|
 |
dimarts, 25 / juliol / 2006 |
=== Originalment publicat, en castellà, a Hispasec ===
 El que fins a ara semblava únicament possible a les pel·lícules de cinema, comença a ser estudiat com una possible amenaça: enganyar els sistemes d'identificació biomètrics mitjançant suplantació.
La suplantació biomètrica no és cap novetat. De fet, qualsevol que hagi vist pel·lícules on intervenen sistemes informàtics gairebé segur que n'ha vist algun exemple. Des dels més clàssics (tallar el dit per a accedir als sistemes protegits mitjançant petjada digital o gravar la contrasenya en una cinta magnetofònica) als més 'sofisticats' d'utilitzar una lentilla per a imitar l'iris.
En el passat algunes d'aquestes 'gestes cinematogràfiques' han estat realitzades en entorns de laboratori. Ja fa anys es va demostrar com molts sistemes de reconeixement de la petjada digital podien ser fàcilment suplantats (afortunadament no calia tallar el dit de l'usuari; un motlle del dit realitzat amb gelatina era més que suficient).
No obstant això, l'últim avís sobre la possibilitat de realitzar una suplantació biomètrica ha vingut del laboratori de biometria de Deloitte & Touch: no és necessari el dit, n'hi ha prou amb disposar de la petjada digital, quelcom que acostumem a deixar en virtualment qualsevol lloc. Per a protegir-se davant aquesta amenaça, alguns sistemes lectors verifiquen que la petjada subministrada té pols, evitant així la lectura de dits i petjades artificials.
Ara com ara són únicament proves de concepte a nivell de laboratori: recollir una petjada digital i utilitzar-la per a suplantar a un usuari a través d'un lector biomètric. No obstant això, cal recordar que els sistemes biomètrics no són habitualment utilitzats i, per tant, els incentius per als atacants són reduïts. Ara bé, la utilització d'un sistema de protecció biomètric també sol ser un indicador que allí hi ha quelcom de valor.
La lliçó important que hem d'aprendre de tot això és que la biometria tracta amb un element que no és secret: hi ha elements visibles que poden ser registrats (cara, iris...); la veu pot gravar-se; per allí on passem acostumem a deixar mostres d'ADN i petjades digitals. En conseqüència, la biometria és un mal substitut dels sistemes d'identificació, però pot ser útil en sistemes d'autenticació de doble factor: no només és necessari demostrar que el dit és nostre, també hauríem d'assegurar que sabem alguna cosa, com una contrasenya o un PIN.
Més informació
The Future of Crime - Biometric Spoofing?
Scientists pore over biometric-spoofing tests
Body Check. Biometric Access Protection Devices and their Programs Put to the test
Impact of Artificial Gummy Fingers on Fingerprint Systems
http://web.mit.edu/6.857/OldStuff/Fall03/ref/gummy-slides.pdf
http://cryptome.org/gummy.htm
|
16:07 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 A través de la llista de l'ISOC-Cat he vist que aquest estiu, a Arenys de Mar, hi ha una iniciativa molt interessant:
Des d'aquest mes de juny les terrasses de la Riera, el Passeig de Mar, el Rial de sa Clavella i les guinguetes de la Primera Platja d'Arenys d'Arenys de Mar tenen cobertura del servei wi-fi d'Arenys.Org i accés a Internet a través d'uns vals facilitats per la regidoria de Promoció Econòmica. Els vals els donaran els mateixos establiments als seus clients. Malgrat que per accedir a Internet es necessita un nom d'usuari i una paraula de pas, des de la pàina de benvinguda es dóna accés obert als webs d'Arenys.Org, Vilaweb, els ajuntaments d'Arenys de Mar i Arenys de Munt i la Generalitat de Catalunya.
Més informació a sensefils.arenys.org.
|
12:33 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Això és el que ens ha costat als ciutadans el weblog del president Maragall.
Ha publicat un total de catorze posts, l'últim ara fa un mes i mig mentre que el primer va ser el 15 de febrer; el cost declarat a la presentació va ser 21.000 euros. A partir d'aquí, simple aritmètica: el weblog ha estat actiu 113 dies, de forma que cada 8 dies ha publicat un post i cada un d'ells ens ha costat 1.500 euros.
Ara, si em pregunteu si això ha pagat la pena: la resposta és un sí rotund. Al febrer ningú s'imaginava que tot el que havia de passar i la poca durada que anava a tenir el weblog. El poder disposar d'un president que publica el seu propi weblog és un gran avenç en la utilització d'Internet com canal de comunicació i en l'apropament de la gestió de govern.
La llàstima és que hagi durat tant poc temps i, a la vegada, tan car.
|
10:44 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
FTimes és una eina d'anàlisi forense per a la identificació de directoris, fitxers i streams ocults, inclosos els Alternate Data Streams del sistema de fitxers NTFS, un mecanisme que permet associar dades a un fitxer, de forma no visible. FTimes permet recollir o generar informació sobre directoris i fitxers específics.
FTimes is a system baselining and evidence collection tool. The primary purpose of FTimes is to gather and/or develop information about specified directories and files in a manner conducive to intrusion analysis.
FTimes is a lightweight tool in the sense that it doesn't need to be "installed" on a given system to work on that system, it is small enough to fit on a single floppy, and it provides only a command line interface.
Preserving records of all activity that occurs during a snapshot is important for intrusion analysis and evidence admissibility. For this reason, FTimes was designed to log four types of information: configuration settings, progress indicators, metrics, and errors. Output produced by FTimes is delimited text, and therefore, is easily assimilated by a wide variety of existing tools.
FTimes està disponible per a Linux.
|
10:21 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Si al gener, es concedia la certificació FIPS a l'OpenSSL, fa uns dies s'ha retirat... en el que sembla ser una pressió de la indústria del software que veia perillar el seu mercat:
FIPS-140-2 certification is required for cryptographic products used by agencies for unclassified but sensitive information.
(...)
An official with the Defense Department’s Defense Medical Logistics Standard Support program told GCN when certification was granted that OpenSSL could save the program hundreds of thousands of dollars.
Weathersby (director executiu de l'Open Source Software Institute) said OpenSSL has been challenged by companies with competing proprietary encryption technologies, and that those challenges are aided by the open-source model, which makes source code for the tools publicly available.
"Now the opposing forces have the luxury of going in and trying to pick us apart," he said. "That’s fine. That’s fair. This is about dollars and cents. This is not about technology."
Exacte: com en totes les certificacions, és una qüestió de diners i no pas de tecnologia.
|
10:02 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 No són una novetat, però sí sorpren la seva mida: un bolígraf capaç de detectar la presència de xarxes sense fils.
Ja fa temps que hi ha detectors de xarxes sense fil d'una mida ben petita. Són dispositius que incorporen un receptor WiFi que permet detectar la presència, característiques i senyal de les xarxes sense fil que hi ha disponibles, sense necessitat d'establir cap mena de connexió (tota la detecció es fa d'una forma passiva). N'hi ha que porten una petita pantalla que mostra les característiques de la xarxa o, en el cas d'aquest bolígraf, un parell de leds que indiquen l'existència d'un xarxa i la potència del senyal.
La utilitat d'aquests dispositius és més aviat... la d'impressionar, però poca cosa més.
|
07:53 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[Hot Points] The add/drop scheme. How milions of .COM names are used but never paid for. Durant els primers cinc dies posteriors al registre d'un domini es pot demanar l'anul·lació del registre i la devolució dels diners... aquest període s'està utilitzant de forma massiva per registrar noms de dominis que, immediatament, són anul·lats.
Un exemple de l'abast que té aquesta situació: el 31 de març d'enguany es van registrar 764.672 dominis .COM; d'aquests dominis, una setmana després, només 61.169 continuaven actius... la resta van ser anul·lats.
|
07:24 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Aquesta masia que veieu a la fotografia de data indeterminada és la casa pairal de la meva familia per part de la meva àvia paterna, la Carme Puig i Enrich. Estava situada al terme de Castellgalí, al Bages i pel que sembla avui ja no existeix. Em penso que s'anomenava Cal Paregoi.
Si algú em pot donar alguna dada addicional sobre la seva ubicació i/o història, li ho agrairé moltíssim.
|
00:05 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 2003-2006 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
 |
 |
 |
 |
Contingut actualitzat
Categories
Darrers comentaris
Arxiu
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
|
 |
 |
 |
 |
|
