Jorge Alberto Mussuto Sr.

Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®

Tuesday, September 14, 2010

Protección de Laptops ante robos

Debido a algunas consultas en relación a este tipo de incidentes realicé un pequeño lab asociado a la evaluación de 2 productos opensource referidos a la protección/recupero de laptops:
  1. PreyProject @ www.preyproject.com
  2. The Laptop Lock @ www.thelaptoplock.com
El primero dentro de todo es una solución nueva y el segundo ya tiene un tiempo.

En ambos productos es necesario registrarse, y a través de la instalación de un agente, dar de alta los equipos que quieren monitorearse. En este sentido PreyProject provee muchas más opciones de monitoreo que The Laptop Lock, sin embargo este último provee acciones al denunciar robada la laptop, que el otro producto no provee, por ejemplo, borrar una determinada carpeta, cifrar el contenido de una carpeta, etc.

En los dos productos es necesario denunciar el equipo robado a través de la interfaz web, lo cual dispara las distintas acciones que hayamos configurado en el agente.

A modo de ejemplo les comento algunas acciones:



Preyproject: genera un mensaje en el equipo robado con el texto que nosotros definamos, por ejemplo "Este equipo ha sido extraviado, contáctese con "x"", además se puede disparar una sirena que comienza a reproducirse en el equipo. Una característica importante es que toma una captura de pantalla de la sesión activa, el usuario logueado, los procesos y direccionamiento público y privado. El direccionamiento lo trata de ubicar geográficamente (esto último no está funcionando muy bien). En apple y linux puede cambiar el wallpaper con algún texto que nosotros definamos. Con toda esta información genera un reporte que luego puede ser visualizado vía web, también envía alertas por mail anunciando que el contenido está disponible.
El agente puede configurarse para que trabaje cada "n" cantidad de minutos, en el equipo evaluado no se ha notado caída de performance por el funcionamiento del producto.

Preyproject utiliza unix (cron, bash), sin embargo toda la configuración es a través de un GUI junto con la instalación y desinstalación. Cerrando la sesión activa, e iniciando otra, también ha notificado que el equipo ha sido robado y ha generado un informe con las características antes mencionadas.

Si el usuario logueado posee permisos privilegiados también informa el Default Gateway y la Mac Address.

The Laptop Lock: el producto es mucho más simple que Preyproject, sin embargo provee medidas de protección reactivas que favorecen el resguardo de la información que pudiera contener el equipo robado. Cifrar archivos o carpetas, reproducir un comando, etc son las facilidades que provee este producto, la protección del agente a través de una contraseña es una medida de seguridad que lo diferencia de Preyproject. Los reportes contienen la IP involucrada y un link hacia DNStuff para realizar un WhoIs, etc, pero no tiene el mismo detalle que Preyproject en cuanto a los reportes.

Conclusiones
Los 2 productos son buenos, tienen diferencias que permiten optar por uno u otro según el tipo de tratamiento/protección que queramos implementar. Es importante mencionar que la utilización de estos productos debe estar acompañada de políticas de seguridad asociadas a la gestión de los equipos portables/móviles, dado que un usuario con permisos de administración podría desinstalar el producto. Adicionalmente dado que estos productos requieren de internet para comunicarse con el web service, si no tienen conexión no se podrá relevar ninguna información.

Estos productos no reemplazan una solución de cifrado (si la clasificación de la información lo amerita), sino que son un complemento a estas medidas y podrían facilitar el recupero de los equipos.
Por otro lado, políticas asociadas al uso de la información podrían disminuir la posibilidad de que en los equipos portables se encuentre información de negocio que tuviera algún valor para un posible atacante.

En fin estos productos no son infalibles, pero sin dudas, en conjunto con otros controles podrían ser muy útiles para el recupero de equipos robados.


Fuente: SecureTech

Destripando OAuth en Twitter

Destripando OAuth en Twitter: "
Avisados estábamos de que a partir del 1 de Septiembre en Twitter se dejaba de permitir la autenticación básica en sus aplicaciones. A partir de ese momento, a todos aquellos que éramos amiguitos de desarrollar scripts en perl o python por ejemplo para comunicarse con Twitter, nos surgió una traba nueva, o como se ha denominado en Internet: el OAuthcalipsis. Así pues, la versión anterior de Tweetme.pl, herramienta de la que os hablamos hace tiempo, también dejó de funcionar!


Anteriormente, con proveer un par usuario/contraseña de una cuenta válida de Twitter, en el desarrollo y la ejecución, todo era maravilloso de sencillo, aunque más inseguro, puesto que los ingredientes de la receta de la autenticación viajaban en claro (cuántas y cuántas veces habremos dejado de utilizar twitter en eventos con redes compartidas/peligrosas) a través de la red.



OAuth llega a solucionarle a Twitter este problema… y a generarnos otros tantos a los desarrolladores 'amateur'. Me explicaré un poco mejor. Para la autenticación mediante OAuth, es necesario proveer 4 elementos a Twitter:

  • Consumer Key -> El desarrollador ha de registrar, a nombre de una cuenta twitter, la aplicación que desee. Así se generará este identificador único de aplicación.

  • Consumer Secret -> Para evitar suplantar diferentes identificadores de aplicación (mediante un ataque de fuerza bruta, pero que muy muy bruta, 21 caracteres alfanuméricos con mayúsculas y minúsuculas), se complementa el par con una clave denominada Consumer Secret.

  • Access Token Key -> Para cada usuario, será necesario asociar un identificativo de token que permita suplantar para esa aplicación, a ese usuario mediante ese token para operar en Twitter (de hecho es posible definir la aplicación como de 'sólo lectura' o 'lectura/escritura' según las necesidades)

  • Access Secret -> Como par asociado al Token Key se establece un Token secret.


De esta manera, cuando un usuario requiera la utilización de una aplicación/script que use Twitter, será necesario proveer los cuatro elementos descritos.
Si somos los desarrolladores de la aplicación/script y sólo lo vamos a utilizar nosotros, no hay problema en obtener esos cuatro datos directamente y 'hardcodearlo' en el código. El problema viene en el momento en el que se comparte/distribuye esa aplicación a terceros, ya sea como software libre o como software comercial.
Y es que resulta que Twitter no ve con buenos ojos el distribuir el consumer key y consumer secret de una aplicación determinada, de forma masiva. Twitter comunicó que, una vez que un par consumer key/secret son de dominio público, las revocarían (en su propia Revocation List) y la aplicación queda inutilizada.
Por otra parte, el par Access Token Key/secret es único para cada usuario que quiera hacer uso de esa aplicación. En el caso que N usuarios quieran utilizar una aplicación twitter con OAuth, deberán permitir a su usuario twitter que la aplicación identificada por $consumer_key y $consumer_secret lea/escriba en twitter con su identidad.
Para ello es necesario generar un par de Token key/secret distintos para cada cuenta, manteniéndose fijo el par Consumer key/secret que identifican a la aplicación. Para generar los access token key/secret es necesario haber hecho login vía web en Twitter con la cuenta que queramos y, al ejecutar la aplicación, ésta nos deberá proveer de una URL a la que acceder, que nos indicará que la aplicación X requiere nuestra aprobación para ser usada con nuestra cuenta. Después de aceptar, aparecerá un PIN que habrá que introducir en la aplicación para poder obtener el par token key/secret también necesarios para la aplicación.
Algunos lectores diréis: 'No me cuadra esto que dicen en SbD porque yo no he actualizado mi cliente Twitter (como Tweetdeck por ejemplo) y todo me sigue funcionando igual y sin problemas. Además no he tenido que hacer cosas raras con los tokens y los consumer keys ni nada de esto'. Pues efectivamente, tenéis razón. Y es que es posible, para algunas aplicaciones, utilizar xAuth, otra forma de autenticación que requiere que Twitter manualmente verifique y apruebe ese tipo de autenticación para dicha aplicación en concreto. Me recuerda un poco al procedimiento para añadir una aplicación en la appstore de Apple. Para ello hay que proporcionar, entre otras cosas el 'consumer key' de la aplicación, pero que en el fondo son peticiones con POST vía HTTPS a Twitter.
En aplicaciones no 'reconocidas' por Twitter o FOSS, aún no se ha solucionado el problema de la distribución del consumer key/secret en formato texto. Debido al concepto Open Source y al tener que poner a disposición de cualquiera el código fuente completo de la aplicación, y que si Twitter descubre un par consumer key/secret éstas serán deshabilitadas, me gustaría proponer un par de opciones, que por supuesto no son la panacea, puesto que son fácilmente bypasseables, pero al menos Twitter no podrá invalidar el par consumer key/secret porque no van en la propia aplicación en modo texto:

  • Ofuscar tanto el valor como el nombre del parámetro a la autenticación con OAuth mediante un ROT13 o cualquier otro mecanismo de cifrado. (Método propuesto por Marc Mims, mantenedor del módulo Net::Twitter para Perl)

De esta manera:

Net::Twitter->new(
   traits => [qw/API::REST OAuth RetryOnError/],
decode_entities => 1,
(
grep tr/a-zA-Z/n-za-mN-ZA-M/, map $_,
pbafhzre_xrl => 'ZlPbafhzreXrl',
pbahfzre_frperg => 'ZlFrperg',
),
);
En tiempo de ejecución se sustituye por:

Net::Twitter->new(
    traits => [qw/API::REST OAuth RetryOnError/],
decode_entities => 1,
consumer_key => 'MyConsumerKey',
consumer_secret => 'MySecret',
);
Lo cual no es publicarlos en claro en el código.

  • Otra opción sería forzar que los valores de ambas variables estén en una ubicación remota. Puesto que para acceder a Twitter, es necesario que haya conectividad con Internet, antes de acceder a la autenticación, es obtener consumer_key y consumer_secret previamente y utilizarlos en la autenticación. Si Twitter bloquea dicho par, con generar uno nuevo, no es necesario bajar una nueva versión de la aplicación y 'hardcodearlos' (que puede generar retrasos de semanas si nos referimos a una aplicación que esté en la AppStore de Apple por ejemplo) sino hacer un cambio en el servidor únicamente.
Para Tweetme.pl he implementado una mezcla de ambas, que no incumpla las exigencias de Twitter, pero que permita no tener que entregar un programa compilado y ofuscado (que finalmente sería comprometido igualmente por gente con capacidades de reversing), ni que utilice xAuth, por el papeleo y trámite que ello permite con Twitter (siempre y cuando aprueben xAuth en una aplicación Open Source, claro está). Además, en esta nueva versión se provee de un script para que sea sencillo obtener los tokens y personalizarlo para cada usuario.

IDF 2010: Esta es la TV inteligente de Google

IDF 2010: Esta es la TV inteligente de Google: "

googtv4

Intel está bastante emocionado con la idea de las TVs del futuro (ante la perspectiva de que llevarán sus chips adentro). Uno de los socios de negocio más interesantes a este respecto es Google, que prepara el lanzamiento de su TV inteligente en el “otoño” del hemisferio norte – que comienza el próximo mes.

Durante IDF, Intel tiene un stand dedicado al nuevo aparato que hasta el momento funcionará con un set top box de Logitech o bien con un televisor de Sony lanzará próximamente.

La idea es que ambos equipos integrarán un chip C4100 y un chip Atom. El primero se encargará de procesar el streaming y búsquedas de video y programación, mientras que el chip Atom permitirá correr aplicaciones. El equipo corre en frío (no tiene ventilador).

La idea de Google es tener un Marketplace con aplicaciones para televisores (como Widgets por ejemplo), que podrás descargar a tu gusto, en lugar de tener las que el fabricante quiso integrar. La TV corre con Android, así que la plataforma ya es conocida por los desarrolladores, que tendrán aquí un nuevo mercado.

Todavía no hay información de precios y fechas, aunque todo indica que se demorará algo de tiempo en salir de Estados Unidos. Hasta el momento, Google está trabajando con la operadora de cable Dish, y todavía está por verse cómo funcionará la combinación con empresas de televisión de pago, y si se podrá adquirir el sistema independientemente del TV cable.

Link: Intel Developers Forum



IDF 2010: Esta es la TV inteligente de Google

IDF 2010: Esta es la TV inteligente de Google: "

googtv4

Intel está bastante emocionado con la idea de las TVs del futuro (ante la perspectiva de que llevarán sus chips adentro). Uno de los socios de negocio más interesantes a este respecto es Google, que prepara el lanzamiento de su TV inteligente en el “otoño” del hemisferio norte – que comienza el próximo mes.

Durante IDF, Intel tiene un stand dedicado al nuevo aparato que hasta el momento funcionará con un set top box de Logitech o bien con un televisor de Sony lanzará próximamente.

La idea es que ambos equipos integrarán un chip C4100 y un chip Atom. El primero se encargará de procesar el streaming y búsquedas de video y programación, mientras que el chip Atom permitirá correr aplicaciones. El equipo corre en frío (no tiene ventilador).

La idea de Google es tener un Marketplace con aplicaciones para televisores (como Widgets por ejemplo), que podrás descargar a tu gusto, en lugar de tener las que el fabricante quiso integrar. La TV corre con Android, así que la plataforma ya es conocida por los desarrolladores, que tendrán aquí un nuevo mercado.

Todavía no hay información de precios y fechas, aunque todo indica que se demorará algo de tiempo en salir de Estados Unidos. Hasta el momento, Google está trabajando con la operadora de cable Dish, y todavía está por verse cómo funcionará la combinación con empresas de televisión de pago, y si se podrá adquirir el sistema independientemente del TV cable.

Link: Intel Developers Forum



Realidad en HDR de la mano de un par de Canon EOS 5D Mark II

Realidad en HDR de la mano de un par de Canon EOS 5D Mark II: "

Filed under: ,


Últimamente la red no ha parado de llenarse de imágenes sobresaturadas y con aspecto plasticoso. Son los llamados HDR, un tipo de efecto que se consigue tomando varias fotografías a distintas exposiciones y fusionándolas en una sola. La llegada de iOS 4.1 ayudará a extender las tres siglas por todos los rincones de la red de redes (aunque es cierto que las imágenes resultantes no están del todo mal), sin embargo, debido a la complejidad que requiere su creación, todavía nos faltaba por ver este efecto en movimiento.
Menos mal que existen empresas como la productora Soviet Montage, encargada del vídeo que vas a ver a continuación. Para su grabación, han utilizado dos Canon EOS 5D Mark II con distintas exposiciones, una sobreexpuesta y otra subexpuesta, de forma que con los dos vídeos resultantes han podido capturar por separados todos los detalles ocultos en las sombras y en aquellas zonas más iluminadas. El trabajo de edición ha debido de ser interminable, pero viendo los resultados, estamos seguros que todo el tiempo ha merecido la pena. Eso sí, en planos cercanos a personas mejor olvidarlo, ¿no crees?. Te dejamos con el vídeo tras el salto.

Continue reading Realidad en HDR de la mano de un par de Canon EOS 5D Mark II

Read | Permalink | Email this | Comments

DARPA trabaja en cascos militares con "control mental" mediante ultrasonidos

DARPA trabaja en cascos militares con "control mental" mediante ultrasonidos: "

Filed under: ,


Las atolondradas cabecitas de DARPA ya pueden ir pensando en encontrar una buena firma de relaciones públicas, porque van a pasarlas canutas tratando de explicar su última ocurrencia sin quedar como una pandilla de locos enfundados en batas blancas. Y si no, a ver cómo puedes suavizar la idea de que la Agencia de Investigación de Proyectos Avanzados de Defensa está financiando un estudio que contempla el uso de dispositivos transcraneales con el propósito de manipular las funciones cerebrales de los soldados.

El sistema, cuyo estudio se está realizando en la Universidad Estatal de Arizona, utiliza dispositivos de ultrasonidos que podrían ser utilizados desde el casco para estimular distintas regiones del cerebro, permitiéndoles reducir sus niveles de estrés fuera de combate, y aumentando la atención durante las guardias. Es más, hasta se habla de reducir el dolor de las heridas sin el uso de calmantes, e incluso de la posibilidad de usar los ultrasonidos para reducir daños por tumefacción cerebral, y todo ello sin técnicas invasivas como la implantación de electrodos.

Por supuesto, hoy día el ejército de Estados Unidos (entre otros) ya relaja a sus soldados y aumenta su percepción durante periodos de alta tensión mediante el uso de fármacos, pero suponemos que hablar al público de los beneficios de dispositivos de "control mental" como este puede ser un poco más difícil...


[Foto: DVIDSHUB, CC 2.0]
Read | Permalink | Email this | Comments

DARPA trabaja en cascos militares con "control mental" mediante ultrasonidos

DARPA trabaja en cascos militares con "control mental" mediante ultrasonidos: "

Filed under: ,


Las atolondradas cabecitas de DARPA ya pueden ir pensando en encontrar una buena firma de relaciones públicas, porque van a pasarlas canutas tratando de explicar su última ocurrencia sin quedar como una pandilla de locos enfundados en batas blancas. Y si no, a ver cómo puedes suavizar la idea de que la Agencia de Investigación de Proyectos Avanzados de Defensa está financiando un estudio que contempla el uso de dispositivos transcraneales con el propósito de manipular las funciones cerebrales de los soldados.

El sistema, cuyo estudio se está realizando en la Universidad Estatal de Arizona, utiliza dispositivos de ultrasonidos que podrían ser utilizados desde el casco para estimular distintas regiones del cerebro, permitiéndoles reducir sus niveles de estrés fuera de combate, y aumentando la atención durante las guardias. Es más, hasta se habla de reducir el dolor de las heridas sin el uso de calmantes, e incluso de la posibilidad de usar los ultrasonidos para reducir daños por tumefacción cerebral, y todo ello sin técnicas invasivas como la implantación de electrodos.

Por supuesto, hoy día el ejército de Estados Unidos (entre otros) ya relaja a sus soldados y aumenta su percepción durante periodos de alta tensión mediante el uso de fármacos, pero suponemos que hablar al público de los beneficios de dispositivos de "control mental" como este puede ser un poco más difícil...


[Foto: DVIDSHUB, CC 2.0]
Read | Permalink | Email this | Comments

ContourGPS: La vídeocámara para deportistas extremos ahora con GPS

ContourGPS: La vídeocámara para deportistas extremos ahora con GPS: "

Filed under: ,


La cámara todo terreno para deportistas extremos se nos actualiza. La nueva versión se llama ContourGPS, y tal como su nombre indica, ofrece geoposicionamiento de toda nuestra grabación. Con idéntica calidad Full HD que su predecesora la ContourHD 1080p, la nueva ContourGPS cuesta 349 dólares (272 euros) y a la hora de compartir los vídeos podremos adjuntar un seguimiento del recorrido en un mapa en tiempo real (basado en Google maps) como el que tienes tras el salto.

Continue reading ContourGPS: La vídeocámara para deportistas extremos ahora con GPS

Permalink | Email this | Comments

Microsoft Livecam Studio: Tus videoconferencias ahora en Full HD

Microsoft Livecam Studio: Tus videoconferencias ahora en Full HD: "

Filed under: ,


Ahora, además de las películas, las cámaras de fotos y las pequeñas videocámaras de bolsillo, las videoconferencias retransmitidas por internet también deben de ser en 1080p. Así lo intenta Microsoft con la nueva Lifecam Studio, una bonita cámara con sensor de 1080p, tecnología Truecolor y ClearFrame y modo de enfoque automático. La imagen capturada por esta pequeña webcam es de formato panorámico 16:9, pudiendo además orientar su cuerpo en un total de 360 grados para que no perdamos detalle en todo lo que pasa a nuestro alrededor. Tras el salto puedes ver un vídeo demostrativo que ha realizado nuestro compañero Tim en Engadget en inglés, y en el que podrás observar la mejoría conseguida respecto a otras cámaras, sobre todo en lo relacionado con el sonido y el contraluz. El nuevo modelo llegará a España en enero del 2011 a un precio todavía desconocido.

Continue reading Microsoft Livecam Studio: Tus videoconferencias ahora en Full HD

Permalink | Email this | Comments

Blog Archive

Quilts

Where am I?