Intel puede abrir las puertas de cualquier PC a un atacante, sin remedio

El sistema Intel ME no es más que una pequeña parte del sistema de Intel vPro, destinada a ayudar a monitoreo, actualizar y reparar equipos gracias a un acceso a los dispositivos de bajo nivel.

Para su funcionamiento emplea un coprocesador ARC de 32 bits identificado como Intel ME (Management Engine), con demasiados privilegios sobre la máquina, de manera que si se logra su acceso cabe la posibilidad de no volver a tener el control de la máquina.

Es importante conocer que se mantiene activo aún con el equipo en suspensión o hibernación, con acceso a todos los componentes conectados al PC y conexión a internet gracias a un microservidor TCP/IP.

Los esfuerzos de la compañía se centran en evitar difundir la información referente al sistema, incluso implementando un cifrado RSA 2048, algo que podría llegar a ser insuficiente.

Todavía no hay manera de explotar la vulnerabilidad, algo que suele depender únicamente de tiempo. Para evitar que lo empleen, únicamente podremos desconectar de internet el equipo, algo que prácticamente inutiliza el ordenador para la mayoría de las tareas.

Fansmitter puede obtener información a través de los ventiladores del ordenador

La universidad de Ben-Gurion ha desarrollado un método por el que transmitir información de un PC a un smartphone empleando sonidos producidos únicamente por la velocidad de giro de los ventiladores de refrigeración.

Sin duda alguna, es una ingeniosa forma para robar datos de un equipo y prácticamente indetectable para un usuario. Para que funcione, se emplea código binario, en el que cada 0 o 1 se corresponden con variaciones determinadas en el sonido de los ventiladores, siempre que el receptor se encuentre a menos de 8 m.

Dada la cantidad de pequeños ventiladores de nuestros equipos actuales de mesa (gráfica, procesador, caja...), infectarse por este sistema es realmente sencillo, aunque el empleo de código binario en la transferencia resulta brutalmente lenta.

Hackear un samartphone o tablet mediante un audio es posible

Es cierto que los terminales inteligentes nos ayudan en gran medida con sus avances, entre los que encontramos los asistentes de voz. Gracias a dichos asistentes, el terminal permanece a la espera de nuestras órdenes para poder realizar alguna tarea sin la necesidad de interactuar físicamente con él.

Llegados a este punto, la Universidad de Georgetown se encuentra estudiando la posibilidad de atacar un equipo mediante señales sonoras haciendo que los asistentes como Siri, Google Now o Cortana realicen lo que ellos quieran.

La prueba la encontramos en el siguiente vídeo, en el que se analiza cómo una voz distorsionada es reconocida por los equipos:

Como se aprecia claramente, tanto con ruido como sin él, el smartphone reconoce los comandos y accede a la Web indicada sin problema. De esta manera, es sencillo hacer navegar al equipo por alguna Web con intenciones "oscuras", por lo que hay que tener cuidado lo que nuestros dispositivos "escuchan".

La importancia de las pruebas de seguridad

Algo que, a causa de diferentes debilidades detectadas durante años, el mundo de la informática nos ha demostrado es que las pruebas de seguridad deberían tener una posición de mayor importancia.

Siempre que se diseña un nuevo sistema para una empresa, es el propio cliente (que sale perjudicado ante un problema) el que presiona a los encargados del proyecto con el fin de terminarlo lo antes posible.

Las consecuencias son claras, si un sistema funciona se deja, pues el presupuesto no permite dedicarse a una segunda parte de depuración y corrección de vulnerabilidades que puedan arriesgar la integridad del sistema.

Una vez se encuentra el problema, quien lo paga es siempre el último eslabón, el "currito" que trabajaba directa o indirectamente para la empresa de informática que realiza el trabajo, aquel que más horas ha dedicado pero que tenía siempre a alguien encima pidiéndole el trabajo para ayer.

Sin lugar a dudas, el problema es la mentalidad de aquellas personas que piensan que lo seguro que funciona bien es barato y no precisa de trabajo alguno. Cualquier proyecto, sea de este "mundillo" o de cualquier otro, debe tener un proceso de corrección de debilidades con el fin de asegurar (en la medida de lo posible, nada es infalible) un funcionamiento correcto mezclado con los correspondientes medios de seguridad.

Latch, un cerrojo para despreocuparte de tu vida digital

Una de las soluciones más efectivas (y desgraciadamente poco implantada) para poder mantener cierta tranquilidad regulando el acceso de nuestras cuentas en Internet, es Latch.

Este proyecto ideado por el grupo de trabajo de Chema Alonso en su empresa asociada a Telefónica, nos permite tener de manera virtual un "segundo cerrojo", de manera que desde una aplicación móvil (que no almacena dato alguno de nosotros) podemos poder seleccionar el momento en el que poder conectarse a una cuenta digital, disponiendo o no de las credenciales.

Básicamente, si seleccionamos que el cerrojo esté abierto, con usuario y contraseña podremos entrar en la cuenta sin problemas (ya sea del banco, dropbox...), mientras que si cerramos el cerrojo, no podremos iniciar sesión aunque dispongamos de usuario y contraseña.

Las posibilidades y opciones del sistema van mucho más lejos, pudiendo encontrar una explicación más extendida en la página oficial.

Un ataque DDoS para recordar

Si has tenido problemas con servicios de Internet como Twitter, Whatsapp, PayPal, Netflix o Playstation entre otros, es por un confirmado ataque de DDoS al proveedor Dyn.

Dichas incidencias se dieron el pasado viernes a causa de un ataque organizado a una de las empresas más importantes como proveedor de servicios DNS, De esta manera se bloquean las traducciones que facilitan las IP para lograr la comunicación en internet.

El ataque se hizo empleando infinidad de dispositivos que intentaron conectar de manera simultánea a los servidores DNS bloqueándolos, entre ellos algunos que forman parte de los llamados dispositivos de Internet de las Cosas, infectados con software 0 day.

Este ataque ha servido como muestra de la falta de seguridad de los dispositivos mencionados anteriormente, a los que resulta relativamente fácil infectar.

SAI, seguridad en la alimentación

Los equipos informáticos son altamente sensibles ante las alteraciones eléctricas, algo frente a lo que estamos "desnudos" de manera general. Para poder evitar daños y, de esta manera cuidar de la cartera, podemos recurrir a los sistemas de filtrado y alimentación auxiliar SAI, elementos que se sitúan entre la red eléctrica y el equipo.

Su funcionamiento es, a grandes rasgos, muy sencillo, y aunque existen más tipos, en el mercado encontraremos básicamente 2 (Online y Offline). En el siguiente documento podemos encontrar una explicación de sus diferencias y dos modelos del mismo fabricante para poder comparar precios y características:

Comparación SAI

Facebook, ¿qué más quieres de nosotros?

Antes de comentar el grueso de la noticia, quisiera poder hacer memoria para recordar la compra de Whatsapp por Facebook, que se hacía con una de las aplicaciones de mensajería instantánea más extendidas. En el momento de la transacción, la compañía prometió no realizar grandes cambios en lo que a la privacidad se refiere, separando así los datos obtenidos con la aplicación de mensajería de los de la red social.

Bien, la promesa ha durado poco. Recientemente esos términos fueron cambiados, permitiendo seleccionar por el usuario si quería que Facebook emplee sus datos o no. Bien, al menos daban la opción, pero al ver que esto causaba recelo y que muchos nos negamos (algo completamente lógico), ahora han cambiado de táctica: Si quieres usar Whatsapp vas a tener que aceptar esos cambios y Facebook podrá saber todo, desde los hábitos de uso, horarios, personas con las que hablamos... Todo con el fin de mejorar sus sistemas de publicidad personalizándolos y permitiendo que, en el futuro, diferentes empresas se comuniquen directamente con nosotros.

Justo por esto es por lo que diferentes agencias gubernamentales como la AGPD o su equivalente en el Reino Unido o Alemania (entre otros) investiguen a Facebook por invadir la privacidad de los usuarios. Es el momento del cambio, existen diferentes aplicaciones para todas las plataformas que ofrecen lo mismo o más que Whatsapp, evitando que nuestros datos sean empleados por terceros.

Inicio con un grande

Señores arrancamos el blog hablando de uno de los grandes en el mundo de la seguridad WEB, conocido por la mayoría de los que se adentran en este interesante mundo. Hablamos de Chema Alonso, uno de los informáticos cuyo trabajo consiste en buscar diferentes vulnerabilidades en todo tipo de sistema informático.

Entre otras cosas, trabaja realizando auditorías des seguridad, realizando "pruebas" en las que analiza la fortaleza informática de sus clientes.

A continuación, un vídeo de una de sus conferencias en el que podremos ver una breve introducción y una interesante charla sobre la seguridad de las contraseñas y lo descuidadas que las tenemos:

En su blog, encontramos infinidad de casos de errores informáticos y, en algunos casos, las posibilidades que ello nos ofrece.

La próxima entrada nos espera, ¡a por ella!