Seguridad informática

DeBilbao dijo:
Puedes seguir usando 1Password sin suscripción, pero estarás usando la versión 6, con sincronización del vault (la caja fuerte) a través de iCloud, Dropbox o una carpeta local.
Hacer clic para expandir...
Pues es verdad, pero me pone versión 7 y si voy a la app store no hay ninguna otra versión. Entiendo que es importante si usas 1password fuera del iPhone pues en ajustes en la app la única manera de suscribirse es si creas una cuenta de 1Password.

Sea como sea, mientras no lo cambien, así estoy bien.
 
  • Me gusta
Reacciones: WRC
En China se estaba utilizando AirDrop para intercambiar de forma anónima información, pero parece que una agencia forense relacionada con el gobierno ha conseguido romper la seguridad del protocolo de Apple y averiguar los números de teléfono y las direcciones de correo que viajan cifradas en los mensajes.

www.bleepingcomputer.com

China claims it cracked Apple's AirDrop to find numbers, email addresses

A Chinese state-backed research institute claims to have discovered how to decrypt device logs for Apple's AirDrop feature, allowing the government to identify phone numbers or email addresses of those who shared content.
www.bleepingcomputer.com www.bleepingcomputer.com


China claims it cracked Apple's AirDrop to find numbers, email addresses​

A Chinese state-backed research institute claims to have discovered how to decrypt device logs for Apple's AirDrop feature, allowing the government to identify phone numbers or email addresses of those who shared content.
China has a long history of censoring its people, requesting Apple block access to mobile apps, blocking encrypted messaging apps, such as Signal, and creating the Great Firewall of China to control what sites can be visited in the country.
To get around censorship in the country, people turned to Apple's AirDrop feature, which doesn't require cellular service and uses Bluetooth and a private Wi-Fi network to send images and photos between devices.
During the 2019 pro-democracy protests in Hong Kong, protesters frequently used AirDrop to share pamphlets and posters. In 2022, the New York Times reported that Chinese protestors again turned to AirDrop to spread awareness of protests and anti-Xi messages.
Soon after, Apple released iOS 16.1.1, which limited the ability to receive AirDropped images from “Everyone” to only 10 minutes for phones sold in China.
At the time, it was believed this feature was added to prevent it from being used by Chinese protestors. This change has since been applied to all iOS devices, regardless of their geographic region.

Cracking AirDrop​

Today, Bloomberg first reported that China's Beijing Wangshendongjian Judicial Appraisal Institute has discovered a way to extract the phone numbers, email addresses, and device names of those who sent and received an AirDropped image from device logs.
The institute says that they conducted this research after Apple AirDrop was used to send "inappropriate" comments in the Beijing subway.
"After preliminary investigation, the police found that the suspect used the AirDrop function of the iPhone to anonymously spread the inappropriate information in public places," reads an announcement by the Chinese government.
"Due to the anonymity and difficulty of tracking AirDrop, some netizens have begun to imitate this behavior. Therefore, it is necessary to find the sending source and determine its identity as soon as possible to avoid negative impacts."
The research institute says the sender's device name, email address, and mobile phone number are hashed in the iOS device logs.
Using rainbow tables, the researchers claim to have been able to dehash these fields to gain access to the sender's information.
China says they have already used this forensics ability to "identify multiple suspects involved in the case."
Hacer clic para expandir...
 
Una pregunta por curiosidez.

¿Hasta qué punto es segura la comunicación entre un teclado inalámbrico y su receptor? O sea, ¿sería posible de forma más o menos fácil, interceptar la señal que emite el teclado para hacer un keylogger? Eso, suponiendo que, en algún momento, hemos tenido acceso físico a esas dos piezas.

Y sí, es simple curiosidad :digno
 
Una cosa es poder y otra es tener el conocimiento técnico requerido para ello.
 
Hay montones de vulnerabilidades en todos los protocolos que se usan para los teclados y ratones. De todas formas, con un Flipper-Zero no hace falta esperar a vulnerabilidades, hay scripts que ya permiten "instalar" un keylogger en remoto.
 
Curioso el tema. C y C++ (que me corrijan los picateclas AKA programadores) permiten que hagas lo que te salga de la bolsa en la memoria. TE LO PERMITE. De la misma manera que los lenguajes que se indican mas seguros, te indican que la están cagando, pero te lo permiten hacer.

Y que hable como lenguaje seguro... JAVA.

El agujero mas bestia de los últimos años, el CVE-2021-44228 o Log4Shell... Un proyecto de Software libre, usado por millones de empresas, pero mantenido por tres personas.

Este es el problema. Y una vez seamos capaces de poner todas las barreras en los usuarios, el rollo será la seguridad dentro de los códigos de las aplicaciones.
 
Na , esto de seguridad y privacidad en Soft libre no necesariamente son relacionados, vea

Traducción para los que no saben inglés

WordPress y Tumblr venden contenido de usuario para entrenar IA desde Midjourney y OpenAI​


Automattic, la empresa matriz de tumblr y WordPress, Según se informa, está en negociaciones con las empresas de inteligencia artificial Midjourney y OpenAI para proporcionar datos de capacitación obtenidos de publicaciones de usuarios. Esta información proviene de documentos internos que 404 Medios de comunicación ha obtenido acceso a.
Según 404 Media, Automattic ya ha montado un “volcado de datos inicial” que comprende todas las publicaciones públicas de Tumblr del período 2014 a 2023, incluido el contenido no visible en blogs públicos.
En respuesta a las preocupaciones que surgieron, Automattic publicó una publicación noble “Proteger la elección del usuario”, en el que aclara su postura sobre los rastreadores de plataformas de IA. La compañía dice que ha decidido bloquear estos rastreadores de forma predeterminada, incluidos los operados por las principales corporaciones tecnológicas..
Automattic aclarado aún más: “También colaboramos directamente con empresas selectas de IA solo si sus planes se alinean con los valores de nuestra comunidad: atribución, exclusión voluntaria y control. Todas las configuraciones de exclusión voluntaria se respetarán en nuestras asociaciones. También tenemos la intención de informar periódicamente a nuestros socios sobre los usuarios que recientemente optan por no participar y solicitan que su contenido se elimine de fuentes anteriores y capacitaciones futuras..”
Este movimiento de Automattic refleja una tendencia observada en varias empresas., incluyendo Reddit, que han llegado a acuerdos con desarrolladores de herramientas de inteligencia artificial para proporcionar datos de capacitación, a menudo obtenidos de información en línea disponible públicamente.
Hacer clic para expandir...
 
A mi me parece una imbecilidad suprema, y eso que no soy experto en C++. Que puedas actuar sobre la memoria es algo normal y debe ser, siempre, el SO quien ponga las restricciones, jamás un lenguaje. Dime si no como demonios vas a hacer a trabajar con una interrupción del procesador cuando diseñas un SO.

Que pongan a JAVA, C# o Javascript como ejemplos de algo cuando NO SON lenguajes que generan código máquina nativo.... tela marinera.
De un tiempo a esta parte se busca que se trabaje con lenguajes interpretados o hibridados, lo que está bien allá donde no necesitas mucho rendimiento, pero cuando trabajas próximo a lo que es un real-time es el descojone mayúsculo.

Que cojan un código realizado en C++ y otro que haga lo mismo en C#, los compilen y generen el código máquina, y luego hagan una comparativa de rendimiento como he hecho en varias ocasiones. Los resultados son increíbles, con risas y sudores fríos.

Siempre pienso lo mismo, este tipo de ejercicios no se hacen porque la mayoría de la gente no sabe programar y no se analizan los costes.
 
TheReeler dijo:
A mi me parece una imbecilidad suprema, y eso que no soy experto en C++. Que puedas actuar sobre la memoria es algo normal y debe ser, siempre, el SO quien ponga las restricciones, jamás un lenguaje. Dime si no como demonios vas a hacer a trabajar con una interrupción del procesador cuando diseñas un SO.

Que pongan a JAVA, C# o Javascript como ejemplos de algo cuando NO SON lenguajes que generan código máquina nativo.... tela marinera.
De un tiempo a esta parte se busca que se trabaje con lenguajes interpretados o hibridados, lo que está bien allá donde no necesitas mucho rendimiento, pero cuando trabajas próximo a lo que es un real-time es el descojone mayúsculo.

Que cojan un código realizado en C++ y otro que haga lo mismo en C#, los compilen y generen el código máquina, y luego hagan una comparativa de rendimiento como he hecho en varias ocasiones. Los resultados son increíbles, con risas y sudores fríos.

Siempre pienso lo mismo, este tipo de ejercicios no se hacen porque la mayoría de la gente no sabe programar y no se analizan los costes.
Hacer clic para expandir...
Estos leyes siempre son redactados por unos viejos con asesores illetrados que no encuentran su culo ni con un mapa. Pura política de intereses creados. Tampoco me cuadra que un lenguaje de programación usado para crear un soft tenga que ver con este tema.
 
Seaker dijo:
www.genbeta.com

No más C/C++: la Casa Blanca pide dejar de usar los lenguajes de programación que son la base de Windows, Linux o macOS

Proteger los sistemas tecnológicos críticos de posibles amenazas es una preocupación cada vez mayor para los gobiernos. Y un ejemplo de ello es el reciente...
www.genbeta.com www.genbeta.com

Enviado desde mi CPH2247 mediante Tapatalk
Hacer clic para expandir...
Pues me he leído el documento (https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf) y alguno de los anexos y no dicen ninguna tontería...
 
Pero después a nivel de funcionamiento son lenguajes más eficientes? Por ejemplo en móviles la marca Vivo estaba trabajando en un SO para sus móviles con microkernel escrito en Rust, supongo que sin dependencias Android\Linux, como si fuera una ventaja.

Enviado desde mi CPH2247 mediante Tapatalk
 
Seaker dijo:
Pero después a nivel de funcionamiento son lenguajes más eficientes? Por ejemplo en móviles la marca Vivo estaba trabajando en un SO para sus móviles con microkernel escrito en Rust, supongo que sin dependencias Android\Linux, como si fuera una ventaja.

Enviado desde mi CPH2247 mediante Tapatalk
Hacer clic para expandir...

No tiene porque. Es mas, por lo que dice @TheReeler no es precisamente así. Desconozco el caso de Rust, que no lo conozco. Pero podría ser que este si.
 
Conéctate o regístrate para responder aquí
Arriba Pie