TBSgroup ha puesto en marcha una nueva solución de pago por móvil, denominada Tenderoo, la cual permite aceptar pagos desde cualquier teléfono móvil, simplemente contestando una llamada telefónica realizada automáticamente desde la caja registradora, y tecleando o recitando un PIN de seguridad.

La ventaja que aporta esta solución es facilitar al usuario final el uso de pagos móviles, evitando la mayor complejidad del SMS; de hecho, no requiere instalar ningún tipo de software ni chips de proximidad y mantiene su independencia del operador móvil. Tenderoo, que se ha desplegado íntegramente en Private Cloud Computing, puede solicitar pagos desde un POS, caja registradora, PC, teléfono móvil, smartphone, tablet, TV o incluso desde una página Web.

Tenderoo es un sistema pensado para comercios y entidades financieras que se puede adaptar a cualquier tipo de negocio. De hecho, apenas necesita requisitos tecnológicos por lo que se puede implantar tanto en pequeños puestos de mercado como en grandes superficies comerciales.

(Vía SevenClick)

 Lo raro es que tardara tanto en pasar. El código es público y la explicación la tenéis en esta página (no os perdáis el PDF con la presentación).

 Mediante un receptor de radio y tablas “arco iris” calculadas en la nube, por unos $300 cualquiera puede montarse su propia operación gürtel sin necesidad de gastarse millones en  sitel (o como lo he oído llamar, “La Oreja de la ceja”).

  Ningún operador de GSM tiene implementados algoritmos de backup, así que el problema, a menos que lo solucionemos por vías alternativas, va a colear largo tiempo. Cualquier conversación podra ser interceptada por cualquier hijo de vecino sin necesidad de orden judicial. solo con unas horas de retraso. si se necesita escuchar en tiempo real, el coste se puede disparar a tres mil dolares. Desde las alianzas GSM nos dicen que estemos tranquilos, que es Ilegal interceptarlo y será perseguido….. Como la vida misma. Se le puede vender un Ferrari F-40 a un chaval de 18 años con el carné de conducir recién aprobado porque pasar de 80 kilometros hora es ilegal durante el primer año y esto parece asegurar que no lo hará.

(Vía Público)

Leo estupefacto que aunque el flamante presidente electo de EEUU se declare adicto a la BlackBerry, la NSA ha decidido que por motivos de seguridad, debe utilizar Windows Mobile.

Imagino que los “motivos de seguridad” son “protegerse del presidente” pudiendo acceder por las famosas “puertas de atras“  que tanto se ha rumoreado existen  en vez de “proteger al presidente”.

Lo realmente preocupante de la noticia no es el sistema opertivo que usará Obama (Esto personalmente me trae al fresco. Si usa windows peor para el) sino la poca autoridad que tiene el presidente de Estados Unidos.

Si no es capaz de poder elegir libremente el sistema operativo que el quiera en su teléfono, a ver como va a poder cerrar Guantanamo, lograr el alto el fuego en Gaza o implantar la asistencia sanitaria gratuita en USA.

“We can” rezaba el slogan electoral de Obama. faltaba el final de la frase “…. use windows”

Presiento que Micro$oft va a seguir campando a sus anchas por los gobiernos una legislatura más.

Hoy ha salido (o mejor dicho, hoy he encontrado) el número 130 de la revista @rroba. En páginas 8-17 (si,si. 9 páginas de entrevista) Merce Molist me entrevista preguntandome sobre los principios del Hacking en españa, Apostols, Los principios de internet…

No sabía que tuviera tantas cosas que contar en una entrevista, 9 páginas de rollo y eso sin meterme con Microsoft (que eso ya lo hago todos los días)

Otro texto clasico de EncomIX. La traducción al castellano de el programa PGP versión 2.6.2 internacional.
En aquella época, pensabamos que las matemáticas eran más fuertes que cualquier puerta blindada. Hoy somos más descuidados, pero la frase sigue siendo cierta.

Continue Reading »

(vía Meneame)

Esto me recuerda a los Banners que me salen a veces navegando por ahí que me informan de “problemas en mi PC” (que ademas de informarme, si pincho sobre ellos, me escanean el registro y me solucionan muchiiisimos problemas…..)

En este enlace de “La Caixa”, aparte de un Glosario de términos relacionados con la seguridad, en la parte inferior izquierda, encontrareis un “test de seguridad”. Es el banner que reza “¿Conoces el nivel de protección de tu PC? Clica aquí y descubrelo tu mismo.”

Obviamente, el test esta hecho para usuarios de Windows. pero resulta divertido hacerlo si tu sistema operativo es Unix.

(Via La comunidad DragonJar)

La empresa de seguridad informática rusa elcomsoft ha desarrollado un sistema para lograr “descifrar” las claves por medio de fuerza bruta usando como Procesador el GPU (Graphics Processing Unit, Unidad de Procesado de Gráficos) de la tarjeta de vídeo “GeForce 8800 Ultra”.

Según portavoces de la compañía trabaja 25 veces mas rápido que los procesadores mas modernos del mercado fabricados por AMD o Intel, además afirman que las GPUs existentes en las tarjetas de vídeo mas modernas son mucho mas eficientes que los CPUs tradicionales.

Para hacernos una idea de cuan poderosas son estas GPUs Elcomsoft había crackeado passwords como los de Windows Vista en 3 días con un sistema similar a este pero usando una tarjeta de 150 menos poderosa que la GeForce 8800. Realizar el mismo trabajo con un CPU Intel o AMD requería más de un mes de proceso.

Mas Información:
Anuncio Oficial de la Empresa (PDF)
NeoTeo

(via light blue touchpaper)

Hace unas semanas, un ¿Hacker? consiguió irrumpir en light blue touchpaper, el blog dedicado a seguridad de la universidad de Cambridge.

Una de las acciones del atacante, fue crearse una cuenta de administrador en el blog (utilizando una vulnerabilidad de WordPress). El autor legítimo, intentando hacer un análisis forense de lo sucedido, penso que sería interesante conocer la contraseña utilizada por el atacante.

Para ello, fue a la base de datos de usuarios de WordPress ,extrajo el password en formato MD5 e intento descifrarlo. (mediante un script en python que probaba combinaciones por fuerza bruta)

Pronto se dio cuenta que aquello podría tardar una eternidad… Y al buen hombre se le ocurrio buscar la cadena 20f1aeb7819d7858684c898d1e98c1bb en google. Entre los resultados, obtuvo dos que le resultarón interesantes. Una página de genealogía que apuntaba a un tal Anthony y una casa en venta cuyo vendedor era otro Anthony.

Probó, y efectívamente, la contraseña era Anthony……

Esta claro que google hace lo que mejor sabe hacer. Indexar millones de datos y mostrarlos al usuario que los busca de la manera más rapida y eficiente. Pero estoy seguro que nadie en google se imaginaba que el buscador podia usarse como utilidad para descifrar datos…. ¿Veremos en el futuro un servicio dedicado a la recuperacíon de datos llamado “google hash”?

(via heise security)

En Marzo del 2006, Apple corrigió una vulnerabilidad en su programa de correo Apple Mail que permitia a un “usuario malintencionado” (como le suele llamar microsoft) disfrazar codigo malicioso (un shell script, por ejemplo) como si fuera una imagen JPG. Al pinchar la imagen, en vez de abrir la imagen en vista previa, el script se ejecutaba en el terminal.

Estamos en Noviembre de 2007 y este bug ha vuelto a aparecer en leopard. Puedes comprobar si este bug te afecta utilizando esta página para enviarte un correo demostrativo (El script ejecutado para comprobar el error es totalmente inofensivo)

–EDITADO 

A los pocos minutos de probar que mi leopard estaba afectado, he ido a actualización de sistema y tenia una actualización a OSX 10.5.1. la he aplicado, he probado, y ahora sale una ventana de aviso.

Leo en Kriptópolis que, mediante ingeniería inversa, han conseguido descifrar como funciona el generador de números aleatorios de Windows 2000. (trabajo completo aquí)

pero no solo han conseguido saber como funciona, sino también diseñar un ataque no trivial: dado un estado interno del generador (que puede obtenerse explotando, por ejemplo, un desbordamiento de buffer), podrían averiguarse sus salidas pasadas y futuras para un determinado proceso. Atacar al generador no es tan dificil, dado que se ejecuta con privilegios de usuario, no a nivel de nucleo. El resultado: podriamos descifrar conexiones seguras SSL de una forma no demasiado compleja.

Si nos fiamos de las estadísticas, Windows 2000 es el segundo sistema operativo mas usado en los PC de escritorio en el mundo. Y lo que es peor, posiblemente esa parte del código no haya cambiado en Windows 2003 y Windows vista.

Aqui tenemos nuestro generador de números aleatorios.

(nueve, nueve, nueve)

¿Estas seguro de que son aleatorios?

Con la aleatoriedad nunca se sabe….

Cuando yo empecé a estudiar programación, ya me explicaban que los numeros no eran “exactamente” aleatorios, sino pseudoaleatorios. Esto sirve para la mayoria de las cosas, pero no para las aplicaciones que les damos habitalmente a nuestros ordenadores de escritorio.

Lo ideal sería que trajeran “de serie” un generador hardware de numeros aleatorios. Esto no es caro ni complejo, ya que la mayoria de esquemas que podemos encontrar se basan en el “ruido” que se genera en un diodo zener.

Este ruido se amplifica mediante un amplificador operacional para elevarlo a un nivel TTL (5 voltios para el 1 lógico y 0v para el cero). De esta forma se obtiene un tren de datos binarios totalmente aleatorio.

Si aún así dudamos de que nuestra señal sea totalmente aleatoria, podemos duplicar el circuito para obtener otro tren y aplicar una función XOR ( O exclusivo) a las dos señales.

La alimentación del circuito (5v) , se puede obtener del puerto paralelo, y las señales se pueden leer directamente tambien por el mismo puerto.

Todo esto, incluido en la placa base, no costaria mas de 10 ó 15 centimos de euro, y nos protegeria contra ataques triviales contra el generador de numeros aleatorios. (si algun lector se lo quiere construir, decubrira que lo mas caro es el conector y la caja……)