Tag: Hackeo
La Ciencia Ficción Se Vuelve Realidad: Impresionantes Avances Del 2012
Vivimos en un tiempo muy interesante en la historia humana. Con la explosión del desarrollo tecnológico en las últimas décadas, cada año más y más tecnologías que fueron consideradas ciencia ficción cobran vida, haciéndonos soñar lo que el futuro nos depara. Desde implantes oculares y brazos robóticos controlados con la mente, hasta la posibilidad de imprimir una casa, este año tuvimos avances muy interesantes.
- Implantes de ojos le dan visión a ciegos
Implante que permite a ciegos ver Dos hombres ciegos en el Reino Unido fueron provistos con implantes oculares durante una cirugía de ocho horas con resultados prometedores. Después de años de ceguera, ambos han recuperado visión “útil” en solo semanas, capturando los bordes de objetos y soñando en color. Los doctores esperan una mejora continua conforme sus cerebros se reconectan para la visión.Fuente: telegraph.co.uk
- La NASA comienza a utilizar exoesqueletos
Exoesqueleto de la NASA El Exoesqueleto robótico X1 pesa 23 kilos y contiene cuatro articulaciones motorizadas con seis pasivas. Con dos configuraciones, puede ya sea dificultar el movimiento, lo que le permitiría a los astronautas ejercitar en el espacio, o mejorar el movimiento, asistiendo a parapléjicos a caminar.Fuente: news.cnet.com
- Usando la mente para controlar un brazo robótico
Brazo robótico controlado por la mente En la Universidad de Pittsburgh, el departamento de neurobiología trabajó con Jan Scheuermann durante el transcurso de 13 semanas para crear un brazo robótico controlado solo por el poder de la mente de Scheuermann.El equipo implantó en ella dos microelectrodos intracorticales de 96 canales. Ubicados en la corteza motora, que controla todos los movimientos de extremidades, el proceso de integración fue más rápido de lo que todos esperaban. Al segundo día, Jan podía usar su nuevo brazo en un espacio tridimensional. Al final de las 13 semanas, era capaz de realizar tareas complejas con movimiento en siete dimensiones, igual que un brazo biológico.
Fuente: gizmodo.com
- Imprimiendo casas con una impresora tridimensional
Casa creada por impresora tridimensional La impresora en forma de “D”, creada por Enrico Dini, es capaz de imprimir un edificio de dos pisos, completo con cuartos, escaleras, tuberías y particiones. Usando nada más que arena y un compuesto orgánico para unirla, el material resultante tiene la misma durabilidad del concreto reforzado con una apariencia de mármol. El proceso de construcción se lleva aproximadamente un cuarto del tiempo de los edificios tradicionales, mientras que se ajuste a estructuras redondeadas, y puede ser construido sin conocimientos o habilidades especializadas.Fuente: gizmag.com
- El Bosón de Higgs fue encontrado
Bosón de Higgs encontrado Durante el verano, el centro de investigación multinacional CERN confirmó que había descubierto una partícula que se comportaba lo suficiente como lo esperado del Bosón de Higgs como para darle el nombre. Para los científicos, esto significa que puede haber un campo de Higgs, similar a un campo electromagnético. A su vez, esto podría darle a los científicos la habilidad de interactuar con la masa de la misma forma que interactuamos con los campos magnéticos.Fuente: forbes.com
- Piel en spray
Piel en Spray ReCell por Avista Medical es un gran avance médico para las víctimas de quemaduras severas. La tecnología utiliza una pieza de piel del tamaño de una estampilla del paciente, entonces la muestra es mezclada con una enzima cultivada de puercos y es aplicada de vuelta en el sitio quemado en forma de spray. Cada pequeño injerto se expande, cubriendo el espacio de una página de un libro dentro de una semana. Ya que la piel donada viene del mismo paciente, el riesgo de rechazo es mínimo.Fuente: news.discovery.com
- ADN fotografiado por primera vez
Fotografía de ADN Usando un microscópio de electrones, Enzo di Fabrizio y su equipo en el Instituto Italiano de Tecnología en Genoa tomaron las primeras fotos de la famosa doble hélice.Fuente: newscientist.com
- Voyager I abandona el sistema solar
Voyager I Lanzado en 1977, el Voyager I es el primer objeto hecho por el hombre en volar más allá de los confines de nuestro sistema solar hacía la oscuridad del espacio profundo. Fue originalmente diseñado para enviar a casa imágenes de Saturno y Júpiter, pero los científicos de la NASA se dieron cuenta de que eventualmente la sonda podría flotar hacia el gran desconocido. Con ese propósito, una grabación fue colocada en el Voyager I con sonidos que van desde música hasta los llamados de ballenas, y saludos en 55 lenguajes.Fuente: space.com
- Quijada implantada fue creada con impresora tridimensional
Quijada creada con impresora tridimensional Una quijada personalizada fue creada para un paciente de 83 años utilizando polvo de titanio y recubrimiento biocerámico. La exitosa cirugía, primera de este tipo, abre la puerta a reemplazos óseos personalizados y, quizá un día, la habilidad de imprimir nuevos músculos y órganos.Fuente: telegraph.co.uk
- El cerebro humano fue hackeado
Dispositivo que lee ondas cerebrales Usenix Security puso a un equipo de investigadores a que usaran tecnología ampliamente disponible para mostrar cuan vulnerable es realmente el cerebro humano. Con una diadema equipada para obtener electroencefalografías y el software para encontrar lo que las neuronas activándose están intentando hacer, busca picos en actividad cerebral cuando el usuario reconoce algo como un número del PIN de un cajero automático o la cara de un niño.Fuente: extremetech.com
Frustrando a los atacantes más inteligentes
Hackers astutos pueden robar los secretos de una computadora midiendo el tiempo que tardan las transacciones de almacenamiento de datos o midiendo su consumo de energía. Nueva investigación muestra como detenerlos.
Larry Hardesty, MIT News Office. Original (en inglés).
En los últimos 10 años, investigadores de criptografía han demostrado que aún la computadora aparentemente más segura es espantosamente vulnerable a un ataque. El tiempo que le toma a una computadora guardar datos en memoria, fluctuaciones en su consumo de energía e incluso ruidos que emite pueden traicionar y dar la información para un asaltante astuto.
Ataques que usan dichas fuentes indirectas de información son llamados ataques de canal alterno, y el alza en popularidad de la computación en la nube los hace una amenaza aún mayor. Un atacante tendría que estar muy motivado para instalar un dispositivo en tu pared para medir el consumo de energía de tu computadora. Pero comparativamente es más fácil cargar un poco de código en un servidor en la nube para escuchar otras aplicaciones que está ejecutando.
Afortunadamente, mientras que ellos han estado investigando ataques de canal alterno, los criptógrafos también han estado investigando maneras de detenerlos. Shafi Goldwasser, la profesora de Ingeniería Eléctrica y Ciencia Computacional en el MIT (Massachusetts Institute of Technology – Instituto Tecnológico de Massachusetts), y su antiguo estudiande Guy Rothblum, quien es ahora un investigador en Microsoft Research, recientemente publicaron un largo reporte en el sitio web de Electronic Colloquium on Computational Complexity (Coloquio Electrónico sobre Complejidad Computacional), describiendo un acercamiento general para mitigar ataques de canal alterno. En el Simposio sobre la Teoría de la Computación (STOC – Symposium on Theory of Computing) de la Asociación para la Maquinaria Computacional en mayo, Goldwasser y sus colegas presentarán un artículo demostrando como la técnica que ella desarrolló con Rothblum puede ser adaptada para proteger información procesada en servidores web.
Adicionalmente a prevenir ataques en información privada, dice Goldwasser, la técnica también podría proteger dispositivos que usan algoritmos propietarios para que no se pueda usar la ingeniería inversa por piratas o competidores en el mercado – una aplicación que ella, Rothblum y otros describieron en la conferencia AsiaCrypt del año pasado.
Hoy en día, cuando una computadora personal está en uso, usualmente está ejecutando programas múltiples – dice, un procesador de palabras, un navegador, un visor de archivos PDF, quizá un programa de correos u hojas de cálculo. Todos los programas están almacenando datos en la memoria, pero el sistema operativo de la laptop no permite que ningún programa vea los datos almacenados por otro. Los sistemas operativos funcionando en servidores en la nube no son diferentes, pero un programa malicioso podría lanzar un ataque de canal alterno simplemente enviando sus propios datos a la memoria una y otra vez. Por el tiempo que toma el almacenamiento y la recuperación de datos, podría inferir lo que otros programas están haciendo con precisión sorprendente.
La técnica de Goldwasser y Rothblum oscurece los detalles computacionales de un programa, ya sea que esté ejecutándose en una laptop o un servidor. Su sistema convierte un cálculo dado en una secuencia de módulos computacionales más pequeños. Los datos alimentados al primer módulo son cifrados, y en ningún punto durante la ejecución del módulo son descifrados. La salida todavía cifrada del primer módulo es alimentada al segundo módulo, que la cifra en una manera diferente, y así sucesivamente.
Las formas de cifrado y los módulos están diseñados para que la salida del módulo final sea exactamente la salida de la computación original. Pero las operaciones realizadas por los módulos individuales son enteramente diferentes. Un atacante de canal alterno podría extraer información sobre como los datos en cualquier módulo dado son cifrados, pero eso no le permitirá deducir cual es la secuencia de módulos completa. “El adversario puede tomar mediciones de cada módulo”, dice Goldwasser, “pero no podrán aprender nada más de lo que podrían de una caja negra.”
El reporte por Goldwasser y Rothblum describe un tipo de compilador, un programa que toma código escrito en una forma inteligible a los humanos y lo convierte en un set de instrucciones de bajo nivel inteligibles a una computadora. Ahí, los módulos computacionales son una abstracción: La instrucción que inaugura un nuevo módulo no se ve diferente de la instrucción que concluyó el último. Pero en el artículo de STOC, los módulos son ejecutados en diferentes servidores en una red.
De acuerdo a Nigel Smart, un profesor de criptología en el departamento de ciencia computacional en la Universidad de Bristol en Inglaterra, el peligro de los ataques de canal alterno “ha sido conocido desde finales de los 90”.
“Se hizo mucha ingeniería para tratar de prevenir que esto fuera un problema”, dice Smart, “una enorme cantidad de trabajo de ingeniería. Eso es mucho dinero en la industria”. Mucho de ese trabajo, sin embargo, se ha basado en prueba y error, dice Smart. El estudio de Goldwasser y Rothblum, por otro lado, “es un estudio con muchas más bases, analizando preguntas básicas y profundas sobre que es posible”.
Además, dice Smart, trabajo previo en ataques de canal alterno tendían a enfocarse en la amenaza impuesta a dispositivos móviles, como celulares y tarjetas inteligentes. “Me parece que lo más probable que ocurra en el futuro es lo que se habla sobre servidores”, dice Smart. “No se de nadie fuera del MIT que esté estudiando eso”.
Smart advierte, sin embargo, que el trabajo de GoldWasser y sus colegas es improbable que se convierta en aplicaciones prácticas en el futuro cercano. “En seguridad, y especialmente en criptografía, toma un largo tiempo pasar de una idea académica a algo que realmente sea utilizado en el mundo real”, dice Smart. “Están estudiando lo que podría ser posible en un tiempo de 10 o 20 años”.
Reimpreso con permiso de MIT News.
Fuente
http://web.mit.edu/ (en inglés)
Televisores de Samsung pueden ser hackeados para reiniciarse solos infinitamente
Luigi Auriemma, un investigador de seguridad italiano, descubrió dos vulnerabilidades en todas las versiones actuales de televisores Samsung y sistemas de Blue-ray que podrían permitir a un atacante ganar acceso remoto a esos dispositivos. Auriemma dice que el protocolo vulnerable se encuentra tanto en televisores como en dispositivos que permiten Blue-ray.
Una de las vulnerabilidades lleva a un ciclo de reinicios infinitos, mientras que el otro podría causar un desbordamiento de búfer. Este último tiene el potencial de permitir ejecutar cualquier código en los sistemas afectados. Para explotar las vulnerabilidades solo es necesario que los dispositivos se conecten a una red wi-fi.
Las vulnerabilidades fueron probadas en televisores d6000 y d6050, pero es posible que todos los televisores de la serie d6xxx sean vulnerables.
Más información
https://threatpost.com/ (en inglés)
Adolescente de 15 años arrestado por hackear 259 compañías
La policía de Austria arrestó a un estudiante de 15 años sospechoso de hackear 259 compañías en un período de tres meses. Autoridades argumentan que el sospechoso escaneó Internet buscando vulnerabilidades y errores de seguridad en sitios web y bases de datos que pudiera explotar.
Tan pronto como fue cuestionado, el adolescente confesó los ataques, de acuerdo a la Oficina de la Policía Criminal Federal de Austria (BMI). El adolescente robó datos y los hizo públicos, además de alterar muchos sitios web de compañías y presumir sus logros en Twitter.
El software usado para el anonimato le falló al adolescente, quien usaba el apodo de ACK!3STX, y su dirección de IP fue visible a la policía, quien pudo rastrearlo hasta su dirección.
Más información
https://www.zdnet.com/ (en inglés)
Stratfor hackeado, lista de clientes publicada
El grupo Anonymous reveló que no solo hackeó el sitio web de Stratfor, una compañía global de inteligencia, sino que también obtuvo la lista completa de clientes compuesta por más de 4,000 individuos y corporaciones, incluyendo sus tarjetas de crédito (las que supuestamente han sido utilizadas para hacer más de un millón en donaciones), así como más de 200GB de correos electrónicos.
La hasta ahora secreta lista de clientes de Stratfor se puede encontrar en http://pastebin.com/8MtFze0s. En ella se encuentran conocidas agencias de inteligencia, de manejo de capital como Goldman Sachs y la Fundación Rockefeller, Bancos, y grandes compañías, muchas de ellas integrantes de la lista anual de las 500 compañías más grandes que compila la revista Fortune.
Fuente:
www.zerohedge.com (en inglés)
Red de Desarrolladores de Software de China hackeada, los datos de 6 millones de usuarios fueron filtrados
La CSDN (Chinese Software Developers Network – Red de Desarrolladores de Software de China), operada por Bailian Midami Digital Technology Co., Ltd., es una de las más grandes redes de desarrolladores de software en China. Un archivo de texto con la información de más de 6 millones de usuarios de la red, incluyendo nombres de usuario, correos, y una buena parte de las contraseñas en texto plano, fue filtrada a Internet.
CSDN escribió una carta de disculpa a los usuarios, pidiéndoles que cambien sus contraseñas del sitio. Anteriormente a Abril del 2009 las contraseñas no eran cifradas en la base de datos. Con esto no está por demás la recomendación de siempre cifrar las contraseñas en las bases de datos. De esta manera si una base de datos es filtrada, las cuentas dentro del sitio no son expuestas (nota del autor: y justamente escribo una guía sobre el uso de cifrado y salts para proteger esto).
Del análisis de estos datos filtrados se pueden obtener interesantes datos, como las contraseñas más utilizadas, una lista de estás fue publicada en github. Además se publico una lista de los 100 proveedores de correo más utilizados por los desarrolladores Chinos.
Al ver las tres contraseñas más utilizadas y el número de usuarios que las utilizaron, podemos darnos una idea del por que tantas cuentas de usuarios son hackeadas todo el tiempo, estás son contraseñas de desarrolladores de software, gente que por lo general tiene una mejor noción de la seguridad informática y de las computadoras en general, es difícil imaginar los números de gente que no trabaja en este medio.
Las tres contraseñas más utilizadas:
‘123456789’ por 235039 usuarios.
‘12345678’ por 212761 usuarios.
‘11111111’ por 76348 usuarios.
Usuarios que utilizan alguna de estas tres contraseñas: 524,148
Porcentaje de usuarios de la red cuyas cuentas podrías ser accedidas por alguna de estas tres contraseñas: 8.7%
El punto es, no utilicen estás contraseñas si no quieren tener un alto riesgo de perder sus cuentas. Como XKCD ilustró, es mejor utilizar una frase como contraseña, si esto es permitido, que 8 letras/números/símbolos, no importa que sea una combinación de estos.
Referencias y vínculos relacionados:
Disculpa a los usuarios de CSDN (en chino)
Las 100 contraseñas mús utilizadas
Los 100 proveedores de correo más utilizados (en inglés)
Fortaleza de las contraseñas (XKCD) (en inglés)
Archivo Filtrado (vínculo de descarga, 104.8 MiB)
Investigador muestra como hacerse amigo de quien sea en Facebook en 24 horas
En la conferencia de seguridad Silver Bullet en São Paulo, el jefe de seguridad de UOLDiveo Nelson Novaes Neto mostró como utilizó LinkedIn, Amazon y Facebook para convencer a su objetivo, un experto en seguridad a quien el llamó “SecGirl”, de aceptar su petición de amistad por medio de ingeniería social.
Novaes creó una cuenta de Facebook fraudulenta, “clonando” la identidad de el jefe del objetivo. Entonces envió peticiones de amistad a los amigos de los amigos de la cuenta clonada, en total 432 personas. En tan solo una hora, 24 de estas peticiones fueron aceptadas, a pesar de que el 96 por ciento de estas personas ya tenía la cuenta legítima del manejador en su lista de contactos. Entonces prosiguió con los amigos directos del jefe, utilizando sus conexiones de LinkedIn, siendo aceptado por 14 de estos en una hora. Luego de 7 horas en el experimento, la petición de amistad desde su cuenta clonada fue aceptada por SecGirl.
Con la información obtenida al establecer una amistad con alguien, es posible, dijo Neto, apropiarse de una cuenta legítima de Facebook al utilizar el sistema de recuperación de contraseñas “Tres amigos de confianza”. A través de la herramienta de recuperación de contraseñas un hacker puede cambiar la contraseña y la dirección de contacto de la cuenta, y después utilizar la cuenta hackeada para hacer ataques de ingeniería social contra otras cuentas.
Fuente:
arstechnica.com (en inglés)
Empresa de energía francesa es multada por hackear a Greenpeace
Electricité de France (EDF), que utiliza reactores nucleares para generar la mayor parte de la electricidad de Francia, ha sido declarada culpable de acceso ilegal (hackeo) a los ordenadores de Greenpeace en 2006. EDF ha sido multada por €1,5 millones y pagarle a Greenpeace un medio millón de euros más, por lo cual el juez ha descrito como un “acto de espionaje a escala industrial en contra de Greenpeace”.
Más información (en inglés):
http://www.eweekeurope.co.uk
mysql.com hackeado, usado para servir malware
El sitio web mysql.com, hogar de la base de datos tan ampliamente utilizada en sitios web, fue hackeado.
Al sitio se le inyectó un iframe, el cual es un elemento del código HTML que permite mostrar el contenido de una página diferente como parte de la página siendo visitada. Esté iframe que le fue inyectado redirigía a los visitantes a un sitio donde se encontraba el kit para explotar vulnerabilidades llamado BlackHole.
BlackHole encuentra vulnerabilidades en el navegador, en sus agregados o en la plataforma que la persona que visita la página utiliza, y una vez encontrada una vulnerabilidad esta es explotada para instalarle el malware, el visitante no tiene más que visitar la página para infectarse.
Fuente:
www.net-security.org