Buscar

Mostrando entradas con la etiqueta hacking. Mostrar todas las entradas
Mostrando entradas con la etiqueta hacking. Mostrar todas las entradas

2012/02/13

La tecnología democratiza el 'hacktivismo'

Horas después de que el FBI detuviera a los dueños de Megaupload, una veintena de páginas web de la industria cultural y del Gobierno de EEUU se venían abajo. Unos 5.000 activistas de Anonymous se coordinaron para lanzar un ataque de denegación de servicio distribuido (DDoS) en una versión digital de la blitzkrieg o guerra relámpago. Es el signo de los nuevos tiempos: una táctica usada hasta el año pasado para sabotear redes y servidores por razones económicas se ha convertido en la herramienta perfecta para el hacktivismo.
"Anonymous está detrás de la mayor parte de los ataques DDoS del año pasado", dice el vicepresidente de Arbor Networks, Carlos Morales. Esta compañía estadounidense acaba de publicar un informe sobre la seguridad de las infraestructuras mundiales que muestra cómo durante 2011 las motivaciones políticas estuvieron detrás de los principales ataques a servidores y páginas. En realidad, el estudio abarca desde octubre de 2010 hasta septiembre del pasado año. Recoge por tanto la explosión de Anonymous. Este colectivo ya era popular antes, pero no fue hasta su operación en defensa de Julian Assange y Wikileaks, en diciembre de 2010, que se convirtió en un fenómeno global.

El informe viene avalado por quienes han participado en su elaboración. Se basa en las respuestas de los responsables de seguridad o de redes de 114 organizaciones entre las que hay operadores de red, grandes empresas e instituciones. La muestra, que proviene de los cinco continentes, incluye datos de una decena de los llamados Tier 1, los responsables de las redes troncales sobre las que descansa internet. AT&T, Global Crossing, Deutsche Telekom o Telefónica y unas pocas más forman este exclusivo club.
Según Arbor Networks, el 35% de los ataques DDoS del año pasado fueron desatados por razones políticas. Le siguen los motivados por lo que el informe llama vandalismo/nihilismo. "Incluso en estos hay algo de ideología", sostiene Morales. En tercer lugar aparecen los ciberataques relacionados con los juegos online y los lanzados por mafias como medio para obtener dinero. Un 15% de los entrevistados también mencionan casos de extorsión o motivados por la competencia entre empresas. En el informe de 2010, Arbor Networks ni mencionaba el hacktivismo como origen de los DDoS.
"Lo que hemos visto en 2011 ha sido la democratización de los ataques DDoS", relata Roland Dobbins, arquitecto de soluciones de Arbor Networks para Asia y el Pacífico y coautor del informe de este año. "Cualquier empresa que opere en línea puede convertirse en un objetivo, da igual quienes sean, lo que vendan, con quién se asocian o por cualquier otra afiliación real o percibida", añade. Además, explica, la explosión de las herramientas de ataque de bajo costo y de fácil acceso "está permitiendo a cualquiera llevar a cabo ataques DDoS".

Diferentes herramientas

El programa Low Orbit Ion Cannon (algo así como Cañón de Iones de Órbita Baja, LOIC) es el mejor ejemplo de esta democratización. Diseñado en un principio para someter a pruebas de estrés a redes y conexiones, fue modificado por un activista para lanzar ataques contra servidores de páginas. Simplificando, envía miles de peticiones por segundo al servidor hasta que este, incapaz de atenderlas todas, cae. En el caso de la operación Megaupload llegó a haber más de 5.000 activistas ejecutándolo. Sólo hace falta hacer la multiplicación para explicar por qué hasta la página del FBI se vino abajo.
LOIC era hasta finales de 2010 una herramienta sólo para expertos. Como se puede comprobar en SourceForge, la página especializada en programas donde está alojado, hasta esa fecha tenía una media de descargas de unos pocos centenares. En diciembre de 2010 se lo descargaron casi 120.000 personas. Es la fecha en la que Anonymous llamó a filas y lanzó su ataque contra las páginas de PayPal, Visa, Mastercard y otras en defensa de Wikileaks. Desde entonces, la cifra ha rondado las 30.000 descargas al mes. Hoy, cerca de un millón de personas lo tienen instalado esperando un nuevo objetivo.

"LOIC ni siquiera es ya la mejor herramienta que tiene Anonymous. Cuenta ya con otras, como el DDoser, más eficientes, que gestionan mejor las conexiones", explica Leonardo Nve, de la empresa de seguridad S21Sec. LOIC sólo tiraba webs por fuerza bruta, pero hay nuevas armas que atacan a los servidores DNS (los encargados de convertir el nombre de una página en su dirección numérica) o los servidores de correo. De hecho, como contaba un activista español de Anonymous a este periódico, los ataques con el LOIC son una especie de cargas de infantería. Mientras los responsables de sistemas lidian con ella, hacktivistas más avezados técnicamente, "los arqueros", aprovechan el caos para entrar en los sistemas buscando información, como le ha ocurrido recientemente al Gobierno sirio.
El gran problema es que no hay una manera eficaz de parar un ataque distribuido de denegación de servicio. "Si te llegan 100.000 conexiones, tu sistema no lo va a aguantar", dice Nve. "Para los expertos, esto es como un penalti. Que el portero no lo pare es lo normal, pero si lo paras eres un héroe", añade. En diciembre de 2010, en plena vorágine por la aprobación de la ley Sinde, los responsables técnicos del PSOE se mostraron ufanos porque su web había aguantado el ataque de Anonymous. Los técnicos socialistas contrataron más ancho de banda y servidores de respaldo.
"Aguantaron porque lo sabían de antemano", explica Nve. "Lo único que puedes hacer es estar atento", cuenta. En un trabajo de inteligencia, técnicos de empresas como esta se pasean por los foros, están en contacto con la escena underground, para saber cuál será el siguiente objetivo.

Las cosas no parecen que vayan a mejorar. Además de motivados ideológicamente y democratizados, los nuevos ataques son más complejos, masivos y depredadores de recursos. La empresa Prolexic, que vende equipamiento anti-DDoS a negocios online, publicó también esta semana un informe basado en sus propias estadísticas. Aunque el número total de ataques en 2011 sólo ha crecido un 2% respecto a 2010, en el último cuarto del año pasado subieron un 45% y el consumo de ancho de banda, un 700%. Las cifras coinciden con las de Arbor Networks, que estima que las oleadas de peticiones de más de 10 Gigabits por segundo "se han convertido en la norma". Esa cifra equivaldría a 10.000 internautas con una conexión ADSL de un mega intentando entrar en un sitio todos a la vez.
"Las compañías y los Gobiernos están mejorando sus posiciones defensivas, pero la gran mayoría siguen ignorando la amenaza", señala el vicepresidente de operaciones de Prolexic, Neal Quinn, que alerta también de que los ataques DDoS son en muchas ocasiones una cortina de humo. "A menudo se usan para camuflar otras formas de intrusión y robo de datos. Y esta es una amenaza aún más seria", comenta. Quizá uno de los lemas de Prolexic resuma bien esta guerra. En su web se definen como "el líder mundial en mitigación de DDoS". Mitigación, nada de derrota.

2011/06/06

Cómo 'hackear' en 15 minutos

Miles de guías están disponibles en internet de manera gratuita para cualquiera que quiera dar sus primeros pasos como hacker.
Solamente en YouTube, ya hay más de 20.000 videos disponibles que enseñan a los usuarios a explorar cuentas de otros usuarios. Todos ellos cuentan con millones de visitas.

Preocupada por esta situación, la empresa aseguradora CPP llevó a cabo un experimento en el cual se enseñaba a cinco personas a hackear una cuenta de correo en tan solo 14 minutos. A pesar de no estar familiarizadas con las nuevas tecnologías, los cinco participantes consiguieron averiguar contraseñas ajenas simplemente siguiendo los pasos de una guía online.
"Me sorprendió mucho cómo de fácil y rápido fue descargarse el software y conseguir los detalles de alguien en minutos. Ver los nombres de usuario y las contraseñas aparecer en la pantalla fue chocante", le contó a BBC Mundo Emma Comans, una productora de televisión que participó en el experimento.
"Todo el mundo conoce los peligros de algunas actividades online, pero lo que posiblemente la gente no sabe es cómo es de fácil es aprender a hacerlas", le explicó a BBC Mundo, Danny Harrison, experto en Robo de Identidad de CPPGroup.

Harrison advierte que muchos usuarios no son conscientes del peligro que esto supone y esto se traduce en una falta de prevención: "La mayoría de las personas utilizan antivirus en sus PC pero no en sus teléfonos móviles, por ejemplo".
Pero, ¿está bien que este tipo de videos estén al alcance del público en el mundo virtual?
Para Rebecca Jeschke, Directora de Medios de Electronic Frontier Foundation, el hecho de que estos videos estén expuestos al público en YouTube es algo positivo. "Así, la gente puede concienciarse de las vulnerabilidades de su email y otras cuentas, y de cómo otra gente se aprovecha de ello".
"Conociendo estos videos, puedes protegerte mejor. Fingir que el hacking no es posible, no ayuda a nadie", le dijo a BBC Mundo.
Además, si se tiene en cuenta que internet se creó con la idea de ser un medio libre donde todo fluyera sin restricciones ni censura, la existencia de estas guías confirmarían el derecho a la libertad de información pero, ¿dónde queda entonces el derecho a la privacidad de las víctimas?

Colisión de derechos

Desde su creación, "internet y libertad se hicieron para mucha gente sinónimos en todo el mundo", apunta el renombrado sociólogo español Manuel Castells en su artículo "Internet, libertad y sociedad: una perspectiva analítica". Sus creadores, según Castells, determinaron una arquitectura abierta y de difícil control.
"Uno de los asuntos más difíciles es que internet no esta ni regulado ni restringido la mayoría de las veces. La pregunta es entonces ¿qué hacer con casos cómo las de estas guías?", considera Harrison.
A quienes preferirían que material de ese estilo no tuviera cabida en la red, los expertos les señalan que una regulación de la red es difícil, sino casi imposible.
"Desde un punto de vista tecnológico, desplegar mecanismos para impedir totalmente la posibilidad de poner esta información en internet es sumamente complejo", le dijo a BBC Mundo Sergio Castillo, del departamento de Ingeniería de la Información y de las Comunicaciones en la Universidad Autónoma de Barcelona.

A pesar de admitir que la prohibición de este tipo de videos en internet es difícil, Harrison considera que, aunque siempre haya alguien que se salte las normas, por lo menos la ley ayudaría a que este tipo de información no estuviera disponible con tanta facilidad.
Castillo, en cambio, opina que difícilmente se llegará al día en el que haya una regulación universal. "En primer lugar, porque eso implicaría una coordinación compleja de muchos países y, en segundo lugar, porque eso atentaría directamente contra el principio de libertad que siempre ha estado patente en internet".
"Además, ¿en qué punto la regulación pasa a limitar nuestras libertades?", reflexiona.
Ante un cuadro tan espinoso, ¿quién es entonces el responsable de los límites de internet? ¿los gobiernos o los propios usuarios?

Lo que cuenta es la intención

"Realmente, con la información que hay hoy en día en la red, una persona autodidacta tiene información suficiente para adquirir estos conocimientos. Hay páginas, foros y comunidades online en las que te puedes formar en estos temas", comenta Castillo.

Y en este punto, todos los expertos en informática enfatizan la importancia de diferenciar entre hacking y cracking.
"Si vas a hablar de nosotros los hackers, por favor evita el error de pensar que 'hacking' quiere decir 'romper seguridad informática'. Eso es 'cracking'. 'Hacking' es más amplio, quiere decir divertirte usando tu inteligencia en un espíritu juguetón", puntualizó Richard Stallman, Presidente de Free Software Foundation, en conversación con BBC Mundo.
Hacking, cracking… Con este panorama, puede que lo mejor sea seguir el consejo del intelectual británico Stephen Fry. El escritor, cómico y actor sugirió la idea de concebir al mundo virtual como al real. Así pues el mundo web seria como cualquier ciudad, con unos sitios peligrosos y otros fabulosos.
En tu ciudad tú decides qué hacer con los medios y recursos que tienes. No es solo la ley la que te obliga a actuar de un modo u otro, sino también la ética y la moral propias que nos guían como personas.
Mantener los principios de libertad a la vez que proteger nuestra privacidad no es tarea fácil, pero quizá la clave del equilibrio sea tomarnos la vida en la red siguiendo el consejo de la vieja frase "Tu libertad termina dónde empieza la del otro".

BBC Mundo

2010/12/30

Hackeada PS3 sin memoria USB

Tras la salida de PS Jailbreak, Sony no habrá dormido durante horas ni ha podido reconciliar el sueño tras conocer la memoria USB.
El PS Jailbreak como así se le conoce oficialmente fue legalizada finalmente en España y ha sido prohibida en países como Canadá, EE.UU. o China.
Han sido unos habilidosos a la hora de lanzar un hardware y un software capaz de funcionar sobre la consola PS3 lanzada por Sony alla por 2006.
Pronto no tendremos que usar una memoria externamente, solamente unos códigos y ya podremos ejecutar copias caseras sin necesidad de disco.
El Jailbreak de PS3 servirá para facilitar el ejecutar juegos sin meterlos en la unidad lectora y así no forzarlo al estar horas en movimientos.
Otra posibilidad sería instalarlos en ella y ejecutarlos con el juego metido en el ya conocido lector de la japonesa para poder jugar a cualquier juego.
PS3 ha sido hackeada y los códigos secretos han sido revelados para el bien o para el mal de otros.

Noticias 2D

2010/03/19

Hackeando los sistemas electrónicos de los coches

Fuente: the INQUIRER.

Un hacker ha logrado introducirse en los sistemas electrónicos de más de 100 coches de Austin, en Texas, donde por ejemplo provocó que los claxon de estos vehículos no pararan de sonar en una medida teóricamente destinada a avisar de posibles robos a los propietarios.
La policía de Austin arerstó a un joven de 20 años que había sido empleado del Texas Auto Center y que había sido despedido el mes anterior. El joven había aprovechado los datos de los coches con los que había trabajado para modificar el comportamiento de un sistema de alarma de los vehículos.
Este servicio técnico para coches instalaba un sistema llamado Webtech Plus, que constaba d euna pequeña caja negra debajo del salpicadero que permitía responder a comandos emitidos desde un panel de control web. Este sistema permitía por ejemplo impedir el arranque del coche o activar el claxon como forma de alarma o como aviso para a los propietarios para que pagasen las cuotas del servicio.

2010/01/27

Kevin Mitnick: "En mi época, 'hackeábamos' por diversión. Hoy, por dinero"

Fuente: El Pais.

Encarcelado e incomunicado durante cinco años, Kevin Mitnick fue condenado, tras varias detenciones por parte del FBI, por su sucesiva afición a entrar en sitios donde supuestamente no debería. Desde compañías de teléfono a instituciones públicas. Su vida ha sido objeto de películas y libros, aunque hasta 2011 no saldrá la primera biografía autorizada por él. Además de dedicarse a llevar su propia consultora de seguridad, es frecuente conferenciante. En Campus Party Brasil, es algo más que un ponente, sus hazañas de jalean; se aplaude cada demostración en el estrado y hay peleas por conseguir una de sus tarjetas de visita que incluyen unas ganzúas, por si se resiste alguna puerta.

La ingeniería social consiste en una serie de técnicas para obtener información de los usuarios y poder entrar en sistemas supuestamente seguros. Basándose en premisas como que todo el mundo quiere sentirse halagado, pretende ayudar y que, en general, nos cuesta mucho decir no, Kevin Mitnick es capaz de conseguir claves para entrar en sitios, aunque con las redes sociales esto es cada vez más fácil.

"Los sitios de consumo y entretenimiento son el nuevo objetivo de los hackers. Twitter y Facebook son las nuevas fuentes para saber debilidades. Ahí la gente da información valiosa que les hace vulnerable. Hay que estar alerta con qué contamos ahí", expone el idolatrado ponente.

Los ataques a Google, compañía que parecía invulnerable, en China han creado pánico. Mitnick da una recomendación aparementemente sencilla: "Contra los ataques, mejor código, ésa es la herramienta que tiene que usar Google".

Microsoft publicó un parche para su navegador Internet Explorer. Preguntado qué navegador prefería, Mitnick no termina de definirse: "Todos son vulnerables. Lo importante es que se actualicen". En su opinión: "Microsoft no es más vulnerable pero sí más apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia".

La polémica sobre lo que le motivó a traspasar tantas barreras sigue presente más de 30 años después. Sin rubor, ataja el tema: "Me metí porque era mi pasión, quería saber, conocer, ir más allá. En mi época, hackeábamos por diversión. Hoy es por dinero. Antes de mí, no se consideraba ni delito, no estaba tipificado. Las leyes se hicieron conmigo". Los aplausos de los campuseros se escucharon en todo el recinto.

2010/01/23

Los "hackers" ya realizan un MBA para el negocio del cibercrimen

Fuente: iProfesional.

La imagen del “hacker” como un fanático de la tecnología, tipificado en series televisivas y películas como un pelilargo de anteojos, que se deleita tratando de violar sistemas informáticos con el único objetivo de demostrar sus conocimientos técnicos, es algo del pasado. Hoy el grado de sofisticación y desarrollo de la actividad delictiva a través de Internet, computadoras y teléfonos es tal que estos delincuentes realizan una especie de MBA (sigla en inglés por maestría en administración de negocios) para realizar sus negocios en el cibercrimen, que los acerca más a los ejecutivos corporativos que al ambiente del hampa informal.

Antes de seguir, una distinción semántica: en la actualidad se usa la palabra “hacker” de forma corriente para referirse mayormente a los criminales informáticos, debido a su utilización masiva por parte de los medios de comunicación. Este uso parcialmente incorrecto del término, que originalmente se relacionaba a gente apasionada por la seguridad informática, se ha vuelto tan predominante que, en general, un gran segmento de la población no es consciente de que existen diferentes significados.

En una entrevista (realizada por el sistema de telepresencia entre Buenos Aires y Santiago de Chile), Ricardo Rivera, manager de desarrollo de negocio de seguridad y movilidad de Cisco para el Cono Sur, describió desde el país trasandino cómo es hoy la matriz de crecimiento y participación de los cibercriminales. Para ello, en esta compañía, el mayor fabricante mundial de equipos de telecomunicaciones como routers, switches y hubs, se trazó la Matriz de Boston Consulting Group, un método gráfico de análisis de cartera de negocios desarrollado por esa consultoría. Según Rivera, los “hackers” aplican también esta herramienta de análisis estratégico, en la planificación de sus actividades, según se desprende de la evolución y el armado de sus negocios.


Sobre “perros” y “vacas lecheras”
En esta matriz se identifican cuatro cuadros con símbolos: “Estrella”, con gran crecimiento y gran participación de mercado. “Incógnita”, con gran crecimiento y poca participación de mercado. “Vaca lechera”, con poco crecimiento y gran participación de mercado. Y “perro”, con poco crecimiento y participación de mercado.

“En esta matriz del cibercrimen no todos los ataques están relacionados con el dinero, pero éste es el gran motivador”, dijo Rivera, quien explicó que en Cisco evaluaron proyectos de los “hackers” a la luz de este método. "Los delincuentes han hecho un MBA para el negocio del cibercrimen", afirmó.

Las actividades que ingresan en el cuadro del “perro”, con áreas de negocio con baja rentabilidad, son los ataques distribuidos de denegación de servicio (DDoS, sigla en inglés) por los cuales se consigue “caer” una página o un portal web; la infección y robo de información a través de la mensajería instantánea y las estafas virtuales, como el phishing. Estas actividades se ven mitigadas por las actuales herramientas de seguridad informática, “aunque no van a desaparecer”, dijo Rivera.

¿Cuáles son las “vacas lecheras” de los “hackers”? Es decir, aquellas áreas de negocio que servirán para generar el efectivo necesario para crear nuevas estrellas. En Cisco identificaron varias actividades con las cuales los cibercriminales crean ingreso en forma masiva a través de muchos ataques de pequeña escala.

Por ejemplo, en este cuadro ingresa el fraude del clic (sistemas de pago por clic cuando se intenta engañar al sistema generando clics falsos, obteniendo así sumas de dinero). Otra actividad es el spam (correo basura) farmacéutico, con ofertas de Viagra u otros remedios. El “spyware”, los programas espías que se instalan en forma furtiva en una computadora para recopilar información sobre las actividades realizadas en ella, también es una “vaca lechera”, al igual que el “scareware”, la amenaza que busca descargar un falso antivirus en la computadora para infectarla.

De acuerdo a Rivera, en esta categoría también ingresan los ataques basados en actores de confianza. Por ejemplo, falsos usuarios de Facebook que se contactan con cónyuges de empresarios o ejecutivos y les venden información falsa y trucada sobre supuestas infidelidades de su pareja. Una vez que la víctima “pica” el anzuelo y solicita más información, el delincuente le pide cifras pequeñas, de unos 100 dólares.

Redes sociales
En el cuadro de las “incógnitas”, con un gran crecimiento y poca participación de mercado, comienzan a aparecer las redes sociales como Facebook, Twitter y MySpace, las grandes estrellas actuales del firmamento virtual. El ejemplo perfecto de esta categoría es Koobface, un anagrama de Facebook ("face" y "book" con el orden cambiado. Se trata de un gusano informático que ataca a usuarios de las redes sociales Facebook, MySpace, hi5, Bebo, Friendster y Twitter. Koobface intenta, luego de una infección exitosa, obtener información sensible de las víctimas, como números de tarjetas de crédito. Los delincuentes realizan fraudes y robos bancarios con esos datos.

¿Cómo se disemina este virus? A través de un mensaje mediante Facebook a los contactos que son “amigos” de la persona cuya computadora fue infectada. El mensaje contiene un asunto inocuo como (en inglés) "Paris Hilton Tosses Dwarf On The Street", o "My home video :)" seguido de un link. Después de recibido, el mensaje redirecciona al receptor a un sitio externo no afiliado con Facebook, donde se muestra una supuesta actualización del reproductor Flash de Adobe. Si el archivo es descargado y ejecutado, la computadora será infectada con Koobface. El virus luego comanda las actividades de navegación, dirigiendo a los usuarios a sitios web contaminados cuando intentan acceder a motores de búsqueda como Google, Yahoo o Bing.

En este cuadrante ingresan figuras de carne y hueso, las “mulas”. Son personas que reciben los montos robados a partir de los datos conseguidos por los delincuentes gracias a Koobface. Estas “mulas” transfieren luego los montos depositados en sus cuentas bancarias hacia otros destinos, como Ucrania. Se las reclutan a través de ofertas de trabajo hogareño en las casas. “Por ejemplo, les transfieren 10 mil dólares y estos lavadores de dinero se quedan con 1.000 dólares”, dijo Rivera, quien advirtió que esta actividad “está en crecimiento”, debido a que las transferencias vía web son difíciles de rastrear.

Un Dios de los robos bancarios
Las actividades de los hackers que ingresan en el cuadro de las “estrellas” son fraudes bancarios sofisticados. El ejemplo clásico en esta categoría es el troyano Zeus. Un troyano es un software malicioso que bajo una apariencia inofensiva se ejecuta de manera oculta en el sistema y permite el acceso remoto de un usuario no autorizado al sistema. El término viene de la historia del Caballo de Troya en la mitología griega, al igual que el Zeus.

Zeus es una familia de troyanos financieros de alta especialización orientados al robo de credenciales (claves y contraseñas de clientes bancarios). Es tal su desarrollo que ya se ofrece en paquetes por 700 dólares, para construir el troyano a medida. Este software intercepta credenciales en cualquier puerto de comunicación por Internet, y hasta genera capturas de pantalla del escritorio de la máquina infectada, por citar algunos ejemplos.

Zeus incorpora una lista de direcciones que, una vez visitadas por la víctima, disparan el proceso de apropiación ilegítima de las credenciales, enviándolas en tiempo real al servidor de destino. También tiene capacidad para inyectar código HTML, superponiendo falsos formularios de autenticación a los legítimos. Con el nombre del dios griego también se identifica una red de computadoras infectadas (botnet) que sólo en Estados Unidos cuenta con más de 3,5 millones de máquinas infectadas por esta familia de troyanos. Zeus utiliza algunas técnicas para evadir la detección de los antivirus, por lo que es difícil su tratamiento. Rivera dijo que sólo en los Estados Unidos se cometieron robos a través de Zeus por 10 millones de dólares “en pocas horas”.

El ejecutivo de Cisco se refirió el siguiente caso: el año pasado, cibercriminales con base en Ucrania se robaron 415.000 dólares de las arcas del condado de Bullitt, en el estado de Kentucky. Los ladrones contaron con la ayuda de más de dos docenas de conspiradores en los EEUU, y también de una variante de Zeus capaz de vencer las medidas de seguridad en línea que tienen muchos bancos.

El abogado del condado de Bullitt, Walt Sholar, dijo que el problema se inició el 22 de junio, cuando alguien comenzó a hacer transferencias no autorizadas de 10.000 dólares, o menos, de los sueldos a cuentas perteneciente a al menos 25 individuos a lo largo del país, algunos de los cuales recibieron varios pagos. El 29 de junio, el banco del condado se dio cuenta que algo andaba mal, y comenzó a pedir a los bancos que recibían esas transferencias que la empezaran a revertir, dijo Sholar. “Nuestro banco nos dijo que para el jueves sabrían cuantas de esas transacciones podrían ser revertidas”, explicó Sholar. “Nos dijeron que pensaban que tendríamos algo del dinero de vuelta, solo que no estaban seguros de cuanto”. Sholar explicó que las transferencias no autorizadas parecen haber sido facilitadas por “alguna clase de virus de computadora”. El resto de esta historia puede encontrarla en este blog de The Washington Post, http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html?wprss=securityfix.

¿Cómo se pueden prevenir estas actividades delictivas? Rivera fue concluyente: con la educación del usuario de computadoras y teléfonos, para que tome a la seguridad como algo propio y personal. Puede leer sobre estas precauciones en esta nota de iProfesional.com publicada este jueves (http://tecnologia.iprofesional.com/notas/93222-Que-debe-tener-en-cuenta-este-ano-para-cuidar-la-seguridad-de-su-PC-.html).

En el caso de las organizaciones, como empresas y oficinas estatales, el ejecutivo de Cisco recomendó mantener las defensas enfocadas a prevenir las actividades englobadas en la categoría de las “vacas lecheras”; evaluar las prácticas para chequear la identidad de los usuarios de las redes internas y externas de la compañía; y desarrollar una arquitectura de seguridad para los dispositivos móviles, como las notebooks, netbooks y teléfonos inteligentes, y las computadoras hogareñas de los ejecutivos y empleados que acceden a la empresa a través de Internet.

2008/12/17

Mitnick: "No soy el Hannibal Lecter de los hackers"

Fuente: El Pais.

Kevin Mitnick está de gira y ha recalado en Madrid. El hacker (pirata informático) más famoso de la historia se dedica ahora a dar conferencias y a ofrecer sus servicios de seguridad informática de su empresa Mitnick Security Consulting. Tras pasar cinco años en la cárcel por diversos delitos como robo de software, fraude electrónico e intercepción de comunicaciones, ha salido reformado y está del lado luminoso de la informática.

"No hecho de menos mi tiempos de rebeldía. Ahora las empresas me pagan para que entre en sus redes y encuentre sus vulnerabilidades de seguridad. Y todo el mundo gana. Yo disfruto haciendo las cosas que me gustan, que es detectar los fallos de seguridad y, a la vez, ayudo a mis clientes en lugar de causarles daño", señaló hoy Mitnick en un encuentro con EL PAÍS.

Mitnick se muestra orgulloso de que algunas empresas a las que hackeó le contraten ahora como Nokia, Novell o Fujitsu, que incluso llegó ofrecerle ser el máximo responsable de seguridad. "Es muy emocionante que las compañías a las que tanto daño causé tengan interés en solicitar ahora mis servicios. No sé si soy un hacker blanco (whitehats, como se les conoce en el argot a los expertos en seguridad que juegan a favor de las empresas). Los tiempos cambian. Se puede decir que he madurado".

Perseguido incansablemente por el FBI, .Mitnick no sólo escapaba a la persecución sino que burlaba a los agentes, localizándoles por sus móviles y jugando al ratón y al gato. "A mí me parecía muy divertido pero a ellos no les debió parecer tan gracioso. Así que cuando finalmente me atraparon me lo hicieron pasar verdaderamente mal".

Mitnick pasó cinco años en la cárcel, de 1995 a 2000, en un duro régimen de asilamiento que le prohibía mantener usar cualquier tipo de dispositivo electrónico (televisión incluida) e incluso para comunicarse con su abogado o sus familiares. "El fiscal llegó a decir que me prohibieran el acceso a cualquier teléfono porque silbando en el móvil podía provocar una guerra nuclear. O decían que sólo en un floppy (los primeros discos flexibles de muy escasa capacidad) contenía archivos peligrosos que podían causar un grave problema de seguridad nacional. Me trataban como si fuera Hannibal Lecter de los hackers. Y no lo soy, se lo aseguro".

Pese al acuerdo extrajudicial, Mitnick se muestra muy descontento con la Justicia estadounidense "porque vulneraron mis derechos constitucionales, como el derecho a un juicio o a comunicarme normalmente con mi abogado".

Al final tuvo que llegar a un acuerdo con el Gobierno: "Me autoinculpé de cosas que hice y también de las que no hice. Pero no tenía más remedio porque de no ser así me hubiera pasado toda la vida de juicio en juicio". Cuando salió de la cárcel, las autoridades le aplicaron una cuarentena electrónica. "Sólo accedieron a dejarme hablar por el móvil porque mi padre tenía una enfermedad pero me revisaban la factura telefónica todos los meses. Y estaba escribiendo mi libro y sólo me autorizaban a usar el programa del procesador de textos".

El ahora empresario ha escrito dos libros -El arte de la decepción y El arte de la intrusión- y sobre su vida se inspiró la película Take Down, de la que se queja "porque mezclaba verdades y mentiras para desacreditarme". Para poner las cosas en su sitio, Mitnick prepara ahora una autobiografía donde contará las verdaderas peripecias de El Cóndor, su apodo de guerra en los tiempos de hacker. "Ya ha habido varios estudios de Hollywood que se han interesado por hacerse con los derechos para hacer una película".

Mitnick, que participará mañana en el Cluster de Seguridad de la Comunidad de Madrid, invitado por el Instituto Madrileño de Desarrollo, dice que Internet ofrece muchas vulnerabilidades pero pese a ello defiende la libertad de la Red y no es partidario de la ilegalización de los programas de intercambio de archivos P2P (peer to peer). "Sólo tienes que tener mucho cuidado de ver qué parte de tu disco duro compartes en realidad".

2008/07/26

Un grupo español, en la final del DefCon, el concurso de 'hacking' más legendario

Fuente: El Pais.

Se llaman Pandas with Gambas y se van de vacaciones a Las Vegas, a la DefCon, la reunión de hackers más importante del planeta. Son 10 españoles con una media de edad de 27 años, expertos en seguridad, que disfrutan defendiendo y atacando máquinas por el puro placer del reto. Han superado ya el primero: ponerse a la cabeza de los 200 grupos que competían para participar en Capture the Flag, el principal concurso de la DefCon.
Capture the Flag (Captura la Bandera) es un tipo de concurso de hacking y el de Las Vegas se considera el más duro del mundo. Los equipos reciben una copia exacta de un servidor, con los mismos programas instalados, creados por los organizadores. Cada programa tiene al menos un fallo de seguridad y el juego consiste en descubrirlos, para defender el propio servidor y atacar los de la competencia.
"Hay trabajo para todos, en análisis de código, monitorización, ataque, defensa, automatización; somos un grupo bastante heterogéneo y tenemos especialistas de cada área", explican Pandas with Gambas. El grupo se creó el año pasado para competir en la DefCon, donde quedaron terceros. El concurso les tuvo 72 horas sin dormir, pero quieren repetir.
"Nos clasificamos in extremis, cuando resolvimos una prueba de dificultad máxima en las últimas dos horas. Fue de infarto", recuerdan. Ya en la fase final, empezaron liderando la prueba, pero les pudieron "el cansancio y la desventaja en cuanto a integrantes del grupo, ya que éramos sólo siete, frente a los 12 de media del resto".
Este año la clasificación ha sido más cómoda gracias a la ayuda que han obtenido de la comunidad hacker española, "que ha sacrificado sus horas de sueño para echar un cable", explican. Las 25 pruebas clasificatorias estaban divididas en cinco áreas: ingeniería inversa de programas, análisis forense, conocimientos, explotación de programas y explotación avanzada. Han empatado con un grupo francosuizo, Routards.
Así que, del 8 al 10 de agosto, estarán en Las Vegas. "Tenemos posibilidades, pero será complicado porque el nivel de dificultad aumenta cada año", aseguran. Por si acaso, se están entrenando: "Es un poco difícil porque cada uno tiene su trabajo y sus horarios, pero vamos haciendo los ejercicios que no resolvimos el año pasado y también desarrollamos herramientas para el concurso".

Un origen académico

Estos concursos son una forma de aprender sin daños colaterales, ya que los ordenadores y programas están controlados por la organización. El origen de los concursos de hacking fueron las competiciones científicas en las universidades, que se hacían también en las facultades de informática y de aquí saltaron a Internet. A mediados de los años ochenta, en la red de grupos de noticias Usenet se celebraban las Obfuscated C Contest (Competiciones de C Ofuscado), que consistían en crear el programa más raro. El sitio Hackerslab fue pionero en organizar concursos internacionales.
En España, el primer concurso público de hacking fue Boinas Negras, del Instituto Seguridad Internet, en 2002 y 2003. Empresas como S21sec y blogs como el del experto Chema Alonso organizan regularmente retos para la comunidad hispana. El último ha sido el I Torneo de Seguridad BlindSec, de la empresa Blind Security, que acabó el 3 de julio con casi 400 personas inscritas.
"Algunos sirven para crear comunidad y compartir conocimiento, otros para concienciar a la gente de los peligros que acechan en la Red, otros simplemente para publicitar un producto", explican Pandas with Gambas. Estos últimos son los más difíciles, ya que algunas empresas hacen trampa y ponen límites de tiempo imposibles para atacar sus productos, que después venderán como "a prueba de hackers".
"Estos concursos suponen un verdadero reto intelectual, sobre todo cuando el fallo ha sido construido y colocado a propósito por los organizadores, porque puede ser tan enrevesado como se les haya ocurrido y te toca a tí resolverlo, ésa es la gracia".

2008/01/03

Los cinco mejores hacks del 2007

Estos son:

1 - HACKEANDO EL GPS
2 - “Sidejacking” Wifi
3 - Hackeando camiones
4 - Hackeando el capitalismo
5 - IPhone

Las razones las podras leer en Teleobjetivo: Los mejores 5 hacks del 2007.

2007/12/29

La Wii totalmente hackeada

Fuente: HispaMp3.

Un grupo de hackers ha logrado saltar completamente las protecciones de la Wii y nos prometen incluso una distribución Linux adaptada a la misma.

Desde hace ya algún tiempo la Wii puede ser modificada para reconocer DVDs no originales, pero hasta ahora nadie había conseguido ejecutar software no firmado por Nintendo, por lo que el desarrollo de software "homebrew" estaba seriamente limitado.

El anuncio y una demostración del mismo fue llevado a cabo ayer el Alemania, durante el "24th Annual Chaos Communication Congress", donde se presentó a manera de demostración un código no-firmado corriendo en la consola de Nintendo.

Ello significa el pistoletazo de salida para la scena Wii, el desarrollo de software casero, como la reproducción de todo tipo de archivos multimedia, e incluso el soporte de Linux.

En definitiva la posibilidad de mejora por parte de cualquiera de las funcionalidades de la consola, que podría transformarse en una plataforma abierta de desarrollo.

Lógicamente también podría significará que dentro de poco será innecesario "chipear" la consola para ejecutar backups de juegos.

Toca esperar...

2007/08/24

Sombrero blanco contra sombrero negro

Fuente: Barrapunto, ivalladt.

No hace demasiado tiempo se hablaba en Barrapunto de una lista publicada en Microsiervos donde se enumeraban los siete hackers más importantes de la historia. En MarvQuin han preferido hacer dos listas: la de los cinco mejores hackers criminales y los cinco mejores no-criminales --o de sombrero blanco y sombrero negro--. En uno y otro caso los adjetivos suenan algo extravagantes. En efecto, incluso para los iniciados en la cultura hacker, es en ocasiones muy complicado distinguir entre hacker y cracker. Existen crackers que no obtienen de su actividad beneficio personal alguno, mientras que el hacker siempre por definición obtiene al menos la satisfacción del beneficio intelectual. Kevin Poulsen, por ejemplo, aparece como hacker criminal, a pesar de que desde que trabaja como periodista ha hecho cosas como hackear MySpace para localizar entre sus suscriptores a hasta 744 pedófilos. Para muchos, Poulsen debería merecer por esto el sombrero blanco más que el mismísimo Stallman.

2007/08/09

“Hackear MySpace es juego de niños"

Conectarse a las cuentas de MySpace de otros usuarios es verdaderamente fácil, opina el hacker Rick Deacon, quien lo ha hecho en reiteradas oportunidades.

Diario Ti: Deacon trabaja como especialista en seguridad TI en una compañía de California, EEUU. En una charla pronunciada en la conferencia de seguridad Defcon 15, en Las Vegas, EEUU, el hackcer explicó lo fácil que es intervenir las cuentas de usuarios de redes sociales como MySpace y FaceBook.

“No soy ni especialista en programación ni guru de seguridad informática", comentó Deacon, agregando que “Sólo se algo de XSS (Cross-Server Scripting) y he investigado sobre el tema".

Intervención de galletas
Junto con algunos colegas, Deacon ha investigado sistemáticamente las vulnerabilidades de MySpace.

Si Deacon logra persuadir a un usuario conectado a MySpace a hacer clic en un enlace que le lleva a una página con código espía (Lo que no es difícil en un medio donde la gente hace clic en cualquier enlace), Deacon consigue captar la galleta (cookie) de sesión del usuario.

“Luego, es fácil usar la información contenida en la galleta para conectarse suplantando a este usuario y luego tener acceso a todas las funciones que se habría tenido durante una sesión normal" comentó Deacon.

Los agujeros no son cerrados
A pesar de lo sencillo que parece ser intervenir las cuentas de otros usuarios, MySpace no ha hecho lo suyo para impedir tales intrusiones.

“MySpace ha sido informado sobre esta vulnerabilidad y otras, pero nada han hecho al respecto", relata Deacon, quien espera que su intervención en Defcon y la publicidad en torno al tema podría motivar a MySpace a mejorar su producto.

Facebook también es vulnerable
Numerosos otros servicios similares a MySpace también presentan vulnerabilidades de este tipo, agrega Deacon.

"En Facebook están más interesados en corregir sus vulnerabilidades. Pero aún así he encontrado los mismos problemas que en Facebook".


Fuente: DiarioTI.

2007/08/03

El único punto débil del soldado del futuro es que podría ser 'hackeado'

Los norteamericanos suelen ir pensando en las guerras venideras bastante antes que el resto del mundo. La revista eWeek cuenta que durante una ponencia de la conferencia anual de seguridad informática Black Hat, Richard Clarke, asesor de seguridad nacional presidencial durante 30 años, expresó su preocupación por la baja calidad de la seguridad en Internet de cara a los proyectos del Pentágono para diseñar al soldado del futuro.

Clarke describió una guerra en la que soldados enfundados en potentes exoesqueletos mecánicos repletos de cámaras que les alertarían de cualquier movimiento a su alrededor, serían capaces de mover pesos impensables gracias a servomotores integrados en su armadura. El "sistema de armas" de cada soldado se organizaría a partir de varias IPs y sería coordinado en red desde su cuartel general. Y ese sería su punto débil.

"No tengo que contaros a vosotros el caos que vivimos a diario en Internet, señaló Clarke a su auditorio de expertos informáticos y hackers de todos los pelajes. El Pentágono está preocupado por la falta de seguridad que entrañan los protocolos actuales de Internet y por su capacidad para gestionar una cantidad mayor de IPs simultáneamente. Por esta razón, los militares norteamericanos se cuentan entre los más firmes partidarios del desarrollo de la próxima generación de Internet, la IPv6, que tendría una capacidad mucho mayor para gestionar Ips.

Al igual que con el desarrollo de la propia Red, una vez más es la industria militar la impulsora de los avances científicos.

Fuente: El Pais.

2007/07/26

Un 'hacker' chileno entra en la 'web' de la Presidencia de Perú

Un pirata informático que al parecer es chileno entró en el portal internet de la Presidencia de la República de Perú y reemplazó la fotografía del presidente del país, Alan García, por la del libertador chileno Bernardo O'Higgins, informó una fuente del palacio presidencial.ç

El incidente se produjo la tarde del martes y se volvió a repetir durante la noche del mismo día, dijo la fuente de la Secretaría de Prensa del palacio presidencial.

Junto a la figura de O'Higgins se leía la expresión "Viva Chile, mierda", muy popular entre los ciudadanos de ese país. Previamente a la imagen de O'Higgins aparecieron algunas calaveras, se informó.

La violación de la página 'web' de la casa de Gobierno movilizó de inmediato a los técnicos en informática de la empresa Telefónica, que solucionaron el problema, pero no pudieron evitar que se repitiera horas después. El portal presidencial aparecía el miércoles sin interferencias.

Este hecho se encuentra bajo investigación y se estudian mecanismos para dotar de mayores niveles de seguridad no solo al sistema de internet, sino a las comunicaciones en general del Palacio de Gobierno a fin de evitar posibles piraterías informáticas de este tipo, indicó la fuente.

Fuente: Yahoo! Noticias.

2007/07/17

Los hacker no consiguen desbloquear el iPhone

Los hacker están trabajando para desbloquear el iPhone de Apple, pero parece que el trabajo es más difícil de lo esperado inicialmente.

Los hacker esperaban que la modificación del bootloader del iPhone (el programa que se ejecuta antes de que se cargue el sistema operativo) pudiese desbloquear el teléfono; pero se ha comprobado que se trata de una vía muerta, ya que el código del bootloader debe firmarse utilizando una llave privada RSA de 1.024 bits empleada por Apple, según se indica en la información publicada la semana pasada en el IRC #iPhone por los hacker que están trabajando unidos en este propósito.

Ahora los hacker de #iphone están trabajando en crear una utilidad de ensamblador para el procesador del iPhone. “Este es el último gran escollo a solucionar para que sea posible escribir programas para el iPhone”
Según indican, una vez que sean capaces de escribir programas para el iPhone, podrán escribir uno que desbloquee el teléfono.

El iPhone está bloqueado para su uso con la red EDGE de AT&T. Desbloquear el iPhone permitirá que el teléfono pueda utilizarse con otros operadores, incluyendo los de Asia y Europa, donde el teléfono no está disponible todavía.

Las iniciativas para desbloquear el teléfono comenzaron prácticamente desde el mismo momento que dicho dispositivo llegó a las tiendas el pasado 29 de junio. En pocos días, los hacker lograron evitar la función de activación, permitiendo que los usuarios pudiesen acceder a muchas de las características del dispositivo, exceptuando su uso como teléfono móvil.

El primero en proporcionar la herramienta de activación del iPhone fue Jon Lech Johansen, conocido como DVD Jon, un hacker que ha ayudado a desarrollar una utilidad para desencriptar el contenido de los DVD. A los 20 minutos de la disponibilidad de dicha herramienta, los hacker de #iPhone publicaron una segunda herramienta de activación.

Aunque los hacker todavía no han desbloqueado el iPhone, han hecho otra serie de progresos. Por ejemplo, la última semana se ha publicado una herramienta que permite a los usuarios la instalación de tonos de llamada personalizados en el iPhone.


Fuente: Macworld.

Hacker logra romper sistema de seguridad de reproductores Zune de Microsoft

Un hacker logró vulnerar el software que evita que las canciones adquiridas por un usuario para su reproductor multimedial Zune, fabricado por Microsoft, puedan ser copiadas a otros dispositivos.

“Viodentia” es el nombre con el que se hace conocer este pirata informático, quien fue capaz de dar de baja el sistema FairUse4WM, bajo el cual Microsoft asegura la protección de los temas con los estándares del Digital Rights Management, el sistema que se propone como un freno a los intentos de reproducir ilegalmente archivos multimediales protegidos por leyes de propiedad intelectual.

Según el magazine on line Wired, la compañía de Redmond intentó enjuiciar al hacker por violar uno de sus programas, pero desistió de su intento ante la imposibilidad de esclarecer la identidad del autor del programa que promete a través de un foro de internet la forma para remover la protección de los temas.

Los software de gestión de derechos digitales son unos de los blancos principales de piratas informáticos cuyas acciones son inmediatamente reparadas con parches ofrecidos por los expertos en seguridad de las grandes casas desarrolladoras.

Particularmente, vulnerar las medidas seguridad de Microsoft es uno de los objetivos más codiciados por los hackers, quienes de este modo intentan desacreditar al principal promotor de los derechos digitales, cuya plataforma fue la elegida por gigantes multimediáticos como BBC para poner a disposición del público su programación con un dispositivo que garantiza su desaparición de la máquina del usuario 30 días después de la descarga.

Fuente: TransMedia.

2007/07/14

Google Hacks

Google Hacks es una sencilla utilidad destinada a facilitar la búsqueda de música, libros, videos, claves de registro, herramientas, hacks y proxys a través de Google.

Google Hacks es básicamente una herramientra gráfica que nos facilita el empleo de comandos avanzados para Google que nos permiten localizar todo tipo de contenidos a través de Internet.

Google Hacks contempla el empleo de comandos como allinanchor:, allintext:, allintitle:, allinurl:, cache:, define:, filetype:, id:, inanchor:, info:, intext:, intitle:, inurl:, phonebook:, related:, rphonebook:, site:, stocks, que nunca más tendremos que volver a recordar.

Google Hacks ha sido publicado bajo licencia libre y puede ser libremente descargado en sus versiones para Linux, Mac y Windows.

Fuente: HispaMp3.

2007/07/05

Logran hackear el iPhone

El noruego Jon Lech Johansen, más conocido como "DVD Jon", creó un truco que permite activar el celular de Apple sin necesidad de suscribirse a un operador. Otros hackers están a un paso de realizar el desbloqueo completo

"DVD Jon" es recordado por su obra más reciente: una herramienta que permite el desbloqueo de DVDs; y ahora un nuevo emprendimiento lo pone en boca de los medios de prensa del mundo.

En su sitio web explica la forma de usar el iPhone como un iPod y un navegador con Wi-Fi, sin necesidad de pasar por la operadora AT&T para activarlo.

“He encontrado una forma de activar un iPhone totalmente nuevo, sin regalar dinero ni entregar información personal a AT&T", dijo y agregó que "el iPhone no contará con funcionalidad de teléfono, pero si con capacidad de iPod y WiFi".

En tanto, otro grupo de expertos informáticos aseguraron a la revista PC World que en pocos días darán a conocer la solución total para que el iPhone pueda operar con otras compañías de teléfono.

Su trabajo, realizado de manera colaborativa, podría fracasar ante los planes de Apple acerca de lanzar un upgrade de software para el celular.

Operadoras en Europa
Por otro lado, la compañía de telefonía móvil británica O2, filial de Telefónica, está a punto de cerrar un acuerdo con Apple para comercializar en exclusiva el iPhone en el Reino Unido.

De esa forma, O2 sería el primer operador europeo en firmar un pacto con la compañía de la manzana sobre el iPhone, el "teléfono inteligente" de Apple con un sólo botón que ha desatado un furor sin precedentes entre los usuarios de los Estados Unidos.

Según el diario The Guardian, los analistas esperan que Telefónica también se haga cargo de la distribución del iPhone en España, aunque este lanzamiento llegará en el 2008.

Tras un período de exclusividad en O2 en el Reino Unido, el minorista de móviles británico Carphone Warehouse también podría vender el iPhone, según The Times.

El aparato se lanzará en Europa en otoño en Francia, Alemania y Reino Unido, mientras que el resto de países tendrá que esperar, como Asia, hasta el 2008.

La compañía estadounidense está negociando con cuatro de las empresas líderes europeas: la alemana TMobile, de Deutsche Telekom, la francesa Orange, de France Telecom, las británicas O2, de Telefónica, y Vodafone.

Las tres primeras, TMobile, Orange y O2, son líderes en sus países por número de clientes.

Estas compañías tienen un dilema en las negociaciones por la preocupación de que Apple esté intentando acordar unas condiciones con pocos márgenes de beneficio en comparación con los firmados con otros fabricantes, informa Financial Times.

De hecho, Apple podría reservarse en el contrato parte de los ingresos que generen los usuarios del iPhone, de modo que no sólo obtendría beneficios por la venta del aparato, sino también por el uso, gestionado por los operadores.

Fuente: INFOBAE.COM.

2007/07/02

El iPhone a punto de ser hackeado

Apenas un par de días después de su comercialización el firmware que incluye el iPhone ya se encuentra disponible en las redes de pares.

Un firmware que ya está siendo descargado y estudiado por miles de usuarios y programadores que intentan desentrañar los secretos del nuevo teléfono de Apple.

Es por ello bastante probable que las primeras "modificaciones" y "mejoras" al iPhone comiencen pronto a circular a través de Internet.

Fuente: HispaMp3.