L’home dibuixat

Segons informa el bloc Certificate Error (veure Orange Spain disclosing user phone number), els usuaris de l'operadora de telefonia Orange que fan servir el seu telèfon mòbil per connectar-se a Internet, envien el número del telèfon al servidor al que s'estan connectant.

Quan des d'un telèfon accedim a Internet, l'operador de telefonia ens assigna una adreça IP, que pot anar variant (cada vegada que fem la connexió a Internet l'operador ens assigna una IP, que no ha de ser sempre la mateixa assignada en altres connexions; de fet, la IP pot modificar-se dins d'una mateixa connexió).

Els operadors de telefonia habitualment no donen cap informació personal sobre qui o des d'on es fa l'accés a Internet. Com a molt donen la possibilitat de fer una geolocalització, en base a la IP assignada o a informació relativa a la infraestructura de comunicacions del proveïdor.

Però segons denuncia el bloc Certificate Error, en el cas d'Orange, l'operador afegeix una capçalera HTTP que conté el número de telèfon des d'on s'està accedint a Internet (que és el número de telèfon de l'usuari).

És a dir, si accedim a Internet vía Orange, l'operador està donant al servidor web remot el nostre número de telèfon. Això únicament succeeix quan l'accés es fa via WAP (l'APN configurat al telèfon és "orangeworld"); si s'accedeix a través de GPRS això no succeeix.

Per a comprovar la informació que estem enviant als servidors web, només cal visitar aquesta pàgina. En cas d'utilitzar Orange, mireu si hi ha una capçalera anomenada X-Network-info on s'inclou el número de telèfon del mòbil.

Actualització: L'Albert Cuesta (de CanalPDA) ha contactat amb Orange i li han dit que això ja no succeeix:

El comportamiento que indicaban en el artículo (envío del MSISDN a las páginas solicitadas desde móvil) ocurría sólo para algún caso residual que aún utilizaba la antigua plataforma de WAP y, en todo caso, el problema derivado de la migración a una nueva de plataforma WAP está solucionado. Esta situación ya no se da, y el envío de datos de clientes se realiza de modo completamente seguro mediante encriptación.

diskGenie

diskGenie és una unitat de disc externa, que es connecta a l'ordinador pel port USB. Hi ha diversos models, des de 250 GB als 750 GB. La particularitat és que per a accedir al seu contingut, cal introduir un PIN, ja que està xifrat amb un algoritme AES (amb una clau de 128 o 256 bits, en funció del model).

He trobat aquesta anàlisi del disc, que inclou des de l'unpacking a una anàlisi del seu funcionament i un intent d'accedir a la informació sense conèixer el PIN.

Presentació realitzada al Black Hat d'ara fa dos anys: "Return-Oriented Programming: Exploits Without Code Injection"

We describe return-oriented programming, a generalization of return-into-libc that allows an attacker to undertake arbitrary, Turing-complete computation without injecting code.

New computations are constructed by linking together code snippets that end with a “ret” instruction. The ret instructions allow an attacker who controls the stack to chain instruction sequences together. Because the executed code is stored in memory marked executable, W^X and DEP will not prevent it from running.

W^X and DEP, along with many other security systems, make the assumption that preventing the introduction of malicious code is sufficient to prevent the introduction of malcious computation. With the return-oriented computing approach, this assumption is false: subverting control flow on the stack is sufficient to construct arbitrary computation from “known-good” code.

On the x86 one can obtain useful instruction sequences by jumping into the middle of intended instructions, but return-oriented programming is possible even on RISC platforms that are very different from the x86

Relacionat amb això, hi ha aquest whitepaper: "Security Mitigations for Return-Oriented Programming Attacks".

Vídeo on Ivan Ristić (conegut per ser el principal autor de modsecurity, un firewall d'aplicacions web de codi obert) parla de la feina que realitza SSL Labs.

Aquest laboratori acaba de publicar l'informe "Internet SSL Survey 2010", on es posa de manifest que la majoria de servidors SSL no estan correctament configurats.

A la web també hi ha una eina per avaluar si un servidor web es troba ben configurat. (Actualització: Ja n'havia parlat d'aquesta eina fa uns mesos: Eina online per avaluar la qualitat de les connexions SSL).

ForensicArtifacts.com és un recurs online amb informació d'interès per a les anàlisis forenses de sistemes operatius, programes i activitat de l'usuari. Presentat en forma de bloc, també es pot seguir via Twitter.

[The New York Times] Web Photos That Reveals Secrets, Like Where You Live. No ho sabia que els smartphones poden incloure les coordenades, agafades del GPS, a les fotografies…

Security experts and privacy advocates have recently begun warning about the potential dangers of geotags, which are embedded in photos and videos taken with GPS-equipped smartphones and digital cameras. Because the location data is not visible to the casual viewer, the concern is that many people may not realize it is there; and they could be compromising their privacy, if not their safety, when they post geotagged media online.

Ho acabo de mirar i, efectivament, a les fotografies que faig amb el meu mòbil hi ha aquesta informació… afortunadament, l'Android permet desactivar-ho fàcilment: al menú de l'aplicació de càmera fotogràfica, entrar als paràmetres i dins dels paràmetres generals l'opció "Store location in pictures" ha d'estar desactivada:

Desactivar l'enregistrament de les coordenades a les fotografies

00000000 va ser, durant 15 anys i fins el 1977, la contrasenya que protegia l'accés al sistema informàtic que controlava l'armament nuclear dels Estats Units.

Detecció de malware pels antivirus

S'anuncia un informe (Malware Detection Rates for Leading AV Solutions) sobre la capacitat dels antivirus basats en signatures en detectar malware… amb uns resultats força decebedors:

Cyveillance testing shows that even the most popular AV signature-based solutions detect on average less than 19% of malware threats. That detection rate increases only to 61.7% after 30 days.

Un 0-day que afecta a totes les versions de Windows, a la funció CreateDIBPalette()i permet l'augment de privilegis d'un usuari local.

Kaspersky anuncia el primer troià per al sistema operatiu Android que circula on the wild. Es tracta de "Trojan-SMS.AndroidOS.FakePlayer.a" que arriba en forma d'un SMS que ens convida a instal·lar una aplicació multimèdia.

Un cop s'ha fet la instal·lació, el troià comença a enviar missatges de text a telèfons de tarificació especial, sense coneixement ni notificació al propietari del telèfon.

Actualització: Hispasec publica una anàlisi tècnica del troià.

Els propers 21 i 22 de setembre, al MNAC, conferència "Source", especialitzada en seguretat informàtica. (Fotos de l'edició de l'any passat). Un dels objectius és analitzar la resposta de les empreses de seguretat informàtica davant dels virus i les diverses amenaces que afecten a l'usuari final.

El preu de la inscripció es troba actualment en els 545 € (a partir del setembre, 600 €).

El programa és el següent:

Damn Vulnerable Linux és una distribució de Linux, directament executable des del DVD, amb un objectiu ben diferent a la resta: ser el màxim de vulnerable possible. Inclou versions obsoletes d'Apache, MySQL, PHP, FTP i SSH, configurades de forma que siguin vulnerables a tota mena d'atacs…

Naturalment no està pensada per a ser utilitzada en entorns productius, sinó com un eina de formació en seguretat informàtica, de forma que puguin provar vulnerabilitats conegudes i tècniques de penetració.