Privacy concerns on Google Buzz

Posted on February 15, 2010 by Simon Roses

 Actualización 18/02/10: Era cuestión de tiempo, 1) vulnerabilidad en Buzz y 2) demanda de privacidad contra Buzz por parte de EPIC.

Prácticamente todo el mundo a estas alturas ha oído hablar del nuevo servicio de Google llamado Buzz,  que acaba de lanzar la semana pasada para competir contra Facebook y Twitter. He de confesar que el servicio no es mala idea, ya que integra de forma cómoda Gmail con Google Maps desde el PC o incluso desde el móvil Android y otros dispositivos.

Pero desde el punto de vista de la privacidad Google Buzz tiene grandes fallos y debería aprender de la competencia como Facebook, que ha mejorado bastante en estos temas.

Algunas de las cuestiones que me preocupan y mucho del uso de Buzz son:

  1. Por defecto en tu página principal de Buzz te salen amigos que les haces seguimiento sin haberlo definido.
  2. Por defecto cuando publicas en Buzz todo el mundo lo puede ver!
  3. Tus mensajes en Buzz aparecen en Google Maps indicando nombre y lugar, incluso la calle, con lo que estás indicando tu posición real.
  4. Por defecto puedo ver a quiénes siguen mis amigos y quiénes siguen a mis amigos.

El punto 3 es realmente preocupante ya que se va a poder seguir físicamente a una persona con cualquier finalidad! Estoy seguro que irán apareciendo más cuestiones de privacidad y seguridad en breve, por lo que desde CyberSpace Insecurity les seguiremos la pista y os mantendremos informados :)

Y tú que piensas sobre Buzz?

Update  02/18/10: Just a matter of time, 1) Buzz vulnerability and 2) EPIC complains regarding Buzz privacy.

Virtually everyone at this stage has heard of the new Google service called Buzz released last week to compete against Facebook and Twitter. I must confess that the service is not a bad idea since it integrates Gmail and Google Maps from your PC or even from the Android mobile and other devices.

But from the point of view of privacy Google has done some big mistakes and should learn from competitors such as Facebook that has improved on these issues.

Some of the issues that seriously concern me about the use of Buzz are:

  1. By default on your Buzz homepage you are following your friends without explicitly configuring it.
  2. By default posting on Buzz is public. Everybody can see it!
  3. Your Buzz messages appear in Google Maps indicating name and location, even the street, indicating your real spot.
  4. By default I can see my friends’ followers and who they follow.

Point 3 is really worrying as you can follow physically a person to who knows what! I am sure more issues of privacy and security will appear shortly but from CyberSpace Insecurity we will   continue to track them and keep you posted :)

And what do you think about Buzz?

— SRF

Posted in Privacy, Security | Tagged , , | Leave a comment

Nessus 4.2 Visual Tutorial

Posted on February 2, 2010 by Simon Roses

Como muchos ya sabréis Tenable Network Security ha lanzado la nueva versión de Nessus 4.2, un potente scanner de vulnerabilidades con las siguientes mejoras:

  • La instalación en Windows es más sencilla.
  • El cliente es una aplicación basada en flash que comunica con el Nessus servidor Web y es totalmente intuitiva.
  • Mejora del rendimiento del scanner, mayor velocidad y estabilidad.
  • Más de 33000 plugins para todo tipo de vulnerabilidades (Windows, Linux, Web, etc.)
  • Los informes son mucho más cómodos de leer. (Truco: Excel 2007 lee sin problemas el formato .nessus basado en XML que facilita el parsing :)

Os dejo el tutorial visual para hacer un escaneo a un equipo WinXP con la nueva versión de Nessus :)

As you may already know Tenable Network Security has released the new version of Nessus 4.2, a powerful vulnerability scanner, with noticeable improvements such as:

  • Installing Nessus on Windows is simpler.
  • The client is a flash app that communicates with the Nessus Web Server and is totally intuitive.
  • Improved performance of the scanner with greater speed and stability.
  • More than 33000 plugins for all kinds of vulnerabilities (Windows, Linux, Web, etc.)
  • Reports are much more comfortable to read. (Trick: Excel 2007 reads smoothly the .nessus XML-based format for easy parsing :)
Posted in Pentest, Security | 2 Comments

Blast from the past: my security presentations

Posted on January 12, 2010 by Simon Roses

He recopilado muchas de mis presentaciones públicas durante los años que espero sean de vuestro interés :)

———————————————————————————————————————————————–

I have collected many of my public presentations during the years and I hope you would like them :)

— SRF

Posted in Conference, Microsoft, OWASP, Security | Leave a comment