Los “SmartTV”, los televisores con aplicaciones que se conectan a Internet, pueden constituirse en el nuevo objetivo de los delincuentes informáticos.
Así se develó en la última edición de las conferencias de seguridad informática BlackHat, realizadas en los primeros días de este mes en Las Vegas.
Según relataron Sebastián Bortnik, gerente de Educación y Servicios, y Joaquín Rodriguez Varela, coordinador de laboratorio, ambos de la empresa ESET Latinoamérica, quienes estuvieron en esa ciudad estadounidense, los televisores son “un foco de interés que lentamente iría creciendo para los cibercriminales”,
Una de las técnicas fue presentada por el especialista SeungJin “Beist” Lee, quien expuso un análisis genérico de la estructura de estos dispositivos, y puso énfasis en la factibilidad de cargar en un SmartTV "rootkits", programas que permiten un acceso de privilegio continuo a una computadora pero que mantienen su presencia oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.
El investigador advirtió que no es sencillo desarrollar una amenaza para los televisores inteligentes porque existen muchas limitaciones, tales como:
No hay ni documentación ni investigaciones previas.
Todo el análisis es en "blackbox", no hay código disponible del software de estas plataformas.
Los sistemas operativos son muy diversos.
La investigación puede dañar el televisor y no siempre puede recuperarse con un reseteo de fábrica.
Pero si se salvan estos obstáculos, el “hacker” encontrará que la estructura de aplicaciones de una SmartTV es muy similar a los “smartphones” y que, por lo tanto, la instalación se realiza a través de determinados repositorios.
“Si un desarrollador desea hacer aplicaciones debe subirla a dichos repositorios, pero las plataformas de desarrollo son más limitadas: HTML, Java o Flash, dejando de lado lenguajes como C o C++ que podrían permitir realizar acciones más críticas sobre el sistema, como el llamado a ‘system calls’ entre otras cosas”, aclararon Bortnik y Rodríguez Varela.
En este escenario, Lee demostró cómo queda entonces cubierta la plataforma de ataque para SmartTV: para instalar un software malicioso, un rootkit, es necesario explotar alguna vulnerabilidad en el sistema, ya sea por métodos convencionales a través del navegador o directamente en el SDK (kit de desarrollo de software, sigla en inglés) del proveedor en cuestión.
El especialista recorrió en su presentación algunos “agujeros” que encontró en muchas de las interfaces de aplicaciones (API) más populares para estas plataformas.
Lee también reforzó la idea de que es posible directamente explotar una vulnerabilidad al nivel de navegador tal como se hace en otros entornos.
“Vale destacar que esto es aún más probable en estos sistemas”, dijeron los especialistas de ESET, porque “es difícil mantener actualizadas las aplicaciones en entornos embebidos. Por ejemplo, se mostró un SmartTV con Flash 10”.
En la demostración, Lee puso el foco en la característica por la cual los nuevos SmartTV poseen cámara y micrófono.
En los “smartphones” explotar esto para “vigilancia” no es funcional, porque casi todas las fotos son inservibles: el teléfono está en el bolsillo, apuntando al techo, en una funda, etc.
Sin embargo, un televisor está en una ubicación física que favorece la visualización de información privada de valor para el atacante.
“Aunque, por el momento, estos ataques estarían más limitados al entorno hogareño, de a poco las empresas van incorporando estos dispositivos”, advirtieron Bortnik y Rodríguez Varela.
Lee hizo una demostración en vivo a través de la cual instalaba un “rootkit” en un SmartTV que se llevó a la sala, y con éste se grababa la cámara del dispositivo, que en este caso apuntaba al público.
Otra presentación sobre el tema en BlackHat fue dictada por Aaron Grattafiori y Josh Yavor, quienes justificaron el interés en estos televisores inteligentes:
Estos dispositivos están ampliamente difundidos.
Están conectados a Internet, por lo general las 24 horas del día y los 7 días de la semana.
Permiten instalar aplicaciones.
Poseen una cámara y pantalla de alta calidad.
Durante la charla, los presentadores explicaron que, antes de comenzar la investigación, buscaron en Internet para saber la información oficial que había en relación a las medidas de seguridad de estos dispositivos y los resultados no fueron muy animadores, porque hay poca información disponible al respecto.
Los investigadores hicieron su prueba en un SmartTV de Samsung. Desempaquetaron el “firmware” (bloque de instrucciones de una máquina para propósitos específicos) del televisor y se encontraron con algunos métodos de ofuscamiento como XOR, entre otros.
Esto les permitió conocer la estructura de archivos y carpetas del televisor, lo que les permitió saber dónde se guardaban las aplicaciones, su lenguaje de programación (principalmente Java) y las verificaciones de seguridad que se aplican a ellas.
“A medida que realizaron diferentes pruebas notaron que era necesario ofuscar el código que inyectaban y la forma con la cual forzaban al sistema a creer que se trataba de una aplicación válida”, explicaron Bortnik y Rodríguez Varela.
Al igual que Lee, realizaron una demostración en vivo donde accedieron a la página oficial de la BlackHat por medio del navegador del televisor, y luego ejecutaron un “script” (archivo de órdenes) malicioso que cambiaba los servidores DNS utilizados por el software.
De esta forma, al intentar acceder de nuevo a la página de la conferencia, se abría en su lugar la página oficial del MI5 (servicio de seguridad Inglés).
En la siguiente demostración mostraron a través de un video, cómo podían acceder a la cámara del televisor y proyectar el video dentro del mismo, donde la víctima que se encontraba mirando televisión salía despavorida al verse a sí misma.
También explicaron cómo era posible atacar a estos dispositivos de manera remota por medio de aplicaciones de redes sociales como Facebook.
Los presentadores mostraron cómo publicar un mensaje en el “muro” de la víctima en Facebook con un script especialmente armado que permitía la ejecución de código arbitrario dentro del aparato. Esto se podía replicar en todos sus contactos, de la misma forma que lo haría un gusano.
“Sin lugar a dudas, veremos en los próximos años más de estas investigaciones y, paulatinamente, nos encontraremos con ataques a estas plataformas”, señalaron los especialistas de ESET. “Como dijo Lee en su presentación, ‘los SmartTV tienen prácticamente los mismos vectores de ataque que los teléfonos inteligentes’. Por lo que es de esperarse que aparezcan más ataques en el futuro”.
En cuanto a los daños en sí, Bortnik y Rodríguez Varela coincidieron en señalar que de acuerdo con lo expuestos en la BlackHat “la privacidad podría ser foco de ataque aún más que las amenazas de índole económica. El hecho de que los SmartTV hayan empezado a incorporar cámaras y micrófonos puede ser de interés para los atacantes en el futuro”.
Los especialistas aclararon que “no hay indicios para creer que estos ataques podrían hacerse masivos en el corto plazo, y que aún los smartphones son un ‘mercado’ mucho más atractivo para los cibercriminales. La semilla ya está plantada, será cuestión de tiempo que madure”.
2013/08/07
Samsung solicita la patente de su probable reloj inteligente Galaxy Gear
Samsung presentaría su reloj inteligente bajo el nombre de Galaxy Gear después de registrar la marca a finales de julio.
Esta solicitud se puede encontrar en la oficina de patentes de EEUU, USPTO, sigla en inglés.
La idea de la compañía surcoreana de lanzar al mercado su nuevo producto podría llegar a resolverse en las próxima semanas.
Fuentes cercanas a la multinacional aseguran que Samsung ya se ha hecho con la marca Gear y que formaría parte de la familia Galaxy con el sistema operativo Android.
En ese registro de la patente, la empresa ha identificado este equipo como "Dispositivo electrónico digital similar a una pulsera o brazalete que es capaz de proporcionar acceso a Internet con funciones que van desde enviar y recibir llamadas telefónicas, contestar a correos electrónicos y mensajes o un seguimiento de la información".
Se especula que el reloj inteligente de Samsung podría ser presentado el 4 de septiembre junto al Galaxy Note III en la feria IFA de Berlín.
Esta solicitud se puede encontrar en la oficina de patentes de EEUU, USPTO, sigla en inglés.
La idea de la compañía surcoreana de lanzar al mercado su nuevo producto podría llegar a resolverse en las próxima semanas.
Fuentes cercanas a la multinacional aseguran que Samsung ya se ha hecho con la marca Gear y que formaría parte de la familia Galaxy con el sistema operativo Android.
En ese registro de la patente, la empresa ha identificado este equipo como "Dispositivo electrónico digital similar a una pulsera o brazalete que es capaz de proporcionar acceso a Internet con funciones que van desde enviar y recibir llamadas telefónicas, contestar a correos electrónicos y mensajes o un seguimiento de la información".
Se especula que el reloj inteligente de Samsung podría ser presentado el 4 de septiembre junto al Galaxy Note III en la feria IFA de Berlín.
Una página web comprueba el grado de seguridad de sus contraseñas
La firma de seguridad informática Kaspersky puso en marcha un programa que analiza, con fines educativos, la seguridad de las contraseñas.
Al ingresar aquí una clave, la página determinará cuánto tiempo tardaría un cibercriminal en descubrirla.
La web garantiza que no almacena ningún dato, pero recomienda a sus usuarios que no introduzcan en ella ninguna contraseña real.
Los resultados en cuanto al tiempo que costaría adivinar cada clave van desde un segundo, cuando se trata de una simple palabra en minúsculas, a varios siglos, cuando combina una serie aleatoria de letras mayúsculas y minúsculas con números.
Para hacerlo más divertido, la web establece comparaciones curiosas con ese período de tiempo.
Por ejemplo, ocho meses son el tiempo que se tardaría en recorrer 590.009 kilómetros en un Ferrari.
"Cada nuevo símbolo que añadamos a nuestra contraseña es un nuevo obstáculo para el hacker", señalaron en Kaspersky, y añadieron que este mismo principio se aplica a la combinación de letras, símbolos y números: "al incluirlos, reducimos las oportunidades de que descubran nuestra clave".
Desde Kaspersky explican que los internautas manejan una media de cinco cuentas diferentes, y cada una de ellas debe contar con su propia contraseña.
A pesar de que recordar cinco claves (o más) no resulte fácil para nadie, la firma de seguridad asegura que utilizar la misma contraseña para todo es entregarle a los hackers la llave de nuestra vida en línea en mano.
Cuanto más larga y más complicada es una contraseña, más tiempo conlleva averiguarla, comentan en la firma, pero solo los usuarios avanzados utilizan una clave como Xp89$ABG-faq?6 para cada una de sus cuentas.
Sin llegar a ese extremo, Kaspersky ofrece algunos consejos para elegir una contraseña más segura.
La principal regla, afirman desde la empresa, es que la clave sea larga, y sugieren la posibilidad de añadir varios caracteres sin necesidad de que ésta sea un galimatías.
Por ejemplo, se puede emplear una frase clara y fácil de recordar y realizar cambios en ella, como el uso de mayúsculas y minúsculas o la combinación de números, para hacerla más indescifrable.
Al ingresar aquí una clave, la página determinará cuánto tiempo tardaría un cibercriminal en descubrirla.
La web garantiza que no almacena ningún dato, pero recomienda a sus usuarios que no introduzcan en ella ninguna contraseña real.
Los resultados en cuanto al tiempo que costaría adivinar cada clave van desde un segundo, cuando se trata de una simple palabra en minúsculas, a varios siglos, cuando combina una serie aleatoria de letras mayúsculas y minúsculas con números.
Para hacerlo más divertido, la web establece comparaciones curiosas con ese período de tiempo.
Por ejemplo, ocho meses son el tiempo que se tardaría en recorrer 590.009 kilómetros en un Ferrari.
"Cada nuevo símbolo que añadamos a nuestra contraseña es un nuevo obstáculo para el hacker", señalaron en Kaspersky, y añadieron que este mismo principio se aplica a la combinación de letras, símbolos y números: "al incluirlos, reducimos las oportunidades de que descubran nuestra clave".
Desde Kaspersky explican que los internautas manejan una media de cinco cuentas diferentes, y cada una de ellas debe contar con su propia contraseña.
A pesar de que recordar cinco claves (o más) no resulte fácil para nadie, la firma de seguridad asegura que utilizar la misma contraseña para todo es entregarle a los hackers la llave de nuestra vida en línea en mano.
Cuanto más larga y más complicada es una contraseña, más tiempo conlleva averiguarla, comentan en la firma, pero solo los usuarios avanzados utilizan una clave como Xp89$ABG-faq?6 para cada una de sus cuentas.
Sin llegar a ese extremo, Kaspersky ofrece algunos consejos para elegir una contraseña más segura.
La principal regla, afirman desde la empresa, es que la clave sea larga, y sugieren la posibilidad de añadir varios caracteres sin necesidad de que ésta sea un galimatías.
Por ejemplo, se puede emplear una frase clara y fácil de recordar y realizar cambios en ella, como el uso de mayúsculas y minúsculas o la combinación de números, para hacerla más indescifrable.
Facebook difundió diez normas para proteger a los usuarios menores de edad
Facebook difundió una propuesta de 10 consejos para mejorar la seguridad cuando se trata de niños frente al teclado.
Seguir las pautas de edad para el uso de la red.
No dejar que los jóvenes abran una cuenta de Facebook hasta que tengan al menos 13 años, que es el requisito de edad mínima para usar la red social.
Una vez que se inscriben, los padres deben asegurar que no mientan sobre su edad.
Facebook añade capas de protección de la privacidad específica según su edad.
No aceptar solicitudes de amistad de desconocidos.
Es importante que los padres se aseguren que los jóvenes no acepten solicitudes de personas que no conocen.
Familiarizarse con Facebook y sus herramientas.
Seguir las pautas de edad para el uso de la red.
No dejar que los jóvenes abran una cuenta de Facebook hasta que tengan al menos 13 años, que es el requisito de edad mínima para usar la red social.
Una vez que se inscriben, los padres deben asegurar que no mientan sobre su edad.
Facebook añade capas de protección de la privacidad específica según su edad.
No aceptar solicitudes de amistad de desconocidos.
Es importante que los padres se aseguren que los jóvenes no acepten solicitudes de personas que no conocen.
Familiarizarse con Facebook y sus herramientas.
Twitter anuncia nuevas medidas para evitar las amenazas
La división británica de Twitter se ha disculpado este sábado ante un grupo mujeres (periodistas, políticas y activistas) que han sido amenazadas de violación y muerte en la red social, y ha anunciado medidas para facilitar que los usuarios denuncien tuits abusivos.
"Personalmente me disculpo ante las mujeres que han experimentado abusos en Twitter y pido perdón por lo que han tenido que pasar", dijo Tony Wang, director general de Twitter UK, en su cuenta en la red social. "Los abusos de los que han sido objeto simplemente no son aceptables. No es aceptable en el mundo real, y no es aceptable en Twitter", dijo.
Twitter UK ha anunciado que incorporará personal para ayudar a gestionar las denuncias de abusos. También ha avanzado que el botón "denuncia un abuso" dentro de un tuit que está disponible en la versión de Twitter para iPhone se añadirá a la página web y al resto de plataformas que usan otros móviles.
El problema de los abusos por parte de los denominados trolls en Internet ha acaparado portadas en Reino Unido desde que la activista Caroline Criado-Pérez fue atacada por una oleada de cáusticos tuits por defender con éxito que la cara de una mujer aparezca en los billetes. La policía detuvo a dos hombres por amenazas de violación contra Criado-Perez.
Uno de ellos también era sospecho de hacer amenazas similares a la parlamentaria laborista opositora Stella Creasy, que también respaldó la campaña sobre los billetes. En incidentes no relacionados días después, varias periodistas recibieron tuits de alguien que amenazaba con poner una bomba en sus casas y "destruir todo" lo que allí hubiera.
"Personalmente me disculpo ante las mujeres que han experimentado abusos en Twitter y pido perdón por lo que han tenido que pasar", dijo Tony Wang, director general de Twitter UK, en su cuenta en la red social. "Los abusos de los que han sido objeto simplemente no son aceptables. No es aceptable en el mundo real, y no es aceptable en Twitter", dijo.
Twitter UK ha anunciado que incorporará personal para ayudar a gestionar las denuncias de abusos. También ha avanzado que el botón "denuncia un abuso" dentro de un tuit que está disponible en la versión de Twitter para iPhone se añadirá a la página web y al resto de plataformas que usan otros móviles.
El problema de los abusos por parte de los denominados trolls en Internet ha acaparado portadas en Reino Unido desde que la activista Caroline Criado-Pérez fue atacada por una oleada de cáusticos tuits por defender con éxito que la cara de una mujer aparezca en los billetes. La policía detuvo a dos hombres por amenazas de violación contra Criado-Perez.
Uno de ellos también era sospecho de hacer amenazas similares a la parlamentaria laborista opositora Stella Creasy, que también respaldó la campaña sobre los billetes. En incidentes no relacionados días después, varias periodistas recibieron tuits de alguien que amenazaba con poner una bomba en sus casas y "destruir todo" lo que allí hubiera.
Japón lanza al espacio a Kirobo, el robot que habla
Kirobo, un robot de carcasa blanca y negra y botas rojas que habla y le llega a un humano a la altura de la rodilla, ha despegado desde Japón a la Estación Espacial Internacional (EEI) donde analizará cómo las máquinas pueden ayudar a los astronautas a hacer su trabajo. El robot que habla japonés, que incorpora tecnología de reconocimiento facial y de voz, entró en una nave de carga sin tripular, la Konotori IV, junto 5,4 toneladas de suministros y equipos para la tripulación de la base de investigación espacial.
Entre ese equipo se encuentran también dos satélites que incorporan tecnología desarrollada por una empresa española. La nave de carga, lanzada desde el Centro Espacial Tanegashima suroeste de Japón el domingo, llegará el viernes 9 de agosto a la EEI, según la Agencia de Exploración Aeroespacial japonesa.
En una demostración reciente, Kirobo dijo que "esperaba crear un futuro donde los humanos y los robots puedan vivir juntos y llevarse bien". Cuando emprenda las primeras conversaciones entre robots y humanos en el espacio, el principal socio de conversación de Kirobo será el astronauta japonés Koichi Wakata, que se prevé que despegue hacia la EEI junto a otros seis tripulantes en noviembre.
Wakata debe asumir el mando del complejo, un proyecto de 100.000 millones de dólares llevado a cabo por 15 naciones, el próximo marzo. Kirobo (desarrollado por la Universidad de Tokio y por las empresas niponas Toyota Motor y Dentsu) estará en el espacio hasta finales de 2014. Con sus 34 centímetros y su kilo de peso, Kirobo está diseñado para navegar en gravedad cero y recibe su nombre de kibo, la palabra japonesa para "esperanza", y robot.
La nave lleva igualmente dos satélites Ardusat, que incorporan sensores de medición de radiación producidos por la empresa española Libelium. Estos sensores funcionan como un contador Geiger, aunque han sido desarrollados para tener un tamaño y peso mínimos (4 por 3 centímetros y unos 40 gramos). Los dispositivos detectan las partículas gamma producidas en cualquier lugar del espacio y permiten medir los niveles de radiactividad espacial generados por fenómenos como las tormentas solares, según detalló la empresa en un comunicado.
En la carga del Konotori IV también se incluye comida para los astronautas, y otros equipos destinados al módulo experimental japonés Kibo que hay a bordo de la EEI.
Entre ese equipo se encuentran también dos satélites que incorporan tecnología desarrollada por una empresa española. La nave de carga, lanzada desde el Centro Espacial Tanegashima suroeste de Japón el domingo, llegará el viernes 9 de agosto a la EEI, según la Agencia de Exploración Aeroespacial japonesa.
En una demostración reciente, Kirobo dijo que "esperaba crear un futuro donde los humanos y los robots puedan vivir juntos y llevarse bien". Cuando emprenda las primeras conversaciones entre robots y humanos en el espacio, el principal socio de conversación de Kirobo será el astronauta japonés Koichi Wakata, que se prevé que despegue hacia la EEI junto a otros seis tripulantes en noviembre.
Wakata debe asumir el mando del complejo, un proyecto de 100.000 millones de dólares llevado a cabo por 15 naciones, el próximo marzo. Kirobo (desarrollado por la Universidad de Tokio y por las empresas niponas Toyota Motor y Dentsu) estará en el espacio hasta finales de 2014. Con sus 34 centímetros y su kilo de peso, Kirobo está diseñado para navegar en gravedad cero y recibe su nombre de kibo, la palabra japonesa para "esperanza", y robot.
La nave lleva igualmente dos satélites Ardusat, que incorporan sensores de medición de radiación producidos por la empresa española Libelium. Estos sensores funcionan como un contador Geiger, aunque han sido desarrollados para tener un tamaño y peso mínimos (4 por 3 centímetros y unos 40 gramos). Los dispositivos detectan las partículas gamma producidas en cualquier lugar del espacio y permiten medir los niveles de radiactividad espacial generados por fenómenos como las tormentas solares, según detalló la empresa en un comunicado.
En la carga del Konotori IV también se incluye comida para los astronautas, y otros equipos destinados al módulo experimental japonés Kibo que hay a bordo de la EEI.
La hamburguesa más cara del mundo: 250.000 euros de células madre
Científicos holandeses presentaron hoy en Londres la primera hamburguesa creada y desarrollada artificialmente en un laboratorio a partir de células madre vacunas. La revolucionaria hamburguesa se degustó en una rueda de prensa en Londres que sirvió para presentar el avance y explicar cómo el grupo de expertos liderados por Mark Post, de la Universidad de Maastrich, sacó adelante este proyecto, que ha costado casi 250.000 euros aportados por Sergey Brin, cofundador de Google.
A partir de células madre de vaca, los científicos consiguieron multiplicar sus muestras tras alimentar con nutrientes las células y acelerar su crecimiento mediante sustancias químicas.
Después de tres semanas de proceso continuado, obtuvieron más de un millón de células madre que fueron apartadas en pequeños recipientes donde se fusionaron hasta formar minúsculas tiras de músculo, de aproximadamente un centímetro de largo y varios milímetros de ancho.
Una vez conseguidas 20.000 de estas tiras, se congelaron para más tarde pasarlas a temperatura ambiente y convertirlas en una masa compacta de hamburguesa que puede ser cocinada y en cuya elaboración participan decenas de millones de células madre, según el profesor Post.
En rueda de prensa en Londres, los científicos advirtieron sin embargo de que aún se trabaja para darle un aspecto más auténtico, puesto que la carne procedente del laboratorio es blanca y su sabor todavía "no es lo bastante bueno", en palabras del jefe de equipo.
Los expertos apuntaron, además, que el desarrollo de esta nueva técnica podría convertirse en una buena solución a la escasez alimentaria de carne en un futuro, además de suponer una alternativa viable para los colectivos contrarios al consumo de carne por el sufrimiento que padecen los animales.
A partir de células madre de vaca, los científicos consiguieron multiplicar sus muestras tras alimentar con nutrientes las células y acelerar su crecimiento mediante sustancias químicas.
Después de tres semanas de proceso continuado, obtuvieron más de un millón de células madre que fueron apartadas en pequeños recipientes donde se fusionaron hasta formar minúsculas tiras de músculo, de aproximadamente un centímetro de largo y varios milímetros de ancho.
Una vez conseguidas 20.000 de estas tiras, se congelaron para más tarde pasarlas a temperatura ambiente y convertirlas en una masa compacta de hamburguesa que puede ser cocinada y en cuya elaboración participan decenas de millones de células madre, según el profesor Post.
En rueda de prensa en Londres, los científicos advirtieron sin embargo de que aún se trabaja para darle un aspecto más auténtico, puesto que la carne procedente del laboratorio es blanca y su sabor todavía "no es lo bastante bueno", en palabras del jefe de equipo.
Los expertos apuntaron, además, que el desarrollo de esta nueva técnica podría convertirse en una buena solución a la escasez alimentaria de carne en un futuro, además de suponer una alternativa viable para los colectivos contrarios al consumo de carne por el sufrimiento que padecen los animales.
Suscribirse a:
Entradas (Atom)