Blog de Orlando Alonzo

Comentarios sobre tecnología, redes sociales y cosas como desarrollo de software, libros y películas.

Tag: hackeo (page 1 of 3)

Evita usar uno de estos 306 millones de passwords

Nube de contraseñas comunes

Si estás necesitado de nuevos passwords, ya tienes 306 millones de opciones menos para elegir uno; un experto en seguridad liberó una lista con esa cantidad de passwords, los cuales han sido extraidos de hackeos y otras violaciones de datos en la red, algunas de alto perfil y otras no tanto, pero a fin de cuentas contribuyen a engrosar listas como éstas. Independientemente de lo peligrosa que es una lista como la liberada, hay que ver el lado positivo: las empresas u organizaciones pueden comparar registros nuevos de empleados o usuarios con todos los millones de passwords almacenados, o bien para sensibilizar a las personas a que refuercen sus contraseñas, que muchas veces caen en palabras como ‘123456’ o ‘dios’ o más cosas simples, a pesar de que leemos y leemos casos al respecto, pero muchos jamás aprenden a darle el valor adecuado a esta sencilla cuestión de seguridad, hasta que se ven afectados por un hackeo, donde algunas veces llegan a perder parte de su información en los casos más extremos.

Si lo deseas, puedes descargar la base de datos de passwords como archivo 7z (7-Zip) de 5.3 GB, del cual se extrae un archivo de texto de 11.9 GB, el cual procesarás con la herramienta que desees. Vale la pena mencionar que si bien se puede descargar, esta base de datos sólo contiene hashes SHA1, de modo que no se afecte de más a las personas que hayan sido víctimas de estas filtraciones. Si bajas la base de datos, tendrás que calcular tu hash y buscarlo en la base de datos. Nada de texto plano.

Si lo deseas puedes consultar en línea si tus contraseñas han sido comprometidas, pero el mismo autor del sitio advierte que no lo aconseja, y mucho menos si es la contraseña que usas actualmente, pues no ofrece ninguna garantía, así que quedas advertido; puedes revisar tus contraseñas en este enlace.

Les aconsejo leer el post del autor de la base de datos, es bastante interesante e informativo.

Experto en seguridad hackea tarjetas SIM: 750 millones posibles afectados

Tarjetas SIM

Pasaron 20 años pero al fin lo hicieron; un experto en seguridad de nombre Karsten Nohl logró hackear tarjetas SIM y obtener su llave de encriptación DES de 56 bits, con tan sólo enviar un mensaje que suplanta la identidad el operador del teléfono. Una vez con la llave en mano, pueden hacer todo tipo de cosas, como por ejemplo instalar software que podría tomar control total del teléfono. Ahora bien, leyendo la entrada de Wikipedia sobre el tema “encriptación de 56 bit“, DES fue estándar en 1976, y ya en 1997 la RSA llevó a cabo una competencia para romper encriptación de 56 bits por fuerza bruta, resultando un ganador dentro de cuatro meses (ojo en el tiempo). En 1998, apenas un año después, se llevó a cabo un ataque de fuerza bruta contra una encriptación de 56 bits en apenas 56 horas; y desde 1999 esta encriptación ya es considerada obsoleta. De vuelta al hackeo, Nohl encontró que algo central en este problema podría ser JavaCard, un lenguaje de propósito general usado en unos seis mil millones de tarjetas SIM: muchas cosas se controlan a través de Java Card mediante mensajes binarios, y es aquí donde viene el problema: Nohl se percató que algunas veces, cuando enviaban mensajes a la SIM card, esta rechazaba el comando puesto que no tenía la firma criptográfica correcta, pero algunas otras retornaban un mensaje de error, junto con la firma criptográfica usada. ¡Lotería!

Así que Nohl tomó esto, aplicó tablas arcoiris, y en menos de un minuto había logrado crackear la tarjeta SIM. Para dimensionar bien la severidad de esto, esta llave es la que usan los carriers para programar un SIM, y es única a cada tarjeta. A partir de esto, se tiene control total del teléfono. Para acabarla, Nohl encontró también un error en el sandbox de Java Card, lo que aumenta el problema.

El investigador de seguridad apunta la responsabilidad hacia los vendedores de tarjetas SIM como Gemalto y Oberthur, quienes dicen que sus productos “usan el estado del arte en guías de seguridad aplicables“, y que se adentrarán en este hallazgo de Nohl junto con GSMA y otros grupos.

Así que, ¿cuántos afectados habrían en realidad? Nohl dice que de unos seis mil millones de móviles en uso actualmente, 50% todavía usan la encriptación DES. En una muestra de 1,000 SIMS probadas en dos años, un cuarto de ellas fueron vulnerables, algo así como 750 millones de dispositivos. Pero al final de todo, esto se traduce en un terrible problema de confianza: por ahora no se conocen los alcances reales de este hackeo, pues será presentado a finales de julio en las conferencias Black Hat, y ya veremos que tanto se puede hacer con este hack. Pero por lo pronto, no puedo pensar como vamos a confiar en cosas como los pagos en línea desde el móvil, que tanto problema han tenido en despegar.

Investigadores logran inyectar malware en iPhone a través del cargador

Cargador malicioso

Como si no hubieran ya suficientes formas de infectarse con malware, ahora investigadores de seguridad del Instituto de Tecnología de Georgia dicen haber logrado infectar un iPhone en apenas un minuto usando un cargador malicioso al que llaman Mactans. Dichos investigadores tuvieron éxito inyectando software arbitrario en hardware Apple actual, con el último sistema operativo, sin necesidad de tener jailbreak. Y construir el cargador que usaron no es demasiado caro, pues para hacerlo usaron una Beagleboard, una computadora empotrable que cuesta USD $45. Afortunadamente, los mismos investigadores ya contactaron a Apple para informarles del problema, que espero lo tomen en serio y reparen, y cuando menos aclaren que sucede.

Los hackers están ganando: ahora roban 50 millones de cuentas de LivingSocial

Logo de LivingSocial (versión hackeada)

Si necesitaban confirmación de que el modelo de seguridad actual no sirve, aquí la tienen; ahora le tocó el turno a LivingSocial, que tuvo una penetración donde poco más de 50 millones de sus usuarios pudieron verse afectados, a los cuales por cierto ya se les notificó que cambien su password. Hay dos cosas positivas en este hackeo que hacen que no sea tan malo: la primera es que los passwords almacenados por LivingSocial estaban encriptados y salteados, lo que hace mucho más difícil poder usarlos, y la segunda es que la información de tarjetas de crédito se almacena en otros servidores por separado, así que si bien se llevaron información de cuentas, cuando menos no se llevaron la información de las tarjetas. Pero aquí el problema es que, como he dicho antes, cada robo de cuentas pasa a engrosar las listas de los delincuentes digitales, que cada vez cuentan con más hashes de passwords, correos y nombres de usuario, facilitando su trabajo. Esto, en conjunto con malas prácticas de los usuarios, como por ejemplo usar el mismo password en todos los sitios, complican el escenario.

En cualquiera de estos escenarios la cosa no es ver como parchar los esquemas tradicionales de seguridad, que a todas luces no funcionan. Es decir, teclea un nombre de usuario y un password, lo encripto y lo guardo; cuando regreses te los pregunto de nuevo, comparo si son los mismos hashes y de ser así, bienvenido. Esto ya no funciona, y creo que en un futuro cercano cualquier empresa grande que tenga presencia en línea que siga empecinada en manejar este esquema no será digna de confianza por parte de los usuarios.

Lo he dicho antes y lo seguiré repitiendo, el camino es migrar los esquemas actuales a autenticación de dos factores; no es infalible (si te raptan y tienen acceso a tu celular – si es que lo usas como token – ya te amolaste) pero si es muy efectiva. Las empresas grandes como Google, Microsoft o Apple ya lo usan o están en vías de implementarlo, y muchas otras más deberían de empezar a hacerlo.

¿Se puede secuestrar un avión con una app de Android?

Avión despegando y mano con smartphone Android

La historia del día es la de Hugo Teso, un investigador de seguridad de la firma N.Runs, quien dice haber encontrado fallas de seguridad en el equipo que usan los aviones comerciales, mismas que le permitirían secuestrar y hacerle lo que sea a un avión en pleno vuelo. Sobra decir que esto causó cierta conmoción entre los que lo leyeron, pero hay que ver un poquito más a fondo para entender que fue lo que pasó en realidad. Teso expuso su investigación en la conferencia de seguridad Hack in the Box en Amsterdam, donde explicó que logró hackear un protocolo de mensajería usado en aviones llamado Aircraft Communications Addressing and Report System (ACARS), el cual es usado para transmitir un amplio rango de situaciones, como el clima, condiciones de pista y otras cosas más, como cambios al sistema de manejo de vuelo o FMS (flight management system). Teso hackeó ACARS porque es un protocolo con nula seguridad que permite que se puedan introducir comandos falsos. Sin embargo, las cosas no son tan fáciles como parece, y en realidad no hay de que alarmarse…por ahora.

Resulta que cuando empiezo a investigar aparecen más datos interesantes de la investigación de Teso: este compra hardware en eBay que contiene más o menos el mismo código que los aviones reales, así como que usó un ambiente controlado para hacer su demostración, con software de simulación de FMS. Ya en su demostración habló de interceptar una señal de ACARS a través de una radio de software sintonizada a ese canal y posteriormente insertar sus propios comandos de FMS en la transmisión. Sin embargo, todo lo hizo en un ambiente completamente controlado, con hardware obsoleto. Cabe aclarar que Teso no ha divulgado que vulnerabilidades encontró, y en vez de eso prefirió hablar directa mente con la FAA (Flight Aviation Administration, de los Estados Unidos) y la EASA (European Aviation Safety Administration) europea.

Por su parte, varios fabricantes de hardware se han metido al ruedo diciendo que si bien esto se puede hacer en un ambiente controlado como el que usó Teso, en el mundo real con el hardware certificado que se usa hoy en día es mucho más complejo. La EASA y Rockwell Collins han tomado posturas similares, hablando de como el software que usó Teso y el usado en aviones reales son cosas muy distintas, y que el de estos es mucho más robusto que el usado por Teso; la FAA igual se va por el camino de que los descubrimientos de Teso no funcionan en hardware certificado.

Sin embargo, no es nuevo que se diga que hay problemas de seguridad con los sistemas usados en la industria aeronáutica; todavía hace poco tiempo en otra conferencia de seguridad hackers demostraron como atacar un sistema de control nuevo conocido como ADS-B. Y es que la industria de la aeronáutica usa una infraestructura bastante compleja, que no es fácil de mantener. Pero por lo pronto basta con saber que un loco con un teléfono no podrá tirar el avión en que vuelas.

Evernote hackeado, todos los passwords resetados

Evernote hackeado

Otro día, otro hackeo, otro tanto de información que pasa a engrosar la que ya tienen muchos hackers. Esta vez le tocó a Evernote, empresa que se dedica a producir un software de toma de notas tanto en plataformas de escritorio como móviles. A pesar de que de acuerdo con ellos no hay una evidencia de que se hayan robado tu contenido o tu información de pago, si pudieron tomar nombres, emails y passwords. Afortunadamente, los passwords estaban salteados, así que eso complica mucho más las cosas para los delincuentes…recordemos que en otros casos, notoriamente el de LinkedIn, no lo estaban y eso ocasionó una alerta mayor. Como sea, de nuevo es una molestia tener que cambiar tu password, el cual por cierto sólo puedes cambiar desde el sitio, no desde las apps para tu móvil o tablet.

Y como lo he mencionado antes, es una muestra más de que hay que olvidar al esquema tradicional de nombre de usuario y password y pasar a esquemas más seguros de autenticidad de identidad, como por ejemplo la verificación de dos factores de Google o DropBox.

Actualización 05/03/13: y tal como lo pedí (jejeje), Evernote añadirá verificación de dos factores. Que triste que tengan que pasar cosas para que entonces sí le pongan interés a la seguridad.

FaceBook admite haber sido “levemente” hackeado (muchos días después)

Ladrón entrando en casa

FaceBook comunicó que fue objeto de un “hackeo sofisticado” que ocasionó que las máquinas de algunos empleados se infectaran con malware, aunque de acuerdo con ellos no se detectó que hayan puesto en peligro la información de los usuarios. El hackeo se dio cuando algunos empleados de la red social visitaron un sitio de desarrollo móvil que estaba comprometido con malware que atacó a un viejo conocido y reciente culpable de muchos problemas, el viejo conocido de todos nosotros…Java. Hay muchas cosas interesantes en esta nota, que en primera instancia no pareciera gran cosa, pero hay más de fondo: primero, se dio para las fechas que atacaron el New York Times, Twitter y el Wall Street Journal; eso lo ubica entre hace uno o dos meses, al menos eso fue cuando los otros sitios dieron sus respectivos anuncios, así que me llama la atención que FaceBook lo reporte de manera tan tardía. Segunda, Java de nuevo; FaceBook está en proceso de reducir su dependencia en Java, pero a nivel empresarial la cosa es todavía más difícil, pues ahí si Java está más enraizado. Pero bueno, el punto se mantiene: Java de nuevo, ese ha sido el vector de ataque reciente. Tercera: hay una investigación federal abierta y en marcha detrás de todo esto que ha pasado recientemente, así que esto podría hablar de un problema de seguridad mayor que desconocemos.

Creo que esta es razón de más para ser más cuidadosos de lo que compartimos en la red; lugares como FaceBook y Twitter son un botín de oro para muchos hackers, y los ataques si acaso sólo irán en aumento…así que recuerden, pónganselo difícil por si las moscas: usen passwords seguros, limiten lo que compartan, y actualicen sus medidas de seguridad con frecuencia.

Rumor: Twitter añadirá autenticación de dos factores

Twitter con candado

Todavía hace unos días cuando hackearon unas 250,000 cuentas de Twitter lo pedí abiertamente: ya es hora de que Twitter pase a un esquema más robusto de seguridad, como por ejemplo la autenticación de dos factores. Pues bien, quizás ahora si nos escucharon a los muchos que lo pedimos: alguien de Ars Technica se percató de que Twitter está buscando ingenieros en software que desarrollen características de seguridad como autenticación multifactor y detección fraudulenta de logins. En verdad espero que le pongan esto a Twitter, aunque sea un dolor de trasero – bueno, al menos en algunas implementaciones como la de Google lo es, pero es muy efectiva, así que se compensa. Para los que no sepan que es, la autenticación de dos factoras es una forma de autenticar a un usuario que requiere de uno o más factores de autenticación: un factor de conocimiento (“algo que el usuario conoce” ), un factor de posesión (“algo que el usuario tiene” ), y un factor inherente (“algo que el usuario es” ). En el caso de algunos esquemas, como el de Google, el factor de posesión es tu smartphone, donde puedes tener una aplicación que genera números de acceso, similar a como funcionan los tokens de los bancos.

Ni hablar, tuvo que ahogarse el niño para que taparan el pozo, pero cuando menos hay la muestra de que Twitter quiere intentar cosas nuevas para proteger a sus usuarios.

Older posts