Presentada a la conferència USENIX Workshop on Health Security and Privacy una tècnica que podria permetre als gadgets identificar el seu legítim propietari a partir de la detecció de les propietats elèctriques úniques del seu cos:
this security sensor device, known as Amulet, as a "piece of jewelry, not unlike a watch, that would contain small electrodes to measure bioimpedance — a measure of how the body's tissues oppose a tiny applied alternating current– and learns how a person's body uniquely responds to alternating current of different frequencies." The device uses a recognition algorithm to determine whether the person matches the measured bioimpedance.
Once identity has been established a person would be able to simply attach other devices to their body — whether clipped on, strapped on, stuck on, slipped into a pocket, or even implanted or ingested — and have the devices just work. That is, without any other action on the part of the user, the devices discover each other's presence, recognize that they are on the same body, develop shared secrets from which to derive encryption keys, and establish reliable and secure communications, the researchers stated.
Més detalls a l'article «An Amulet for Trustworthy Wearable mHealth»
Uns científics anglesos han aplicat els principis del radar per tal de poder utilitzar el senyal dels routers WiFi per detectar la presència de persones dins d'un edifici («Seeing Through Walls With a Wireless Router»)
Wi-Fi radio signals are found in 61 percent of homes in the U.S. and 25 percent worldwide, so Karl Woodbridge and Kevin Chetty, researchers at University College London, designed their detector to use these ubiquitous signals. When a radio wave reflects off a moving object, its frequency changes—a phenomenon called the Doppler effect. Their radar prototype identifies frequency changes to detect moving objects. It’s about the size of a suitcase and contains a radio receiver composed of two antennas and a signal-processing unit. In tests, they have used it to determine a person’s location, speed and direction—even through a one-foot-thick brick wall. Because the device itself doesn’t emit any radio waves, it can’t be detected.
Wi-Fi radar could have domestic applications ranging from spotting intruders to unobtrusively monitoring children or the elderly. It could also have military uses: The U.K. Ministry of Defence has funded a study to determine whether it could be used to scan buildings during urban warfare. With improvements, Woodbridge says, the device could become sensitive enough to pick up on subtle motions the ribcage makes during breathing, which would allow the radar to detect people who are standing or sitting still.
El funcionament s'explica en aquest gràfic:
WiFi Radar
- El router WiFi emet senyals que topen amb els objectes en moviment, canviant la seva freqüència
- El router WiFi omple el recinte on es troba amb ones de ràdio en una freqüència determinada (2 o 5 GHz) en funció de la variant de 802.11 utilitzada
- El radar detecta d'una banda la freqüència base
- La segona antena del radar detecta els objectes en moviment
- Un ordinador compara els dos senyals i els utilitza per detectar la posició i la velocitat de moviment de l'objecte en moviment
Pels interessats, he trobat dues referències sobre aquest mètode (les quals no semblen estar disponibles online de forma gratuïta):
- Development and Demonstration of a Software Radio Based Wireless Passive Radar. K. Woodbridge, K. Chetty, L. Young, N. Harley, G. Woodward. IET Electronics Letters, Vol. 48, No. 2, pp 120–121. 19th January 2012.
- Through-The-Wall Sensing of Personnel using Passive Bistatic WiFi Radar at Standoff Distances. K. Chetty, G.E. Smith and K. Woodbridge. IEEE Transactions on Geoscience and Remote Sensing. Vol. 50 issue 4, pp 1218 — 1226, april 2012.
Afecta als controladors fets per Nvidia (no els inclosos al nucli de Linux) i és conegut des de fa –com a mínim– un mes, encara que el fabricant no l'ha solucionat. Permet un accés remot com a superusuari. Avui s'han publicat els detalls.
Exteriorment l'aspecte és:
Power Pwn
però en realitat és una eina per a la realització d'atacs de penetració que cobreix des de la capa d'aplicació fins a la capa física (xarxes Ethernet, 3G i Bluetooth).
Network World publica una interessant entrevista a Tatu Ylönen, l'inventor del protocol SSH: «Tatu Ylönen, father of SSH, says security is 'getting worse'» sobre com veu la seguretat informàtica i del producte que han presentat al Black Hat, CryptoAuditor.
Publicada la versió 1.0 del projecte OWASP Broken Web Application. Es tracta d'una màquina virtual (en format VMware) que inclou un seguit d'aplicacions web instal·lades de forma no segura (versions antigues i/o amb vulnerabilitat conegudes), per tal que es puguin realitzar pràctiques de proves de penetració.
La màquina virtual inclou:
- Training Applications — Applications designed for learning which guide the user to specific, intentional vulnerabilities.
- OWASP WebGoat version 5.4+SVN (Java)
- OWASP WebGoat.NET version 2012–07-05+GIT
- OWASP ESAPI Java SwingSet Interactive version 1.0.1+SVN
- Mutillidae version 2.2.3 (PHP)
- Damn Vulnerable Web Application version 1.8+SVN (PHP)
- Ghost (PHP)
- Realistic, Intentionally Vulnerable Applications — Applications that have a wide variety of intentional security vulnerabilities, but are designed to look and work like a real application.
- OWASP Vicnum version 1.5 (PHP/Perl)
- Peruggia version 1.2 (PHP)
- Google Gruyere version 2010-07-15 (Python)
- Backxor version 2011-04-06 (Java JSP)
- WackoPicko version 2011–07-12+GIT (PHP)
- BodgeIt version 1.3+SVN (Java JSP)
- Old Versions of Real Applications — Open source applications with one or more known security issues.
- WordPress 2.0.0 (PHP, released December 31, 2005) with plugins:
- myGallery version 1.2
- Spreadsheet for WordPress version 0.6
- OrangeHRM version 2.4.2 (PHP, released May 7, 2009)
- GetBoo version 1.04 (PHP, released April 7, 2008)
- gtd-php version 0.7 (PHP, released September 30, 2006)
- Yazd version 1.0 (Java, released February 20, 2002)
- WebCalendar version 1.03 (PHP, released April 11, 2006)
- Gallery2 version 2.1 (PHP, released March 23, 2006)
- TikiWiki version 1.9.5 (PHP, released September 5, 2006)
- Joomla version 1.5.15 (PHP, released November 4, 2009)
- AWStats version 6.4 (build 1.814, Perl, released February 25,2005)
- Applications for Testing Tools — Applications designed for testing automated tools like web application security scanners.
- OWASP ZAP-WAVE version 0.2+SVN (Java JSP)
- WAVSEP version 1.2 (Java JSP)
- WIVET version 3+SVN (Java JSP)
- Demonstration Pages / Small Applications — Little applications or pages with intentional vulnerabilities to demonstrate specific concepts.
- OWASP CSRFGuard Test Application version 2.2 (Java)
- Mandiant Struts Forms (Java/Struts)
- Simple ASP.NET Forms (ASP.NET/C#)
- Simple Form with DOM Cross Site Scripting (HTML/JavaScript)
- OWASP Demonstration Applications — Demonstration of an OWASP application. Does not contain any intentional vulnerabilties.
- OWASP AppSensor Demo Application (Java)
En mai9 em passa l'enllaç a una notícia certament curiosa: «Unbreakable crypto: Store a 30-character password in your brain’s subconscious memory»… és a dir, com tenir memoritzada una contrasenya que, per la seva longitud, és virtualment impossible de trencar:
Un equip nord-americà multidisciplinari de neuròlegs i criptògrafs han desenvolupat un sistema de contrasenya que elimina la baula més feble de qualsevol sistema de seguretat: l'usuari humà. És genial: El sistema encara requereix que s'introdueixi una contrasenya, però en cap moment cal que aquest la recordi, amb la qual cosa no pot ser escrita ni tampoc pot ser obtinguda per mitjà de coacció o tortura.
El sistema es basa en l'aprenentatge implícit, un procés que permet absorbir nova informació d'una forma completament inconscient, una mica com aprendre a anar en bicicleta. En resum, el sistema ensenya la contrasenya a una part del cervell a la que no accedim.
Heu entès alguna cosa? A mi em sembla una mica ciència ficció… però la tècnica està explicada amb més detall a «Neuroscience Meets Cryptography: Designing Crypto Primitives Secure Against Rubber Hose Attacks»
