No te alarmes al leer el título de este artículo, porque aunque el problema recientemente descubierto con OS X Lion es muy grave, existen unos pasos muy específicos que deben cumplirse antes de que afecte a los usuarios. Resulta que si alguien actualiza a OS X Lion 10.7.3 y en la versión anterior del sistema operativo usaba FileVault como método de protección, un error de programación diseñado para hacer debugging grabaría las contraseñas en un archivo de texto almacenado fuera de la sección con criptografía. Esto implica que el log con contraseñas podría ser leído por otros usuarios o extraído y enviado por internet usando algún tipo de malware.

Es importante aclarar que FileVault 2 no sufre del mismo problema, y por lo tanto, si usas la última versión del software criptográfico no tendrás que preocuparte.

Por el momento no existe una solución para dicho inconveniente, y el descubrimiento es tan reciente que Apple ni siquiera ha admitido su existencia. Por eso estaremos atento para traerte novedades tan pronto la compañía se pronuncie al respecto.

Las memorias USB con seguridad criptográfica no son algo nuevo, pero muchas empresas todavía no consideran que esa tecnología proporciona la seguridad suficiente como para que sus empleados las usen. Dando un paso hacia la seguridad total están las memorias Security Guardian de ExactTrak que entre otras cosas puede ser geolocalizado por medio de sus chips GPS y GSM. Otras opciones incluyen la autenticación de usuarios con acceso a datos por medio de un sistema conectado a la nube, y si todo falla, es además posible desactivar el dispositivo remotamente, y eso funciona aunque no esté conectado a un puerto USB, porque incluye una pequeña batería.

Se nos hace difícil pensar en algo más seguro que lo implementado, pero lamentablemente no evita que los usuarios escriban sus contraseñas en las etiquetas de las memorias que usan.

[Vía Everything USB]

Cualquier especialista en seguridad informática sabe que hay un buen puñado de utilidades criptográficas públicamente disponibles válidas y seguras para proteger información digital; el problema es que su implementación es complicada para personas con pocos conocimientos tecnológicos. Addonics pretende resolver el problema de la implementación con el CipherUSB, un simple adaptador USB que se conecta entre el ordenador y un disco duro externo o cualquier tipo de dispositivo de almacenamiento digital (grabador de discos ópticos, tarjetas de memoria, etc.) proporcionando cifrado AES de 256 bits sin ninguna complicación o paso adicional. El dispositivo de almacenamiento aparecerá como un disco sin formatear si se usa sin el CipherUSB, y así garantizan que nadie pueda leer la información interna, y si aún más seguridad es necesaria, se pueden conectar varios adaptadores para que sea aún más difícil obtener acceso a al información.

El gran problema con esta solución es que si se pierde el adaptador el usuario tampoco podrá obtener acceso a su información. De todas maneras, por 30 dólares es una opción a considerar si se busca una manera sencilla y transparente de blindar un disco duro externo.

[Vía Everything USB]

Ha hecho falta unos cuantos años para que las agencias gubernamentales de todo el mundo adopten servicios móviles como los ofrecidos por BlackBerry, y ahora que las tecnologías han evolucionado, se han visto con problemas mudando a nuevas soluciones. Por lo tanto, para asegurarse que todas las comunicaciones sean extremadamente seguro, en EEUU la NSA (National Security Agency) decidió fabricar su propio móvil. Lo curioso es que el dispositivo que ves en la foto superior podría ser fácilmente producido por cualquier persona o institución (con dinero y tiempo suficiente), dado que usa componentes disponibles en el mercado abiertamente.

La agencia de seguridad inició el proyecto Fishbowl con la finalidad de fabricar 100 de estos aparatos, que entre otras cosas permiten realizar conversaciones seguras usando criptografía en los dos extremos, por medio de una conexión VPN IPsec que pasa por un servidor VoIP controlado por ellos.

La NSA ha publicado todos los documentos relacionados al proyecto para que los fabricantes puedan construir dispositivos similares para otras ramas del gobierno (y hasta compañías, seguramente). Esperan que se puedan ofrecer teléfonos "Fishbowl" con precios económicos, y esperamos que con nombres nuevos, como por ejemplo "segurífono" (estamos registrando la marca en estos momentos).

[Vía MSI Technology Review]

No negamos que los creadores de contenido deban tener maneras de proteger sus productos, pero nos resulta muy difícil hablar de "DRM" e "internet" en un mismo párrafo sin que nos chirríen los dientes. Nos referimos a una propuesta que Google, Microsoft y Netflix enviaron al W3C, la organización internacional a cargo de los estándares de internet, que busca una manera para incluir criptografía en contenido multimedia transmitido bajo HTML5. Las compañías dicen en el documento con los detalles para la modificación del estándar que "DRM no será incluido en la especificación HTML5", pero para nosotros hablar de "llaves" y "criptografía" es lo mismo que hablar de DRM (Administración de Derechos Digitales), y el tema no nos gusta nada.

La aprobación de esta propuesta está en entredicho, porque desde ya algunos miembros del W3C se han quejado, al igual que lo harán los defensores de un internet libre y abierto.

Si el tema te interesa (y debería hacerlo), te recomendamos leer la propuesta siguiendo el enlace Leer.

Estamos seguros de que los accionistas de RIM esperarán que esta sea la noticia que ponga punto y final a los problemas de la compañía canadiense con la India. Como recordarás, desde 2008 la burocracia india ha solicitado acceso a la información transmitida desde y hasta los dispositivos BlackBerry, pero debido a complicaciones técnicas RIM no había podido cumplir con los requerimientos gubernamentales. Las excusas se acabarán aquí, porque RIM ha anunciado la apertura de un centro con 5.000 servidores BES Enterprise, a los que el gobierno indio tendrá libre acceso para espiar a sus ciudadanos. Las cosas son como son: este es el precio de hacer negocios en algunos países.

Nos satisface ver que Lenovo no piensa olvidarse así como así de uno de sus productos más queridos, y es que según ha confirmado la compañía, el ThinkPad Tablet recibirá una importante actualización de sistema operativo durante el segundo trimestre de este año. Debido a limitaciones de hardware, algunas opciones de Ice Cream Sandwich como el uso de la tecnología NFC, no podrán ser activadas en el tablet de Lenovo; pero eso es lo de menos, porque lo más importante e interesante será recibir ICS con todas sus mejoras en lo que respecta a seguridad y administración remota. Esto permitirá que el tablet de Lenovo compita de mejor manera con productos empresariales como el Cius de Cisco, alegrando de paso la cara a todos sus actuales propietarios.

Los amigos del pingüino Tux y sus derivados están de enhorabuena. El nuevo kernel 3.2 de Linux ya está disponible con un buen número de novedades, y si bien ninguna de ellas es especialmente importante, en su lista de cambios se habla de acceso más rápido para archivos en Ext4, respaldo automático de archivos críticos, mejor manejo de la batería debido a la solución de bugs de los controladores gráficos, cambios en la virtualización y criptografía, y soporte para más dispositivos gracias a nuevos controladores, y mejor conectividad WiFi.

Si algo de esto te interesa, no dudes hacer clic en el enlace Leer para obtener todos los detalles.

[Vía ExtremeTech]

Aunque lo que ves en la imagen superior parece un simple Motorola Atrix, en realidad se trata de algo mucho más que un móvil con Android cualquiera. Usando un dispositivo criptográfico llamado GhostRider, que se coloca cerca de la batería, el Atrix se convirtió en un aparato de comunicaciones súper secretas. Así se pueden enviar mensajes de texto y hacer llamadas con criptografía aprobada por la NSA (Agencia de Seguridad Nacional) de Estados Unidos, que aseguran mantiene los requerimientos más elevados del campo criptográfico. Para leer el mensaje, el dispositivo en el otro extremo necesitará también usar un GhostRider, que pedirá una contraseña.

El precio de cada aparato, fabricado por ITT, es de 1.500 dólares. ¿El dinero no es obstáculo? En ese caso debemos advertirte de que por ahora sólo estará disponible para el ejército de Estados Unidos.

Todavía no tenemos una excusa lo suficientemente buena como para justificar la compra de una carísima memoria SSD con buen tamaño y criptografía incluida, pero al menos podemos empezar a echar un ojo a las de Micron. Las nuevas RealSSD C400 SED (Self-Encrypting Drive) saldrán a la venta a finales de año, con una característica muy importante: cifrado AES de 256 bits por hardware. Esto quiere decir que no necesitarán los valiosos recursos internos del ordenador para proteger los datos, con criptografía probada y comprobada de excelente calidad. Una vez a la venta podrá conseguirse en tamaños de 128, 256 y 512 GB, por un precio todavía no compartido; lo único cierto es que no serán nada baratas.

Ciertamente podrías usar algún tipo de software para almacenar información en una unidad externa con criptografía de primera calidad, pero eso no sería tan entretenido como poner una contraseña en la propia pantalla del disco duro. Precisamente, Satechi nos hace sentir como actores de una película de espías con su LockDown. Esta carcasa de disco duro incluye un panel OLED táctil en el que podrás introducir la contraseña que otorgará el acceso a los archivos mantenidos con cifrado de 256 bits. Además, el periférico incluye una conexión USB 3.0 para que puedas transferir datos a gran velocidad, antes de que el enemigo te descubra robando los mapas del cuartel secreto. LockDown funciona con ordenadores Windows y Mac, y puede ser adquirido desde ya mismo por 90 dólares.

Con los problemas de hacking que han sufrido tantas compañías últimamente, esperamos que los desarrolladores de aplicaciones móviles se tomen la protección de datos de los usuarios un poquito más en serio. Por ahora, el panorama es bastante feo, porque según explica la firma de seguridad viaForensics, hay aplicaciones que almacenan información abiertamente en nuestros teléfonos. Durante sus pruebas analizaron varias aplicaciones de iPhone y Android con su software appWatchdog, descubriendo que empresas como Netflix, LinkedIn y Foursquare no utilizan ningún tipo de cifrado para almacenar contraseñas en Android. Por suerte, la aplicación de Foursquare ya ha sido actualizada con más seguridad, pero quedan otras tantas que parecen haber sido diseñadas por programadores que nunca han visto una función md5. Sabemos que robar la información en el teléfono podría no ser muy fácil, lo cual no quita para que no queramos ni imaginarnos los dolores de cabeza que tendríamos si alguien consigue echarle mano a todas las contraseñas que guardamos en nuestros móviles.

[Vía Wall Street Journal]

No creas que esos pendrives con sistemas de cifrado internos son todo lo seguros que dicen los fabricantes. Aunque los algoritmos sean duros de roer, siempre pueden extraer las claves del ordenador al que han sido conectados, así que para evitar disgustos (y también para hacer más fácil la vida de los admins), High Density Devices (HDD para los amigos) ha lanzado el denominado Hiddn Crypto Adapter, una especie de base de conexión desde la que controlar múltiples pendrives protegidos asignados a distintos usuarios.

El dispositivo, que se conecta por USB a cualquier ordenador independientemente del SO operativo utilizado, ofrece protección AES 256, y permite acceder a memorias USB "blindadas" introduciendo una tarjeta de usuario y después introduciendo la contraseña asociada. Puesto que todas las claves se almacenan en el Hiddn Crypto Adapter, no existe riesgo de pérdida en caso de que alguien acceda al ordenador maestro, y además, tampoco consume CPU o memoria durante los procesos de cifrado y descifrado.

El precio de venta, por desgracia, no aparece en la página web de HDD, así que deberás ponerte en contacto con el fabricante si quieres ir presentando un presupuesto a tu jefe.

[Vía EverythingUSB]

Los usuarios de BlackBerrys en Arabia Saudita, o más específicamente del servicio BlackBerry Messenger en el reino de Oriente Medio, pueden estar contentos porque sus conversaciones no serán interrumpidas por decisión del gobierno. En realidad eso de "contentos" podría ser una exageración, tomando en cuenta que según reportan en Wall Street Journal y Reuters, RIM proporcionó al gobierno árabe las llaves necesarias para descifrar las comunicaciones de los móviles BlackBerry. Si bien no existe información sobre los detalles técnicos (como si al final terminaron instalando un servidor), la Comisión de Comunicaciones e Información Tecnológica de Arabia Saudita "ahora podrá vigilar comunicaciones por medio de servicios de mensajería". Llegados a este punto, ni te creas que este será el fin de la historia, porque queda por ver la reacción que tendrán los EAU e India al saber que RIM dio su brazo a torcer.

LEER - Wall Street Journal
LEER - Reuters

Se puede decir lo que se quiera sobre el éxito o fracaso de la PS3 como consola, sin embargo su hardware es la envidia de cualquier aparato en el mercado. Desde su lanzamiento han usado clusters de PS3 para realizar cálculos gigantescos, y esta vez son unos hackers que dicen haber roto SSL, con 200 consolas. Aprovechándose de un error en el algoritmo criptográfico MD5 (usado para firmas y certificados digitales), el grupo creó un Certification Authority (CA) que aprueba sus propios certificados. Eso quiere decir que al visitar páginas que supuestamente son seguras, podríamos estar visitando sitios de hackers. No se sabe mucho sobre los detalles del hack, y aseguran que llevaría al menos seis meses duplicar el procedimiento. Mientras tanto, hay tiempo suficiente para usar un mejor algoritmo y actualizar los certificados existentes. Otros hackers intentaron hacer lo mismo con unas Wiis, pero no había suficiente espacio para todas las Balance Boards.

[Vía ZD Net]
[Artículo en inglés]