Por @Alvy — 15 de Diciembre de 2017

Ethereum app platform

Unos atracadores han sido detenidos tras robar casi dos millones de dólares en criptodivisas en Nueva York. Pero no son crackers de guante blanco, no. Han utilizado el método más viejo del mundo:

Armed robbers steal $1.8 million worth of cryptocurrency – El fiscal del distrito de Manhattan ha acusado a un hombre de robo y secuestro después de que se hiciera con una billetera digital que contenía una fortuna en Ethereum, una criptodivisa. El detenido y un cómplice asaltaron presuntamente a la víctima a punta de pistola tras llevarle a un coche . Allí le robaron la cartera, las llaves de casa y el teléfono móvil. Se fueron al apartamento de la víctima y salieron de allí con su wallet o «billetera digital». Poco después transfirieron 1,8 millones en Ethereum a su propia cuenta.

Tal y como está redactada la noticia no queda muy claro si los ladrones crackearon mediante algún tipo de criptoanálisis el dispositivo digital en donde estaban guardadas los Ethereum (o conocían de antemano la contraseña de otras formas) o bien si utilizaron el muy efectivo criptoanálisis de la manguera de goma («te vamos a moler a palos con una manguera de goma hasta que cooperes y nos digas la contraseña»).

El hecho es que este tipo de robos –con violencia o sin ella– puede ser un aviso de que los robos de criptodivisas van a ir en aumento. Más que nada porque las cifras comienzan a ser astronómicas – y hay quien puede creer que el crimen compensa. Pero no se van a producir sólo en los exchanges (casas de cambio) o mediante crackeos de servicios en Internet: también ha habido y habrá crackeos de ordenadores particulares mediante todo tipo de técnicas, software malicioso especialmente. Y naturalmente también mediante ingeniería social o métodos de la más vieja escuela, como este. Manguera de goma incluida.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 7 de Diciembre de 2017

CD57

En Shoteby’s han sacado a subasta esta Hagelin CD-57, una antigua máquina de cifrado suiza que data de 1957 y utiliza rotores para el cifrado y descifrado de los mensajes secretos. Este tipo de máquinas era «lo más» en criptografía a mediados del siglo XX. El precio de esta preciosidad de museo es de unos 3.000 euros.

En la CD-57 se configuraba una clave en uno de los grupos de rotores y al ir girando el otro iban surgiendo las equivalencias. El alfabeto era únicamente A‑Z, de modo que las palabras habían de separarse por el contexto y las cifras escribirse como números. En el Crypto Museum tienen una amplia explicación sobre el funcionamiento detallado de la CD-57 y sus variantes.

Aunque el modelo CD-57 era vulnerable a los ataques de los criptoanalistas más sagaces se podía reconvertir cambiando unas piezas en el modelo CD-57(RT), que era prácticamente invulnerable. El (RT) utilizaba un cifrado de libreta de un solo uso, una larga cinta de caracteres aleatorios que usaban tanto emisor como receptor para encriptar los mensajes. El único problema en ese método –que en ocasiones no era baladí– era generar los caracteres aleatorios con garantía y luego hacer llegar físicamente con seguridad la cinta del cifrado de un lugar a otro.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por Nacho Palou — 17 de Noviembre de 2017

Transavia Airlines Boeing 757 2K2 Wedelstaedt

Según la publicación Avionics, un grupo de formado por miembros del gobierno, personal de la industria de la aviación e investigadores han logrado demostrar que es posible tomar el control de un avión comercial a distancia. En concreto, “hackearon” un Boeing 757 que permanecía en tierra,

Compramos el avión el 19 de septiembre de 2016. Dos días después ya había logrado penetrar en sus sistema de forma remota y sin ayuda desde el avión”, dice Robert Hickey, gerente del programa de aviación de la División de Seguridad Cibernética del DHS [Department of Homeland Security].

“Esto significa que nadie había tocando el avión, no se había modificado desde el interior.” Hickey dijo que los detalles son clasificados, pero confirma que accedieron a la aviónica de la aeronave a través de los sistemas de comunicaciones de radio. Añade que utilizando la configuración RF de la mayoría de los aviones comerciales, ”es bastante rápido entrar hasta donde nosotros llegamos” dentro de los sistemas del avión.

Eso sí, por “la mayoría de los aviones comerciales” Hickey se refiere a aviones más bien antiguos. El Boeing 757 es un avión de 1983 que utiliza un sistema RF que ya se considera obsoleto y está en desuso en los aviones modernos. En cambio, los modelos más recientes están diseñados teniendo muy presente el factor de la seguridad y los riesgos que suponen esas amenazas. “Pero los aviones antiguos, que todavía constituyen más del 90 por ciento de los aviones comerciales en servicio, no cuentan con esas protecciones.”

Fotografía (GFDL) Konstantin von Wedelstaedt.

Vía The State of Security.

Relacionado,

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 30 de Octubre de 2017

Trezor

Aprovechando que estamos en época de Halloween e historias de terror, nuestro admirado Mark Frauenfelder nos deja en Wired un historia de miedo digital del bueno: Olvidé mi PIN: una historia épica sobre la pérdida de 30.000 dólares en bitcoin. Y es que aunque seas un veterano en esto de la tecnología, tengas los mejores medios y las ideas bien claras Murphy siempre está presente y lo que pueda salir mal, saldrá mal.

En el caso de Frauenfelder –y no haré spoiler– la historia va de cómo a principios de 2016 compró 3.000 dólares en bitcoin y los guardó en un Trezor, un dispositivo USB que actúa como «cartera digital». Los bitcoins se protegen mediante una 24 palabras aleatorias (que genera el software) y un PIN (que elige el usuario). Mark apuntó las palabras y las guardó en un papel –que se perdió de forma irremisible por accidente– y se inventó un PIN numérico, diferente pero similar de los que suele usar… Pero lo olvidó.

El relato es una especie de diario de cómo el desastre fue de mal en peor; de cómo los diferentes intentos de recuperar el PIN «probando y probando» solo hicieron que cada vez hubiera que esperar el doble de tiempo entre intentos… Lo cual paso pronto de ser de unos segundos a minutos, de minutos a horas y con perspectivas de covertirse en semanas, meses o años entre intentos. Sudor frío.

Mientras tanto con cotización de sus 7,5 bitcoins se elevababa. Pasaron de valer 3.000 a 30.000 dólares al cabo de algo más de un año, pero al no poder acceder a ellos nada se podía hacer con ellos.

La última parte del relato es sin duda la más épica, con la búsqueda de todo tipo de alternativas ingeniosas, incluyendo la hipnosis y diversos trucos psicológicos para recordar el PIN y también técnicas hackeriles, con algunos giros inesperados en la historia hasta la conclusión – que no desvelo porque sería como contar el final de un episodio de Black Mirror. Si te interesa, tendrás que leerlo en Wired.

Compartir en Flipboard  Compartir en Facebook  Tuitear