Tu SmartTV de Samsung te escucha igual que tus gadgets

Ayer la red se revolucionó con la política de privacidad y los términos del servicio de las SmartTV de Samsung. En ellas se explica que, cuando está activado el modo de reconocimiento de comandos de voz, la tele puede estar escuchando todo lo que dices y enviarlo a los servidores de Samsung para procesarlo, pudiendo esto acabar en manos de terceros para procesar los comandos, la voz o simplemente para depurar y mejorar el servicio. Tu SmartTV te escucha, muy atentamente.

Figura 1: Tu SmartTV de Samsung te escucha igual que el resto de tus gadgets

Al leer el texto, me ha parecido un detalle por parte de Samsung el ser tan brutalmente honesto, ya que esto que dice aquí es lo que pasa con otros servicios similares, a los que la opinión pública no ha prestado tanta atención, pero que están funcionando de forma parecida. Lo que dice exactamente ahora el texto de Samsung es ligeramente distinto a lo que decía antes, que era esto que se puede leer abajo:

Figura 2: Sobre el servicio de reconocimiento de voz

Por supuesto, cuando ha salido esta noticia todo el mundo se ha acordado del incidente con las teles Smart TV de LG, de las que vimos que transmitían información de canales y de archivos multimedia que se transmitía. Algo que ha llevado a ver las Smart TV como algo a esto.

Figura 3: No Lusers 178: "Una Smart TV muy Smart"

Pero no son las únicas que hacen esto, ya que el procesamiento de comandos de voz es realizado en servidores en Internet por muchos otros sistemas populares y conocidos. Aquí van algunos ejemplos.

Apple y Siri también te escuchan

Cambiemos de tercio, y dejemos el servicio de "Hello Samsung" para pasar a otros casos como el servicio Siri en los terminales iPhone o iPad, donde toda la voz es procesada en los servidores de backend de Apple, quedando almacenada para depuración del servicio. Gracias a este procesamiento en cloud es posible usar el servicio Siri de reconocimiento de voz sin tener que entrenar el reconocimiento de voz como había que hacer antes. Yo grabé un pequeño vídeo explicando esto.

Figura 4: Reconocimiento de voz en Siri

Esto llevó a que IBM, por ejemplo, bloqueara el protocolo de Siri en sus redes y así evitar filtraciones a Apple de sus conversaciones o a cualquiera que encontrase un bug en el protocolo y fuera capaz de descifrarlo. No solo esto captura Apple de tu voz, sino que además reconoció que recupera las pulsaciones de tu terminal con el servicio de Carrier IQ para poder depurar cualquier fallo, lo que generó un auténtico escándalo al poder llevarse los datos.

Google Glass

Supongo que todos habéis visto funcionar las Google Glass y su famoso "Ok Glass", donde se activa el reconocimiento de comandos de voz en las gafas. ¿Alguien piensa que las gafas de Google están procesando toda la voz en local? ¿Alguien piensa que solo se envían a Google los mensajes a partir de OK Glass?

Figura 5: Comandos de Google Glass

De hecho, el problema con los comandos de voz, como muchas veces hemos hablado, es que nos han podido hacer una huella biométrica de nuestra voz y saber si somos nosotros o no los que hablamos por un determinado dispositivo. En el futuro, el haber entregado tanta voz a tantas empresas quizá haga que compremos un nuevo iPhone o Android y digamos: "Soy yo", para que automáticamente vengan todos nuestros comandos.

Microsoft Cortana o XBOX

Los sistemas con reconocimiento de comandos de voz, que te están escuchando constantemente, son muchos. En el caso de Siri hay que dar un botón, o en el de Cortana, pero en otros como XBOX basta con decir eso de "XBOX activar Reproductor de DVD", y listo. En la política de privacidad de XBOX de otra forma, dice más o menos lo mismo.

Figura 6: XBOX Privacy Policy

Al final, si os paráis a pensar en cómo funcionan todos esos sistemas, llegaréis a que el procesamiento de todos los mensajes de voz se hace en la nube, y por tanto... pueden llevarse palabras que no os gustaría que nadie más conociera.

Saludos Malignos!

Ideas para hacer un Proyecto de Fin de Carrera o Fin de Máster en el área de Seguridad Informática y/o Hacking

Hay una serie de preguntas que me suelen llegar periódicamente al buzón. La lista de ellas que aparecen con bastante regularidad crece poco a poco, así que cuando llega una nueva demasiadas veces creo que lo mejor es escribir un post sobre ello. Algunas de las preguntas que más veces me llegan son las de "¿Cómo ser hacker o cómo aprender hacking?", "¿Cómo se puede espiar el WhatsApp?", "¿Ayúdame a hackear el Facebook o WhatsApp de mi novi@?", "¿Qué máster de seguridad hacer?", "¿Qué libros me hay que leer para aprender seguridad informática?", "¿Se debe ir a la Universidad para trabajar en Seguridad?" o "¿Qué lenguaje de programación aprender?" - ésta última no la he contestado nunca -. No todas ellas las tengo contestadas yo, y alguna habría que actualizarla, pero más o menos buscando en el blog hay mucha información de ellas.

Figura 1: Be a hacker como el Inspector Gadjet

Una de las que más me ha llegado en los últimos tiempos ha sido de estudiantes de Universidad o Másters que querían alguna idea de trabajos en seguridad para presentar como Proyecto de Fin de Carrera o de Proyecto de Fin de Máster. Siempre intento darles algunas ideas que tengan que ver con cosas que tengan que ver con las cosas que a mí me gustan o yo he estado involucrado, que es de lo que sé. 

Hoy, por si alguno está falto de ideas os voy a dejar 10 posibles temas para proyectos que tienen que ver con seguridad y cosas que hemos estado haciendo, pero que por falta de tiempo, o por priorizar otras cosas no hemos podido atacar y que tienen que ver con Latch, con los Metadatos, con Seguridad Web y alguna otra cosa.

1) Integración de Latch en frameworks de Internet con Segundo Factor de Autenticación

Latch es una tecnología que se puede utilizar como Segundo Factor de Autenticación en frameworks de Internet. Nosotros desde Eleven Paths lo hemos integrado en un montón de ellos, como PrestaShop, WordPress, PHPMyAdmin, PHPBB, Open X-Change, OpenLDAP o RoundCube, pero aún quedan un montón de ellos que no hemos podido integrar. Todos esos plugins son Open Source, así que puedes ver el código fuente de cada uno de ellos y entender cómo se integra un 2FA en cada uno de ellos. Además, para que sea mucho más fácil de entender cómo se hace, hemos escrito un artículo en el que se detallan todos los cambios que se hacen por debajo a WordPress cuando se integra Latch. 

Si quieres integrar Latch en phpLDAPAdmin, en Horde, en cPanel, SQL Web Data Administrator, o en cualquier otro framework, será un proyecto que te hará aprender, un bonito proyecto Open Source actual y contarás con nuestra ayuda para solventar cualquier dificultad.

2) Evaluación de fugas de datos en sitios web por medio de documentos públicos

Este es un proyecto de investigación sencillo, que nosotros ya hemos hecho con empresas del IBEX 35 y en las webs de los líderes en DLP. La idea es evaluar qué cantidad de fugas de datos se producen en sitios en los que no debieran producirse. Para ello, elegir un sector de estudio como banca, administraciones públicas de tu país, empresas de una determinada industria, etcétera, podrían arrojar datos significativos. Los riesgos de los metadatos son muchos, y yo tengo ya más de treinta ejemplos de por qué los metadatos hay que cuidarlos.

3)Detector de casas vacías

Una de las cosas que más me sorprende es que se pueda hacer es ver a través de muros utilizando tecnología WiFi. Hemos visto que incluso se puede monitorizar los latidos y la respiración de un bebé. ¿Se podría hacer un sistema que detectara si una casa está vacía utilizando un escáner WiFi? Yo creo que sí, y sería importante poder alertar del riesgo.

4) Un configurador de redes WiFi usando impulsos en el magnetómetro

Hace no demasiado vimos que por medio de un sistema sería posible enviar mensajes con bajas frecuencias usando impulsos en el magentómetro de un terminal móvil. ¿Qué tal hacer una app en Android que sirviera para configurar la WiFi de un espacio? El usuario solo debería dejar su terminal unos segundos y la WiFi quedaría correctamente configurada.

5) Configurador remoto de apertura y cierre de puertos en un firewall con Latch

Usar Latch permite muchos esquemas distintos, como Verificación en 4 ojos, Control Parental, Supervisión o como hicieron en HackPlayers, Activación con 2 llaves. ¿Qué tal hacer un daemon que monitorice cada 5 minutos si los puertos de un firewall deben estar abiertos o cerrados y configurar tu iptables? Así, el usuario desde su app puede abrir o cerrar en todo momento qué puertos quiere tener activos y cuáles no.

6) Búsqueda de backups automatizado en Apache con Mod_negotiation

El módulo de mod_negotiation de Apache muestra archivos con distintas extensiones cuando se pide un nombre de fichero que no se encuentra. Este truco se puede utilizar para buscar backups en los servidores web. FOCA busca estos bugs automáticamente y sería interesante hacer un plugin para FOCA - o una herramienta stand-alone - que una vez descubierto que el servidor Apache tiene mod_negotiation activado busque todos los archivos de la web para después buscar todos los ficheros sin poner la extensión y descubrir ficheros "copia" de los originales.

7) Un reconocedor de cerraduras, candados o de llaves para lockpicking usando Google Glass

Las Google Glass se pueden utilizar para mil cosas de hacking, como robar un passcode, pero también podrían usarse para lockpicking. Por ejemplo, podrían reconocer una llave de una cerradura y saber marca, modelo y los códigos si se ven con la llave, o reconocer una cerradura o candado por fuera y recomendar la forma de apertura correspondiente. Una bonita app que llevar en las gafas.

8) Una dock station integrada con Latch

En el trabajo, muchas veces se dejan los equipos en dock station para que se cargue la computadora portátil al mismo tiempo que se pueden utilizar periféricos. ¿Qué tal integrar un sistema de verificación de Latch para desconectar el equipo de la docky? Ya tienes un ejemplo del mundo físico en el que Latch controla el cerrojo de una puerta.

9) Un app que muestre el historial de uso de la webcam

Cada vez que se enciende una webcam queda un registro de actividad. Saber a qué horas estaba encendida y a qué horas estaba apagada puede ser de utilidad para todo el mundo y especialmente para padres que pueden detectar si un joven está siendo espiado o está haciendo video conferencia con alguien. Hacer una aplicación que cualquiera pueda ejecutar en un Windows, Linux u OS X y muestre el historial de uso de la webcam sería de utilidad.

10) Robo de sesiones Google con Google Authenticator

Google Authenticator es un segundo factor de autenticación, pero al final el código de autenticación hay que ponerlo en el mismo canal. Como el código de autenticación tiene un periodo de vida, en un ataque de man in the middle en el que se robe el usuario y la contraseña - por ejemplo haciendo un Bridging HTTP(IPv6)-HTTPS(IPv4) - y después robar el código de Google Authenticator para tal vez conseguir dos sesiones autenticadas con el mismo código.

Son solo ideas que rondan por mi cabeza y que seguramente propondré como trabajos de Fin de Máster para el curso que viene en el Máster de Seguridad de la UEM. Si alguno de vosotros se anima a hacerlas y me lo cuenta, sería genial. Si alguna de ellas os estimulan para hacer otra cosa genial. Según se vayan haciendo, iré actualizando las ideas, para que siempre haya al menos 10 ideas frescas sin hacer.

Saludos Malignos!

Shoulder Surfing con Google Glass para robar el passcode

Esta semana pasada me topé con un artículo publicado en la revista Wired en el que hablaba de cómo los riesgos de privacidad que pueden venir asociados con Google Glass son tan grandes como que son la herramienta perfecta para el shoulder surfing. Una cámara apuntada hacia todo lo que una persona está haciendo, por ejemplo poner el passcode o el PIN de acceso a un iPhone o un terminal Android, y averiguarlo.

Figura 1: Foto del laboratorio de CiberSeguridad de la Universidad de Massachusetts describiendo el ataque

La idea es que no es necesario nada más que ver el movimiento de los dedos al pulsar los caracteres que forman parte del passcode y sacar el valor con una simple app instalada en las Google Glass. Este concepto no es nada más que un porting a las gafas de Google de ideas y software similar al que ya existía para terminales iOS (iPhone/iPad) con jailbreak llamada ShoulderPad.

Figura 2: Vídeo demo del reconocimiento de pulsaciones de teclado en iPad con ShoulderPad

Esta herramienta, ShoulderPad, debe grabar las pulsaciones del teclado para reconocer qué teclas se están introduciendo procesando el vídeo frame a frame, pero como se explica en el libro de hacking iOS: iPhone & iPad hace tiempo se publicó el trabajo de iSpy, que era capaz de reconstruir las pulsaciones del teclado desde reflejos deformados en los que las luces de la pantalla se estuvieran reflejando.

Figura 3: Vídeo demo de iSpy en el que se reconstruye el teclado desde reflejos

Ahora, usar Google Glass le da un punto de modernidad y discreción, además de que al fijarse en los movimientos de los dedos en lugar del teclado, lo hace más fácil para el atacante y más difícil de detectar para la víctima, que si se normaliza el uso de Google Glass puede que no sospeche nada

Al final el problema es siempre el mismo que te puedan grabar introduciendo el passcode al terminal con cualquier cámara, ya que van a poder reconstruir siempre tu PIN de acceso. Edward Snowden contaba en The Guardian que no podía el passcode de ningún dispositivo si no estaba oculto bajo una capucha todo el terminal, al estilo de las "bromas" que tantas veces se han hecho al respecto. Su preocupación era que cualquier cámara de seguridad o cualquier dispositivo de vigilancia pudiera llegar a localizar sus pulsaciones y sacar sus claves.

Figura 4: Filtro de privacidad "artesano"

En el trabajo publicado por Xinwen Fu dicen que con una cámara, su software les permite reconstruir el passcode con distancias de casi medio centenar de metros, solo grabando los movimientos de los dedos al pulsar las teclas.

Figura 5: El sistema descubre el passcode si se graba con una cámara desde decenas de metros

Como forma de solucionar este ataque, lo que propone es que el teclado que se usa para introducir el passcode nunca muestre los números en las mismas posiciones, al estilo de lo que han hecho desde hace tiempo muchas entidades bancarias con el teclado virtual en las aplicaciones. Ese cambio acabaría con muchos de los problemas de cámaras, que necesitarían reconocer el número mostrado en la pantalla, además de reconocer la posición de la pulsación.

Figura 6: Demostración de cómo graba las pulsaciones para poder reconocer el passcode

Lo cierto es que a todas las técnicas conocidas para saltarse el passcode de un terminal, hay que añadir que a día de hoy una grabación en vídeo con ShoulderPad, con iSpy o con las Google Glass cuando se esté introduciendo ese valor, sería más que suficiente, por lo que cuanto más complejo sea tu passcode, mejor que mejor. Por otro lado, el uso de biometría, tal y como sucede con Apple Touch ID, permite evitar este problema pero trae otros riesgos. Nada hay perfecto.

Saludos Malignos!

Usar las Google Glass puede provocarte dolores en los ojos

Google lanzó durante tiempo limitado un número muy limitado - valga la redundancia que utilizo para enfatizar que todo ha sido muy limitado - de unidades de Google Glass. Tras las primeras pruebas, más de uno se ha quejado de que le dolían los ojos y la cabeza.

Figura 1: Quejas en Twitter de dolores de cabeza al usar Google Glass

Según parece esto es debido a que las gafas de Google pueden obligar a los ojos a hacer movimientos que habitualmente nunca antes habían realizado, lo que puede provocar dolor de ojos y de cabeza. Esto está reconocido por los médicos de Google. Viendo esta noticia, además de contaros lo del "dolorcillo", he hecho mi propia interpretación en modo No Lusers, que es lo que os dejo por aquí.

Figura 2: No Lusers 170 - Dolor de ojos al usar las Google Glass

Cuando estuve en Google X yo tuve la ocasión de probarlas en primera persona, y la verdad es que no me sentí demasiado cómodo con ellas. Tal vez, solo tal vez, en el futuro las funcionalidades que ofrezca el usar las Google Glass sea suficientemente útil para mí, y me anime a tener unas.

Figura 3: Más dolores de cabeza con Google Glass

De momento, las críticas no han sido buenas, y respecto a la calidad el comentario tras el despiece de las Google Glass ha sido que el hardware es "Dirty Cheap". ¿Alguno de vosotros las ha probado a fondo o tiene alguna opinión fundada sobre ellas?

Saludos Malignos!