Hackeando La Fonera

Todos seguramente nos sorprendimos cuando FON comenzó a crecer. Hace un tiempo ofrecía routers Linksys por un precio irrisorio (cuando cuestan algo así como 150 U$D). No conformes con eso, siguieron creciendo y expandiéndose. Ahora tienen su propio router: La Fonera, un router con un firmware controversial ya que está licenciado bajo una licencia libre pero tiene DRM que impide su modificación o reemplazo.

Recuerdo que Franco había dicho tener un router FON activo en Córdoba pero no lo encontré. Lo que sí es impersionante la cantidad que hay en Buenos Aires y Capital Federal. Pueden ver dónde están en todo el mundo gracias a los Mapas FON que funcionan sobre Google Maps

En estos días, FON estuvo regalando Foneras en Alemania y Austria bajo la condición que éstos fuesen conectados y utilizados como puntos de acceso FON. He aquí que unos muchachos, estudiantes alemanes, encontraron la forma de entrar al sistema sobre el que trabaja la Fonera y publicaron cómo. Obviamente, la publicación fue en inglés… ahora también en el idioma de cervantes ;)

Las razones

Debido al revuelo causado, los autores han publicado un breve artículo explicando porqué lo hicieron. Dejan muy claro que no pretenden que se usen los routes para otra cosa, boicotear una propuesta como la de FON – que nos beneficia a todos – es simplemente estúpido. Los fundamentos sobre porqué lo hicieron son muy claros; entre ellos:

  • Tener control sobre nuestra red: la Fonera procesa y transfiere todos nuestros datos en nuestra red. Un hacker que ingrese a FON podrá meter código arbitrario (como un sniffer) en nuestro router.
  • Verificación: FON publicó el código fuente; pero no hay forma de comprobar que dicho código fuente es el que hace funcionar la Fonera (por cuestiones de DRM).
  • Seguridad: Todas las Foneras tienen la misma autoridad, con sólo el nombre de usuario y contraseña de la cuenta FON podemos insertar todo lo que queramos dentro de la Fonera de esa persona… inclusive un programa que saque los nombres de usuarios y contraseñas de los usuarios FON que se conecten a nuestro router.
  • Inevitabilidad: pretender que la Fonera iba a ser una caja negra permanentemente es una ilusión que nosotros demostramos errada. El que alguien lo hiciera con posibles intenciones maliciosas era una cuestión de tiempo.

Notas de Traducción

Continue reading

La seguridad la hacemos entre todos

Libros y libros se han escrito sobre problemas de seguridad en la informática. Y eso que los virus no son lo peor que nos puede pasar. En esta era en que todo se está automatizando, todos los sistemas están siendo centralizados y la información digitalizada un agujero de seguridad podría significar demasiado peligro para nuestras vidas. Ya no es sólo el dar acceso a nuestros números de tarjetas de crédito sino también a nuestras agendas, listas de contactos, información personal, etc.

Muchos le echan la culpa a los geeks, otros a los usuarios. Que unos no hacen sistemas confiables, que no toman las precauciones necesarias o que son ellos mismos (los de “su tipo“) los culpables de tanta inseguridad. Los otros dicen que el usuario promedio no sabe qué es lo que hace, que utilizan claves de diccionario o fáciles de adivinar, que hacen click en cualquier lado y revelan información que no deberían. Yo creo que están equivocados… los dos. El problema de la seguridad es de todos.

Tanto de quienes somos responsables de diseñar, construir, implementar y/o mantener sistemas, como aquellos que los utilizan. Pero hay un tercer personaje en esta novela: los medios. Reconozcamos que, por más que nos esforcemos, es complicado hacerle entender al usuario promedio qué es el phishing, cómo decidir qué información revelar o cómo detectar ventanas falsas y sitios peligrosos. En cambio, si lo ven en el diario, el noticiero, o en un blog o sitio de internet que les interese sí prestan atención.

Pero ¿qué pasa cuando esos medios dicen cualquier cosa, o verdades a medias? Es entonces donde se arma el revuelo y todos apuntan dedos. Pero nadie hace nada. Claro ejemplo es un artículo en DiarioTI avisando de un grupo de hackers que publican una vulnerabilidad por día durante Julio. Los errores del artículo son, a mi entender, los siguientes:

  • Falta de links: no hay ni un mísero vínculo para poder informarte más al respecto.
  • Presunto mal uso de la palabra hackers: el término, si bien está correctamente utilizado, tiene una connotación completamente negativa. El publicar una vulnerabilidad es justamente lo que enaltece el trabajo realizado y los hace hackers y no crackers ya que ésto obliga a los desarrolladores a preparar sus productos contra dicha vulnerabilidad. Caso contrario, cualquiera (y no sólo ellos como sucedería en caso que no la publiquen) podría utilizarla para sus propios objetivos non-sanctos.
  • Falta de información: dicen que publicarán vulnerabilidades, no especifican cuáles ni sobre qué navegadores. Estando una semana ya dentro de Julio, significa que se han publicado al menos 7.
  • Causar pánico: no dicen cómo protegerse en contra de estas vulnerabilidades. Ni siquiera proveen de recursos para informarse más al respecto.

En caso de haber contenido toda esa información, el artículo sería útil tanto al usuario como a los encargados de sistemas. Además, la publicación gana prestigio y/o audiencia. Todos ganan. Pero no es negocio la seguridad si no se hace escándalo. Otro ejemplo: todos anuncian que Micro$oft dejará de dar soporte a Windows 98/98SE/ME/XP SP1. Esto implica falta de actualizaciones de seguridad y otras tantas cosas; pero nadie dice qué hacer si no se tienen opciones de actualizar (por cuestiones económicas o de hardware). Mi primera respuesta sería, obviamente, Linux; pero hay otras opciones, como extender ciertas medidas de seguridad y minimizar daños. Eso es cuestión de cada uno, pero nadie lo dice… todos se quedan en el escándalo.

Para no quejarme de lleno y hacer de esto una crítica constructiva, he aquí el servicio que yo utilizo para alertas de seguridad. Hay muchos dando vueltas, pero Alerta Antivirus es el que uso yo. Con opción de recibir un e-mail por día con las últimas novedades en materia de Virus clasificados según cuán amenazantes son. También proveen de e-mails especiales en casos extremos (virus de rápida propagación) e información en general sobre el mundo de la seguridad.

Sabiendo o no qué significan todas las cosas que nos pueden pasar. Entendamos o no qué es el phishing, scamming, los troyanos, backdoors, exploits y mil otras palabras estar informados es ir un paso más adelante ¿no?

20 formas de asegurar tu instalación de Apache

Para aquellos que recién comenzamos a experimentar con servidores web Apache puede ser un embrollo. Existen tutoriales por todos lados para hacer las cosas más diversas que nos podamos imaginar. Sin embargo, pocos encontré sobre seguridad que valieran la pena. He aquí 20 consejos simples directos y útiles para mantener nuestra instalación de Apache más o menos segura.

Notas de traducción

  • Este artículo fue traducido con autorización por escrito (en un e-mail) de su autor: Pete Freitag
  • Los links dentro del artículo no se modificaron por lo que es casi seguro que estén en inglés. Es probable, sin embargo, que existan versiones en español (especialmente de las páginas de documentación de Apache)
  • Artículo original: 20 ways to Secure your Apache Configuration

Continue reading

Desbordamiento de buffer

Por todos lados escuchamos alertas de seguridad acerca de nuevos virus y programas maliciosos que hace cosas como “desbordamiento de búferes” y otras cosas raras. En realidad, lo único que hacen dichos programas es aprovechar una falla en el código del programador… y los programadores no pueden estar en todo. Para ello, los compiladores se mejoran cada día más dejándole tiempo al programador de pensar lo que realmente importa.

Veamos uno de los tipos de desbordamiento más comunes: el “pisado de pila” (stack smashing en inglés). Una excelente explicación de lo que es, cómo se hace y cómo se lo previene. Con el valor agregado de posibilitar una nueva herramienta que nos ayudará a explicar errores de programación. Un artículo inspirado en la funcionalidad incluída en el nuevo compilador por defecto de la distribución Debian – en su versión inestable -.

Continue reading