Por @Wicho — 19 de Diciembre de 2016

La gente de la empresa de seguridad Promon enseña en este vídeo lo fácil que es hacerse con el control de un Tesla y llevárselo debido a los fallos de seguridad y a lo confiados y avariciosos que son los usuarios.

Para ello montan una wifi abierta que se hace pasar por la de un local determinado y, a través de ella, ofrecen una hamburguesa gratis a cambio de instalarse la aplicación del local en cuestión. Aprovechándose de fallos de seguridad de Android esa aplicación modifica a su vez la aplicación de Tesla –que también tiene sus fallos al no detectar que ha sido modificada y almacenar la información OAuth sin cifrar– y le envía al portátil del «maloso» el nombre de usuario y la clave del coche.

Con esa información puede averiguar a la posición del coche, acercarse a él, y en segundos abrir la puerta del coche, activar el modo de funcionamiento sin llave, y llevárselo. Van bastante más allá que los chicos de Keen Security Lab, que hace unos meses ya demostraron cómo tomar el control parcial de un Tesla S, aunque usando otro fallo de seguridad distinto.

En este caso el «dueño» del coche colabora voluntariamente en el experimento bajándose e instalando la aplicación, pero lo malo es que no usan técnicas hipersofisticadas y que los usuarios somos así: tendemos a fiarnos de cualquier wifi abierta que pillamos por ahí, a probar aplicaciones –y más si regalan cosas–.

Los detalles están en Updates and precisions on the Tesla hack.

Y con cada vez más cacharros conectados a la Intenet de las cosas esa, ya tardamos en tomarnos, tanto usuarios como fabricantes, las cosas un poco más en serio.

(Vía Paloma Llaneza).

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Wicho — 15 de Diciembre de 2016

Ooops! The did it again!

Por si no había tenido suficiente con los más de 500 millones de cuentas comprometidas en un ataque reconocido en septiembre de 2016, Yahoo acaba de reconocer que de nuevo les han mangado los datos de más de mil millones de cuentas en lo que parece ser otro ataque distinto.

Según cuentan en Important Security Information for Yahoo Users se dieron cuenta de esto cuando en noviembre de 2016 llegaron a sus manos datos que se suponía que eran de usuarios suyos y tras analizarlos comprobaron que efectivamente era así. Y que el robo se produjo en agosto de 2013.

Información que puede haber sido robada: nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hasheadas con MD5, y, en algunos casos preguntas y respuestas de seguridad, cifradas o no.

Dicen que la información robada no incluye claves sin cifrar, datos de tarjetas de crédito, o datos de cuentas bancarias… Pero básicamente porque esos datos se almacenan en otro sistema distinto al que fue crackeado.

Parece ser que el método utilizado por los malos fue el de crear cookies falsas tras conseguir el acceso al código supuestamente secreto de Yahoo que las genera, lo que les permitió acceder a los datos de los usuarios afectados sin necesidad de su clave.

Yahoo está avisando a los usuarios afectados, y les va a obligar a cambiar sus claves y preguntas de seguridad; también les sugiere usar la Clave de cuenta de Yahoo. En cuanto al método de ataque, han revisado el asunto de las cookies para reducir el riesgo de que vuelva a funcionar.

Y de paso recuerda algunas medidas elementales de seguridad que yo diría que hay quetener siempre en mente más allá de Yahoo propiamente dicho y de este ataque en concreto:

  • Cambia las claves y preguntas de seguridad en otras cuentas en las que hayas usado las mismas u otras similares a las que tenías en Yahoo (muy mala idea esto de reutilizar claves e información de seguridad, seas usuario de Yahoo o no).
  • Echa un ojo a todas tus cuentas por si ves cosas raras.
  • Ten mucho cuidado de cualquier tipo de comunicación no solicitada –ya sean correos electrónicos, llamadas, etc– que te pida información personal o que te envíe a una web que lo haga.
  • Evita hacer clic en enlaces o descargar archivos adjuntos que vengan en correos electrónicos sospechosos (como por ejemplo de bancos o servicios de los que no eres cliente)

Justo el tipo de noticias que le viene bien a Yahoo ahora.

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 13 de Diciembre de 2016

Desat me serv gmail

Normalmente para registrarse en sitios y servicios de internet hay que “entregar a cambio” la dirección de correo electrónico. Y es muy habitual que con el paso del tiempo la lista de sitios de internet en los cuales se está registrado crezca (con tendencia al infinito), acumulando servicios que ya no se utilizan o necesitan pero en los cuales el registro sigue activo.

La aplicación web Deseat.me facilita conocer en qué servicios se utilizó la cuenta personal de Gmail para el registro, y de todos ellos elegir de cuáles darse de baja. Después de identificarse en Deseat.me con la cuenta de Gmail (¡un registro más!) la aplicación revisa el buzón buscando cuentas de registro (siempre que los mails de registro, bienvenida o boletines periódicos sigan en el buzón). Cuando termina de hacer sus cosas Deseat.me muestra una lista con los sitios que ha detectado, y para cada uno de ellos ofrece la opción de darse de baja o de mantener la suscripción.

Dependiendo del servicio que sea en algunos será posible anular la suscripción directamente desde Deseat.me; en otros, en cambio, será necesario completar la baja accediendo al sitio en cuestión. Eso sí, antes de darse de baja conviene revisar si en algún servicio hay datos que se desean revisar o salvar antes de pulsar el botón rojo.

Vía LifeHacker.

Compartir en Flipboard  Compartir en Facebook  Tuitear