Conferencia de la NSA en la BlackHat

Como muchos sabréis la BlackHat ha comenzado y una de las charlas iniciales que mas expectativas ha generado ha sido la de la NSA a cargo del General Alexander.

Con el escandalo de PRISM en pleno apogeo y con mas y mas información publicandose es interesante ver el punto de vista de una de las partes.

Aquí tenéis el vídeo:

  

El culebrón de John McAfee llega hasta límites insospechados

Desde luego que la noticia de la detención de John McAfee por la policía de Belize llamó la atención de propios y extraños. Desde el primer momento el caso causó revuelo y parecía un guión de novela negra mas que una historia real, un famoso, un asesinato, una escapada, el descubrimiento del escondite de McAfee a través de los datos EXIF. Pero lo que ha publicado el señor McAfee en su blog es digno de película.

Al parecer tras el allanamiento de su propiedad y el asesinato de su perro, John pasó a la ofensiva, compró 75 portátiles a los que instaló un troyano y empaquetó de nuevo como si fuesen nuevos para enviarlos como regalo empleados gubernamentales, oficiales de policía, asistentes del gabinete de ministros y parejas de gente poderosa. Tras esparcir el hardware contrató a 4 personas a tiempo completo para controlar la información recibida y proveer las contraseñas de email, Facebook y otros servicios.

Por si todo esto no se queda corto, afirma que contrató a 23 mujeres y 6 hombres para llevar a cabo una compleja labor de ingeniería social, a estas personas se les entrenó para instalar software en los ordenadores de los objetivos en poco tiempo, mientras dormían, comían o se duchaban ademas de conseguir acceso a los SMS de los objetivos debido a la proximidad.

Por otro lado McAfee utilizó ingenieria social por si mismo para acceder a datos confidenciales de dos compañías de telefonía y así conseguir la red de contactos de sus objetivos principales. Simultáneamente se envió a los ingenieros sociales a realzar una labor de inteligencia a personas clave relacionadas con los ministros gubernamentales equipados con una grabadora, software, regalos, una historia y una sonrisa seductora mientras que McAfee enviaba semanalmente un email al primer ministro reclamando una disculpa que nunca recibió.

Según el autor de toda esta historia, lo que buscaba era algún tipo de revancha y por lo visto encontró algún que otro "trapo sucio" como escarceos amorosos, la presumible homosexualidad del presidente del UDP o la orden de asesinato de Arthur Young por parte del Presidente.

Y la historia no acaba aquí pero no quiero extenderme mucho en esta entrada, podeis seguir leyendo este historia en el blog de McAfee si queréis entreteneros un rato, ya que en mi opinión esto no son mas que los delirios de un señor con ganas de llamar la atención dado lo inverosímil de esta historia.

¿Y vosotros que opináis, creeis que McAfee ha llevado a cabo una de las tramas de espionaje mas elaboradas por una persona o por el contrario veis en esto los delirios de un hombre viejo conocido por sus experimentos con las drogas?

El rastreo de usuarios y la recopilación de información en segundo plano

El espía de tu bolsillo

Hace unos días Del Harvey reveló en la SMX Social Media Marketing 2012 que Twitter rastrea las costumbres de navegación de sus usuarios para así crear un perfil del usuario y poder proporcionar recomendaciones personalizadas de "A quien seguir", si bien esto no es nada nuevo ya que LinkedIn, Facebook, Youtube y muchas otras empresas lo hacen, la motivación para escribir esta entrada viene de otro servicio que se ha abierto al público - con acceso a la beta - hace poco de la mano de Google, el juego de realidad aumentada "Ingress".

Ingress es a grandes rasgos un juego "novedoso" para smartphones que nos invita a pasear por las calles hackeando puntos de energía y apoderarnos de ellos formando parte de uno de los dos bandos posibles, para ello se vale de la ayuda de nuestro GPS, acelerómetros y cámara para crear una experiencia de usuario atrayente. Si nos paramos a leer un poco los requisitos del juego solo hay que sumar 2+2 para darse cuenta de que Google no crea juegos por amor al arte:

Al mas puro estilo de Stargate Universe - cuando Eli resuelve un enigma para el gobierno a traves de un juego -, Google parece estar usando un videojuego para recopilar información de los usuarios y añadirla presumiblemente a Google Maps. El problema viene cuando el 90% de los usuarios no se dan cuenta de toda la información que regalan libremente y sin consentimiento a un tercero, ya sea sus hábitos de navegación, su posición, sus gustos o cualquier otra cosa que se os ocurra.

Un frase que me gusta repetir es "Todo lo que compartas será público algún dia", así que mejor estar enterado de a donde va toda tu información. 

Para evitar el rastreo por parte de las compañías existen extensiones como "Do Not Track" que podéis descargar para Firefox o Chrome o activar la opción de algunos navegadores. Para casos como el de Ingress lo mejor es estar enterado de las condiciones de servicio y de a donde va a parar la información.

Los menores, la privacidad y el día de mañana

A día de hoy es muy común ver a diario fotos y vídeos de menores comportándose de forma graciosa en la red que son compartidas por adultos, esto sumado a la cantidad de webs parásitas que existen puede convertirse en una auténtica pesadilla para padres y menores con el paso del tiempo.

Quiero plantear un caso hipotético para desarrollar el tema. Pongamos que unos padres comparten contenido aparentemente inofensivo en la red relacionado con su hijo pequeño. Pasan los años y el niño se convierte en una persona con un cargo importante, digamos un ejecutivo en una gran empresa, alguien con la intención de dañar la imagen de esa persona logra encontrar las imágenes o vídeos que años atrás unos adultos incautos compartieron. La persona malintencionada puede -dependiendo del caso e información encontrada- desde extorsionar a la persona, difundir dicho contenido en el lugar idóneo o iniciar una campaña de desprestigio para lograr un beneficio.

Lo que años atrás fue una acción inocente, en un futuro se puede convertir en un grave problema. Con esto quiero hacer ver que la idea de web social conlleva unos riesgos potenciales que mucha gente actualmente no ve y que estoy seguro empezaremos a ver en unos años cuando la generación que se ha criado en el internet social comience a posicionarse en cargos de poder. Por esto es recomendable que todo padre o tutor legal de un menor controle lo que comparte en la red sobre su hijo y tenga muy en cuenta los riesgos a los que se expone así como tener precaución de lo que un menor sube a la red por sí mismo.

Una solución simple se limitaría a no compartir ningún contenido relacionado a menores en la red y cuidar lo que tus hijos comparten, pero a día de hoy esto es muy difícil para la mayoría de la gente por lo que el mejor consejo es usar el sentido común y tener siempre presente la máxima de que todo lo compartido en la red va a ser público tarde o temprano bien sea por culpa del usuario debido a una mala configuración, a un robo de credenciales o a un fallo/intrusión en el servidor.

Cada avance tecnológico viene de la mano de una serie de normas con las que nos debemos educar para no exponernos a situaciones indeseadas, así como la mayor parte de usuarios de internet tienen cada vez mas capacidad para identificar algunas amenazas, también debemos educarnos para analizar previamente los riesgos potenciales que pueden suponer publicar nuestra información en la red ya que cada vez mas, la privacidad se está convirtiendo en un asunto a tener en cuenta.

Un blogger búlgaro compra un millón de cuentas de Facebook por 5 dólares

Fuente: Gizmodo

Esta semana la polémica viene de la mano de Bogomil Shopov, un blogger búlgaro defensor de los derechos de los internautas. Al parecer nuestro amigo Bogomil ha comprado un millón de cuentas de Facebook por tan solo 5$ a un usuario de gigbucks que afirma haber logrado los datos de aplicaciones de terceros, lo que significa que dichas aplicaciones han tenido acceso a todos los credenciales de los usuarios.

Para sumar mas salsa a este problema y tras la publicación de un artículo en su blog, Bogomil recibió una llamada de la red social que lo instaba a enviarles los datos y eliminar la entrada, cosa que éste rechazó y publicó una nueva entrada comentando la llamada.

Al parecer desde Facebook afirman que los datos comprados son de dominio público, pero viendo el tono en que piden a Shopov que elimine todo rastro de ellos me hace sospechar.

A continuación podeis leer un fragmento de la carta:

“Now we would like you to send us this file, delete it, tell us if you have given a copy of it to someone, give us the website from which you bought it including all transactions with it and the payment system and remove a couple of things from your blog. Oh and by the way, you are not allowed to disclose any part of this conversation; it is a secret that we are even having this conversation”.

Traducción: "Ahora nos gustaría que nos enviases este archivo, lo borres, nos digas si has enviado una copia a alguien, nos des la página web desde donde la compraste incluyendo todas las transacciones con él y el sistema de pago y elimines un par de cosas de tu blog. Oh y por cierto, no estás autorizado a revelar ninguna parte de esta conversación; es un secreto incluso que hayamos tenido esta conversación.

Leyendo el fragmento me hace gracia ver el modo que tienen en Facebook de tratar este tipo de acontecimientos. Es de suponer que tras la publicación de la última entrada en el blog de Shopov Facebook deberá publicar algún tipo de explicación al suceso por lo que habrá que estar pendiente de los acontecimientos.

Para los usuarios de Facebook, las cuentas publicadas son en su mayoría de Estados Unidos, Canadá, Reino Unido y Europa, por lo que es aconsejable cambiar la contraseña para curarse en salud.