Skip to Content

AOL Tech

hacker posts

Tesla Model S se blinda de nuevo, ahora contra los ataques de los hackers

Tesla Model S se blinda de nuevo; ahora del ataque de los hackers
Tesla está blindando su Model S y no sólo físicamente como te demostramos hace unos días, sino que también está reforzando la seguridad del sistema que lo gestiona del zarpazo de los hackers. Es cierto que el automóvil no se puede conducir de forma remota, pero sí puede en un momento dado conocer la ubicación del vehículo o abrirlo a distancia para robar todo lo que haya dentro. El asunto no es baladí y menos en una marca como la de Elon Musk que cuenta con el magnetismo y consecuente efecto lupa de cara a los medios.

Da la casualidad que uno de los afortunados propietarios de un Model S es Nitesh Dhanjani, que además es consultor en materia de seguridad y en una trabajada entrada en su blog ha puesto en evidencia las carencias de marca y modelo en materia de seguridad. Lo primero que ha destacado es que el panel de control del usuario en web está protegido por apenas "una contraseña de 6 cifras", algo que lo hace susceptible de un ataque por fuerza bruta ya que la web no contempla una limitación de intentos infructuosos de acceso. Pero aquí no terminan los problemas planteados por este usuario, sino que la potencia de las aplicaciones móviles en el vehículo suponen, como veremos, una amenaza adicional.

Las bombillas Philips Hue pueden ser hackeadas... y dejarte a oscuras (vídeo)

Las bombillas Philips Hue pueden ser hackeadas... y dejarte a oscuras (vídeo)
Ya sabes que todo equipo conectado de alguna manera es susceptible de ser hackeado. Todo, incluyendo... bombillas. Si eres el feliz propietario de una Hue de Philips seguro que disfrutas a tope de todo lo que puede dar un producto de estas características, pero un investigador te va a aguar la fiesta. Resulta que Nitesh Dhanjani ha descubierto que el portal que gestiona Hue -conocido como 'bridge'- usa un sistema de identificación un tanto rudimentario a la hora de comunicarse con smartphones y ordenadores. El sistema emplea la dirección MAC de bridge y ésta es muy fácil de detectar, y por lo tanto, las manos ajenas pueden acceder con facilidad y dejar sin luz a los usuarios.

Y para demostrarlo, este investigador ha grabado un vídeo (lo tienes tras el salto) en el que introduce malware en bridge a través de la web, y de esta manera obtiene la dirección MAC, y a partir de ese momento empieza la fiesta de 'enciendo-apago', con independencia de cómo haya dejado el usuario el interruptor. Tratándose de un producto marginal (no se ha vendido en masa), tampoco es como para asustarse, pero esperemos que Philips tome buena nota y adopte las medidas necesarias.

El FBI imita las tácticas de los hackers en su lucha contra el crimen

El FBI imita las tácticas de los hackers en su lucha contra el crimen
De lo que nos estamos enterando a cuenta de toda la polémica en torno a PRISM. Resulta que según hemos podido conocer a través del Wall Street Journal, el FBI estaría empleando las mismas tácticas que utilizan los hackers para introducirse en tu ordenador o smartphone y desde ahí husmear en el contenido. La agencia estadounidense estaría empleando spyware, que sería introducido en móviles y ordenadores mediante correos electrónicos o links, todo ello sin el conocimiento del propietario del equipo, claro está, y bajo supervisión judicial.

Aunque no ha habido una respuesta oficial al asunto por parte del FBI, se sabe que la agencia no sólo desarrolla sus propias aplicaciones para estas funciones, sino que además las adquiere en el sector privado. Con ellas, podrían activar remotamente el micrófono en "teléfonos Android" o portátiles y grabar las conversaciones, según reconoce un ex agente en declaraciones al rotativo. El FBI emplea estas tácticas principalmente en su lucha contra el crimen organizado, y en este sentido, la agencia contrata a usuarios "con conocimientos en hackeo de equipos".

Con todo, hackear equipos para obtener información es un método de último recurso. "Lo empleamos cuando no nos queda más remedio", reconoce este ex agente.

Unos estudiantes consiguen desviar el curso de un yate alterando el GPS

Unos estudiantes consiguen desviar el curso de un yate alterando el GPS
Se trata de un experimento, sí, pero pone los pelos de punta. Resulta que un grupo de estudiantes de la Universidad de Texas ha logrado desviar a distancia el rumbo de un yate engañando a los sistemas de navegación del mismo. Y no creas que estamos hablando de un barquito de nada: se trata de una nave valorada en 80 millones de dólares, y lo más inquietante del asunto, es que no hay forma humana de saber si el sistema de navegación de la embarcación está siendo hackeado hasta que alguien se dé cuenta que ésta se ha desviado de su trayectoria.

El experimento brilla, en realidad, por su sencillez: el equipo se colocó en la costa a una distancia de unos 50 kilómetros, y desde ahí emiten una señal falsa GPS que va adquiriendo cada vez más potencia hasta lograr ser la única que gobierne la nave. Logrado esto, los estudiantes pueden desviar la trayectoria de la embarcación sin que nadie sea consciente de ello. Este equipo de hackers en potencia quiere demostrar al mundo la vulnerabilidad de los GPS civiles, y por si te queda alguna duda de ello, te dejamos con un aclaratorio vídeo tras el salto.

El portal de desarrolladores de Apple abre nuevamente tras su hackeo

El portal de desarrolladores de Apple abre nuevamente tras su hackeo
Tras una semana bastante larga, porque estamos a las puertas del lanzamiento de nuevos iOS y OS X, el portal para desarrolladores de Apple ha vuelto a funcionar. Según explicó la compañía, las bases de datos fueron actualizadas y varios cambios han tenido que ser implementados tras el hackeo sufrido la semana pasada.

A pesar de que se supone que muchas cosas han cambiado, ninguna novedad sería visible para los usuarios, porque el trabajo hecho por Apple tiene que ver con en el código de seguridad y los servidores. Ha pesar de nuestra curiosidad, la empresa no ha dicho nada sobre el origen del hackeo, y por lo tanto, es mejor olvidarnos del problema y continuar con el desarrollo de software antes de que los nuevos sistemas operativos estén disponibles para el público en general.

[Vía 9to5Mac]

Experto en seguridad turco admite haber hackeado el sitio de desarrolladores de Apple

Investigador de seguridad turco dice haber hackeado el sitio de desarrolladores de Apple
El jueves pasado Apple cerró su sitio para desarrolladores de iOS y OS X con la excusa de que estaba en mantenimiento, pero las cosas no eran tan sencillas. Ayer domingo se enviaron mensajes en los que se admitió que el portal fue hackeado y que información personal de los desarrolladores fue obtenida por el intruso. Esta situación terminó generando más preguntas que respuestas, que por suerte ahora están comenzando a ser resueltas de alguna forma.

Un investigador de seguridad turco llamado Ibrahim Balic dice haber sido quien notificó a Apple el problema. Balic admite que accedió a la información de los desarrolladores y publicó un video mostrando el hack en funcionamiento, aunque ahora ese clip ha sido eliminado. Según la información facilitada, habría encontrado 13 bugs en el sistema de Apple, y aunque se puso en contacto con la compañía para ponerles sobre aviso, nunca obtuvo respuesta

El investigador dice que lo hecho es legal y ético, porque además eliminará toda la información obtenida como parte del proceso que demuestra la existencia de la vulnerabilidad. Balic se dio cuenta que Apple desactivó el sitio tan pronto fue informada del problema, pero sin darle ni las gracias. En todo caso, esta información todavía no ha sido confirmada por la compañía, a quien hemos pedido un comentario sobre las declaraciones de Balic (aunque reconocemos que no esperamos recibir una respuesta).

Leer - The Guardian
Leer - MSNBC
Leer - Ibrahim Balic (Twitter)
Leer - Firstpost

Apple confirma el ataque de un hacker en su portal de desarrolladores

apple desarrolladores seguridad hack
Apple ha confirmado hace unas horas que su portal para desarrolladores ha sufrido un importante ataque de seguridad. Dicha plataforma ha estado fuera de servicio desde el jueves, algo que ahora encuentra su explicación en el desagradable incidente ocurrido:

El pasado jueves, un intruso atentó contra la información personal de nuestros desarrolladores registrados de nuestra web. Información personal sensible fue cifrada y no se puede acceder a ella, sin embargo, no hemos sido capaces de descartar la posibilidad de que se haya accedido a los nombres de algunos desarrolladores, direcciones y/o correos electrónicos.

Apple ha manifestado sus intenciones de reconstruir todo su sistema de base de datos y actualizar los servidores para evitar futuros ataques. Los de Cupertino ha querido además tranquilizar a todos aquellos que tuvieran cuentas que actualizar durante estos días de apagón, asegurando que sus periodos han sido ampliados y que las aplicaciones seguirán en la App Store.

No hay fecha de vuelta a la normalidad establecida aún por parte de Apple, pero al menos la compañía ha facilitado un formulario de contacto para todos aquellos que quieran realizar consultas en los próximos días. Lo encontrarás en el enlace de lectura.


[Vía MacWorld]

El navegador Chromium incluye una opción para restaurar la configuración tras el ataque de malware

El navegador Chromium ahora incluye una opción para restaurar opciones si ataca un malware
Si tu experiencia navegando por internet ha sido como la nuestra, seguramente alguna vez fuiste víctima de un ataque de malware que consiguió cambiar el buscador por defecto o instaló una extensión o barra de herramientas en tu navegador. Por suerte, los ataques del futuro podrían ser menos efectivos si la opción descubierta por el hacker François Beaufort en Chromium termina siendo usada en otros navegadores. Nos referimos a una sección que permitiría restaurar el buscador por defecto y la página de inicio, además de cambiar la configuración de contenido, eliminar cookies y desinstalar extensiones y temas con un solo clic.

Ya que muchas de las opciones disponibles en Chromium suelen incluirse después de un tiempo en Chrome, esperamos que precisamente eso suceda con este "reseteador" de perfiles. Es más, nos parece tan útil y práctico que nos gustaría ver algo similar en todos los navegadores.

[Vía The Next Web]

Twitter advierte sobre un posible hack que afectaría a 250.000 usuarios

Twitter advierte sobre un posible hack que afectaría a 250.000 usuarios
¿Estabas pensando en renovar tu contraseña en Twitter? Es posible que esta sea tu ocasión de oro. La red social ha advertido que ha sido víctima de al menos un ataque en sus servidores mediante el cual los hackers se habrían hecho con direcciones de correo, contraseñas (afortunadamente, cifradas) y tokens de sesión de cerca de 250.000 usuarios.

En este momento, se desconoce el riesgo real al que están sometidos los abonados a la conocida red social del pajarito, pero sus responsables confirman la gravedad del hack advirtiendo que es "extremadamente sofisticado". Sabrás si tu cuenta ha sido afectada si recibes el correo que ves en la parte superior y te tocará resetear tu contraseña en Twitter, porque no podrás acceder al servicio.

Google avanza algunos detalles sobre su campeonato de hacking Pwnium 3

Google anuncia detalles sobre la competencia de hacking Pwnium 3
El equipo de seguridad de Google acaba de publicar los detalles de la próxima competición de hacking Pwnium, y debemos decir que la palabra interesante se queda corta. Para empezar, en total se pagarán Pi millones de dólares (3,14159 millones) en premios repartidos entre distintos desafíos que principalmente buscan el hackeo de Chrome OS en el Samsung Series 5 550.

Entre las recompensas a entregarse están 110.000 dólares para quien encuentre una vulnerabilidad de "nivel de navegador o de sistema en cuenta de invitado o de usuario, enviada por medio de una página web". También habrá un premio de 150.000 dólares para la persona que logre crear un problema "persistente con reinicio de por medio, instalado por medio de una página web".

Si crees tener la habilidad necesaria para conseguir ese dinero ya puedes ir preparándote para viajar a Vancouver, porque el evento Pwnium 3 se llevará a cabo durante la conocida conferencia CanSecWest, que este año tendrá lugar el 7 de marzo.

Apple contrata a la experta en seguridad que protegió a Windows Vista contra el malware

Apple contrató a una experta en seguridad que solucionó problemas de Windows Vista
Estuvimos tan ocupados hablando sobre el nuevo iPhone durante el pasado mes de septiembre que posiblemente por eso no nos dimos cuenta que Apple había contratado una verdadera gurú de seguridad. Aunque para ser sinceros, parece que eso nos pasó a todos. Hoy se ha sabido que Kristin Paget pasó a formar parte de la empresa de la manzanita como "Investigadora de Seguridad del Núcleo del SO" después de haber tenido una exitosa carrera en eBay, Google, y posiblemente más importante, Microsoft. Nos parece una decisión bastante acertada por parte de Apple, dado que contratar a "hackers" como Paget es más necesario que nunca ahora que sus productos son tan populares y la nube comienza a adueñarse de nuestra vida digital.

Según una presentación realizada durante las conferencias Black Hat 2011, el equipo de Paget en IOActive fue contratado por Microsoft, y descubrió varios problemas de seguridad en Windows Vista. Su trabajo fue tan importante que la gente de Redmond se vio obligada a retrasar el lanzamiento del sistema operativo hasta reparar los bugs descubiertos, y seguramente por eso Vista (e incluso Windows 7) terminó siendo un software mucho más seguro que su antecesor.

Aunque Paget parece ser muy activa en Twitter, dudamos que cuente detalles sobre su trabajo en Apple. A pesar de eso, dice que ha pasado mucho tiempo "destruyendo cosas" y que ahora "es tiempo de crear".

[Foto: Kristin Paget]
[Vía TUAW]

Investigador descubre que los UDID filtrados fueron robados a una editorial digital

La semana pasada fueron publicados en internet más de un millón de UDID (números de identificación únicos de dispositivos iOS) que supuestamente fueron sustraídos de un portátil del FBI. De forma casi inmediata la agencia del gobierno estadounidense negó de forma rotunda que la información hubiera salido de uno de sus equipos como se alegaba, y esto dejó la puerta abierta para que David Schuetz, un consultor de seguridad informática, inviertiera varias horas intentando descubrir el origen de los números. Después de analizar la base de datos con varios comandos de bash (cat, more, head), Schuetz descubrió que algunos UDID se repetían varias veces, y se le ocurrió que podían corresponder a dispositivos de desarrolladores. Desde ahí fue sencillo encontrar el origen de los números de identificación, porque los nombres de un par de los aparatos eran "Bluetoad iPad" y "Bluetoad Support".

BlueToad es precisamente una editorial digital que se dedica a crear revistas y aplicaciones de publicidad para dispositivos móviles. Los datos incluían la fecha de "marzo 14", que no de forma casual fue el día en que los hackers afirmaron que habían obtenido la base de datos del FBI.

Poco tiempo después, el CEO de la compañía, Paul DeHart, admitió que les habían robado la información, pero que ese orificio de seguridad ya había sido tapado. En todo caso, el investigador dice que todavía hay más información por descubrir, como el hecho de que todavía no ha encontrado las aplicaciones que habrían mal usado el número de identificación, ignorando las nuevas reglas establecidas por Apple.

Sea como sea, Schuetz escribió un interesante artículo con los detalles de su investigación, y te recomendamos leerlo simplemente porque se asemeja al guión de una entretenida película de espías.

[Vía The Verge]

Leer - La investigación de David Schuetz
Leer - Declaración de BlueToad

Go Daddy: los problemas de ayer ya se han resuelto y no fueron ocasionados por un hack

Go Daddy: los problemas de ayer ya se han resulto y no fueron ocasionados por un hack
Ya te contamos ayer que el registro de dominios Go Daddy estaba experimentando algunos problemillas técnicos, motivando que determinadas webs no cargaran correctamente, pero ya parece que lo peor ha pasado. Según ha confirmado la propia compañía, todos sus servicios han vuelto a la normalidad tras el apagón de ayer. En un primer momento hubo quien se aventuró a decir que la caída del servicio podría estar relacionada con el ataque de hackers, pero el CEO interino de la firma, Scott Wagner ha querido tranquilizar a sus usuarios diciendo que "no fue un hack, ni un ataque de denegación de servicio (DDoS)". Go Daddy achaca el problema a una serie de situaciones en su red interna que motivó que las tablas de datos de sus routers se corrompieran", añadiendo que la información de sus clientes no estuvo expuesta en ningún momento y que por supuesto, han tomado las medidas necesarias para que los hechos no se repitan.

Los iPhone tendrían una grave vulnerabilidad en sus mensajes de texto

Encuentran grave vulnerabilidad con los mensajes de texto del iPhone
Las personas con un conocimiento de tecnología un poquito más profundo al común de la gente saben identificar emails falsos (phishing) con relativa facilidad. Eso es bueno para nosotros y básicamente malo para el resto, porque según nos cuenta el investigador de seguridad pod2g, los SMS de algunos móviles sufrirían de un problema similar al de los emails, permitiendo que hackers se hagan pasar por algún conocido o compañía con tan sólo incluir una línea de código en el mensaje.

La especificación para SMS contiene un espacio opcional para "responder-a", que en el caso del iPhone estaría siendo usado para remplazar al "De". Eso implica que un hacker podría hacerse pasar por alguna compañía (por ejemplo: un banco) o un familiar y enviar un enlace a una página web desde la cual podría robar datos privados.

El investigador dice que muy pronto publicará una herramienta que demostrará esta vulnerabilidad, pero mientras tanto ha pedido que Apple solucione el problema lo antes posible, con la esperanza de que el bug sea parchado antes del lanzamiento de iOS 6, porque el fallo estaría presente en absolutamente todas las versiones de iOS. En realidad nos parece que si hackers no han abusado en gran manera de esta vulnerabilidad desde 2007, posiblemente no sea tan grave como se piensa, pero de todas maneras es mejor ser precavido y prestar atención.

Google tienta a los hackers con 2 millones de dólares... todo sea por la seguridad de Chrome

Google tienta a los hackers con 2 milliones de dólares... todo sea por la seguridad de ChromeEn Mountain View parece que gustan mucho los deportes de riesgo... aunque sean los que se practican a golpe de ratón y teclado, que para algo sirven también para revolucionar igual de bien nuestras pulsaciones. Al menos eso es lo que extraemos del siguiente movimiento de Google, que ha vuelto convocar a los hackers más reputados del mundo a sus conferencias de seguridad en Malasia y ha retado al respetable a buscar las vueltas a su navegador Chrome. La firma ya realizó una acción similar a primeros de año en territorio canadiense, pero por lo visto aprendió tanto, que no se lo ha pensado dos veces a la hora de organizar un Pwnium 2, ofreciendo esta vez premios por un valor de casi 2 millones de dólares. Entre las distintas categorías, hay hueco para los que quieran lanzarse a trastocar el propio código de Chrome, dar caza a algún bug en el kernel de Windows o Webkit, así como descubrir gazapos en berenjenales ajenos que en principio no formen directamente parte del navegador, pero sí que podrían acabar fastidiándolo más de lo necesario -digamos, por ejemplo, algún driver díscolo que pueda haber en el equipo.

Y tú, ¿vas a probar suerte a ver si logras encontrarle las cosquillas a la gran G?




Noticias AOL