Experto descubre grave falla de seguridad en PayPal

Durante 2014 registramos muchos eventos que compiten por el título de “hack del año”, pero si esto hubiera llegado a las manos equivocadas, definitivamente se ubicaría en la cima del podio. Un investigador egipcio llamado Yasser Ali descubrió un agujero de seguridad en PayPal que permitía el acceso a cualquier cuenta con un correo falso, un script en Python y un par de clics. ¿La buena noticia? El bug fue corregido, y Ali recibió una merecida recompensa.

Cuando un programa o servicio resuelve un problema de seguridad, estamos inmediatamente ante una buena noticia. El sistema se vuelve más robusto, y los usuarios cuentan con un entorno más seguro, reforzando aspectos como la confianza y la lealtad. Ahora, lo ideal es que dicho problema de seguridad no exista desde el comienzo, sin embargo, quienes crean los programas y servicios son humanos. Como tales, se encuentran expuestos a toda clase de circunstancias, que pueden provocar un error inocente en una línea de código, y que en un par de meses (o tal vez años) tendrán consecuencias desastrosas. Al mismo tiempo, también descubrimos pésimas prácticas en materia de seguridad, como sucedió con el último hack a Sony Pictures, en donde tenían una carpeta llamada “passwords” con todas las contraseñas dentro. Lo último en vulnerabilidades nos lleva a PayPal, y a un experto de nombre Yasser Ali.
Lo que encontró Ali es sin dudas perturbador: Los llamados “tokens CSRF” que se utilizan para validar todas las solicitudes con parámetro “Auth” realizadas por un usuario de PayPal cambian después de cada acción por cuestiones de seguridad, pero Ali descubrió que el CSRF Auth está marcado como reutilizable para ese usuario y su e-mail. Luego, determinó que no sólo podía obtener un token CSRF válido tratando de hacer un envío falso de dinero con el correo de la víctima, sino que al interceptar una solicitud POST en cierta página de PayPal, recibía un CSRF Auth compatible con cualquier usuario. Claro que, para cambiar la contraseña de la cuenta, el atacante debe responder las preguntas de seguridad… pero la historia no termina allí: La solicitud de cambio no está protegida con la contraseña, por lo tanto, el ataque CSRF anterior sigue siendo válido. Preguntas de seguridad, direcciones de correo, métodos de pago, direcciones de correo y direcciones físicas son algunas de las cosas que quedan a merced de esta técnica.
O debería decir “quedaban”. La prueba de concepto que vemos en el vídeo ya no es válida. Ali se contactó con los representantes de PayPal, quienes de forma inmediata corrigieron el bug, y bajo su Bug Bounty Program, la compañía transfirió a Ali la recompensa más alta disponible: 10.000 dólares. No sólo debemos agradecer a Ali por haber tomado la decisión correcta (seamos realistas, podría haber vendido el bug en el mercado negro), sino que esta es una excelente oportunidad para recordar a las compañías que las campañas de prevención de bugs y recompensas destinadas expertos funcionan. Si el estímulo económico es el correcto y la comunicación recibe máxima prioridad, se pueden evitar situaciones muy desagradables.
http://www.neoteo.com/experto-descubre-grave-falla-de-seguridad-en-paypal/

Desarrollan celdas en aerosol para captar energía solar

En más de una ocasión hemos mencionado que entre los grandes inconvenientes asociados al uso de paneles solares aparecen su transporte, y el proceso de instalación en sí. Ahora, ¿hasta qué punto cambiaría la situación si las celdas solares se pudieran aplicar como un aerosol? En la Universidad de Toronto y el Centro de Investigación y Desarrollo de IBM Canadá están ansiosos por averiguarlo.

El proceso para instalar una membrana típica sobre un techo con goteras no ha cambiado mucho, aunque no podemos decir lo mismo sobre los materiales. Las membranas líquidas y en pasta permiten ahorrar una cantidad significativa de tiempo, y dependiendo del caso, también dinero. Claro que, eso no deja de ser un método de reparación. Imaginemos que en vez de membranas, el plan es instalar paneles solares. La adopción de la energía solar registró una aceleración notable en los últimos meses, y la mayoría de las estadísticas indican que igualará el costo de los combustibles fósiles dentro de un par de años. Aquellas personas que cuentan con el espacio suficiente pueden instalar paneles al nivel del suelo, pero otros no tienen esa ventaja, y deben apelar a sus techos. Ya hemos visto paneles solares en rollos y otros diseños con una gran flexibilidad, aunque todos ellos requieren una base en muy buenas condiciones, y que sea capaz de resistir cualquier peso agregado.
La idea de un panel solar líquido no es tan descabellada, pero en la Universidad de Toronto y el Centro de Investigación y Desarrollo de IBM Canadá tienen algo mejor: Celdas solares en aerosol. De acuerdo a Illan Kramer, uno de los investigadores al frente del proyecto, su sueño es ver a dos técnicos equipados como si fueran los Cazafantasmas, esparciendo paneles en aerosol sobre los techos de las casas. Básicamente, el aerosol está compuesto por puntos cuánticos sensibles a la luz. A modo de ejemplo, si estos puntos cuánticos fueran esparcidos sobre una película colocada en el techo de un coche tradicional, la superficie generaría suficiente energía para encender a tres lámparas incandescentes de 100 vatios. El nombre oficial del sistema es SprayLD, y está basado en la deposición atómica de capas.
SprayLD puede ser colocado sobre cualquier superficie flexible (como por ejemplo plástico) lo que permitiría en el futuro instalar estas celdas solares en aerosol sobre objetos con formas irregulares, desde los muebles en un patio hasta las alas de los aviones. El hecho de que ya posea un nombre formal nos hace pensar que el plan de fondo es su comercialización directa, sin embargo, será necesario vigilar la evolución de la tecnología de puntos cuánticos en los próximos años, y cómo se relaciona con los métodos de fabricación disponibles para que el producto final no sólo sea fácil de instalar, sino también económico.
http://www.neoteo.com/desarrollan-celdas-en-aerosol-para-captar-energia-solar/