The attack to RSA and the Flash Platform role
by Alberto González on Apr.28, 2011, under Adobe, Adobe Flash, Incidents, Information Security
As you could remember RSA, the Security Division of EMC Corporation suffered a security attack last month. It’s completely ironic because one of the RSA jobs is to prevent these kind of information security attacks.
If you want to know the details there is a lot of information on Internet
You can just Google it and you’ll find hundreds of articles and posts related to this incident.
In this post I will focused on the role of the Flash Platform in this incident.
(continue reading…)
Protección en los smartphones. Móvil perdido/robado ?
by Alberto González on Feb.16, 2011, under Information Security, Mobile, Tips & Tricks
Inspirado un poco por algunos artículos recientemente leidos y por la inquietud de concientizar a la gente de los peligros que implica el utilizar dispositivos “smartphones” y las redes sociales sin la seguridad adecuada, escribo este post para mostrar algunos ejemplos de lo que podría suceder en sucesos desafortunados donde nuestros dispositivos fueran utilizados con otros fines, digamos, maliciosos y algunas formas de evitar catástrofes en este sentido.
Comenzaré con una simple pregunta. Qué pasaría si, por alguna razón, perdieran su smartphone ?
Conozco a infinidad de personas que han estado bajo esa situación ya sea porque les robaron su maleta o bolsa y se encontraba ahí dentro, o porque lo dejaron olvidado en algún lugar o se les cayó en algún transporte, etc. Después del pánico inmediato al darte cuenta de eso viene la preocupación y en lo primero que normalmente piensa uno es “Mis contactos!!!” y lo pensamos porque la gran mayoría de la gente no respalda sus contactos en algún otro medio y únicamente los deja en el móvil porque es lo más “a la mano” que tiene para anotar. Pues les diré algo: “el hecho de no haber respaldado sus contactos es lo último por lo que deberían de preocuparse si perdieron su smartphone o fue robado”.
Supongamos que su smartphone cae en manos de algún delincuente por alguna de las razones citadas previamente. Supongamos que es un delincuente curioso y quiere conocer un poco de su víctima. De primer instancia tomará el celular y, si está encendido, bastará con oprimir alguna tecla para que se ilumine la pantalla y pueda ver la pantalla de home desde la cuál se puede visualizar si hay algún mensaje de texto en espera de ser leído, algún correo electrónico en la bandeja de entrada y, en el caso de las redes sociales, si existe algún DM, reply o mensaje esperando a ser leído.
Hoy en día la usabilidad de estos dispositivos ha sido muy bien implementada y no se requieren amplios conocimientos o conocimientos técnicos para poder manejar, a nivel de usuario, estos equipos por lo que facilmente cualquier persona puede acceder a las aplicaciones instaladas en el dispositivo.
Al ser un dispositivo móvil al cual accedemos en muchas ocasiones durante el día casi siempre dejamos las aplicaciones con la opción de “recordar contraseña” activa para no tener que estar escribiendo las credenciales cada que queramos ver información por medio de esa aplicación. Esto provoca que cualquier persona que inicie la aplicación podrá acceder al contenido incluyendo, mensajes, actualizaciones, modificacion de cuenta y credenciales y más.
Otro punto importante es la cantidad de datos personales que contiene nuestro dispositivo móvil: los mensajes de texto, los correos electrónicos descargados, imágenes, archivos, contactos, etc. La mayor parte de esta información no se almacena directamente en la memoria del dispositivo sino en una memoria extraíble (comúnmente mini o micro SD), es decir, ni siquiera necesitamos el equipo para acceder a esos datos. Con el simple hecho de desmontar la memoria del dispositivo e introducirla en una computadora podremos acceder a toda esa información, normalmente, sin ningún “candado”, “password” o barrera que impida que sea leía por cualquier persona.
Con estos sencillos pasos, sin ningún tipo de seguridad, una persona podría tener en sus manos información de:
Podría enlistar unas cuantas cosas más pero con esto será suficiente para tratar el siguiente punto: “la técnicas de protección de esa información”
Para mitigar el daño que puede causar el perder un smartphone y todos los datos dentro del dispositivo mencionaré algunas sencillas técnicas:
Activar la contraseña de desbloqueo.Esta opción obliga a que, si el equipo se encuentra apagado o en modo standby, introduzcamos una contraseña para poder acceder a las aplicaciones, configuraciones y datos almacenados en él.Esto forzará al delincuente a pasar algunas horas de su tiempo intentando “adivinar” o “romper” (si cuenta con el equipo y conocimientos adecuados) la contraseña y así acceder a la información. Cabe destacar que solo ayudará a impedir parcialmente el acceso a los datos almacenados en el dispositivo y no los datos que se encuentren en la memoria extraíble.
Almacenar la información de contactos y mensajes en la memoria del teléfono y no la memoria extraíbleSi bien a muchos no nos gusta esta opción porque la memoria del teléfono usualmente es ocupada para la instalación de aplicaciones y configuraciones, es muy recomendable, por seguridad, almacenar esos datos en el teléfono ya que así evitaremos que con el simple hecho de extraer la memoria externa puedan acceder a este tipo de datos.
Eliminar remotamente la información en la memoria del dispositivo y la memoria extraíble.Existen programas precisamente creados para esto. Aquí podrán encontrar una lista de algunos de ellos para diferentes sistemas operativos de smartphones. Solo añadiría tres excelente aplicaciones. En primero lugar Lookout disponible para Windows Mobile, Blackberry y Android; en segundo lugar WaveSecure de McAfee mismos OS +SymbianOS y para Windows Phone 7 existen los servicios de Skydrive. Estas aplicaciones/servicios tiene extraordinarias funcionalidades para proteger nuestro equipo de virus, robos o pérdidas.
Cifrar la información de nuestro equipo y tarjeta extraíbleTambién existen aplicaciones para este fin: SecuBox, SD Card Store Optimizer. Estas aplicaciones permiten cifrar los datos, configuraciones y aplicaciones de nuestro equipo y memoria extraíble permitiéndonos establecer una contraseña para descifrar los datos y hacerlos legibles. Así, aunque se extraiga la memoria externa del equipo y se inserte en una computadora no se podrá acceder a la información sensible ya que dicha información estará cifrada.
Cambiar todas las contraseñas de las cuentas de servicios que teníamos configuradas en el smartphonePara evitar la suplantación de nuestra identidad en esos servicios o sistemas es recomendable realizar esta acción lo antes posible. Si bien, el cambiar la contraseña, no evita el acceso inmediato a nuestra información desde el equipo pero, con un poco de suerte, se terminará la batería, o apagarán el teléfono para no recibir llamadas buscándolo. Posteriormente, cuando se encienda el equipo las aplicaciones tendrán que re-autenticarse en los servicios y se encontrarán con que la contraseña almacenada en el equipo y “recordada” por la aplicación ya no es la misma con la cuál pueden acceder al servicio web llámese e-mail, exchange, twitter/facebook/4square/buzz, dropbox, o cualquier otro servicio que hayan configurado desde su móvil.
Desactivar la tarjeta SIM y no almacenar datos sensibles en ellaLas tarjetas SIM (Subscriber Identity Module) son chips portátiles que utilizan los smartphones, o casi cualquier otro celular en el mundo, para poder recibir llamadas por medio del operador contratado. Las tarjetas SIM contienen información como el número telefónico pero pocos saben que puede contener practicamente cualquier otro tipo de información. Algunos equipos permiten guardar contactos y mensajes en la tarjeta SIM por lo tanto hay que evitar almacenar información confidencial o importante en esa tarjeta ya que desde los smartphones no tenemos tanto control de la información almacenada en ellos como lo tenemos con las tarjetas extraíbles y no podemos cifrar esa información de manera sencilla.Existen lectores de SIM con los cuales se pueden obtener facilmente información de las tarjetas por lo que es muy importante reportar inmediatamente el robo del equipo para que el operador desasocie la información contenida en el SIM con la victima.
Estos fueron solo algunos consejos para asegurar sus equipos y preocuparse considerablemente menos por la información contenida en el smartphone perdido.
Si tienen algún otro los invito a complementar este post con algún comentario.
Megabytes vs Megabits [Cultura general en sistemas]
by Alberto González on Dec.09, 2010, under General, Technology, Tips & Tricks
El día de ayer decidí llamar por teléfono a una empresa para contratar su servicio de Internet de banda ancha. Como era de esperarse inmediatamente me atendieron y me comenzaron a proporcionar los datos para realizar la transferencia electrónica a lo cual respondí que primero me interesaba que me resolvieran unas dudas técnicas que tenía referente a su servicio.
Debido a que eran dudas técnicas me transfirieron al area de soporte técnico para que me pudieran ayudar. Una vez ahí la plática transcurrió más o menos como sigue:
Symbian, Android, iPhone OS and touchscreen mobile devices
by Alberto González on Nov.09, 2010, under General, Mobile, Technology
Have you ever had a Nokia mobile device ? Amazing isn’t it ?? I mean the speakers, the reception, the battery, compatibility, functionality, hardware, etc. Nowadays I think the only thing they lack of is a good Operating System and it’s strange because years ago Symbian was one the best rated Operating Systems. Probably it still is one of the best OS but not for the latest devices and the tendency of them.
What we know is, since the iPhone, all other cell phone manufacturers have created their devices as touch screen oriented. But if you remember the next touch screen device appeared just some week after the iPhone. Obviously other manufacturers already had the technology on their hands before iPhone appeared. Now we are in the middle of a battle between touch screen devices and, for people directly involved in technology, their mobile device must be a touch screen.
(continue reading…)
Latin Flash Tour Mexico
by Alberto González on Oct.19, 2010, under Adobe AIR, Adobe Flash, Events, Tips & Tricks
La próxima semana, en los días 29 y 30 de Octubre de 2010, comenzará un extraordinario evento llamado “Latin Flash Tour”. Será la segunda ocasión que se realiza este evento teniendo por objetivo visitar diferentes paises de América latina mostrando las capacidades, funcionalidades y mejores aplicaciones de la plataforma Flash.
Este año el evento comenzará en la ciudad de México y finalizará en Río de Janeiro Brasil, pasando por Bogotá, Lima, Santiago y Buenos Aires.
El evento será de gran calidad y comenzará en la Universidad Iberoamericana con conferencias impartidas por Grant Garrett (Influxis), Jerry Chabolla (Influxis), Enrique Duvos (Adobe) y Lee Brimelow (Adobe).
Serán dos días intensos de conferencias y talleres que no se pueden perder.La página principal del evento es http://www.latinflashtour.com/ y el site del evento en la ciudad de México es http://www.latinflashtour.com.mx donde también pueden entcontrar la agenda de los días 29 y 30 de Oct y el registro.
Los temas de las conferencias y talleres son muy diversos y van desde Ilustración con Flash y Plataforma Flash para Diseñadores hasta AS3 en iPhone para Diseñadores Flash y Experiencias Multitouch pasando por FX con Flash y After Effects, APIs Sociales para Flash y muchos, muchos temas más.No se lo pierdan.
-
Welcome!!!
Blog about technology and information security. Feel free to join the discussion by leaving comments, and stay updated by subscribing to the RSS feed. See ya around!
