Criptografía

Con iOS 8, Apple no podrá entregar tus datos al gobierno

Posted on Actualizado enn

Con iOS 8, Apple no podrá entregar tus datos al gobierno

Una de las novedades de iOS 8 tal vez menos conocidas está en el frente de la privacidad. Apple ha confirmado que iOS 8 funciona con un nuevo sistema de cifrado que, técnicamente, le impide acceder a nuestros contenidos almacenados en un iPhone o iPad. En otras palabras: si un gobierno le pide judicialmente que entregue datos de sus usuarios, ya no podrá hacerlo.

El sistema de cifrado de iOS 8 funciona de forma diferente a las anteriores versiones e impide a Apple saltarse la contraseña del equipo para acceder a material almacenado en el dispositivo. Es decir, si un gobierno le pidiera a la compañía acceder a esos datos, incluso con petición judicial de por medio, Apple no podría hacerlo. En palabras de la compañía:

En los equipos con iOS 8, tus datos personales como fotos, mensajes (incluidos documentos adjuntos), emails, contactos, historial de llamadas, contenido en iTunes, notas y calendarios, están protegidos por tu contraseña. A diferencia de otros competidores, Apple no puede saltarse esa contraseña y, por tanto, no puede acceder a tus datos. No es técnicamente posible acceder a cumplir peticiones gubernamentales para entregar estos datos en equipos con iOS 8.

Habrá que ver si al final realmente funciona como asegura Apple, pero el movimiento es un intento por poner fin a las crecientes peticiones de datos de usuarios por parte de los gobiernos, especialmente de EE.UU. “Apple nuca ha trabajado con ninguna agencia gubernamental de ningún país para crear una “puerta trasera” en ninguno de nuestros productos o servicios. Tampoco hemos permitido nunca ningún acceso gubernamental a nuestros servidores. Y nunca lo haremos“, asegura.

Con el nuevo cifrado de iOS 8 queda protegido el contenido almacenado en el equipo, pero no en iCloud. Con una petición judicial, Apple sí tendría que entregar esos datos almacenados en iCloud a un gobierno si así se lo exige.

Como todo, hay al menos una desventaja de este nuevo cifrado en iOS 8: si te olvidas de la contraseña de tu móvil, el servicio de soporte de Apple ya no podrá ayudarte a desbloquearlo. [Apple vía The Washington Post]

Anuncios

‘Es una cuestión de tiempo que los ‘ciberataques’ tengan un impacto real en el mundo físico’

Posted on

lyneEntrevista a James Lyne, responsable de investigación de Sophos

Hablar con James Lyne sobre seguridad en la Red es todo un reto ya que una vez que empieza a hablar la pasión por su trabajo le posee y no hay manera de pararle. Es el máximo responsable de investigación de Sophos, una de las grandes compañías de seguridad informática del mundo.

Poco queda ya del chico tímido, pálido y delgado al que le gustaba ‘romper cosas’ y destripar sistemas; ahora nos encontramos ante un hombre atlético, deportista, con el pelo rubio cuajado de rizos y una sonrisa permanente. Ha dado charlas TED, sus conferencias están llenas de ejemplos gráficos y energía, ha sido incluso calificado como una ‘superestrella’ en el mundillo de las compañías de seguridad.

En una hora de entrevista, este joven experto desgrana sus puntos de vista sobre el panorama de la ‘ciberseguridad’, los más recientes agujeros en la Red, las tendencias del ‘cibercrimen’ e incluso si estamos inmersos ya en una ‘ciberguerra’ mundial.

A continuación publicamos la entrevista íntegra en la que entre otros asuntos Lyne reflexiona sobre el uso intensivo de tecnología en todos los aspectos de la vida diaria y sus consecuencias para la seguridad.

¿Estamos seguros?
En una palabra: no. Hay sin lugar a dudas un enorme desafío y mucho trabajo que tiene que desempeñar la sociedad en general y en todas partes del mundo para generar un internet más seguro, una tecnología más segura. Encima, si miro hacia atrás unos cuatro o cinco años, nos encaminamos hacia una menor seguridad. Los delincuentes tienen cada vez más poder en el mundo, tanto digital como físico; los daños económicos son potencialmente mayores, y hay cada vez menos confianza ‘online’. A mí me gusta decir que la estructura de la seguridad está construida sobre cimientos débiles, y deberíamos volver atrás y reconstruir los pilares fundamentales de esa confianza, educar a la sociedad y reforzar la tecnología que nos rodea. Todo ello como premisas para darle la vuelta a esta situación.
Leer el resto de esta entrada »

Un argentino demostró que se pueden hackear los semáforos

Posted on Actualizado enn

semaforosDispositivos inseguros en las ciudades más grandes del mundoIngresó en el sistema de tránsito de Nueva York. Investigó cómo se puede generar un caos alterando las señales.

Un grupo terrorista toma control del sistema de tránsito. A los pocos minutos las calles colapsan. Las autopistas también. Los semáforos abren la luz verde en forma simultanea, y provocan choques en cadena.

La ciudad entera es un descontrol. Estas escenas, clásicas de películas de acción al estilo Duro de Matar 4puede ser realidad hoy, de acuerdo a una investigación presentada por un hacker argentino en el último congreso de seguridad informática InfilTrate que se realizó en los Estados Unidos.

El autor del estudio es el entrerriano César Cerrudo, que basó su investigación en los sistemas de automatización del tránsitoque se están instalando por estos días en las ciudades más grandes del mundo.

Estos dispositivos son de última generación: completamenteinalámbricos (usan sistemas similares al Wi Fi) y de bajo costo. Y mejoran el tránsito de forma muy eficiente, debido a que manejan información en tiempo real. Pero tienen una contra. Seg ún pudo demostrar Cerrudo, tanto los sistemas operativos que los comandan como las comunicaciones que establecen soninseguros. Cualquier persona con algunos conocimientos de tecnología puede ingresar en ellos y alterarlos. Leer el resto de esta entrada »

La agencia europea de seguridad en Internet realiza un gigantesco simulacro de “ciberguerra”

Posted on

europa-ticEs un ejercicio que se celebra cada dos años, y su objetivo es el mismo que el de las maniobras militares: preparar a quienes se encargan de la defensa -en este caso, de los sistemas conectados a Internet- ante posibles ataques.

Durante el día de hoy, la Agencia Europea de Seguridad de las Redes de la Información (ENISA) coordina un ejercicio destinado “a reforzar la cooperación en crisis informáticas, la preparación y la respuesta en toda Europa, así como la resistencia de las infraestructuras críticas de información europeas”.

Más de 200 organizaciones y 400 profesionales de 29 países de la Unión Europea (UE) y la Asociación Europea de Libre Comercio (EFTA) participan en estas maniobras de ciberseguridad, las mayores de este tipo en toda Europa.

Conocido como Cyber Europe 2014, la primera fase de este ejercicio requiere que los participantes resuelvan diferentes incidentes técnicos relacionados con la seguridad informática, similares a casos que ocurren en la realidad.

 

Leer el resto de esta entrada »

Así funciona Heartbleed – explicación sencilla para todos en una imagen

Posted on Actualizado enn

 

 

Al rescate han salido los chicos del cómic XKCD, que en una única imagen resumen de forma sencilla y fácil de entender cómo funciona Heartbleed. Podéis ver el cómic completo a continuación:

Leer el resto de esta entrada »

The Heartbleed Hit List: The Passwords You Need to Change Right Now

Posted on

An encryption flaw called the Heartbleed bug is already being called one of the biggest security threats the Internet has ever seen. The bug has affected many popular websites and services — ones you might use every day, like Gmail and Facebook — and could have quietly exposed your sensitive account information (such as passwords and credit card numbers) over the past two years.

But it hasn’t always been clear which sites have been affected. Mashable reached out some of the most popular social, email, banking and commerce sites on the web. We’ve rounded up their responses below.

Some Internet companies that were vulnerable to the bug have already updated their servers with a security patch to fix the issue. This means you’ll need to go in and change your passwords immediately for these sites. Even that is no guarantee that your information wasn’t already compromised, but there’s also no indication that hackers knew about the exploit before this week. The companies that are advising customers to change their passwords are doing so as a precautionary measure.

Although changing your password regularly is always good practice, if a site or service hasn’t yet patched the problem, your information will still be vulnerable.

Also, if you reused the same password on multiple sites, and one of those sites was vulnerable, you’ll need to change the password everywhere. It’s not a good idea to use the same password across multiple sites, anyway.

 

Social Networks

Was it affected? Is there a patch? Do you need to change your password? What did they say?
Facebook Unclear Yes Yes Yes “We added protections for Facebook’s implementation of OpenSSL before this issue was publicly disclosed. We haven’t detected any signs of suspicious account activity, but we encourage people to … set up a unique password.”
Instagram Yes Yes Yes Yes “Our security teams worked quickly on a fix and we have no evidence of any accounts being harmed. But because this event impacted many services across the web, we recommend you update your password on Instagram and other sites, particularly if you use the same password on multiple sites.”
LinkedIn No No No “We didn’t use the offending implementation of OpenSSL in http://www.linkedin.com or http://www.slideshare.net. As a result, HeartBleed does not present a risk to these web properties.”
Pinterest Yes Yes Yes Yes “We fixed the issue on Pinterest.com, and didn’t find any evidence of mischief. To be extra careful, we e-mailed Pinners who may have been impacted, and encouraged them to change their passwords.”
Tumblr Yes Yes Yes Yes “We have no evidence of any breach and, like most networks, our team took immediate action to fix the issue.”
Twitter No Yes Unclear Twitter wrote that OpenSSL “is widely used across the internet and at Twitter. We were able to determine that [our] servers were not affected by this vulnerability. We are continuing to monitor the situation.” While reiterating that they were unaffected, Twitter told Mashable that they did apply a patch.

Leer el resto de esta entrada »

‘Heartbleed’: el nombre del fallo de seguridad más impresionante en la historia de Internet

Posted on Actualizado enn

Heartbleed

  •  Es un gravísimo error que afecta a muchos servidores desde hace dos años
  •  Un atacante puede extraer información de la memoria de los servidores web supuestamente seguros
  •  El fallo ya está parcheado, pero nadie puede asegurar que no se hayan “aprovechado” de él

 

Administradores de redes de todo el mundo llevan unos días incómodamente ajetreados tras haberse hecho pública una vulnerabilidad que afecta a cientos de miles de servidores de Internet y que -tal vez un poco irónicamente- pone en peligro todos los datos almacenados en los servidores web ‘seguros’.

Tan grave es la situación, que en diversas publicaciones técnicas se ha calificado de devastadorcatastrófico e incluso -como si fuera una especie de “Apocalipsis digital”- con un 11 sobre 10 en una hipotética escala de gravedad. Y cuando esto lo dice Bruce Schneier, uno de los más reputados expertos en seguridad y criptografía de la era Internet es que el asunto no es precisamente baladí.

Hay servicios que incluso jocosamente se plantean pedir a la gente que se tome un día libre a título individual, bajo el lema “podría ser un buen día para cambiar todas tus contraseñas”.

Según Netcraft, la empresa especializada en análisis de servidores a nivel mundial, el cálculo es que hay un millón de sitios web vulnerables, algo que confirma la ICANN, una de las organizaciones que vela por el desarrollo de Internet.

El bug en cuestión se llama Heartbleed y ya cuenta hasta con un dominio y una sección informativa especial creada por la empresa de seguridad Codenomicon para difundir su estado, soluciones y resolver preguntas al respecto.

Gigantes como Google, Yahoo, Amazon o Akamai han procedido a arreglar sus servidores; sitios populares como GitHub también han tomado medidas; gigantescos proveedores de hosting como MediaTemple han informado a sus clientes de la situación respecto a los servidores.

Leer el resto de esta entrada »