Friday, December 05, 2014

Tecnologías de red V2V (Vehicle-to-Vehicle) y V2I (Vehicle-Infrastructure)

El estado de Maryland esta por implementar las tecnologías de red V2V (Vehicle-to-Vehicle) y V2I (Vehicle-Infrastructure). 


Para los no técnicos: 


Un automóvil podra decirle a los otros: Donde esta, su velocidad, si tiene algún problema, etc. 


Y con la V2I la carretera podra informarle al sistema inteligente del automóvil de trafico pesado adelante y elegir otra ruta o áreas en construcción, si esta fuera se la velocidad permitida o si sus neumáticos ya deben ser cambiados.




En las fotos por ejemplo, vea como en el sistema de navegación de su vehículo aparece una advertencia de una motocicleta que aparecerá por su derecha, siendo que, usted aun no la ha visto. El sistema calcula la velocidad de ambos vehiculos, el punto de encuentro y produce las advertencias necesarias.




Vehicle-to-Vehicle Communications for Safety is the dynamic wireless exchange of data between nearby vehicles that offers the opportunity for significant safety improvements.  By exchanging anonymous, vehicle-based data regarding position, speed, and location (at a minimum), V2V communications enables a vehicle to: sense threats and hazards with a 360 degree awareness of the position of other vehicles and the threat or hazard they present; calculate risk; issue driver advisories or warnings; or take pre-emptive actions to avoid and mitigate crashes. At the heart of V2V communications is a basic application known as the Here I Am data message.  This message can be derived using non-vehicle-based technologies such as GPS to identify location and speed of a vehicle, or vehicle-based sensor data wherein the location and speed data is derived from the vehicle’s computer and is combined with other data such as latitude, longitude, or angle to produce a richer, more detailed situational awareness of the position of other vehicles.  Because the Here I Am data message can be derived from non-vehicle-based technologies that are ubiquitous within the marketplace, the ITS Program may leverage an opportunity to accelerate V2V capability and deployment in the near-term and produce safety benefits through reduced crashes sooner than through Original Equipment Manufacturer(OEM) embedded systems only. 



The vision for V2V is that eventually, each vehicle on the roadway (inclusive of automobiles, trucks, buses, motor coaches, and motorcycles) will be able to communicate with other vehicles and that this rich set of data and communications will support a new generation of active safety applications and safety systems.  V2V communications will enable active safety systems that can assist drivers in preventing 76 percent of the crashes on the roadway, thereby reducing fatalities and injuries that occur each year.
V2V Communications for Safety is a key component in the USDOT's Vehicle to Vehicle Communications program, and is complemented by research programs that support connectivity among vehicles and infrastructure (V2I) and among vehicles and consumer devices (V2D) to deliver safety and mobility benefits.


- See more at: http://www.its.dot.gov/research/v2v.htm#sthash.r2n9woyi.dpuf

Tuesday, July 17, 2012

China tendría acceso al 80% de las comunicaciones mundiales
Celulares Chinos hackeados

Michael Maloof, un ex-analista de la política de seguridad en la Oficina de Defensa de EEUU, informa que el gobierno chino ha ordenado instalar una backdoor “puerta trasera”  en dispositivos fabricados por Huawei y ZTE Corporation. Es decir, teléfonos móviles, dispositivos de red móvil y otros equipos para operadores de comunicaciones los cuales les daría acceso al 80% de las comunicaciones mundiales. (http://www.wnd.com/2012/07/chinese-have-pervasive-access-to-80-of-worlds-telecoms/).






En otras palabras China estaría monitoreando, cuentas bancarias, passwords, sitios visitados, preferencias, y muchas cosas más referido al 80% de la población mundial. Pero, usted dirá: “A mí no me afecta pues no tengo un celular chino, sino un iPhone o un Blackberry, sin embargo, recuerde que Huawei y ZTE, son proveedores principales de equipos de red móvil de las principales operadoras de telefonía del mundo, por lo que sin necesidad de llegar a su teléfono pueden hackearle al información desde los nodos de su operador telefónico”


En estas circunstancias solo estarían libres las comunicaciones de los sistemas de seguridad de EEUU, que trabajan en Internet 2.0. y aquellos de nosotros que contemos con equipos de encriptación tipo militar. Esto también justifica la última decisión del Congreso americano que en resumen estipula que: "Cualquier ataque cibernético a EEUU o alguno de sus intereses en el mundo, se entenderá como un ataque a la unión y puede ser respondido militarmente". Como WND informó anteriormente, el potencial para el espionaje industrial y sabotaje a través de puertas traseras electrónicos ha acaparado la atención del Comité de Inteligencia de EE.UU. House, que ha decidido investigar Huawei y ZTE.




Según la publicación “La preocupación no sólo es en la protección de información confidencial, pero la amenaza potencial para las infraestructuras críticas de EE.UU. y la seguridad nacional”.

Debido a la preocupación, los EE.UU. Departamento de Comercio de finales del año pasado prohibió Huawei de participar en un proyecto para construir una red inalámbrica nacional, una especialidad de la empresa. Mientras que el Departamento de Comercio no quiso hacer comentarios oficiales sobre la base de la decisión, alegando razones de seguridad nacional, dicen fuentes que la preocupación es la conexión de la compañía para el Ejército de Liberación del Pueblo Chino.




“Hasta 2000, Huawei fue prácticamente desconocido fuera de China, pero en 2009 había crecido hasta ser uno de los más grandes, sólo superada por Ericsson.

Como consecuencia, las fuentes dicen que cualquier información que atraviesa "cualquier" red Huawei no es segura a menos que incorpore cifrado militar. Una fuente advirtió que "aun así, no hay duda de que los chinos están trabajando muy duro para descifrar todo lo que interceptan".



El gobierno chino y el Ejército Popular de Liberación están muy involucrados en la ciberguerra, y analizan los equipos Huawei y ZTE, los cuales son comercializados en unos 145 países y en 45 de los 50 centros de telecomunicaciones del mundo, a través de backdoors. La información no sólo podría ser interceptada sino también saboteada.





Desde que la historia salió a la luz, las fuentes dicen que este hecho está dando acceso a China a aproximadamente el 80 por ciento de las empresas de telecomunicaciones del mundo y que están trabajando en el otro 20 por ciento actual.

Incluso no usa productos chinos (teléfonos móviles, mp3, Apad, etc.), todavía no está seguro. Eso es debido a las intrusiones electrónicas son realizadas en forma remota mediante redes comerciales que son establecidas por Huawei y ZTE. Por ejemplo, las empresas se comunican utilizando redes privadas virtuales (VPNs) con otras empresas asociadas y, estas en algún lugar utilizan productos de Huawei y ZTE. En Perú por ejemplo, la mayoría de los equipos de las estaciones base y dispositivos de red de los operadores Claro y Movistar, son de las marcas antes mencionadas….



Me pregunto ¿y qué hacemos en Perú al respecto? ¿Seguimos creyendo que los hackers son un cuento de ciencia ficción? ¿Qué hacemos para proteger nuestras instalaciones críticas? ¿Qué hace el viceministerio de comunicaciones que sabe perfectamente que más del 80% del equipamiento de las dos principales operadoras de telefonía móvil es marca Huaweii o ZTE? ¿Qué hacen nuestros expertos en seguridad informática de escritorio, que niegan la existencia de la informática Underground? ¿Y nuestras fuerzas de seguridad?...


Dios (o nuestros hackers) nos libre ¡!

Bienvenidos a la inseguridad informática!!


Necesitamos hackers urgentemente ¡!






Wednesday, July 11, 2012

¡¡ Necesitamos hackers …. Urgentemente !! 


 Un Pirata es aquel que asalta bienes o personas para su beneficio, pero recordemos que en la antigüedad potencias como Inglaterra, convirtieron a sus más proclives marinos ( reconocidos Oficiales de marina) en Corsarios (Pirata al servicio de un estado). 

 En el caso de los Hacker, muchos se denominan así pues quieren resaltar en su comunidad. Sin embargo, hacker viene de Hacktivismo, que podría traducirse como "activismo en la red", algunos reclaman su "individualidad o libertad" de poder tener datos confidenciales al saberse que las agencias de gobierno pueden y tienen acceso a nuestros datos, viéndolo desde ese punto de vista, los hackers defienden nuestro derecho a la libertad en la Web

Un "hacker" reconocido mundialmente y amigo personal, mi profesor y colega en IBM Madrid, experto en seguridad y penetración de sistemas quien trabaja para el Departamento de Defensa de EEUU, IBM y muchas otras reconocidas empresas del medio, hace poco en una exposición de Ciberseguridad en Perú, traído por el Ejército, decía: "NOS TEMEN NO POR LO QUE SOMOS, SINO POR LO QUE REPRESENTAMOS....... LA LIBERTAD". 

Los verdaderos hacker o como quiera denominárseles, en mi entender, son profesionales de la seguridad, expertos que no les interesa dejar de dormir muchos días con la finalidad de lograr sus objetivos, buscando donde no hay manuales ni software que haga las cosas, conociendo profundamente los protocolos de Internet y cómo funcionan, van más allá de donde terminan los libros o la "información oficial" de los muchos Microsoft ¿No le hace recordar esto a los primeros informáticos? ¿No nos formamos así?... Pues si ese término se hubiese acuñado antes... Nosotros seriamos llamados “hackers”, aquellos que aprendimos la informática, sin manuales, sin profesores, sin mouse… rompiendo sistemas.

Los informáticos modernos quieren hacerlo todo con un click, se olvidaron de los puertos y las vulnerabilidades, creen que con un Antivirus y un Firewall (que muy pocos configuran adecuadamente) la seguridad está garantizada, nada más falso. 

En mis cursos de Seguridad Informática, no enseño lo que dicen los libros, teoría sobre los tipos de seguridad, clasificaciones mil y cosas por el estilo, sino más bien, que técnicas existen para penetrar sistemas, como vulnerar una red inalámbrica o alámbrica, como evadir los protocolos, como borrar huellas de la intromisión, pues necesitamos investigadores fanáticos, guerreros que nos defiendan de los ataques, aquellos que comienzan, donde nuestros informáticos de escritorio, de muchos diplomas y hermosos libros, no dan mas, allí "in the edge", donde termina la ley.... La ultima linea de defensa.... esos son nuestros hackers.

Personalmente no creo en nuestros "expertos en seguridad de escritorio", que repiten de paporreta lo que dicen los libros, para ellos esta bien el dia a dia de informatica, administrar la red, ver las impresiones, las tareas de rutina, etc.. 

La Seguridad Informática es como aprender a manejar bicicleta, no podemos aprenderla en los libros... !!! 

Modestamente, creo, que la única forma de defendernos en la insegura red de redes es saber cuales son los últimos métodos de penetración de sistemas, pentesting, y estar al tanto día a día de los últimos descubrimientos de hackers, como Fyodor, Dimitri, Chema Alonso, Jean Paul Garcia y tantos otros respetables expertos en cyberseguridad. Eso, cuesta muchísimas horas, sin dormir, frente a la pantalla, olvidarse de que existe el mouse, usar Unix, linux o Backtrack como sistemas operativos de uso diario, necesitamos combatientes del ciberespacio... 


 Por último, ¿a quién pondría a cuidar su casa?, a alguien que estudio sobre seguridad en los libros o a un ex-ladrón, o a un vigilante inexperto? ¿Quién podría proteger mejor los sistemas que aquel que sabe cómo penetrarlos? 

Existen redes zombies de teléfonos celulares, virus para blackberry, iPhone o Android, hacer una bootnet (red zombie), con los conocimientos adecuados es relativamente simple, y lo hacemos en clase.. Tengo una red zombie de unas 400 PCs de todo el mundo que uso para atacar los sistemas de las empresas donde he trabajado como encargado de seguridad, pues... ese es el trabajo… 

El responsable de la seguridad informática debe de estar atacando permanentemente su red, con las últimas técnicas a fin de poder descubrir vulnerabilidades y protegerla adecuadamente, para eso debe de pertenecer a comunidades Underground y ser “amigo” de los hackers buenos y malos… y ¿por qué no?... si es uno de ellos (de los buenos) mucho mejor …. ESA ES LA FORMA. 

 En el país hay una absoluta falta de conciencia en seguridad informática, con mis alumnos algunas veces hemos parado el carro frente a una empresa, nos hemos conectado a su red inalámbrica, hemos penetrado la red y hemos hecho de todo, y sería capaz de apostar que los "expertos" de seguridad de esas empresas u organizaciones, jamás se enteraron, ni se enteraran... 


Hace un par de semanas, un troyano chino, robo cerca de 100,000 planos, en formato de AUTOCAD, de diversas empresas peruanas, dirigiéndolos a servidores en China, es decir, nos están robando el ingenio de cientos de ingenieros de empresas, instituciones del estado y otros.... Y NADIE SE ENTERA... NO SALIO EN LOS PERIÓDICOS. 


En los últimos meses han sido hackedas la red de los ministerios de Defensa, Relaciones Exteriores, Presidencia del Consejo de Ministros, Presidencia de la República, y miles de empresas, organismos públicos, privados, universidades, etc....Y NADIE HACE NADA... Nuestros informáticos "ocultan" el tema, lo hablan por debajo de la mesa, o simplemente desprecian a los "hacker" como si fuesen colegiales malcriados... ¿no sera que están ocultando su incapacidad?






 ¿No cree que necesitamos hackers en nuestro equipo?... 
¿ Está equivocada la CIA, NSA, FBI, etc., al contar con el apoyo de muchos de los hackers mas famosos del mundo?...
¿No estamos optando en el país por la técnica del avestruz al esconder la cabeza ante los problemas?.


¿ QUE ES UN HACKER ?

Se ha instaurado una sensación de que un hacker es alguien malo de quién hay que protegerse en las empresas, cuando lo que tienes que hacer es tener hackers en tu empresa para ayudarte. Un hacker no tiene por qué ser malo para tu compañía.

En este entorno quiero utilizar el adjetivo calificativo como una categoría profesional. De profesión: Hacker

Un hacker es alguien capaz de llegar más allá de lo que dicen las especificaciones, consiguiendo hacer cosas que van desde lo curioso a lo maravilloso pasando por lo menos esperado. Así, un hacker puede montar una computadora en un drone para obtener los datos de los usuarios de redes WiFi a 100 metros de altura, o modificar el tan nombrado asistente personal Siri que viene en los iPhone 4S de la compañía de la manzana para que pueda ser controlado por la mente, como hace el proyecto Black Mirror, o encontrar un fallo en el sistema criptográfico de un algoritmo para poder descifrar la información oculta en cuestión de unos minutos.... Y saben Que, no requiere de sofisticados equipos informáticos... tan solo de una vieja computadora portátil, con un procesador mucho mas antiguo que el que usted tiene amigo lector.


Todos ellos son hackers. Son gente con capacidades especiales, adquiridas en base a mil horas dedicadas por culpa de una pasión infinita, o por un ansia enfermiza que les impide dormir sin responder a la preguntas que le atormentan: 

¿Por qué? ¿Cómo? ¿Y si...?

Por eso necesitas un Hacker en tu empresa !!!


Ahora piensa en positivo, y supón que esas habilidades hacker están al servicio de tu empresa.

¿Cuantas páginas web han sido vulneradas por fallos sencillos que podría haber detectado cualquier hacker que hubiera echado algo de tiempo en mirar la seguridad? ¿Cuántos problemas intentos se podrían haber evitado si un hacker te hubiera alertado internamente de que hay una herramienta que permite acceder a los datos de la WiFi que usa el director general? ¿Cuánto dinero se hubiera ahorrado una compañía si hubiera cerrado los fallos de seguridad que han llevado al robo de datos, la consiguiente multa del gobierno y descrédito en la opinión pública en muchas empresas? . 


Cuida a tu Hacker

No les tengas miedo, no pienses en ellos como en el enemigo. Igual que confías en tu DBA, debes confiar en tus hackers. Tómalos como un recurso de valor dentro de tu organización, sacando de ellos lo mejor que tienen.

Cuídalos, mímalos, igual que cuidas al resto de tu equipo, y obtendrás un punto de vista nuevo de tus sistemas y unas capacidades ampliadas que harán que todo tu grupo de profesionales crezca en resultados.

¡¡  Necesitamos hackers …. Urgentemente !!

*** Los últimos párrafos son ideas tomadas de Chema Alonso… Gracias


Les cuento también que con un amigo peruano radicado en Madrid, dos argentinos y algunos españoles, todos reconocidos hackers, estamos trabajando en el proyecto de abrir el HACKER INSTITUTE PERU.  La idea es formar “fanáticos” en cyber-seguridad, allí no habrá libros en papel, ni mouse, mucho menos sistemas Windows, tampoco habrá exámenes teóricos sobre si saben las normas de seguridad de memoria. Sera un Instituto Virtual con formación ofensiva y por resultados. Este proyecto que venimos madurándolo por algunos meses, debe ver la luz en unos meses, si es que aun permanezco en el país, sino, nos llevara algo de tiempo más.


HAPPY      HACKING !!!




Friday, June 17, 2011

GUERRA EN INTERNET

Muchos creen que la tercera guerra mundial es un cuento de ciencia ficción otros creen que nunca se dará, pero independientemente de nuestras creencias al respecto, pareciera que tal guerra ya comenzó. Es una “Cyberguerra” y se está combatiendo en la nube (Internet), muchos mortales ni nos enteramos, pero creámoslo o no, esta cyberguerra esta “cambiando el mundo”, y muchos nos daremos cuenta al final (como en todas las guerras del pasado), cuando nos encontremos ante una realidad diferente. Alguien podría decir “cyberguerra” eso suena como un juego de niños de lucha de robots, tal vez si, pero si esta guerra persigue la “información” ya estamos hablando de cosas mayores, “información es poder”. ¿Le suenan por casualidad los sustantivos Wikileaks o Anonymous?

Wikileaks (que podríamos traducir al español como “la biblioteca con filtraciones”) es un ejemplo de un sitio web que pone en jaque al gobierno más poderoso del mundo y lo está obligando a sustituir toda su diplomacia mundial. Para los que aún no tienen claro que es lo que hace Wikileaks y su cabeza visible Julian Assange, pues es sencillo, recopila información valiosa de gobiernos y agencias poderosas por el mundo y los distribuye libremente por internet, los medios de comunicación por el mundo recogen esa información como escándalos día tras día. Otro ejemplo de esta guerra es “Anonymous” , el grupo de hackers mundial que ha atacado recientemente sitios como el de Sony, haciéndole perder miles de millones de dólares. No tengo una bola de cristal para saber que pasara en esta ciberguerra, lo que sí puedo asegurar sin temor a equivocarme es que “El mundo comenzó a cambiar debido a la aparición de Wikileaks, Anonymous y otros grupos, movimientos, o como quieran llamarse, que pretenden establecer nuevas reglas en la nube”



“ANONYMOUS”
¿ Who is anonymous?


La misma pregunta nos suena a broma, nos preguntamos ¿Quién es anónimo?.... Pues alguien desconocido…. anónimo…. Usted o yo, cualquiera…

“Anonymous” nace con la “Operation: Payback” que al principio se dedicaba a atacar a organizaciones que se oponían a la piratería (como la RIAA y la MPAA en Estados Unidos). Esta operación

derivó ahora a la defensa de WikiLeaks, también bajo el nombre de “Avenge Assange” (vengar a Assange). Anonymous, también organizó ataques contra la SGAE (La poderosa y millonaria “Asociación de Autores y Compositores de España”) y el Ministerio de Cultura en España. “Anonymous” ha dado mucho que hablar en las últimas semanas, luego que hiciera despegar una “cyberguerra” en contra de quienes se oponen a WikiLeaks. Su arma de batalla: los ataques distribuidos de denegación de servicio (DDoS). Sus objetivos hasta ahora: PayPal, el banco suizo Post Finance, MasterCard, Visa y hace pocas horas, uno de los sitios del gobierno de Suecia. Y la lista no acaba allí.



Anonymous ya tiene en la mira más objetivos, que serán atacados por oponerse de una u otra forma a las operaciones de WikiLeaks, que como último golpe reveló miles de documentos confidenciales de diplomáticos estadounidenses, lo que le ha valido la persecución de parte de este país.

Pero Anonymous no tiene nada que ver con WikiLeaks. No está relacionada con ella, ni su organización tiene nada que ver. ¿Quiénes son Anonymous? ¿Quién está detrás?

“Anonymous puede ser cualquiera. Puede ser usted o yo, o el vecino, y es imposible identificar quiénes son sus miembros – sólo se pueden ver por el trabajo que hacen en conjunto. Se atribuye su nacimiento a “4Chan” (http://www.4chan.org/), aunque no es exclusivo.

Entre lo más destacado de este grupo está la “Operation Chanology“, una cruzada en contra de la iglesia de la Cienciología que incluyó videos en YouTube, ataques DDoS, envío de faxes negros, bromas telefónicas, y protestas presenciales (en las que los miembros del grupo usaban máscaras de Guy Fawkes de V de Vendetta) – todo para interrumpir el funcionamiento de la iglesia, a la que Anonymous consideraba que estaba intentando censurar internet.

Para realizar sus ataques, Anonymous utiliza una versión modificada del programa “Low Orbit Ion Cannon” (LOIC), que intenta interrumpir las operaciones del sitio objetivo al inundar sus servidores con paquetes y requerimientos, de modo que no pueda responder a todas las solicitudes y quede fuera de servicio.


La última versión de LOIC incluye un modo llamado “mente de colmena” que permite al programa conectarse con IRC, desde donde puede ser controlado de forma remota. De este modo, los PC que tienen instalado LOIC se comportan como si fueran parte de una red de bots (Computadoras Zombies, muy posiblemente la suya sea una de ellas). Así, los coordinadores de la Operation:Payback pueden comandar a toda la red a atacar un sitio, dejándolo rápidamente fuera de servicio si la red es amplia.

No está claro si las operaciones de Anonymous finalmente logren algún cambio en la situación de WikiLeaks o de su fundador, Julian Assange. Al menos, son un recordatorio de que la gente también tiene poder en internet, y que participar en un “grupo de hackers” ya no es tan raro como las películas nos hacían creer.

Este servidor podría ensayar un probable objetivo de Anonymous, “Oponerse a cualquier hecho, ley, comportamiento u acto que se oponga a la libertad en internet, que intente censurar la forma en la que trabajamos en la nube” o al menos creo que esos fueron sus objetivos de creación.

WIKILEAKS está cambiando el mundo.

La historia de Wikileaks está cambiando el mundo, y aún mucha gente no se ha enterado. Lo que está sucediendo con Wikileaks es la primera revolución de un pueblo globalizado contra sus gobernantes que está intentando ser aplacada con unos nuevos antidisturbios, los cuales están descubriendo y aplicando nuevas reglas del juego.

Wikileaks es un proyecto de información que intenta desenmascarar mentiras y actos de los poderosos, para ello su concepción es sencilla, busca obtener la verdad de personas que puedan ofrecer una fuente fiable. Ya sea un “insider” de la compañía en cuestión de forma anónima, el soldado Manning, que envío los cables robados a través de su Lady Gaga.


A partir de ese punto, le gustará más o menos lo que hacen, le parecerá más o menos hipócrita, criticable o no, pero las cartas están sobre la mesa y la mesa es algo más grande que un país, es Internet, algo que se supone que es libre y neutral… ¿lo es?

Desde que Wikileaks pusiera a disposición pública un volumen de información tan grande y tan fuerte, los medios de comunicación no dejan de dar la noticia del día, descubriendo cada cierto tiempo, muchas de las cosas que muchas veces caen en la teoría de la conspiración, pero que a la postre han resultado tener su base. Políticos aceptando sobornos, actos políticos enmascarando hechos en los juzgados, asesinatos encubiertos en daños colaterales, etc… información tal, que ha obligado al gobierno más poderoso de la tierra a cambiar casi toda su cúpula diplomática mundial.

A partir de ahí, podríamos decir que esta cyberguerra por Internet comenzó (Atención historiadores…). Wikileaks empezó a sufrir ataques DDOS desde botnes (redes de bots) que algunos decía que estaban controladas por el ejército americano, otros que eran equipos controlados por hackers USA y los más que era una guerra sucia de los poderosos comprando botnets a las mafias del malware.


Wikileaks tuvo, a partir de ese momento, que empezar a moverse por el globo terráqueo para intentar seguir activo. Se movieron a servidores por todo el mundo, hasta que aterrizaron en la nube de Amazon (la compañía americana de ventas por internet) Allí, estuvieron a salvo durante algo menos de 48 horas, tiempo que tardo “alguien” en apretar las clavijas lo suficiente a Amazon como para que los echara a patadas de su nube.

Al mismo tiempo, la presión contra Wikileaks seguía trabajándose por más servicios de Internet. Mientras que Ecuador se ofrecía como refugio, PayPal (el sistema de pagos por internet) decidió suspender uno de los flujos de dinero de Wikileaks anulando la cuenta de donación a este proyecto que tenían con ellos. Menos dinero.

La presión para aplacar estar revolución contra el mundo globalizado continuó en la imagen de Julian Assange, su cabeza visible, acusándole de violación de dos mujeres en Suecia y emitiendo una orden a través de la Interpol, para intentar capturarlo, ya que lo tenían localizado en el sur de Inglaterra. ¿Será verdad, o solo una medida de presión contra su persona?

El acoso a las personas relacionadas con Wikileaks ha sido tan brutal que algunos, como es el caso de Moxie Marlinspike, ha sufrido toda la dureza de la ley de frontera americana que permite a los miembros de seguridad copiar todos los datos en dispositivos electrónicos. Al parecer, esto le sucedió porque su número de teléfono aparecía en la agenda de uno de los colaboradores de Wikileaks, previamente detenido.



Por su parte, Julian Assange, que ha llegado a decir estos días que temía por su vida, ha generado un fichero cifrado con AES 256 (Sistema de encriptación de alta seguridad) con información suficiente, según él, como para que los que intentan acabar con él “lo piensen dos veces”. La clave, será distribuida en el caso de que le suceda algo.

Mientras tanto, el acoso al sitio de Wikileaks continuaba. En este caso a dominio de la página, haciendo que tuviera que “huir” a la “nube” del dominio en Suiza. (.ch). Debido a estos actos, desde Pirate Bay, un grupo que se ha mostrado muy activo y partidario de ayudar a Wikileaks, se proponen crear un sistema de DNS basado en redes P2P para evitar los puntos de censura en los servidores centrales de los dominios principales de Internet.

Tras los ataques vía hosting, vía Amazon, vía legislación americana e Interpol, el bloqueo de Paypal y el ataque al nombre del dominio, el último movimiento ha sido bloquearles los pagos de MasterCard, intentando, de esta forma, volver a ahogar un poco más el proyecto.

Estos movimientos, sin embargo, están generando una avalancha de reacciones negativas de la comunidad en Internet, que está reaccionando. Anonymous, la cabeza detrás de la operación Payback, está entre los que se han puesto como objetivo Paypal, Amazon Web Services y EveryDNS.net, organizaciones que ayudaron a empujar un poco a Wikileaks fuera de la nube.

Julian Assange, por su parte, está en el top de la lista Time de gente más importante de este año, y los servidores de Wikileaks se están clonando por todo el mundo a pasos agigantados.



Al mismo tiempo, la información publicada ya está en los medios de comunicación y será imposible evitar que sea analizada y se saquen conclusiones, Wikielaks seguirá vivo, ya sea como una página web, o como un flujo de datos P2P lo intenten evitar o no, y además, se está produciendo un efecto réplica y muchos grupos tienen su propio Wikileaks. El propio proyecto anunció tener datos reveladores sobre un gran banco en Internet, garantizando así la intención de continuar con el proyecto.

De momento, es posible seguir la cuenta de Wikileaks en Twitter (http://twitter.com/#!/wikileaks) y enterarse de qué está pasando en cada momento con el proyecto.
Por lo visto ¡ hay muchos que piensan que la nube es suya ¡ y quieren poner reglas al respecto, pero también hay de los que quieren que la nube siga siendo un lugar de libertades. Hay que ver el futuro, lo ideal sería libertad con seguridad. Lo cierto es que Wikileaks está cambiando el mundo y lo que suceda al final, determinara mucho sobre la nube en la que vivamos los próximos años.
.

¡ Happy Hacking ¡

Wednesday, June 15, 2011

Serios fallos de Seguridad en el iPhone y el iPad

Una de las características más destacables que tiene el sistema iOS de Apple, que usan sus equipos iPhone e iPad, es su sencillez de uso. Esta manera de ser hace que para muchos usuarios sea una herramienta perfecta, que pueden aprender a utilizar de forma rápida, lo que es parte de la popularidad que ha adquirido el teléfono iPhone, el iPod Touch y el popular Tablet iPad.


Sin embargo, esta simplicidad, en muchos casos está reñida con la seguridad los usuarios y así se ha visto en varias ocasiones. El no poder configurar una política de carga de imágenes o no en los correos electrónicos personalizada por mensaje, el no poder ver el código original de un mensaje de correo electrónico o el que una página web pueda quitar la barra de direcciones en el navegador, abren vectores a los atacantes. Vectores, que en sistemas operativos con más proteccion, hace tiempo que son conocidos, por tener mucha historia ya tras de sí, y se configuran con cuidado.

Hoy hablaremos de otro vector de ataque clásico que ya es conocido, pero que iOS de Apple no configura correctamente, y es la política de conexión a redes conocidas, que puede dar como resultado un ataque Man in The Middle (Hombre en el medio) en WiFi por medio de un rogue AP (Punto de Acceso Picaro) , es decir, por un falso punto de acceso WiFi que simula ser la red “habitual” de la conexión.

PRIMER FALLO: La lista de redes conocidas

Hay que destacar que la primera característica de falta de seguridad es la no posibilidad de ver cuál es la lista de redes que conoce un iPhone o un iPad. Esta lista se encuentra almacenada en un archivo en el teléfono o su iPad que se encuentra en la ruta /private/var/Keychains/keychain-2.db, pero que no puede ser visualizada desde ninguna opción del dispositivo, lo que deja al usuario “ciego” ante esta configuración.

La única forma de eliminar una red conocida es encontrase cerca de ella, y mediante una opción “olvidar esta red”. En cualquier caso, frente a un ataque de Rogue AP, esto sería inútil, ya que utilizaría el nombre de una red que el usuario sí quiere tener en su configuración, lo que no ayuda en mucho.

La opción de "Preguntar al conectar" es una de las menos entendibles opciones de la WiFi, ya que, se seleccione preguntar o no, siempre hace referencia a nuevas redes y no, a las redes conocidas, a las que se conectará de forma automática.

SEGUNDO FALLO: ¿Cuál es la política de conexión a las redes conocidas?

Esta es una de las preguntas con la que más hemos estado jugando. Supongamos un entorno en el que nuestro usuario tiene un alto movimiento geográficoy se conecta a 20 redes conocidas con asiduidad.. ¿cuál es la política de conexión de redes que sigue iPad? En el caso de clientes Wifi de Ubuntu en la versión 8.0.4 utilizaba una política de orden alfabético, mientras que en Windows y las nuevas versiones de Linux se puede elegir el orden manualmente. En el caso de iOS hemos visto que aplica una política LIFO, es decir, la última red conectada es la que tiene prioridad, pero en ningún caso el usuario puede configurar esta política.

TERCER FALLO: El más importante ¿Cómo reconoce a una red conocida?

Pues hemos podido constatar que esta política ha cambiado en las diferentes versiones, pero sigue siendo mala. En las versiones probadas inferiores a iOS 4.2.1, el reconocimiento de una red se hace solo por el SSID, es decir, únicamente por el nombre de la red. Esto abre muchos vectores de ataque, ya que bastaría con saber cuál es el nombre de la red utilizada en un entorno para que un hacker cree una con el mismo nombre totalmente abierta, para que los usuarios de iPad, iPod Touch o iPhone con versiones anteriores se conecten automáticamente a ellas.


Lo curioso es que, ante la existencia de las dos redes en el mismo entorno físico, prevalece la que tiene más potencia de señal. Así, como se puede ver en este entorno, tenemos un iPad con 4.2.1 conectado a una red WPA2-PSK, en la que se puede ver el candadito.

Creamos una red abierta, sin cifrado alguno ni autenticación, y lo que se consigue es que el iOS de los dispositivos de Apple, se desconecte de esa red y pase a conectarse a nuestro falso Rogue AP. Es decir, lo hicimos caer fácilmente en nuestra trampa, el sistema operativo no se protege ni ligeramente, el usuario del teléfono o el iPad, ni se entera, ni tiene ninguna posibilidad de configurar su equipo para protegerse.

Para iOS en versiones 4.3.1, hemos podido hacer las mismas pruebas, y esto no funciona de la misma manera, sin embargo, sigue abriendo un vector de ataque.

CUARTO FALLO: Reconocimiento de la red por nombre y descripción, pero no por el ESSID.


Una red puede identificarse por el SSID (nombre), el BSSID (solo para un único punto de acceso) o el ESSID (Extended SSID), para aquellas redes que tiene más de un AP que da servicio al mismo SSID. Es por ello que si en un edificio hay muchos AP con el mismo nombre para la red WiFi, el equipo puede ir saltando de uno a otro con normalidad. Si una red es de infraestructura debe ser reconocida por su ESSID, sin embargo iOS en la versión 4.3.1 (la que hemos podido probar) permite conectarse a cualquier AP que tenga el mismo SSID y la misma configuración de cifrado y autenticación. Y esto es un fallo de seguridad.



¿Por qué?

Pues es un fallo porque cualquier miembro conectado conoce la configuración de la red, por lo que puede crear un rogue AP con la configuración esperada por un iPhone o un iPad y hacer un “man in the middle” perfecto.

¿Solución?

El primer paso, evidentemente es actualizar a la última versión de iOS todos los dispositivos, ya que el funcionamiento en 4.3.1 es mejor que en el resto de los casos. En el caso de las empresas, la única solución sería utilizar sistemas NIDS para detectar los AP que se conectan en los alrededores y en el resto de los entornos (aeropuertos, cafés, hogares)… tener mucho cuidado, ya que, al no poderse ver las redes WiFi conocidas, es muy probable que alguna vez se haya conectado a alguna red Default, Public, Wifi, o similar, que pueda ser fácilmente suplantada.



¡ Happy Hacking Friends ¡



Initially posted by Chema Alonso (Madrid)

Monday, January 24, 2011

Problemas de la Educación en el Perú

Problemas en el campo de la educación en Perú: Para lo cual me permito compararnos con los líderes en educación mundial; Finlandia, Singapur, India, etc. Y ¿cómo ellos lo lograron?... Creo que es cuestión solo de seguir los buenos ejemplos:

• No hay interés por formar buenos maestros, en los países más desarrollados en educación, los mejores profesionales son maestros. Esto debe de ir acompañado de un interés político por subir el estatus económico de los maestros, a fin de incentivar a los más preparados para asumir la docencia. Lo fundamental para mejorar la calidad educativa no es cambiar los planes de estudio, ni aumentar indiscriminadamente los sueldos de los maestros, ni siquiera reducir el porcentaje de estudiantes por maestro, sino elevar la calidad del maestro y otorgarle un estatus social al maestro. Debemos tomar conciencia que el impacto negativo de los malos maestros en el futuro del país es enorme, un estudio dice que la elección de un mal maestro, traerá como consecuencia que forme deficientemente a un promedio de 40,000 alumnos en toda su vida docente.

• Vivimos obsesionados por el pasado, por la historia, mientras que los países más adelantados viven obsesionados por el futuro, han apostado por la innovación, están graduando miles de profesionales en ingenierías y ciencias exactas, quienes le garantizaran el futuro, en cambio nosotros tenemos cada vez menos estudiantes en estas ciencias exactas, lo cual no nos garantiza un futuro en la actual era del conocimiento, la mayoría de los estudiantes apuestan por carreras como psicología, ciencia de la comunicación, historia, etc. El estado debe de alguna manera poner un cupo de graduados en ingenierías y ciencias exactas a las instituciones educativas tal como se hace en la India, Singapur o Chile, sin ir muy lejos.

• Debemos hacer de la educación una tarea de todos, no solo del gobierno de turno. Los países más avanzados han creado una verdadera obsesión por la educación, es necesario que surjan coaliciones de organizaciones no gubernamentales, grandes empresas, medios de prensa, personalidades y otras figuras mediáticas, que fijen metas concretas de rendimiento académico y exijan al gobierno su cumplimiento, tal cual se está haciendo en Brasil, Singapur e India. Tal vez podríamos hacer más, si logramos forjar la cultura familiar por la educación, como existe en los países de oriente, donde para la familia un objetivo fundamental no es comprarse un auto o una casa sino enviar a sus hijos a estudiar en las mejores universidades del mundo, esto se lograría con campañas mediáticas que glorifiquen a los estudiantes exitosos de la misma manera como hoy lo hacen con los futbolistas u deportistas famosos.

• Debemos romper el aislamiento educativo, por ejemplo en China hay decenas de las mejores universidades extranjeras enseñando en su territorio y entregando diplomas validos en el país, mientras que en nuestro país se impide que universidades extranjeras operen como tales en el territorio nacional, o para que un título de una prestigiosa universidad mundial sea reconocido en el Perú deben de hacerse engorrosos trámites. Debemos globalizar la educación, incentivar convenios con las mejores universidades de EEUU, Francia, Alemania, etc. Debemos exigir que nuestras instituciones educativas sean evaluadas permanentemente por instituciones reconocidas, apostar por mejorar los indicadores de las pruebas internacionales PISA y otras. Deben de establecerse políticas gubernamentales para hacer atractiva las inversiones extranjeras en educación y en empresas de alta tecnología, donde puedan desarrollarse nuestros ingenieros. Alguien podía decir que nuestro problema es el económico, sin embargo podemos seguir el ejemplo de Singapur, con una población equivalente a la mitad de Lima y en un estado económico deprimente, con un población en gran porcentaje analfabeta, en solo 50 años, al apostar por la educación, se ha convertido en el primer puesto mundial en ciencias en los exámenes mundiales TIMSS y PISA. Nosotros como país tenemos muchísimo más capacidad económica de la que tenía Singapur en aquella época.

Wednesday, January 12, 2011

Apostemos por la Educación y el Ingles

En la Era del Conocimiento en la cual vivimos debemos de mirar hacia el futuro y aprender de sistemas educativos exitosos, que han logrado reducir la pobreza drásticamente y aumentar el bienestar de toda su gente, tales como: Finlandia, Corea del Sur, Irlanda, Noruega, Australia, Singapur, india, Israel, y sin ir muy lejos Chile. Países que no viven mirando el pasado, sino viven obsesionados con el futuro, han apostado de lleno por la educación, no como una tarea del gobierno de turno sino como un objetivo nacional. En el mundo globalizado en que vivimos debemos, creo yo, apostar por formar profesionales orientados a la innovación, tal como lo manifiesta el Secretario de Educación Finlandés: “el secreto del éxito pasara por la combinación de la investigación técnica con la habilidad de pronosticar los gustos de los consumidores en los países ricos, donde estos últimos todavía tienen una clara ventaja y la tendrán por buen tiempo”. Esto lo han logrado Singapur, Corea, India, China, entre otros. Sin embargo en Latinoamérica, pareciera que seguimos apostando por el pasado, tenemos más estudiantes de historia que la misma China que tiene 1,000 años, más filósofos que la China cuna de Confucio. Es sabido que en nuestros países hay demasiados estudiantes universitarios estudiando derecho, psicología, sociología, filosofía e historia, y pocos estudiando ciencias e ingeniería. Por ejemplo, en la Argentina hay 10 psicólogos por cada ingeniero y la tendencia es que siga decreciendo el número de ingenieros, así no podremos innovar ni insertarnos en el mundo globalizado del conocimiento en que vivimos.

Sin ingenieros no podremos registrar patentes de inventos que nos proporcionen la posibilidad de vender productos innovadores al mundo. En 2008, por ejemplo Corea del Sur registro 80,000 patentes a nivel mundial, Brasil 852, México 325, Argentina 79, Colombia 12, Costa Rica 9, Perú 7, Ecuador 2. Debemos hacer de la educación un objetivo nacional de primera línea, sino veamos que tal mal salimos en los test internacionales de matemáticas y compresión lectora, como las pruebas PISA, debemos tomar conciencia en invertir en educación, en formar nuevos maestros, creo que lo fundamental para mejorar la calidad educativa no es cambiar los planes de estudio, ni aumentar sueldos a los maestros, ni reducir el número de estudiantes por maestro sino elevar la calidad de los maestros, por ejemplo en India, Finlandia y Singapur, los primeros puestos de todas las carreras luchan por ser maestros, pues el docente tiene un buen estatus en la sociedad y gana tanto como un gerente de empresa, los mejores a enseñar, Inglaterra por ejemplo ha convertido la docencia en la profesión más popular entre los graduandos universitarios, en apenas cinco años, ellos se convencieron de que cada nombramiento de un “mal profesor” tiene consecuencias dramáticas en el país, porque puede resultar en “hasta 40 años de educación de mala calidad para miles de estudiantes”. Inglaterra estableció un sistema de selección de maestros basado en los principios de la empresa privada, con alto nivel de conocimiento en matemáticas y lectura, buena comunicación, ganas de aprender y motivación para enseñar.

Otro tema de mucha importancia es el idioma, el inglés, definitivamente es el idioma que habla el mundo, si no aprendemos un buen ingles no podremos hacer negocios internacionales en este nuevo mundo, hay países que han entendido bien esto, tal como Singapur, una pequeña isla, que se ha convertido en el país más globalizado del mundo y debido a que aposto por la educación y el inglés. Tanto así, que en el billete de dos dólares de Singapur, existe una dibujo de niños estudiando, con la palabra impresa abajo “educación”, la educación es la “obsesión nacional en Singapur”, las familias ahorran toda su vida, no para comprarse un carro ni una casa, sino para enviar a sus hijos a las mejores universidades de EEUU y Europa, es un país con menos de la mitad de la población de Lima, pero tiene estudiando en EEUU, casi un cuarto de millón de alumnos, allí un profesor gana como un ingeniero, así que los mejores quieren ser docentes. Singapur, con respecto al idioma, tuvo una brillante idea, ellos hablaban una serie de idiomas, entre ellos el malayo, mandarín, tamil y otros muchos dialectos, pero en un arranque de sabiduría el gobierno “declaro el inglés como el idioma oficial del país, por encima de sus lenguas maternas”, eso disparo a esta pequeña isla que no posee “ningún” producto natural y que inclusive importa el agua de Malasia, odiado por todos, tanto así que Singapur prohibió la importación de “arena” a Singapur, para que la Isla no creciera. El apostar por la educación y el adoptar el inglés, convirtieron a este pequeño país de semi-analfabetos en el campeón mundial en educación, Singapur ocupa el primer lugar en los exámenes internacionales TIMSS, pese a la pequeña población y la carencia de materias primas, es el mayor productor mundial de plataformas petroleras y uno de los mayores exportadores mundiales de sistemas de control para aeropuertos y puertos, sus empresas de ingeniería y arquitectura están en todo el mundo y han construido entre otras cosas los mayores centros comerciales del mundo, en Dubái. Ellos entendieron que la educación es fundamental, que debemos innovar, que debemos tener muchos más ingenieros, que debemos hablar inglés, que debemos insertarnos en el mundo, para el 2014 el 50% de los estudiantes de educación primaria de Singapur habrán viajado por lo menos una vez a Europa o EEUU, además el gobierno alienta a la población para que viaje al exterior y tenga contactos con otros países, desde que están en la escuela primaria. Otro caso es la India, que en el 2020 será la tercera potencia mundial después de EEUU y China. India tiene una enorme ventaja en la economía del conocimiento del siglo XXI: posee una enorme población de ingenieros, técnicos y científicos sumamente preparados, que hablan inglés y pueden vender sus servicios a una fracción de sus competidores en EEUU u otros países industrializados. Cada año India gradúa 300,000 ingenieros, mientras que en Latinoamérica ocurre todo lo contrario, nuestros estudiantes cada vez estudian menos ingenierías o ciencias exactas.

El tema de la educación pasa por ver al futuro, apostar por la educación, la innovación y el inglés, debemos abrirnos al mundo, paradójicamente, países como china e India abren sus puertas a las universidades de EEUU y sus títulos tienen igual validez, en cambio en Latinoamérica nos hemos cerrado, pocas universidades internacionales de prestigio pueden ingresar a nuestro mercado, debería hacernos pensar el hecho de que entre las 200 mejores universidades del mundo, Singapur tenga una en los primeros puestos y toda Latinoamérica solo tenga dos, la Universidad Autónoma de México en el puesto 192 y la Universidad de Buenos Aires unos puestos más abajo. Debemos llegar a un acuerdo nacional para apostar por la educación con calidad, subir el estatus de los docentes, instaurar el inglés, real y efectivamente enseñado en todos los niveles y comenzar a enviar alumnos al extranjero, el termino obsoleto de “fuga de cerebros” cambio por el de “ganancia de cerebros”, está probado por la India, China, Singapur, entre otros, que los alumnos que salen a estudiar a EEUU o Europa, efectivamente se quedan allí, pero también está probado que en un promedio de 10 años, o retornan al país trayendo sus empresas de alta tecnología o acogen en donde están profesionales del país enriqueciendo la presencia del país, estos empresarios transnacionales se convirtieron en el motor del éxito económico de la India, por lo anterior debemos de cambiar el obsoleto paradigma de la “fuga de cerebros”.

Debemos dejar de pensar que “la educación en nuestros países es muy buena comparada a EEUU o Europa”, ese es también un paradigma obsoleto, sino, ¿porque los alumnos de esos países sacan las primeras notas en los exámenes internacionales de matemáticas o comprensión lectora, mientras que los nuestros muchas veces no aparecen?, ese paradigma, creo yo, se formó en base a la educación moral y religiosa que es más acentuada en Latinoamérica.