Si tu experiencia navegando por internet ha sido como la nuestra, seguramente alguna vez fuiste víctima de un ataque de malware que consiguió cambiar el buscador por defecto o instaló una extensión o barra de herramientas en tu navegador. Por suerte, los ataques del futuro podrían ser menos efectivos si la opción descubierta por el hacker François Beaufort en Chromium termina siendo usada en otros navegadores. Nos referimos a una sección que permitiría restaurar el buscador por defecto y la página de inicio, además de cambiar la configuración de contenido, eliminar cookies y desinstalar extensiones y temas con un solo clic.

Ya que muchas de las opciones disponibles en Chromium suelen incluirse después de un tiempo en Chrome, esperamos que precisamente eso suceda con este "reseteador" de perfiles. Es más, nos parece tan útil y práctico que nos gustaría ver algo similar en todos los navegadores.

[Vía The Next Web]

¿Estabas pensando en renovar tu contraseña en Twitter? Es posible que esta sea tu ocasión de oro. La red social ha advertido que ha sido víctima de al menos un ataque en sus servidores mediante el cual los hackers se habrían hecho con direcciones de correo, contraseñas (afortunadamente, cifradas) y tokens de sesión de cerca de 250.000 usuarios.

En este momento, se desconoce el riesgo real al que están sometidos los abonados a la conocida red social del pajarito, pero sus responsables confirman la gravedad del hack advirtiendo que es "extremadamente sofisticado". Sabrás si tu cuenta ha sido afectada si recibes el correo que ves en la parte superior y te tocará resetear tu contraseña en Twitter, porque no podrás acceder al servicio.

El equipo de seguridad de Google acaba de publicar los detalles de la próxima competición de hacking Pwnium, y debemos decir que la palabra interesante se queda corta. Para empezar, en total se pagarán Pi millones de dólares (3,14159 millones) en premios repartidos entre distintos desafíos que principalmente buscan el hackeo de Chrome OS en el Samsung Series 5 550.

Entre las recompensas a entregarse están 110.000 dólares para quien encuentre una vulnerabilidad de "nivel de navegador o de sistema en cuenta de invitado o de usuario, enviada por medio de una página web". También habrá un premio de 150.000 dólares para la persona que logre crear un problema "persistente con reinicio de por medio, instalado por medio de una página web".

Si crees tener la habilidad necesaria para conseguir ese dinero ya puedes ir preparándote para viajar a Vancouver, porque el evento Pwnium 3 se llevará a cabo durante la conocida conferencia CanSecWest, que este año tendrá lugar el 7 de marzo.

Estuvimos tan ocupados hablando sobre el nuevo iPhone durante el pasado mes de septiembre que posiblemente por eso no nos dimos cuenta que Apple había contratado una verdadera gurú de seguridad. Aunque para ser sinceros, parece que eso nos pasó a todos. Hoy se ha sabido que Kristin Paget pasó a formar parte de la empresa de la manzanita como "Investigadora de Seguridad del Núcleo del SO" después de haber tenido una exitosa carrera en eBay, Google, y posiblemente más importante, Microsoft. Nos parece una decisión bastante acertada por parte de Apple, dado que contratar a "hackers" como Paget es más necesario que nunca ahora que sus productos son tan populares y la nube comienza a adueñarse de nuestra vida digital.

Según una presentación realizada durante las conferencias Black Hat 2011, el equipo de Paget en IOActive fue contratado por Microsoft, y descubrió varios problemas de seguridad en Windows Vista. Su trabajo fue tan importante que la gente de Redmond se vio obligada a retrasar el lanzamiento del sistema operativo hasta reparar los bugs descubiertos, y seguramente por eso Vista (e incluso Windows 7) terminó siendo un software mucho más seguro que su antecesor.

Aunque Paget parece ser muy activa en Twitter, dudamos que cuente detalles sobre su trabajo en Apple. A pesar de eso, dice que ha pasado mucho tiempo "destruyendo cosas" y que ahora "es tiempo de crear".

[Foto: Kristin Paget]
[Vía TUAW]

La semana pasada fueron publicados en internet más de un millón de UDID (números de identificación únicos de dispositivos iOS) que supuestamente fueron sustraídos de un portátil del FBI. De forma casi inmediata la agencia del gobierno estadounidense negó de forma rotunda que la información hubiera salido de uno de sus equipos como se alegaba, y esto dejó la puerta abierta para que David Schuetz, un consultor de seguridad informática, inviertiera varias horas intentando descubrir el origen de los números. Después de analizar la base de datos con varios comandos de bash (cat, more, head), Schuetz descubrió que algunos UDID se repetían varias veces, y se le ocurrió que podían corresponder a dispositivos de desarrolladores. Desde ahí fue sencillo encontrar el origen de los números de identificación, porque los nombres de un par de los aparatos eran "Bluetoad iPad" y "Bluetoad Support".

BlueToad es precisamente una editorial digital que se dedica a crear revistas y aplicaciones de publicidad para dispositivos móviles. Los datos incluían la fecha de "marzo 14", que no de forma casual fue el día en que los hackers afirmaron que habían obtenido la base de datos del FBI.

Poco tiempo después, el CEO de la compañía, Paul DeHart, admitió que les habían robado la información, pero que ese orificio de seguridad ya había sido tapado. En todo caso, el investigador dice que todavía hay más información por descubrir, como el hecho de que todavía no ha encontrado las aplicaciones que habrían mal usado el número de identificación, ignorando las nuevas reglas establecidas por Apple.

Sea como sea, Schuetz escribió un interesante artículo con los detalles de su investigación, y te recomendamos leerlo simplemente porque se asemeja al guión de una entretenida película de espías.

[Vía The Verge]

Leer - La investigación de David Schuetz
Leer - Declaración de BlueToad

Ya te contamos ayer que el registro de dominios Go Daddy estaba experimentando algunos problemillas técnicos, motivando que determinadas webs no cargaran correctamente, pero ya parece que lo peor ha pasado. Según ha confirmado la propia compañía, todos sus servicios han vuelto a la normalidad tras el apagón de ayer. En un primer momento hubo quien se aventuró a decir que la caída del servicio podría estar relacionada con el ataque de hackers, pero el CEO interino de la firma, Scott Wagner ha querido tranquilizar a sus usuarios diciendo que "no fue un hack, ni un ataque de denegación de servicio (DDoS)". Go Daddy achaca el problema a una serie de situaciones en su red interna que motivó que las tablas de datos de sus routers se corrompieran", añadiendo que la información de sus clientes no estuvo expuesta en ningún momento y que por supuesto, han tomado las medidas necesarias para que los hechos no se repitan.

Las personas con un conocimiento de tecnología un poquito más profundo al común de la gente saben identificar emails falsos (phishing) con relativa facilidad. Eso es bueno para nosotros y básicamente malo para el resto, porque según nos cuenta el investigador de seguridad pod2g, los SMS de algunos móviles sufrirían de un problema similar al de los emails, permitiendo que hackers se hagan pasar por algún conocido o compañía con tan sólo incluir una línea de código en el mensaje.

La especificación para SMS contiene un espacio opcional para "responder-a", que en el caso del iPhone estaría siendo usado para remplazar al "De". Eso implica que un hacker podría hacerse pasar por alguna compañía (por ejemplo: un banco) o un familiar y enviar un enlace a una página web desde la cual podría robar datos privados.

El investigador dice que muy pronto publicará una herramienta que demostrará esta vulnerabilidad, pero mientras tanto ha pedido que Apple solucione el problema lo antes posible, con la esperanza de que el bug sea parchado antes del lanzamiento de iOS 6, porque el fallo estaría presente en absolutamente todas las versiones de iOS. En realidad nos parece que si hackers no han abusado en gran manera de esta vulnerabilidad desde 2007, posiblemente no sea tan grave como se piensa, pero de todas maneras es mejor ser precavido y prestar atención.

En Mountain View parece que gustan mucho los deportes de riesgo... aunque sean los que se practican a golpe de ratón y teclado, que para algo sirven también para revolucionar igual de bien nuestras pulsaciones. Al menos eso es lo que extraemos del siguiente movimiento de Google, que ha vuelto convocar a los hackers más reputados del mundo a sus conferencias de seguridad en Malasia y ha retado al respetable a buscar las vueltas a su navegador Chrome. La firma ya realizó una acción similar a primeros de año en territorio canadiense, pero por lo visto aprendió tanto, que no se lo ha pensado dos veces a la hora de organizar un Pwnium 2, ofreciendo esta vez premios por un valor de casi 2 millones de dólares. Entre las distintas categorías, hay hueco para los que quieran lanzarse a trastocar el propio código de Chrome, dar caza a algún bug en el kernel de Windows o Webkit, así como descubrir gazapos en berenjenales ajenos que en principio no formen directamente parte del navegador, pero sí que podrían acabar fastidiándolo más de lo necesario -digamos, por ejemplo, algún driver díscolo que pueda haber en el equipo.

Y tú, ¿vas a probar suerte a ver si logras encontrarle las cosquillas a la gran G?

A lo largo de la semana uno lee en la red múltiples declaraciones de todo tipo. Unas son anodinas, otras llamativas y otras destacan claramente por el origen de la fuente. Cuando hablan ciertos personajes, conviene dejar todo lo que uno esté haciendo y prestar atención porque a buen seguro que la frase no tiene desperdicio. Y no, no nos estamos refiriendo a las apocalípticas advertencias del CEO de Acer sobre el Surface de Microsoft, sino a las siempre interesantes declaraciones de Steve Wozniak, cofundador de Apple, y como bien sabes, un verso libre que no tiene reparos en decir lo primero que se le pasa por la cabeza.

Como bien sabes, este genio del mundo de los ordenadores no tiene empacho en criticar a la que todavía es su casa, o en deshacerse en alabanzas hacia móviles rivales, como sucedió con el Lumia 900, o en declarar abiertamente que Android será una plataforma predominante en el mundo de la telefonía móvil. En esta ocasión, Woz vuelve a la carga con otras incendiarias declaraciones con las que muchos estarán tan de acuerdo como en desacuerdo: el genio advierte de la proliferación de la 'nube' y vaticina "problemas horribles" en el plazo de cinco años ante el elevado uso de la misma. ¿Tiene razón? ¿Exagera?

Imaginamos que el título de esta noticia te habrá causado cierta alarma si eres fan de World of Warcraft o Diablo III, pero tampoco hace falta que te preocupes en exceso. Con el aviso realizado, hemos de contarte que Blizzard ha detectado un acceso no autorizado a su red interna, lo que ha motivado la emisión de un comunicado para alertar a los usuarios. Pese a que la información que habría sido robada no es suficiente como para apoderarse de cuentas en Battle.net, la compañía recomienda cambiar las contraseñas, dado que el hacker detrás de este suceso habría obtenido las palabras de acceso cifradas y respuestas a preguntas de seguridad de usuarios en América, Oceanía y el sureste de Asia.

No vamos a negarlo: nos parece que esa información es suficiente para asustar a los usuarios, pero Blizzard insiste en que debemos estar tranquilos. Además, la información financiera de sus clientes, como números de tarjetas de crédito, nombres reales o direcciones, no fue obtenida por el hacker.

Los usuarios en los servidores comprometidos recibirán una cordial invitación para cambiar sus contraseñas y preguntas de seguridad en los próximos días, pero si el tema te preocupa, puedes cambiar ya mismo tu contraseña desde el enlace disponible más abajo.

[Vía Massively (Joystiq)]

Leer - Blizzard
Leer - Cambio de contraseña en Battle.net

A estas alturas, te habrá llegado por uno u otro lado la historia del conocido periodista de Wired, Mat Honan, que vio su vida digital literalmente fulminada mediante un sencillo ataque de hackers que accedieron a su cuenta de Amazon, de ahí a iCloud, Google y finalmente Twitter, objetivo último del ataque. Tras este incidente, tanto Apple como Amazon fueron puestos en tela de juicio por la sencillez mediante la cual se podía cambiar la configuración de una cuenta por teléfono, y ambos gigantes han decidido de forma simultánea impedir los cambios en las cuentas mediante llamadas de teléfono.

Amazon ha publicado ya un cambio en su política de uso que impide precisamente que se hagan cambios mediante llamadas de teléfono al soporte, y aunque Apple no ha sido tan explícita, Wired asegura que los de Cupertino han congelado esta forma de cambiar las cuentas durante al menos 24 horas hasta que decidan qué niveles de seguridad establecer en estos casos.

Ninguna de las dos empresas ha sido muy explícita sobre el asunto, y así, Amazon no ha realizado ninguna declaración, mientras que Apple ha asegurado que sus procedimientos internos no se siguieron correctamente.

Leer - Wired (1)
Leer - Wired (2)

El dispositivo de la foto superior parece una simple regleta, zapatilla, multitoma o cortapicos, pero es mucho más que eso. Se trata de un pequeño ordenador desarrollado con el apoyo de la agencia gubernamental estadounidense DARPA para ayudar a detectar vulnerabilidades y así conseguir que las redes sean más seguras. El Power Pwn funciona con la distribución de Linux Debian 6 e incluye soporte para conexiones 3G, Ethernet y WiFi, haciendo posible el acceso a redes y el envío de comandos bash por medio de la señal móvil usando SMS. Opciones como el Evil AP WiFi permiten probar el acceso a redes inalámbricas sin que importe el que hayan sido configuradas con sistemas de autenticación RADIUS.

Aunque a muchos de nosotros nos gustaría tener uno de estos para jugar, el gran problema es el precio, porque no podemos justificar la compra de un ordenador sin salida de video por 1.295 dólares. En realidad este aparato fue fabricado pensando en departamentos de seguridad informática para que las compañías puedan usar las mismas herramientas que podría tener en sus manos un buen cracker.

[Vía Wired]

Esto de las violaciones de seguridad se ha convertido en algo tan común que ya casi ni nos molestamos en reportar todos los casos que llegan a nuestro buzón, pero eso no quiere decir que no nos parezca un tema importante, porque como comprobamos con Sony, los crackers pueden ocasionar serios problemas. Esta vez hablamos sobre el tema porque Yahoo! ha confirmado que información de unas 400.000 cuentas ha sido sustraída de sus servidores, y aún peor es saber que pertenecía al Yahoo! Contributor Network (antes conocido como Associated Content), por lo que incluye cuentas de Gmail, AOL, Hotmail, Comcast, MSN, SBC Global, Verizon, BellSouth y Live.com, además de Yahoo.

Los responsables dicen que publicaron la información (que fue eliminada poco después) para alertar de los problemas de seguridad de los servidores de Yahoo, y es que "han habido varios huecos de seguridad vulnerados en servidores de Yahoo Inc. que han causado mucho más daño que esta publicación".

Por su cuenta, la compañía ha confirmado el hecho diciendo que se trataba de un archivo viejo, y que sólo un 5% de las cuentas de Yahoo! todavía tenían una contraseña válida. Anuncian también que están solucionando el problema y cambiando las contraseñas de los usuarios afectados así como notificando a las compañías con cuentas que hayan sido sustraídas. De todas maneras, Yahoo indica que recuerda a sus usuarios la necesidad de cambiar las contraseñas de manera regular. Aprovechamos la ocasión para hacer nuestro el consejo y recomendarte lo mismo.

Leer - TechCrunch
Leer - New York Times

A nadie le entusiasma saber que su ordenador o teléfono móvil está abierto a los ataques maliciosos de algunos de los elementos que pululan por internet, así que lo menos que podemos hacer es avisarte de que existe la posibilidad de que tus dispositivos se vean afectados por un problema que ya está siendo explotado por gente con no muy buenas intenciones. Este el motivo por el que Adobe ha tenido que publicar una actualización de Flash Player para equipos Windows, Mac y Linux (que desde ahora deberán usar la versión 11.2.202.233), así como para teléfonos Android 4.x, 3.x y 2.x.

Las nuevas versiones de Flash Player solucionan una vulnerabilidad que podría provocar el bloqueo de la aplicación y la apertura de tu sistema a personas malintencionadas, como ya habrían experimentado algunos usuarios de Internet Explorer según ha reconocido Adobe. Si no tenías nada planificado para el finde, aquí tienes una buena excusa para aprovechar la tarde actualizando Flash y el resto de tu software.

Lo sucedido entre George Hotz y Sony ya es historia vieja (del año pasado, concretamente), pero todavía existen muchos detalles que no han salido a la luz. La revista The New Yorker publicó un interesante perfil del hacker que nos cuenta su historia desde sus días diseñando robots para concursos escolares de tecnología hasta sus problemas con Sony; hablan del arreglo extra judicial y de una reunión con los ingenieros de la PS3 para explicarles la manera en la que hackeó la consola.

En el artículo se esfuerza en aclarar que Hotz no es más que un joven muy inteligente, con virtudes y defectos, pero siempre con alma de hacker "white hat". De la misma manera hablan sobre Anonymous, el apoyo que dieron a GeoHot y los problemas en los que se metieron los miembros de LulzSec.

GeoHot ha hackeado todo tipo de dispositivos sólo para saber cómo funcionan, ha trabajado en Google y Facebook, pero no es una persona que sepa mantener un trabajo con horarios y responsabilidades establecidas, y es un hombre que ahora se dedica a viajar por el mundo (recientemente estuvo en Panamá) y buscar exploits que dice que no compartirá en internet nuevamente.

Te recomendamos leer su perfil, simplemente por que GeoHot es un personaje muy interesante.

[Vía Joystiq]

Leer - Traducción de Google Translate
Leer - Artículo original