Archivos de Categoría: Seguridad

¿Simulacro de simulacro de escrutinio?

El 20 de julio de 2019 se realizó un simulacro de escrutinio provisorio a cargo de la Dirección Nacional Electoral y el Correo Argentino, el primero con participación de los partidos políticos y los medios de prensa. Al finalizar —exitosamente, según la versión oficial— se entregó a los periodistas un conjunto de archivos PDF, supuestamente resultantes de la transmisión de ‘telegramas’ desde las escuelas y utilizados luego en el proceso de carga.

Los simuladores

Analizando la metadata de dichos archivos, además de encontrar múltiples vulnerabilidades en el proceso de generación de los mismos, notamos una discrepancia más que dudosa: la fecha de creación corresponde con la realización del simulacro anterior, 13 de julio de 2019. ¿Se trató de simular un simulacro —que no podía fallar— para dejar conformes a los partidos políticos y a la prensa?

Leer más »

Vulnerabilidades en el sistema de escrutinio provisorio

Advertencia se seguridad enviada por correo electrónico a las autoridades electorales argentinas y publicada en el sitio de la Fundación Vía Libre respecto de una vulnerabilidad potencial en el sistema de escrutinio provisorio a utilizarse en las próximas elecciones nacionales.

Metadata de un telegrama

Casualmente, las vulnerabilidades están relacionadas con un componente del sistema sobre el que escribí hace unos días. A continuación, el texto completo.

Leer más »

Poné tu dinero en PIM y hacé PUM

Hace un par de días llamó la atención una persona que se encontraba en el campus de la Universidad Nacional de Río Cuarto y que, a cambio de una serie de datos personales, ofrecía regalar $50 en un novedoso sistema de pagos a través de teléfonos celulares. Sin identificación, y repartiendo folletos de dudosa autenticidad (con errores ortográficos).

PIM

La situación de inmediato llamó la atención de varias personas, por lo que se dio intervención a la policía para determinar si se trataba de algún tipo de estafa.

Leer más »

Sobre el chip RFID de la «boleta única electrónica»

En la 11va. edición de la conferencia de seguridad Ekoparty, el investigador Nahuel Grisolía dio una charla sobre tecnologías RFID. En ella, aludió a los chips ISO/IEC 15693, utilizados en las boletas de votación del sistema de voto electrónico conocido como «Boleta Única Electrónica» Vot.Ar.

Amén de la forma de violar el secreto del voto usando un celular, y del sospechoso sistema oculto en las máquinas de votación, el uso de chips RFID abre la posibilidad de su lectura a cierta distancia, sin que el votante (o la autoridad de mesa) pueda detectar esta maniobra.

Leer más »

Voto electrónico y Vot.Ar en la Ekoparty 11 (videos)

Completando el artículo anterior, aquí están los videos de las dos actividades relacionadas con el voto electrónico (y la «boleta única electrónica«) en la 11va. edición de la conferencia de seguridad informática Ekoparty.

Panel: «Voto electrónico: Pensando el futuro de la democracia desde una perspectiva tecnológica», con la senadora nacional Norma Morandini, el doctorando en ingeniería informática Alfredo Ortega, el abogado especializado en derecho electoral Federico Landera, el integrante del Partido de la Red Guido Vilarino y yo (moderado por Nico Waisman).

Charla: «Vot.Ar: una mala elección», con Iván Barrera Oro y quien escribe.

(Aquí puede verse la presentación completa.)

Voto electrónico y Vot.Ar en la Ekoparty 11

Del 21 al 23 de octubre de 2015 se realizó la 11va. edición de Ekoparty, la conferencia de seguridad informática más importante de Latinoamérica, y una de las más importantes del mundo. Allí participé de un panel sobre voto electrónico y con Iván Barrera Oro dimos una charla sobre la «boleta única electrónica» Vot.Ar (un sistema de voto electrónico con almacenamiento distribuido y respaldo en papel) de la empresa MSA.

Charla en Ekoparty

Leer más »

Google y la NSA

Desde hace tiempo hay fuertes indicios de la supuesta cooperación entre Microsoft y la Agencia Nacional de Seguridad de los EE.UU. (NSA). Para sorpresa de muchos, el reconocido experto en seguridad Bruce Schneier ha publicado un artículo afirmando, entre otras cosas, lo siguiente:

Con el objetivo de cumplir con las órdenes de cateo del gobierno sobre los datos de los usuarios, Google ha creado un sistema de acceso de puerta trasera a las cuentas de Gmail.

Leer más »

Ataque de denegación de servicio en servidores web (Apache vulnerable)

Acabo de enterarme (y de probar con todo éxito) de un nuevo ataque de denegación de servicio (DoS) para servidores web. Lamentablemente, hasta este momento, todas las versiones de Apache son vulnerables

Realmente, es un ataque muy simple y que prácticamente no consume ancho de banda en el atacante, por lo que en este momento cualquiera puede (con un mínimo esfuerzo) dejar totalmente inaccesible cualquier sitio web que esté alojado en un servidor vulnerable.

Leer más »

100.000 sitios atacados

Voy a relatar este suceso en orden cronológico, porque me parece que es el más razonable para entender las causas e identificar a quienes corresponden las responsabilidades de un incidente lamentable (e increible).

La empresa de alojamiento web Vaserv utiliza un sistema de virtualización de servidores llamado HyperVM, que se complementa con un panel de gestión llamado Kloxo (anteriormente LxAdmin). Ambos productos (privativos) son desarrollados por la empresa india Lxlabs.

El 21 de mayo de 2009, un experto en seguridad apodado milw0rm descubre 24 problemas serios de seguridad en Kloxo. Inmediatamente (según informa luego), envía un email a Lxlabs (conteniendo un enlace al informe detallado), alertando sobre la existencia de vulnerabilidades graves. Dos días después, recibe una respuesta (sin firma) diciendo que a la brevedad lo verificarían.

Leer más »

Si me «robara» riocuarto.gov.ar…

Con relación al artículo anterior, en donde relaté el problema acontecido con el dominio riocuarto.gov.ar, me quedó dando vueltas en la cabeza la estúpida idea de alguien que afirmó que yo había sido el autor de tal ataque.

Cuestiones éticas aparte, si hubiera tomado control de riocuarto.gov.ar no se me hubiera ocurrido hacer algo tan tonto como simplemente eliminar los datos de delegación. Por eso me quedé pensando (y dejo este artículo abierto a ideas y sugerencias): «¿Qué haría si tomara el control del dominio de la Municipalidad?».

Leer más »