miércoles, 3 de junio de 2015

Hay nuevos vientos en poniente

Resulta inevitable abrir la píldora informativa de hoy con el anuncio del fin de la USA Patriot Act, uno de los ejes legales que daban poder al espionaje masivo de agencias de inteligencia americanas como la NSA. Y acompañamos la ecuación con algunas de las vulnerabilidades más sonadas de nuestros protocolos de cifrado, con una manera inteligente de securizar mejor las contraseñas, y con el peligro que corren todos los poseedores de un Mac antiguo. Comencemos.
La noticia del día, y previsiblemente del mes: El Senado de EEUU vota a favor de restringir la recopilación de datos masivos de la NSA. La USA Patriot Act, ley creada ex profeso después del terrible atentado del 11 de Septiembre del 2001, pasa de esta manera a estar fuera de circulación, lo que minimiza el ámbito de actuación de organismos como la NSA, al tener ahora que pedir permiso y defender caso por caso cualquier intento de monitorización a un ciudadano o grupo de ciudadanos. Se espera, no obstante, que la USA Freedom Act entre en vigor dentro de poco. Una ley algo más conservadora para el ciudadano, y que volvería a dotar de bastante poder (no tanto, todo hay que decirlo) a esta agencia.
Github, el popular servicio de repositorio de proyectos, vuelve a ser noticia, con una exposición de claves SSH que podrían permitir a un atacante acceder y modificar el código alojado en algunos de sus repos, como el Spotify y el gobierno de Reino Unido. Y es un problema crítico, ya que el acceso a estos podría conllevar la instalación de malware que se propagaría por servicios ampliamente utilizados e instituciones de forma automática.
Para evitar que situaciones como estas se vuelvan a dar, desde ErsatzPasswords recomienda securizar un sistema de autenticación tan extendido como es el de las contraseñas, haciendo que en su creación entre en juego alguna función física del dispositivo (PUF). Con ello, un atacante que quisiera explotar dicha seguridad, necesitaría además acceso real al dispositivo, ya que en caso contrario, únicamente obtendría una clave falsa que no le daría acceso al contenido real.
Y todo esto ocurre a unas horas de enterarnos que nuestros dispositivos Mac OS pueden ser vulnerables a un ataque que infecta la máquina cuando esta está en modo suspensión. Afecta al parecer a todos los dispositivos OS X de antes del 2014, modificando el firmware (EFI), que es el que controla el arranque del sistema. Y de ahí, cualquier maldad que se te ocurra…
Noticias buenas y noticias malas, con algunas herramientas para defendernos de ellas. Eso ha dado de sí la píldora informativa del día. ¡Que tengas un buen día!

0 comentarios:

Publicar un comentario