|
 |
dimarts, 5 / desembre / 2006 |
|
|
[News.com] FBI taps cell phone mic as eavesdropping tool. El govern dels Estats Units ha aprovat un nou mètode per tal d'investigar als membres del crim organitzat: activar remotament el micro del seu telèfon mòbil per tal d'escoltar les seves converses. Sembla de novel·la... però tot apunta a que és un sistema real!
The FBI appears to have begun using a novel form of electronic surveillance in criminal investigations: remotely activating a mobile phone's microphone and using it to eavesdrop on nearby conversations
The technique is called a "roving bug," and was approved by top U.S. Department of Justice officials for use against members of a New York organized crime family who were wary of conventional surveillance techniques such as tailing a suspect or wiretapping him.
(...)
The surveillance technique came to light in an opinion published this week by U.S. District Judge Lewis Kaplan. He ruled that the "roving bug" was legal because federal wiretapping law is broad enough to permit eavesdropping even of conversations that take place near a suspect's cell phone.
Kaplan's opinion said that the eavesdropping technique "functioned whether the phone was powered on or off." Some handsets can't be fully powered down without removing the battery; for instance, some Nokia models will wake up when turned off if an alarm is set.
(...)
The U.S. Commerce Department's security office warns that "a cellular telephone can be turned into a microphone and transmitter for the purpose of listening to conversations in the vicinity of the phone." An article in the Financial Times last year said mobile providers can "remotely install a piece of software on to any handset, without the owner's knowledge, which will activate the microphone even when its owner is not making a call."
Concretament, l'informe del Departament de Comerç del govern dels Estats Units avisa de tres vulnerabilitats de seguretat als telèfons mòbils:
Your cellular telephone has three major security vulnerabilities:
- Vulnerability to monitoring of your conversations while using the phone.
- Vulnerability of your phone being turned into a microphone to monitor conversations in the vicinity of your phone while the phone is inactive.
- Vulnerability to "cloning," or the use of your phone number by others to make calls that are charged to your account.
|
  | 13:08 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[Scanit] VoIP Security - Does it exist? Els principals problemes de seguretat que pateix VoIP i que es poden utilitzar per escoltar converses, segretar converses o redirigir les trucades amb destinació a un número per tal que els rebi un altre:
The team at Scanit R&D Labs have conducted a significant amount of research into VoIP and it’s inherent vulnerabilities. Broadly, VoIP attacks can be divided into two groups: Signalling attacks and Media stream attacks. We tested the most popular SIP routers that are being used by the majority of VoIP providers and uncovered some startling results.
Signalling attacks can be used to eavesdrop on conversations and re-route or hijack calls. Due to the fact that the SIP protocol presently does not support message integrity, it is extremely easy to re-play or re-send SIP messages to the SIP registrar or proxy and have it perform functions such as adding another client to a conversation or re-routing of a call. Since SIP messages are also sent over a clear-text channel, it becomes a trivial task for an attacker to perform ARP poisoning and inspect, intercept and modify all SIP messages on the local network.
(...)
VoIP is definitely here to stay. However, the rapid deployment of VoIP has seen it progress with little or no attention given to security. While the technological advancements of VoIP have grown by leaps and bounds, security is still left behind to catch up. The vulnerabilities listed in this article are merely a small percentage. Several more vulnerabilities have presented themselves during internal tests and a large number of Proof of Concept attacks have been developed in-house.
This does not mean that larger organizations should abandon the idea of a VoIP implementation. VoIP implementations can be secured with a little effort placed during the design and implementations phases. Being fully aware of the risks involved with VoIP implementations goes a long way into understanding how to secure it.
|
| 12:52 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
La veritat és que mai no he tingut cap interès especial en saber qui em visitava i qui no... però ja fa temps vaig incloure el codi de Google Analytics dins del servidor. No l'utilitzava tant per saber *qui* o *quants* em visitaven, sinó per la curiositat de *com* em visitaven: quins navegadors, quins sistemes operatius, quines resolucions de pantalla, quins idiomes... i coses com aquesta.
Però amb el Google Analytics també puc saber quanta gent visita la web. Com us dic, fins ara era una dada que no consultava. Avui, amb això de rebre el xec per pagar la publicitat he tingut curiositat per conèixer les xifres. Només he mirat les del 2006. De fet, només el tinc des de desembre del 2005, així que són les úniques dades significatives.
Aquests dos gràfics mostren l'evolució de les visites que rebo a caballe.cat i a quands.cat:
Pels que vulguin nombres en lloc de gràfics, els valors són aquests:
Caballe.cat
|
Absolute
Unique Visitors |
Unique
Pageviews |
Visites |
| Gener |
3.373 |
14.008 |
6.934 |
| Febrer |
3.834 |
12.277 |
7.101 |
| Març |
3.626 |
13.932 |
7.093 |
| Abril |
4.254 |
17.089 |
7.158 |
| Maig |
6.040 |
16.921 |
9.867 |
| Juny |
2.755 |
10.777 |
5.789 |
| Juliol |
2.609 |
11.021 |
5.305 |
| Agost |
3.003 |
12.176 |
5.288 |
| Setembre |
2.916 |
10.896 |
5.658 |
| Octubre |
3.217 |
11.893 |
6.255 |
| Novembre |
3.842 |
13.747 |
6.728 |
Quands.cat
|
Absolute
Unique Visitors |
Unique
Pageviews |
Visites |
| Gener |
2.879 |
5.623 |
4.463 |
| Febrer |
1.978 |
4.734 |
3.701 |
| Març |
2.269 |
6.320 |
4.743 |
| Abril |
1.581 |
4.808 |
3.681 |
| Maig |
1.620 |
4.813 |
3.805 |
| Juny |
1.473 |
4.392 |
3.405 |
| Juliol |
1.217 |
3.499 |
2.862 |
| Agost |
1.232 |
3.178 |
2.582 |
| Setembre |
1.590 |
3.920 |
3.227 |
| Octubre |
1.836 |
4.713 |
3.483 |
| Novembre |
2.027 |
4.681 |
3.544 | Les tres columnes són el nombre de visitants únics (el nombre de persones diferents que han visitat la web com a mínim una vegada al mes), el nombre de pàgines visitades i, finalment, el nombre total de visites incloent els usuaris que visiten més d'una vegada al mes.
El pic que veieu al maig és gràcies a aquest post que va ser referenciat per Boing Boing.
Bé, no sé si són moltes, poques... ni tan sols si són les visites que em mereixo... ;)
Per cert, a aquestes dades cal sumar les més de 84.000 transferències del fitxer rss.xml durant el mes de novembre.
|
| 01:41 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
Entre les moltes possibles classificacions que es poden fer amb els llibres, n'hi una que sempre he marcat ben clarament: els llibres de consulta i els llibres de lectura.
Les diferències són importants: els llibres de consulta no estan fets per llegir-los de cap a peus i cada secció del llibre hauria de ser totalment independent de l'altra, per permetre la seva lectura quan sigui necessari. A més, han de ser llibres àgils, d'enquadernació flexible i resistent alhora.
Un altre aspecte important és que aquests llibres han de tenir marges amplis per tal que el lector pugui escriure notes. El subratllat d'aquests llibres és important (bé clàssic, amb llapis o més modern amb els retoladors fluorescents).
Els llibres de lectura són tot el contrari. Han de ser enquadernacions elegants, amb lletra clarament impresa i d'un tipus molt llegible, per poder-los llegir en qualsevol situació (des de la butaca, al tren, la sala d'espera del metge... passant pel llit o qualsevol altre lloc on es pugui llegir).
En aquests llibres considero gairebé un sacrilegi fer-hi anotacions. Si cal marcar alguna referència s'utilitza un punt de lectura, es fa una petita marca a l'extrem del full o bé s'apunta en una llibreta apart.
Tot això ho dic després de llegir Una de mis manías...
La mía (entre tantas) la de subrayar mis libros, recuerdo que lo inicie como técnica de estudio y luego resultó ser una herramienta para todo (...) No ver un libro subrayado me hace sentir que nadie ha pasado por él, retomar un libro ya leído y detenerme en los subrayados me recuerda la que fui
Ahh pero muchas personas consideran eso un ultraje, aun no entiendo por que, pero el caso es que muchas veces titubeé a la hora de pasar hasta una pequeña línea de grafito
(..)
Intuyo por qué subrayo. Quizás la razón más útil del asunto es la de acumular posibles epígrafes, pero creo que es mucho más que eso. Es algo más profundo y personal. Subrayo porque necesito subrayar, porque no puedo enfrentarme a un libro sin un lapiz cerca. No subrayo la frase grandiosa o la perfecta … sino la frase que dijo lo que quería decir y no dije.
Subrayo para hacer el libro mío, para darle mi sello, para apropiarme de él. Gozo y me emociono y siento que la vida es mejor, o al menos, más calmada, cuando me enfrento a un autor que piensa como yo o siente como yo o, si bien es muy distinto a mí, somos capaces de estar de acuerdo en un par de cosas. Deduzco que subrayo aquellas frases que resumen, perfectamente, cosas que estoy pensado o he pensado. Subrayo como homenaje y celebración al autor del libro, pero también subrayo para recordar el trayecto que yo hice a través de él.
I vosaltres, de quin parer sou? Subratlleu qualsevol llibre o feu com jo que marqueu una clara distinció entre els llibres que es poden subratllar i els que no... o encara sou més radicals i ni us passa pel cap la idea de fer el més mínim senyal a l'interior d'un llibre?
|
| 01:17 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
[WhiteHat Security] Myth-Busting AJAX (In)Security. En diverses vegades s'ha comentat que l'adopció d'AJAX com plataforma pel desenvolupament d'aplicacions web obria unes noves vulnerabilitats, algunes explotables de forma remota i altres que obren la porta a atacs de denegació de servei. Aquest document contradiu aquesta visió, indicant que AJAX no és ni més ni menys segur que la resta de tecnologies... tot depèn de les pràctiques utilitzades i que AJAX aporta un gran benefici a la seguretat: la simplificació de les noves aplicacions web. Per tant, més simplificació, menys vulnerabilitats potencials.
Does AJAX cause a larger "Attack Surface"? No.
The term "Attack Surface" applies to a concept used to measure security by analyzing the points in a system that are open to attack. For software, these points are areas of data input and output that can be manipulated by a third-party. Obviously the smaller attack surface an application has, the easier it is to secure. What’s also obvious is that web applications, or any application, only have as much functionality (attack surface) as has been programmed in. It doesn’t matter if the user interface uses AJAX, Flash, ASCII art, or anything else. Again, AJAX is a web browser (client-side) technology. It does not execute on the server. While the coolness factor of AJAX drives developers to publicly expose more functionality - which may introduce new "server-side" vulnerabilities - this can hardly be blamed on AJAX. New code has always meant an increased risk of vulnerabilities.
Furthermore, in my experience, AJAX-enabled web applications are no more functionally complex than standard web applications. Google Maps is actually a less sophisticated application than the seemingly simple craigslist. Gmail is less complex than Outlook Web Access.
|
| 00:18 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
De l'informe de F-Secure... nombre de malware per a les diverses plataformes de telèfons mòbils durant aquests darrers anys:
Està clar quina és la plataforma a evitar: Symbian. Amb molta diferència és on hi ha més malware. La segona plataforma amb és malware és PalmOS (9), seguida de Windows Mobile (8). La plataforma amb menys malware és J2ME amb només dos especímens (això si, els dos de l'any 2006).
|
| 00:09 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
F-Secure ha realitzat un resum de l'estat de la seguretat informàtica en aquest segon semestre del 2006, del juliol al desembre. Està disponible en forma de vídeo (nombrosos formats) i també com a transcripció. Al primer semestre també van fer un vídeo semblant, que em va passar totalment desapercebut.
Els temes tractats van des del phishing a les amenaces als telèfons mòbils, passant pels principals virus i cucs, els atacs a xarxes socials, els exploits per a l'Internet Explorer, l'auge dels 0-day...
|
| 00:07 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 1996-2007 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
 |
 |
 |
 |
Contingut actualitzat
Categories
Darrers comentaris
Arxiu
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
|
 |
 |
 |
 |
|
