Categoría: Seguridad

Por @Alvy — 24 de Marzo de 2015

Mundo Hacker Day 2015

Dentro de un mes, los días 28 y 29 de abril, se celebrará en Madrid el evento Mundo Hacker Day 2015, que reunirá a unos 1.500 expertos en seguridad de todo el mundo. Explorando el universo de la seguridad, los hackers y los crackers y las cambiantes definiciones sobre sus actividades.

Entre otras cuestiones han anunciado que se tratarán cuestiones relacionadas con la NSA, SnapChat, las Smart TV Samsung así como la seguridad del wifi, Whatsapp yagujeros de los diferentes sistemas operativos.

Compartir en Facebook  Tuitear
Por Nacho Palou — 23 de Marzo de 2015

No soy un experto, pero diría que este método para tomar el control de un ordenador o para robar información contenida en un ordenador que no está conectado a Internet no parece muy práctico, aunque sí resulta muy curioso.

En Wired, Stealing Data From Computers Using Heat,

Investigadores de la Universidad Ben Gurion en Israel han logrado extraer información de un ordenador que no está conectado a ninguna red utilizando únicamente emisiones de calor y los sensores térmicos que hay en los ordenadores. El método permitiría capturar contraseñas o claves y transmitirlas a un ordenador cercano que sí esté conectado, el cual puede incluso tomar el control del primero.

En el vídeo se puede ver una demostración del método probado: el ordenador de la izquierda (en el vídeo) ejecuta código que provoca variaciones en su temperatura de funcionamiento a modo de ‘codificación física’ para comandos informáticos (a más exigencia de cálculo y procesamiento más calor disiparán la CPU y otros componentes, como la tarjeta gráfica).

Estas variaciones de temperatura provocadas en uno de los ordenadores son captadas por los sensores térmicos de otro ordenador cercano (a la derecha en el vídeo) que atiende y responde a esos comandos maliciosos.

Para que el método funcione ambos ordenadores deben haber sido previamente comprometidos recibiendo algún tipo de software con este propósito. Y además —al menos por ahora— ambos ordenadores deben estar lo suficientemente cerca, a no más de 40 cm de distancia. Ah, también hay que tener paciencia infinita dado que la velocidad de transmisión de los datos es de unos 8 bits por hora. El vídeo se reproduce a velocidad x16.

En el vídeo, se supone, la plataforma lanzamisiles de juguete conectada por USB a uno de los ordenadores se controla en realidad desde el otro ordenador, el cual emite a través del aire y en forma de variaciones de temperatura los comandos con las órdenes para apuntar y finalmente disparar el misil.

Compartir en Facebook  Tuitear
Por @Alvy — 19 de Marzo de 2015

IP Box / iPhone

Me crucé con esta descripción / aviso de seguridad sobre un curioso hackeo de los dispositivos iOS, que básicamente permite adivinar el PIN a base de ir probando todos los números de cuatro dígitos pacientemente.

El cacharro se llama IP Box y es como los que utilizan en las tiendas de reparaciones. Basta desmontar la pantalla de un iPhone y conectarlo en los lugares adecuados para que comience a probar todos los números: 0000, 0001, 0002… Una caja con leds rojos muestra el avance de los números en cuestión.

Pero, ¿qué pasa con aquello de «a los diez intentos el terminal queda bloqueado»? Aquí viene la parte ingeniosa: el chisme corta bruscamente la alimentación del iPhone si el intento es fallido y esto evita que se pueda actualizar la memoria flash del teléfono. De modo que el «intento» no queda registrado, el iOS arranca de nuevo y a probar el siguiente número.

El proceso es lento (unos 40 segundos por intento) pero seguro: en unas 111 horas –cuatro días y medio– se puede recuperar el PIN de un iPhone. Un método raro, lento y primitivo, pero que sin duda puede tener sus aplicaciones. Las pruebas las ha realizado la gente de MDSec con un iPhone y iOS 8.1; está por ver si también funciona en 8.2. Y está claro que una vez publicada la historia Apple incluirá un parche en siguientes versiones para evitar esta vulnerabilidad de algún modo.

Hay más detalles técnicos en Apple iOS Hardware Assisted Screenlock Bruteforce, que incluye un vídeo de IP Box funcionando, para hacerse una idea del montaje, aunque tampoco muestra gran cosa.

(Vía jwz.)

Compartir en Facebook  Tuitear
Por @Alvy — 4 de Marzo de 2015

Mañana se estrena esta nueva serie de la Fox de la franquicia CSI (Crime Scene Investigation), en este caso situada en la darknet y la web profunda. Seamos claro: o la amaremos o la odiaremos, porque tiene el típico problema de que puede caer en los tópicos absurdos y los detalles «incorrectos» o bien lograr superar esas dificultades narrativas y sumergirnos en un mundo de fantasía, investigación y entretenimiento digital del bueno.

Como puntos a favor podemos hablar de la sofisticación y cuidada documentación tradicional de CSI, que suele emplear expertos hasta para los más pequeños detalles científicos; la espléndida Patricia Arquette (Medium, Boyhood, True Romance) como protagonista o que su formación en la ficción es de ciber-psicóloga (toma ya).

Como puntos chungos realmente temibles para los aficionados al tema estaría para empezar el incorrecto uso de «hackeo» para referirse a la «maldad» o el detalle con el que los fans mirarán cada pantalla de cada ordenador y cada smartphone para comprobar que lo que teclean es correcto/adecuado/realista aunque la probabilidad de que esto suceda sea del 0,01%.

¡Palomitas y a relajarse!

Compartir en Facebook  Tuitear

Anteriormente, en la categoría Seguridad