En enero te contábamos que Symantec había reconocido que alguien había conseguido acceder a partes del código fuente de varios productos, y desde ese entonces se sabía que los hackers tenían alguna relación con el grupo Anonymous. Ahora una agrupación denominada AntiSec (considerada como una división de Anonymous) ha publicado un archivo de 1,07 GB en Pirate Bay que incluiría el código fuente de Norton Antivirus 2006. Mientras tanto Symantec habría declarado a The Inquirer que están analizando el código para verificar su autenticidad y que esperan que además se publique en internet el código de Norton Internet Security 2006. Aclaran a la vez que sus clientes actuales no tienen nada de que preocuparse porque este es "código viejo" que no representa "un incremento de riesgo" en su seguridad.

En relación a esta noticia se informa que un grupo llamado YamaTough habría pedido dinero a Symantec a cambio de la destrucción del código, pero como es evidente, la compañía no accedió a dicha petición.

[Vía The Verge]

Leer - The Inquirer
Leer - The Pirate Bay
Leer - Anonymous (Twitter)

El funcionamiento de Google Wallet ha estado bajo el microscopio durante los últimos días después de que se revelara una vulnerabilidad que permitiría conseguir acceso al servicio en teléfonos rooteados por medio de un ataque de fuerza bruta. Ahora se publican detalles relacionados con un fallo de seguridad que haría posible acceder al saldo de las tarjetas de prepago de teléfonos perdidos y que no tengan el bloqueo de pantalla activado. En consecuencia Google ha decidido inhabilitar provisionalmente la asignación de tarjetas de prepago hasta que parchen ese agujero de seguridad.

Naturalmente, la compañía de Mountain View opina que Google Wallet sigue siendo más seguro que las tarjetas de plástico tradicionales, y desde un principio proporcionaron a los usuarios un número de teléfono al cual llamar si su móvil se pierde o tienen problemas. Igualmente insisten en que los usuarios de Google Wallet no usen el servicio en teléfonos rooteados, porque perderían muchas de las opciones de seguridad.

Google no ha proporcionado una fecha en la que las cosas volverán a la normalidad, pero por suerte todavía son pocos los usuarios y establecimientos que usan el servicio.

[Vía Android Central]

Si eres de esos que no confía en el pago con tecnología NFC y todo tipo de artilugios tecnológicos que prescindan de la clásica moneda, entonces no deberías de estar leyendo esta noticia. La gente de zvelo, un blog dedicado a los temas de seguridad tecnológica, ha dejado en evidencia el sistema de pago por contacto de Google Wallet, ya que a través de un vídeo que han preparado demuestran como el PIN de seguridad de la cartera virtual puede ser revelado "fácilmente". Para ello exploraron minuciosamente el código de la aplicación, siguiendo las investigaciones de la organización de seguridad viaForensics, la cual ya había advertido de la fragilidad de Google Wallet. Una vez con el código desglosado, dieron con datos como ID únicas del usuario, información de la cuenta de Google y una clave hexagesimal con cifrado SHA-256 que contenía el famoso PIN.

Para descodificarlos sólo tuvieron que hacer uso de la fuerza bruta, ya que sabiendo que el PIN está formado por 4 dígitos, sólo hicieron falta 10.000 combinaciones para dar con tan ansiado número de desbloqueo. Ya con todo el sistema desmantelado, los chicos de zvelo han creado una aplicación que realiza todo el proceso automáticamente, demostrando con un vídeo (lo tienes tras el salto) que el hackeo se realiza de manera más rápida de la esperada. El grupo de seguridad aconseja que se incluya una clave de bloqueo al terminal, deshabilitar la depuración por USB y mantener actualizado el teléfono en todo momento. Aún así, ¿confías en este tipo de sistemas de pago?

Actualización: Google ha publicado su opinión al respecto, y ha aclarado que para realizar este proceso se necesita una teléfono con root aplicado (algunos lectores ya lo advertían en los comentarios), una acción que el gigante desaconseja completamente si se va a hacer uso de Google Wallet (por razones más que evidentes).

Es difícil imaginar la cara que deben tener en estos momentos los relaciones públicas de Symantec. De hecho, estamos seguros de que en estos momentos preferirían estar ocultos en la más oscura y remota de las cavernas. El coloso estadounidense del software de seguridad ha reconocido que alguien ha conseguido acceder a partes del código fuente de varios productos, poniendo en riesgo su capacidad para proteger los sistemas de los usuarios.

La acción, reivindicada hace unos días por una de las infinitas facciones de Anonymous, tendría por objetivo llamar la atención sobre una demanda colectiva interpuesta contra Symantec por atemorizar a los consumidores para vender sus productos, usando versiones de prueba que reportaban supuestos problemas sin otra intención que causar alarma. La historia tiene su punto rocambolesco, dado que aunque el anuncio de Anonymous y su confirmación son de total actualidad, el código fuente habría sido copiado en el año 2006, por lo que básicamente el grueso del software potencialmente vulnerable serían versiones de ese mismo año. Symantec ya se dio cuenta entonces de la fuga, y explica que ha instaurado medidas de seguridad especiales para evitar que se repita un incidente similar.

"Hello World" es en el mundo de la electrónica de consumo algo casi tan monumental como "papá" o "mamá" en la vida real, y por fortuna, la PS Vita no ha tenido que balbucear durante largos meses hasta pronunciar tan mágicas palabras. Aunque lo haya hecho con un pequeño truco.

La PS Vita del hacker japonés teck4 ha sido la primera en saludar al mundo, usando para ello un exploit con desbordamiento de búfer en el emulador de PSP integrado en la nueva consola de Sony. De esta forma, se puede decir que la Vita ya puede ejecutar software casero, aunque sea con la ayuda de su predecesora, cuyos incontables agujeros de seguridad han conseguido saltar generaciones. En este caso, explotable mediante una partida salvada especialmente modificada.

Es importante recalcar el hecho de que este Hello World no es el primer ejemplo de software casero para PS Vita, sino una muestra de que permite ejecutar código no oficial de PSP, aunque sea de forma extraordinariamente limitada. Queda por ver si Sony dejará abierta esta brecha para mayor deleite de los hackers, o si por el contrario la cerrará con una rápida actualización.

[Vía EOL]

¿Recuerdas la llave maestra que apareció para eliminar la protección HDCP de los contenidos en Blu-ray? Intel se mostró bastante tranquilo por entonces, ya que aún confirmando la validez de dicha llave, aseguró que todo aquel que quisiera utilizarla debería de fabricarse un chip capar de manejarla. Grave error querido Intel. Y es que con esas declaraciones sólo se consiguió animar a los adictos de grandes retos, como el grupo de seguridad de hardware de la Universidad de Ruhr, quien ha conseguido hacerse de un equipo de no más de 200 euros para quebrantar la protección. Para ello han desarrollado un dispositivo basado en una placa FPGA, la Digilent Altys, que se coloca entre el reproductor de contenidos y la televisión y se encarga de descifrar los datos.

[Vía RegHardware]

No sólo nos parece muy extraña esta noticia, sino que sus detalles son difíciles de comprobar, y públicamente, a Microsoft parece no preocuparle mucho el tema. El hecho es que varios usuarios de Xbox LIVE afirman que sus cuentas han sido hackeadas con la finalidad de comprar puntos de Microsoft (por medio de las tarjetas de crédito en las cuentas), adquiriendo el juego FIFA 12 y contenido de descarga disponible para dicho título. Varios de los afectados habrían reportado el problema directamente a Microsoft, y se quejan de que la compañía no estaría tomando los hechos con la seriedad esperada, y que simplemente habrían bloqueado las cuentas durante 25 días para hacer las respectivas investigaciones.

En todo caso, la compañía de Redmond asegura no tener evidencia alguna de que su servicio Xbox LIVE haya sido comprometido, y por eso han decidido buscar una solución directamente con "un número limitado" de miembros, que se han visto afectados por este problema.

Si tienes una cuenta de Xbox LIVE y una tarjeta de crédito registrada en el sistema, asegúrate de que el historial sea correcto, y por supuesto, de que tu contraseña sea segura. Ya nos dirá Microsoft si el problema es en realidad con usuarios descuidados o con algo que tenga que ver con la seguridad general del sistema.

[Vía Joystiq]

Además de los 1,6 millones de televisores que deben de revisar, Sony se ha vuelto a topar con un viejo conocido, ya que tras recibir un potente ataque de hacker, el fabricante se ha visto obligado a bloquear 93.000 cuentas de sus redes PSN y Sony Online Entertainment. El problema se debe a un ataque masivo contra la base de datos de la empresa en busca de identificadores y contraseñas y, aunque ya han sido bloqueadas todas y cada una de las cuentas, el fabricante afirma que alguna de las afectadas registraron actividad, por lo que se está realizando una investigación para determinar posibles daños causados. Eso sí, el jefe del departamento de protección de datos de Sony, Philip Reitinger, asegura que la mayoría de intentos del hack dieron resultados erróneos, y que aún accediendo a los datos, aquellos relacionados con la tarjeta de crédito están completamente a salvo. ¿Será este el aviso ante un nuevo ataque? Esperemos que no sea así.

Se está convirtiendo en una peligrosa tradición, y es que tras el ataque a Sony Pictures de hace unos días, ahora es Codemasters quien anuncia la violación a la seguridad de sus servidores. La compañía desarrolladora conocida por la saga Dirt ha informado que su sitio web fue hackeado el 3 de junio, quedando expuestos datos de los usuarios como los nombres, direcciones (domicilio y correo electrónico), cumpleaños, teléfonos, GamerTag de Xbox Live e incluso las contraseñas. En principio los datos relacionados con las tarjetas de crédito no se han visto afectadas, pero teniendo en cuenta que podrían tener el usuario y la contraseña, de poco nos serviría. Desde Codemasters aseguran que tomaron el control del sitio web en cuanto se detectó la intrusión, aunque se estima que los afectados asciendan a "decenas de miles". La empresa ya ha pedido disculpas a través de un correo electrónico, e invitan a visitar la página oficial en Facebook mientras terminan los trabajos de restauración del sitio web.

[Gracias math]

La conferencia de Sony en el E3 2011 está a punto de dar comienzo, pero antes de que Kaz Hirai tenga tiempo de hablar, Lulz Security ha querido aguarle la fiesta con la publicación del código fuente de su red de desarrolladores (Scedev.net). La red de recursos de Sony permite a los desarrolladores descargar código, librerías y APIs necesarias para la creación de juegos. Por el momento desconocemos si el código fuente es nuevo o viejo, así como las posibles consecuencias que podría tener (aparte del tremendísimo bochorno de Sony, que ya no sabe de dónde le vienen).

En caso de que todo esto no fuera suficiente, LulzSec ha publicado el mapa interno de la red de Sony BMG en el que afirma que es su sexto ataque con éxito a la multinacional japonesa.

Por otro lado, The Epoch Times indica que el FBI habría detenido a un miembro de LulzSec, cosa que el grupo hacker niega entre las risas y el jolgorio chanero del que suele hacer gala en su cuenta de Twitter. Verdad o mentira, lo único cierto es que la fiesta continúa.

[Vía PC Mag, The Epoch Times]

[Actualización: La noticia ha sido editada. PSN funciona, no funcionan la tienda ni los sitios que usan los datos de login de PSN.]

Sony no gana para disgustos en las últimas semanas y aunque en esta ocasión el problemilla no se debe exactamente a un hack, la compañía se ha visto obligada a desconectar los logins a las webs que usan los datos de PlayStation Network. Si por un casual olvidas tu contraseña y necesitas resetearla, antes sólo tenías que escribir tu e-mail y tu fecha de nacimiento para que surgiera la magia; sin embargo, el problema es que si ya eras miembro de la plataforma antes del gran hack, tanto tu correo electrónico como tu fecha de nacimiento –eso por no hablar de información aún más importante- podrían haber caído en manos equivocadas, con las implicaciones que ello conlleva. De este modo, quienquiera que tenga acceso a estos datos, podría en teoría volver a hacer de las suyas sin apenas esfuerzo. La compañía japonesa ya ha dado la voz de alarma y ha pasado a la acción.

[Vía MCV]

Leer - Nuevo fallo en las contraseñas de PSN
Leer - Alertan de nuevos problemas de seguridad en PSN

Como se suele decir, "cuando llueve, truena". La mala suerte para Sony continúa, y es que alrededor de 12.700 números de tarjetas de crédito habrían sido robados de la división Sony Online Entertainment. Este problema no puede compararse con el que está sufriendo la compañía japonesa con la PSN, no solo por ser de menor escala, sino porque la información sería de 2007, y con el pasar del tiempo muchas de las tarjetas de crédito ya habrían caducado. Para prevenir mayores inconvenientes los servicios de SOE han sido desactivados temporalmente, mientras la compañía investiga el caso. Ya nos hemos quejado suficiente de Sony, por lo que ahora sólo queda sentirnos mal por ellos.

Actualización: Según dice el Wall Street Journal, esto no fue algo pequeño. Hablamos de nada menos que 24,6 millones de cuentas afectadas, y se habrían conseguido nombres, direcciones, números telefónicos, direcciones de email, género, fecha de nacimiento, nombre de usuario y contraseñas con hash. Ahora nos da menos pena y más miedo.

[Vía BGR]

Leer - Nikkei [Advertencia: requiere suscripción]

No hay que subestimar lo sucedido con el hackeo de la red PSN. La realidad es que estaríamos ante el problema de seguridad más grande de la historia de internet, y para darnos cuenta de la escala de las complicaciones, Sony ha proporcionado una lista que muestra por país la cantidad de cuentas que podrían haber caído en manos de los hackers. En orden alfabético (en inglés) vemos a países donde el español es el idioma principal, como Argentina, Chile, Colombia, México, Perú y España. Si tienes una cuenta de PSN, te recomendamos leer con cuidado todo lo que diga Sony al respecto de la protección de tu información. Después del salto puedes encontrar la lista completa.

[Vía Joystiq]

¿Tienes problemas para hacer login en PlayStation Network? ¿Te fallan las webs de Sony? Bien, en ese caso has de saber que esa alegre banda de pillos llamada Anonymous, ha puesto sus miras en la multinacional japonesa por sus demandas contra GeoHot y Graf_Chokolo, lanzando un ataque contra sus servidores. ¿Y qué dice Sony de todo esto? Pues algo muy distinto. El fabricante de la PS3 afirma que lo único que pasa es que están realizando un "mantenimiento esporádico" de PSN, con el resultado de que las conexiones de los usuarios podrían dejar de funcionar de forma intermitente.

Nos preguntamos cuánto van a durar esas inesperadas revisiones aleatorias...

Leer - Anonymous afirma que Sony "experimentará su ira" (Europa Press)
Leer - Anonymous ataca a Sony (PC Magazine)
Leer - Sony realiza labores de "mantenimiento" (Sony)

El gobierno chino y los de Mountain View continúan con su toma y daca particular. El pasado lunes, Google expresaba sospechas de que sus usuarios chinos estaban experimentando un "bloqueo cuidadosamente diseñado por el gobierno para que pareciera que el problema se debía a Gmail". Y ahora llega el turno que de que el estado responda lacónico diciendo que "es una acusación inaceptable". Según afirma la BBC, la respuesta se dio el martes en el marco de una conferencia de prensa y según parece, el tema quedó zanjado ahí, detalle que no deja de ser curioso, teniendo en cuenta que la mayoría de la gente tomaría algún tipo de medida cuando considera que algo es "inaceptable".