L’home dibuixat

L'estadística de la setmana. En una enquesta a 300 responsables de seguretat informàtica, s'ha detectat que en un 94% dels casos, el seu telèfon mòbils avançats és un problema per a la seguretat: Smart phones 'bigger security risk' than laptops.

Les principals deficiències identificades passen per no haver de ficar una contrasenya per accedir al telèfon. Certament tots els telèfons ho permeten fer, però els usuaris no ho volem fer (jo tampoc tinc el meu telèfon amb contrasenya).

Segons aquesta enquesta, nou de cada deu telèfons disposa d'accés a la xarxa de l'empresa (especialment, als servidors de correu) sense cap mena de capa de seguretat addicional.

[InfoWorld] Researcher to demonstrate attack code for Intel chips. Encara no és públic, fins a l'octubre, però sembla una línia d'investigació realment prometedora.

Security researcher and author Kris Kaspersky plans to demonstrate how an attacker can target flaws in Intel's microprocessors to remotely attack a computer using JavaScript or TCP/IP packets, regardless of what operating system the computer is running.

Kaspersky will demonstrate how such an attack can be made in a presentation at the upcoming Hack In The Box (HITB) Security Conference in Kuala Lumpur, Malaysia, during October. The proof-of-concept attacks will show how processor bugs, called errata, can be exploited using certain instruction sequences and a knowledge of how Java compilers work, allowing an attacker to take control of the compiler.

(…)

The demonstrated attack will be made against fully patched computers running a range of operating systems, including Windows XP, Vista, Windows Server 2003, Windows Server 2008, Linux and BSD.

Els propers dies 18, 19 i 20 de juliol, el Null Hacklab i l'Associació Musico-Cultural de l'Escorxador organitzen les II Jornades de Programari Lliure i Societat en Xarxa de Cerdanyola del Vallés, anomenades aquest any Hackparade. Durant 3 dies es realitzaran activitats. Si l'any pasat les xerrades i documentals van estar orientades al software lliure, que son els hacklabs o les xarxes WiFi ciutadanes, aquest any, per la nostre relació amb l'Escorxador (associació musical que busca fomentar els grups del poble) i amb altres col·lectius locals, ens centrarem en la creació musical amb programari lliure, llicències no restrictives i la introducció al hacktivisme i digitalització dels moviments socials, per donar a conèixer als grups locals que existeixen alternatives a les eines privatives.

(Vist a Port 666)

Kon-boot és un prototipus de programa que permet modificar el contingut del nucli de Linux on the fly, durant el procés d'inicialització. Actualment permet l'accés a un sistema Linux amb privilegis de root sense conèixer la contrasenya o bé l'augmentar els privilegis de l'usuari actual.

Un exemple de com funciona:

Enllaç al vídeo

Encara no sembla estar disponible a la web de Firefox, però s'anuncia ja la imminent publicació del Firefox 3.0.1 i 2.0.0.16 per tal de solucionar dues vulnerabilitats de seguretat crítiques.

La primera d'elles és la possibilitat d'executar Firefox des de la línia d'ordres, passant múltiples URL com a paràmetre (separades pel caràcter "|"). Això permet l'accés a les URL de configuració (les chrome:).

La segona fa referència a un possible desbordament de memòria al comptador de referència dels objectes dels fulls d'estil.

Fixed in Firefox 3.0.1

MFSA 2008–35 Command-line URLs launch multiple tabs when Firefox not running
MFSA 2008–34 Remote code execution by overflowing CSS reference counter

Actualització: Ja està disponible la versió 3.0.1 (Windows, Mac OS X i Linux) i la 2.0.0.16 (Windows, Mac OS X i Linux).

He provat l'Adeona, del que en parlava fa una estona.

La instal·lació per a Windows és ben simple: només demana la ubicació dels fitxers i una contrasenya per protegir l'accés a la informació.

Un cop instal·lat, genera un fitxer anomenat adeona-retrievecredentials.ost que inclou les credencials. El programa ens indica que guardem una còpia d'aquest fitxer, ja que ens caldrà per accedir a les dades.

Finalment instal·la un servei de Windows (AdeonaClientService) que es configura per executar-se amb privilegis de sistema i de forma automàtica.

Al menú de programes inclou dues entrades: el desinstal·lador i el programa de recuperació. Aquest últim és el que cal executar per saber on es troba l'ordinador.

Quan executem el programa de recuperació ens demana el fitxer adeona-retrievecredentials.ost generat durant la instal·lació, la franja horària de la que volem l'informe i el nombre de localitzacions on ha estat l'ordinador que volem trobar. Finalment, hem d'introduir la contrasenya que hem indicat durant el procés d'instal·lació.

L'informe que obtenim és d'aquest tipus:

Starting Adeona retrieval…

*******************************************************************************
* These results are for informational, research and evaluation purposes only. *
* Do not attempt to recover your lost or stolen laptop yourself. *
* If you believe your laptop has been stolen, contact the appropriate *
* law enforcement agency. *
*******************************************************************************

Searching for most recent 1 update(s) in time period [ 07/14/2008,15:47 (RDT) — NOW ]

Connecting to remote storage server…
Trying server 1…please be patient
Succesfully connected to remote storage server

Checking update scheduled on 07/16/2008,15:47 (RDT)
Succesfully retrieved update replica 0
===============================
Retrieved location information:
update time: 07/16/2008,15:47 (RDT)
internal ip: 10.xxx.xx.x
external ip: xx.xxx.xxx.xx
access point: xxx
Nearby routers:
1 5.000ms 10.xx.xx.xx (could not resolve)
2 1.000ms 10.xx.xx.x (could not resolve)

===============================

Com podeu veura la informació del punt d'accés indica tant la IP privada i la IP pública, la informació del punt d'accés (errònia en aquest cas, ja que no estic connectat a cap WiFi i visualitza el nom del punt d'accés de casa meva) i els encaminadors més propers de la xarxa on està el meu ordinador aquí a la feina.

Adeona és un servei obert i gratuït per ajudar en la localització d'ordinadors portàtils robats o perduts. A diferència dels serveis comercials no fa servir cap mena de servei centralitzat i propietari, de forma que la nostra privadesa està totalment garantida.

Adeona es basa en OpenDHT, un sistema d'emmagatzematge distribuït on s'enregistra la informació de la ubicació que envia el programa client instal·lat als portàtils, que continuament monitoritza la ubicació de l'ordinador (l'adreça IP i la topologia de la xarxa local on està connectat). Aquesta informació ens pot ajudar a esbrinar on es troba el nostre ordinador en cas de robatori o pèrdua.

Hi ha disponible versions del client per a Linux, Mac OS X i Windows XP/Vista

Adeona es distribueix amb una llicència GPLv2, amb el codi font complet.

La versió per a Mac OS X del client, a més permet utilitzar la webcam integrada per tal de fer una foto a l'usuari de l'ordinador