como título en las últimas horas está “causando olas” en Internet. Básicamente de “no existir” (no aparecer en google) ha pasado a barrer en cuestión de horas (300.000 entradas).

¿Y por qué, y qué tiene de interesante?

El número en cuestión es la clave de cifrado de los discos HD-DVD, y llave para poder jugar con ellos.

Lo interesante es que apareció en the digg, subió a portada en tiempo record y se retiró casi igual de rápido. A partir de ahí se produjo una autentica avalancha de envíos por parte de usuarios de the digg, el borrado de mensajes y eliminación de cuentas correspondientes, y la difusión por todos los medios posibles del número en cuestión (que ya empieza a competir en popularidad con los números de lost). Incluso el CEO de Digg publicó un mensaje explicando su decisión, justificando los posibles problemas legales que iba a conllevar.

Conclusiones: los sistemas de promoción de noticias son capaces de desbordar y superar a sus propios administradores, las restricciones legales locales (en este caso de EEUU) prueban ser poco eficaces ante un medio más global, y la información no puede ser detenida.

Números ilegales, letras no universales, CDs con canon… dónde vamos a parar.

Más que palabras

Un susurro, una palabra amable… puede causar un efecto considerable. En las personas, y en los ordenadores.

La diferencia es que las personas diferencian no sólo lo que se dice, sino cómo se dice. Y no es lo mismo una anécdota que una petición o que una orden.

Como ha comprobado George Ou en su blog: plantea cómo atacar un sistema con Windows Vista a través de la voz. Básicamente se puede configurar una página web para que al entrar, suenen instrucciones diciendo a Vista, por ejemplo, que apague el ordenador.

Interesante cómo aparecen agujeros de seguridad en los sitios más insospechados… probablemente la interfaz de voz merezca que se le den un par de vueltas.

Vía Kriptópolis.

La verdad está ahí fuera

Mucho se ha hablado de RFID, desde las ventajas prácticas de marketing y CRM tipo “minority report” (que al entrar en una tienda te “fichen” y directamente te propongan lo que necesitas, algo así como “Hola señor, tenemos a Scarlett Johansson esperándole mientras se prueba las zapatillas verdes que tanto le gustan”) hasta los puntos de vista más conspiranoicos del tipo 1984.

Hoy a través de barrapunto veo que un periódico canadiense “comenta que se comenta” la utilización de chips RFID en monedas de dicho país. Como la CIA, el FBI y la NSA no me han remitido todavía el informe mensual en el que me ponen al tanto de sus actividades, aún no he podido verificarlo.

Si es así, poco a poco va ganando puntos el enfoque 1984…

Aprendices de espía

Me ha llamado la atención una entrada de barrapunto al blog noseque.net donde comenta cómo localizar cámaras axis y no sólo ver lo que están grabando, sino incluso controlarlas. Algunas pruebas:

cámaras – 1 y cámaras – 2

Habría que plantearse si es más preocupante que haya tantas cámaras por ahí, o que cualquiera pueda utilizarlas…