Categoría : Sistemas Operativos

Inicio/Archivo por Categoría Sistemas Operativos (Page 5)

Se publica OpenSSH 7.0

OpenSSH es una variante abierta del protocolo SSH, que permite la conexión segura a equipos remotos, y llegó por primera vez al mundo *Nix en 1999, cuando fue implementado en OpenBSD 2.6. Desde entonces su adopción creció hasta el 100 por ciento puesto que todas las distros de Linux la implementan en la actualidad, aún cuando SSH liberó su código fuente luego del éxito de esta variante abierta.

Como herramienta de comunicación y de seguridad, es esencial mantenerla siempre actualizada y por eso es importante destacar que hace pocas horas se produjo la llegada de OpenSSH 7.0. Una versión que trae numerosas mejoras y actualizaciones de seguridad, a la vez que comienza a recorrer el camino hacia versiones futuras y próximas en las cuales algunos elementos irán cambiando y por ello se ofrece importante información al respecto.

Una de las cuestiones que se modifican respecto a versiones anteriores de OpenSSH es la de la opción PermitRootLogin, que ha sido cambiada de “yes” a “prohibit-password”, con lo cual únicamente podremos loguearnos como root si tenemos una clave SSH instalada en el servidor, eliminando el ingreso de contraseña por teclado y con ello aumentando muchísimo nuestra seguridad. Se ha eliminado el soporte para SSH versión 1, ya completamente obsoleto a estas alturas, y también sucede lo propio con el formato de certificados V00, que estaba hasta ahora por cuestiones de retrocompatibilidad.

Luego se mejora la compatibilidad para Portable OpenSSH y se corrigen varios bugs, y entre los cambios que se irán implementando en las próximas versiones podemos mencionar la eliminación de las claves RSA de menos de 1024 bits (cabe destacar que el mínimo actual es de 768 bits), y algunos cifrados que serán eliminados por defecto como es el caso de Blowfish-CBC, Cast128-CBC, Rijndael-CBC para AES y todas las variantes de ARCfour.

Fuente: Segu.Info

El futuro de la seguridad en Android pasa por Google Play Services

En medio de todo el lío de la seguridad en Android nadie parece dar con una solución definitiva para este problema pero, ¿y si ya hubiera una solución? ¿Y si Google Play Services fuera la respuesta a todos los problemas en Android?

GooglePlayServices

Las dos últimas semanas para Android no han sido las más fáciles. Desde la grave vulnerabilidad de Stagefright a otra descubierta dos días después, para finalmente rematar con un descuido de seguridad con nuestra huella dactilar por parte de los fabricantes, el sistema operativo de Google ha sido puesta en evidencia por su fallos de seguridad. Y lo peor es que no parece haber una solución, no sólo para este caso, sino para la seguridad en Android en general.

Sí, es cierto que el caso de Stagefright ha sido algo beneficioso para Android, pero ya lo dijo Ron Amadeo: el Armageddon de seguridad en Android puede llegar cualquier día, y la preparación tanto por parte de Google como por los OEM es muy insuficiente. Lo de que Google pase los updates a los fabricantes y esperemos semanas e incluso meses a que lleguen es algo inadmisible, y si éstos últimos no van a hacer nada para mejorar esta situación Google ha de tomar los mandos, y quizás tenga la solución para todo desde hace tiempo en sus filas: Google Play Services.

Google Play Services ya es utilizado para que los servicios de Google funcionen en cualquier dispositivo sin importar su versión pero, ¿y si se puede estirar más su funcionalidad?
Fuente: Bloomua I Shutterstock.

Sin ponernos demasiado técnicos, la función de Google Play Services es simple pero tremendamente útil: permite un acceso total a las APIs de Google entre aplicaciones para que, sin importar la versión de Android que posea el usuario, Play Services sirva como puente entre una aplicación y una API de Maps, Localización, Drive, entre muchas otras. Sin embargo, lo verdaderamente importante de Google Play Services es su alcance: entre un 95 y un 99% de dispositivos con Android tiene instalado Google Play Services, desde Android 2.2 Froyo hasta 5.1 Lollipop, la versión más reciente.

Obviamente, nos referimos únicamente a aquellos que usan Android con los servicios de Google, por lo que forks como el de Amazon quedan fuera de este grupo de dispositivos. Por eso, aunque no cuentes con las novedades de Android per se si cuentas con una versión antigua, podrás disfrutar de todas las APIs de Google, lo que también beneficia a Google al haber más gente que utiliza sus productos. Pero ¿y si se le pudiera dar más poder a Google Play Services? ¿Y si se pudiera utilizar el alcance de esta aplicación no sólo para mejorar el ecosistema de Android, sino para mejorar su seguridad?

Imaginemos una situación hipotética pero plausible: una nueva vulnerabilidad embebida en el sistema en sí, extendida a todas las versiones de Android. Google podría coger simplemente deslizar una nueva actualización de Google Play Services a través del Play Store que incluyera un fix para este exploit, y dejar que la aplicación se ocupara del resto sin tener que dar cuentas a los fabricantes, incapaces de hacer llegar una actualización a todos sus dispositivos, incluyendo los antiguos y ya abandonados. Sería algo rápido, seguro y sobre todo, con un alcance amplio, algo muy demandado a Android, la cual deja (o dejaba) a dispositivos con tres años a su merced en cuestiones de seguridad.

El problema no es la seguridad en Android per se, sino en hacer llegar lasupdates cuando lo necesitan: lo antes posible.Por supuesto, esta solución es puramente teórica y puede ser que incluso insuficiente: quizás haya algún exploit imposible de corregir mediante este método, por lo que se tendría que buscar otro camino. También existe el riesgo de que, si se pudiera hacer entrar todo tipo de código en Android a través de Google Play Services, los desarrolladores de malware intenten explotar esta vía de entrada para hacer aún más daño al sistema operativo, por lo que Google Play Services debería estar “blindado” para que sólo Google introduzca modificaciones mediante esta vía, ya sea mediante una forma de identificación que sólo Google pudiera emitir o algo similar.

Esto nos deja con otro tema preocupante: si Google puede introducir cualquier tipo de dato en mi dispositivo Android, por definición también se podría sacar datos, algo que puede dejar aún más en evidencia a Google a la hora de respetar la privacidad de los datos, por lo que Google Play Services no sería una solución definitiva. Sea como fuere, una cosa está clara: la situación de seguridad de Android tiene que ser corregida de inmediato y, en el caso de que Google pudiera convertir en realidad lo de Google Play Services, ya fuera mediante permisos root o incluyéndolo directamente en la raíz de Android, puede ahorrar a la compañía de Mountain View muchos quebraderos de cabeza. Ahora es cuestión de llevarlo a la práctica.

Fuente: Hipertextual

La NASA quiere que le ayudes a diseñar su app para Smartwatches

La NASA no es ajena a modas, y mucho menos a tecnologías de consumo que por su reducido coste puedan suponer una interesante mejora en la condiciones de los astronautas que van al espacio. Por ello, y a pesar de que ya confirmó que la agencia estaba trabajando en su propio smartwatch, pide ayuda para diseñar la app que los astronautas usarán en este reloj inteligente espacial.

En este sentido, la agencia espacial está organizando un concurso en la webFreelancer.com, desafiando a todos los participantes que quieran diseñar la mejor aplicación para smartwatches que sería utilizada por los astronautas de la Estación Espacial Internacional, con un premio además de 1500 dólares y utilizando un Samsung Gear 2 como modelo de desarrollo.

Las intenciones de la NASA son que los participantes ayuden a los astronautas a estar mejor organizados a través de esta app, que deberá incluir un temporizador, una forma sencilla de mostrar los calendarios y eventos de cada día y un sistema de alertas en caso de que se encuentren en peligro o falle algún sistema importante de la estación o de los vehículos, como por ejemplo la cercanía o proximidad de posibles desechos espaciales en órbita.

Si eres diseñador o entusiasta de los smartwatches tienes una oportunidad de ayudar a la NASA a proteger a los astronautas puede ser una oportunidad más que interesante.

Fuente: Hipertextual

Clonar SIMs utilizando tecnicas de Differential Power Analysis en algoritmos MILENAGE de 3G & 4G

Revisando las charlas de BlackHat USA 2015 apareció una charla que tal vez no ha tenido tanta repercusión en los medios de comunicación como el caso del bug de Stagefright en Android, el control remoto del Jeep Cherokee o la modificación del disparo de un rifle mediante una conexión remota, pero que quizá vaya a tener mucho impacto en el futuro de nuestras vidas. Se trata del trabajo de extracción de datos de la zona segura de las USIM (Universal SIMs) utilizadas hoy en día aprovechándose de la implementación de algoritmos para 3G y 4G, utilizando para ello un side-channel, lo que abre nuevos ataques a sistemas de comunicaciones móviles.

El trabajo, que ha sido titulado “Small Tweaks do Not Help: Differential Power Analysis of MILENAGE Implementations in 3G/4G USIM Cards” lo que hace es extraer de la zona seguridad de la SIM, los datos necesarios para poder clonarla, haciendo un análisis de las diferencias de energía que existen para los diferentes datos de entrada. Esta aproximación es totalmente distinta a los ataques por medio del ataque COMP128: A Birthday Suprise que se han hecho en las antiguas SIM basadas en COMP128.

Tras aumentar el nivel de seguridad de las tarjetas, las nuevas COMP128(v2), COMP128(v3) y COMP128(v4) no habían sido vulnerables a estos ataques que pudieran extraer la Master Key K, y los nuevos valores OPc (Clave de Operador) y los secretos de operación que se agregaron a las USIM. Con este nuevo enfoque, lo que se hace es aprovechar que en 3G y 4G se implementan los algoritmos MILENAGE con AES, para lograr sacar la Clave Maestra K, la Clave de Operador OPC, y las secretos de operación definidos por el operador r1,c1.. r5, c5. El proceso es introducir valores conocidos y medir el side-chanell de energía para reconocer las variaciones.

En el trabajo se explica en detalle cómo basta con un osciloscopio para poder realizar las mediciones de energía y aplicar el estudio DPA haciendo ejecutar sucesivas veces el algoritmo MILENAGE con el objeto de conseguir ir sacando los bits de las claves K, OPc inicialmente.

Fuente: Segu.Info

Vulnerabilidad en Android permite robar huellas digitales

Hace unos días advertimos de la vulnerabilidad Stagefright, que ponía en peligro el 95% de los dispositivos Android. Ahora se trata de los lectores de huellas dactilares incluidos en algunos modelos de estos móviles.

Los investigadores de la empresa de seguridad FireEye, Tao Wei y Yulong Zhang, develaron estos fallos en su presentación Fingerprints on Mobile Devices: Abusing and Leakingdes durante la conferencia Black Hat en Las Vegas. Para su investigación los trabajadores tomaron los modelos Samsung Galaxy S5 y HTC One Max. Sin embargo, se trataría de un problema compartido por el resto de teléfonos Android.

El problema está en que los posibles atacantes podrían robar masivamente huellas dactilares. Obteniendo, además, una imagen en alta definición. Para empeorar las cosas, el sensor en algunos dispositivos sólo está controlado por “system” en vez de “root”, haciendo más fácil el ataque. En otras palabras: el rooting o jailbreaking del teléfono puede exponer a un mayor riesgo el dispositivo. Una vez logrado el ataque, el sensor puede seguir recoger datos de las huellas dactilares de cualquier persona que utilice el sensor.

“En este ataque, los datos de las huellas dactilares de las víctimas caen en manos del atacante y este podrá utilizarlas el resto de su vida” dijo Zhang. Este es un gran problema porque las huellas dactilares son moneda corriente en los pagos a través de dispositivos móviles y se utilizan para probar identidad, en inmigración y para antecedentes penales.

Los proveedores afectados ya han proporcionado los parches después de ser alertados por los investigadores pero deberán ser distribuidos a los clientes, un proceso que mediante OTA suele llevar bastante tiempo.

Los investigadores señalaron que el iPhone de Apple, que fue pionero en el sensor de huella digital moderno, es “absolutamente seguro” al menos a este ataque porque cifra los datos de la huella digital del escáner. Incluso si el atacante puede leer directamente el sensor, sin obtener la clave de cifrado, no podría obtener la imagen de la huella digital.

El problema no se limita a dispositivos móviles. Los investigadores advirtieron que muchos de los ataques también se aplican a los ordenadores portátiles de gama alta con sensores de huellas digitales.

Una estimación, de la que se hace eco ZDNet, calcula que para 2019 la mitad de los dispositivos incorporarán huellas entre sus funcionalidades.

Fuente: Segu.Info

Samsung y Google publicarán actualizaciones mensuales para sus dispositivos Android

Samsung y Google mueven ficha. Las últimas vulnerabilidades en sistemas Android como el ya conocido Stagefright han conseguido que ambas firmas tomen la decisión de publicar actualizaciones para solucionar vulnerabilidades de forma mensual. Una decisión que puede estar destinada a revolucionar la seguridad de los dispositivos Android.

En un anuncio en su blog oficial, Samsung Electronics confirma que implementará un nuevo proceso de actualización de seguridad quedistribuirá actualizaciones de seguridad vía OTA (“over the air“) cuando se descubran nuevas vulnerabilidades. Estas actualizaciones ocurrirán regularmente aproximadamente una vez al mes.

Según Dong Jin Koh, vicepresidente ejecutivo y director de la oficina de investigación y desarrollo móvil de Samsung Electronics:

Con los recientes problemas de seguridad, nos hemos replanteado un enfoque para tener actualizaciones de seguridad en nuestros dispositivos de una manera más oportuna. Puesto que el software se explota continuamente en nuevas formas, el desarrollo de un proceso de respuesta rápida para ofrecer parches de seguridad para nuestros dispositivos es esencial para que estén protegidos. Creemos que este nuevo proceso mejorará enormemente la seguridad de nuestros dispositivos y tendrá como objetivo proporcionar a nuestros usuarios la mejor experiencia móvil posible.

El fabricante coreano confirma que se encuentra en conversaciones con operadores y socios de todo el mundo para implementar esta nueva política.

De forma similar, Google confirma que desde esta semana los dispositivos Nexus recibirán actualizaciones de seguridad vía OTA de forma regular cada mes. La primera actualización de esta clase se empezó a desplegar el miércoles día 5 para los Nexus 4 al 10 y Nexus Player. Esta actualización incluye la corrección para el comentado StageFright. Al mismo tiempo, los parches se liberarán al público a través del Android Open Source Project.

Los dispositivos Nexus continuarán recibiendo las actualizaciones principales durante al menos dos años y los parches de seguridad durante tres años desde la disponibilidad inicial o 18 meses desde la última venta del dispositivo en la Google Store.

Sin duda un movimiento que puede revolucionar a toda la industria y a fabricantes de dispositivos Android, muy acostumbrados al inmovilismo y a facilitar escasas (y tardías) actualizaciones del firmware de los dispositivos una vez que éstos han salido de sus instalaciones. Esperamos que Google y Samsung puedan llevar a cabo este movimiento de forma exitosa y que sirva como ejemplo y acicate para otros fabricantes.

Fuente: Hispasec

Red Star 3, el nuevo Sistema Operativo de Corea del Norte

Cuando el empleado de Google Will Scott visitó la Universidad de la Ciencia y la Tecnología de Pyongyang, sacó una copia de Red Star 3, el sistema operativo oficial que reemplazó a Microsoft Windows en los ordenadores de este país, del cual hasta ahora se sabía muy  poco.

El sistema operativo que desbancó a Windows en Corea del Norte, tiene unas lineas similares a los sistemas MAC OS, basado en la calidad del diseño y la estabilidad. Las versiones anteriores del sistema eran mas similares a un Windows XP, pero desde que en una foto se vio a Kim Jong Un usando un iMac, se podía entrever que el sistema acabaría teniendo rasgos comunes con el sistema operativo de Apple. Incluso el gestor de archivos es muy similar al Finder de Apple.Su navegador es un fork super modificado de Mozilla Firefox, cuyo nombre es Naenara. El sistema esta basado en las politicas GNU/LINUX y concretamente proviene de Red Hat, con el escritorio corriendo un KDE 3.x. Esta distro se divide en dos archivos .ISO. El primer disco es de arranque, y permite instalar el sistema operativo de Corea del Norte, mientras que el segundo disco es un software complementario.

red-star-3

Los requerimientos de sistema para ejecutar Red Star OS son los siguientes:

  • Pentium III 800Mhz
  • 256MB de RAM
  • 3GB de espacio en el disco duro

Red Star 3 está diseñado principalmente para supervisar el comportamiento Web de los ciudadanos y para el control de la información Los que se atrevan a probarlo, pueden descargarlo bien mediante este enlace via Torrent (no lo he comprobado), o directamente descargar Red Star 3 de otras fuentes:

Red Star Linux Disc 1 (.iso) – Bootable installation disc, all you need if you’re just playing. (720mb)
Red Star Linux Disc 2 (.iso) – Additional supplementary software. (700mb)

Fuente: Billionbytes

 

Continuar leyendo