Los métodos para modificar consolas con fines nada aceptados por sus fabricantes son tan viejos como la propia industria, y con el anuncio de una nueva generación, los hackers simplemente ven nuevos retos por vencer. En este caso es la Wii U la consola que habría sido vulnerada tras caer en las manos de los hábiles hackers de WiiKey, que afirman haber conseguido modificar el sistema de seguridad para usar juegos de "respaldo" desde el puerto USB. Aunque por ahora no se ha proporcionado una prueba irrefutable del hack, la compañía afirma que está pensando vender un emulador para el disco óptico llamado WiikeÜ, que funcionaría en todos los modelos de Wii U comercializados alrededor del mundo.

Hasta no hace tanto relegados básicamente al ámbito pecero, los programas de mensajería instantánea están experimentando un aumento explosivo de usuarios gracias a los smartphones. Pero al mismo tiempo que aumenta su popularidad, también lo hacen las dudas sobre la privacidad de los datos intercambiados. La firma británica Redact quiere convencer al público de que su plataforma es totalmente segura, y para ello ha lanzado un concurso con un premio de 10.000 libras esterlinas (11.800 euros/15.500 dólares al cambio) para quien visite Londres y consiga interceptar (y descifrar) con éxito un mensaje enviado desde su servicio PIN-to-PIN para iOS.

Redact mantendrá abierto el desafío hasta el día 1 de junio, y aunque lógicamente está muy interesada en la buena prensa que le podría reportar de cara a sus fieles, su auténtica intención parece ser otra: la compañía quiere que el gobierno del Reino Unido apruebe Redact Messenger como medio autorizado para transmitir información oficial, así que no le vendría mal algo de publicidad positiva. Mientras tanto, hackers con sombreros de todos los colores están invitados a inscribirse a través del enlace Leer.

[Vía The Guardian]

Hugo Teso es un consultor de seguridad con licencia de piloto comercial que asegura tener un programa para Android con el que poder tomar el control de un avión de pasajeros. Para demostrarlo acudió a la reunión Hack in The Box con su aplicación PlaneSpoit, con la idea de enseñar al público como es capaz de infiltrarse en emisiones de radio entre la aeronave y el control de tráfico aéreo. Una vez interceptada la comunicación, hace uso de otro sistema de comunicación con el que enviar mensajes malintencionados con los que se podría tomar el control total del avión o afectar indirectamente al piloto. Pero tranquilo, PlaneSpoit es un software de pruebas que funcionará únicamente en entornos virtuales cerrados, así que nunca lo veremos por la Play Store esperando ser instalado en cualquier tipo de terminal. Aún así, nada de esto evitará que tengamos que seguir apagando nuestros teléfonos durante el vuelo.

[Vía Net Security, Computerworld]

Leer - Hackeo de aviones (PDF)

Según información proporcionada por compañías de seguridad como Mandiant, varias empresas, periódicos y hasta el mismo gobierno de Estados Unidos han sido víctimas de ataques de hacking provenientes de una misma fuente: la Unidad 61398 de la armada china, ubicada en Shanghai. En esta ocasión ha llegado el momento para que China se defienda de esas acusaciones, y lo ha hecho por medio del portavoz del Ministerio de Defensa Geng Yansheng, quien dijo que su país nunca haría daño (o hackearía) ni a una mosca. El funcionario añadió que está sucediendo todo lo contrario, porque ese ministerio y sitios militares de su país han sido atacados un promedio de 144.000 veces al mes, y de esos, el 62,9 por ciento de los ataques provienen de Estados Unidos. Geng Yansheng no dijo que esta sea una "ciberguerra", pero sí mencionó la estrategia de guerra digital que EEUU abiertamente ha admitido estar organizando.

Seguramente tras esta grave acusación veremos una respuesta oficial del gobierno de los EEUU, pero desde ya suponemos que ambos bandos negarán todo tipo de hacking y continuarán culpando al rival.

[Vía Reuters]

Leer - Ministerio de Defensa chino [traducido]
Leer - Mandiant [Advertencia: Archivo PDF]

Nos asombra enterarnos que Apple y Facebook no fueron las únicas compañías que cayeron en los trucos de unos hackers malintencionados, porque Microsoft también ha sido víctima de un ataque mediante Java que se saldó con la instalación de malware en sus equipos. En un artículo publicado en el blog del Microsoft Security Response Center, el gerente general, Matt Thomlinson, admite que "un pequeño grupo de ordenadores, incluyendo unos en nuestra división de negocios Mac" fueron infectados con malware similar al usado en los otros ataques.

De todas maneras, Thomlinson aclara que no es nuevo que hackers vean a Microsoft como un objetivo a vencer, y por suerte, la información de los clientes no se vio comprometida. Ya que el problema no pasó a mayores, podemos decir que nos parece gracioso e irónico que algunos ordenadores Mac de Microsoft hayan sido los infectados.

[Vía Reuters]

La semana pasada Facebook indicó que algunos de sus empleados habían sido víctimas de un ataque que terminó infectando sus ordenadores, y hoy Apple ha hecho público que también se ha encontrado con este mismo problema. La compañía dirigida por Tim Cook ha indicado que una vulnerabilidad de Java permitió que un sitio para desarrolladores instalara malware "en un pequeño número de sistemas" utilizados por sus empleados, aunque no se habría producido una fuga de datos personales y este ataque ha sido reportado a las autoridades.

La compañía de Cupertino añadió en su declaración que desde OS X Lion los Mac ya no incluyen Java preinstalado, y como una medida de seguridad adicional, desactivan el software si no se usa por más de 35 días. Además, para mantener seguros a los usuarios, hoy se publicará una actualización que buscará el malware en ordenadores Mac y de encontrarlo, procederá a desinstalarlo de inmediato.

[Actualización: El parche ya está disponible en la App Store.]

El equipo de seguridad de Google acaba de publicar los detalles de la próxima competición de hacking Pwnium, y debemos decir que la palabra interesante se queda corta. Para empezar, en total se pagarán Pi millones de dólares (3,14159 millones) en premios repartidos entre distintos desafíos que principalmente buscan el hackeo de Chrome OS en el Samsung Series 5 550.

Entre las recompensas a entregarse están 110.000 dólares para quien encuentre una vulnerabilidad de "nivel de navegador o de sistema en cuenta de invitado o de usuario, enviada por medio de una página web". También habrá un premio de 150.000 dólares para la persona que logre crear un problema "persistente con reinicio de por medio, instalado por medio de una página web".

Si crees tener la habilidad necesaria para conseguir ese dinero ya puedes ir preparándote para viajar a Vancouver, porque el evento Pwnium 3 se llevará a cabo durante la conocida conferencia CanSecWest, que este año tendrá lugar el 7 de marzo.

Los propietarios de un smartphone Samsung se llevaron ayer un buen susto al descubrirse un agujero de seguridad que permitía un borrado remoto de sus dispositivos. Bien, este problema ya debería encontrarse resuelto de acuerdo con el comunicado emitido por la compañía:

"Queremos asegurar a nuestros usuarios que cualquier problema reciente sobre la seguridad del Samsung Galaxy SIII ha sido ya resuelto gracias a una actualización de software. Recomendamos a todos nuestros usuarios de Galaxy SIII que se descarguen la última versión de software fácil y rápidamente vía OTA".

El único problema que vemos en las declaraciones oficiales es que Samsung no menciona por ninguna parte otros terminales potencialmente afectados, y por este motivo, Dylan Reeve ha puesto a disposición de todos una página en la que podrás comprobar si tu Sammy (o cualquier otro teléfono Android, dado que el bug tiene raíces en el SO) está afectado o no por este bug. Si es así, no esperes un minuto más y corre verificar si ése es el caso y si procede a actualizar tu teléfono.

[Actualización 1: Estamos en contacto con Samsung para confirmar los terminales que necesitan ser parcheados y cuáles son los que todavía no tienen una solución disponible, en caso de que falte alguno. Te mantendremos informado.]
[Actualización 2: Según Samsung el bug del SGSIII ha sido resuelto en todo el mundo. Seguimos esperando información sobre otros modelos.]

[Vía Posterous Dylan Reeve]

Leer - Twitter TeamAndIRC
Leer - Página de comprobación

Directamente de la conferencia de seguridad Ekoparty nos llegan detalles de un hack descubierto recientemente que permite el borrado remoto de dispositivos Samsung sin el permiso del usuario. Se trata de una acción que se activa tras recibir el código USSD *2767*3855# a través de NFC (en el caso del Galaxy S III), un código QR o un mensaje de texto WAP-Push, siendo las opciones NFC y QR los métodos más peligrosos, ya que probablemente abran el enlace de inmediato sin necesidad de hacer click en ningún link. El mayor problema es que una vez recibido el llamado código hard reset, el teléfono no permite cancelar la operación, por lo que en cuestión de segundos tendremos restaurado nuestro terminal con los valores de fábrica y habremos perdido todos nuestros datos.

El ataque también se puede extender a la tarjeta SIM que tengamos colocada en el teléfono, dejándola completamente inutilizada. El Galaxy Nexus no estaría afectado. En el vídeo que tienes tras el salto podrás ver una demostración del ataque realizado a través de WAP-Push, un ejemplo que deja claro lo rápido que podrías quedarte sin los contenidos del teléfono tras realizar un simple click en un enlace. Las recomendaciones por ahora pasan por desactivar el autoarranque de links y todo tipo de software relacionado con la lectura de códigos QR y etiquetas NFC, así que ándate con ojo y procura no visitar enlaces sospechosos.

[Actualización 1: Tweakers.net ha podido replicar el ataque y ha grabado el desenlace en vídeo.]
[Actualización 2: Parece que el problema no tiene que ver con Touchwiz sino con un antiguo bug de Android. Algunas ROMs fueron parcheadas por Samsung para evitar este problema, pero otras siguen siendo vulnerables. La situación varía entre países y operadoras.]

Las cámaras térmicas son dispositivos muy útiles que pueden proporcionar valiosa información sobre la temperatura de lugares y objetos, pero lamentablemente también son instrumentos bastante costosos, con precios que pueden llegar a superar los 10.000 dólares. El protagonista de nuestra historia, Andy Rawson, quiso usar una de estas cámaras para aprender a controlar la temperatura en su casa, que fue fabricada hace más de 100 años; algo que no pudo hacer por el prohibitivo precio de estos dispositivos. Pero hay pocas cosas tan ciertas como que la necesidad es la madre de la ciencia, así que ni corto ni perezoso, se embarcó en su propio proyecto de cámara termal, que ha dado como resultado un accesorio que se conecta al iPhone y muestra la información sobre la temperatura sobreimpuesta en las imágenes de la cámara. Andy dice que tiene pensado vender este aparato por unos 150 dólares, pero también lo ofrecerá a través de un proyecto de código abierto para que cualquier persona con iniciativa pueda montar el suyo. Además, y porque no todo el mundo tiene un teléfono iOS, también tiene pensado lanzar una versión del software para teléfonos Android.

Si la iniciativa te parece tan interesante como a nosotros, te recomendamos que sigas tras el salto para ver una demo del aparato.

El límite de las posibilidades con un Raspberry Pi está establecido solamente por nuestra imaginación. Decimos esto después de ver el asombroso proyecto del fotógrafo David Hunt, que incluyó el pequeño ordenador educativo en la empuñadura de una DSLR con la finalidad de transmitir fotografías de manera inalámbrica a un ordenador o tablet cercano. En realidad, ese es sólo el uso inicial, porque habla de opciones futuras como el respaldo automático de fotos a una memoria USB, el uso como control remoto de la cámara desde cualquier lugar el mundo, la conexión a una pantalla LCD gigante y tantas otras posibilidades adicionales. El hecho es que los Raspberry Pi son tan económicos (35 libras), que es fácil justificar su uso en proyectos "hazlo tú mismo" de todo tipo.

No te pierdas el video demostrativo que grabó Hunt, justo tras el salto.

Los hackers de hardware son un grupo de gente muy dedicada a su trabajo y que no se complica la vida cuando no encuentra lo que busca, porque están más que acostumbrados a mancharse las manos para fabricar todo tipo de dispositivos, si hace falta, creando sus propias herramientas. Por eso no nos asombra que los genios de Adafruit hayan desarrollado su propia distribución Linux para el pequeño Raspberry Pi. Con el nombre de Rapsberry Pi Educational Linux Distro aparece este sistema operativo basado en Wheezy que incluye soporte para SPI, I2C, one wire y WiFi, además de sshd y Bonjour activados desde un inicio. Aclaran que su distribución no es para novatos, sino específicamente para hackers de hardware que sepan utilizar conexiones I/O sin miedo a quemar un chip con una sobrecarga de voltaje; para el resto de mortales están las distribuciones proporcionadas directamente por la fundación que fabrica los Raspberry Pis, más sencillas y manejables.

El hablar de problemas de seguridad en NFC es especialmente preocupante porque usamos esa tecnología para transferir el dinero obtenido con nuestro duro trabajo, por eso ha llamado tanto la atención lo que mencionaremos en las próximas líneas y que fue demostrado por un experto en seguridad al sitio Ars Technica. Eso sí, antes de describir los problemas y los dispositivos afectados tenemos que aclarar que los hacks funcionan sólo en casos muy específicos y bajo condiciones exactas. Por ejemplo, un Google Nexus S con Gingerbread permitiría el acceso a funciones NFC sin autorización del usuario, pero ese problema ya fue parchado en nuevas versiones del sistema operativo.

Más grave es saber que al usar Google Beam en teléfonos ICS y Jelly Bean un hacker podría enviar la dirección a un sitio web a una víctima y desde ahí robar información personal. Se menciona también a los Nokia N9 con Meego que permitirían que un hacker tome control del aparato usando Bluetooth y NFC, para proceder a cambiar opciones que le permitirían hacer llamadas, enviar mensajes y enviar o recibir archivos.

De todas maneras una de las mejores protecciones ofrecidas por NFC es la distancia, y es que esta tecnología sólo funciona a unos pocos centímetros entre dispositivos, y por lo tanto una persona precavida podría hacer que un ataque sea imposible con tan sólo mover el móvil. Siguiendo el enlace Leer podrás obtener acceso a más información al respecto, que esperamos sea usada por los fabricantes para hacer que NFC termine siendo más seguro.

El dispositivo de la foto superior parece una simple regleta, zapatilla, multitoma o cortapicos, pero es mucho más que eso. Se trata de un pequeño ordenador desarrollado con el apoyo de la agencia gubernamental estadounidense DARPA para ayudar a detectar vulnerabilidades y así conseguir que las redes sean más seguras. El Power Pwn funciona con la distribución de Linux Debian 6 e incluye soporte para conexiones 3G, Ethernet y WiFi, haciendo posible el acceso a redes y el envío de comandos bash por medio de la señal móvil usando SMS. Opciones como el Evil AP WiFi permiten probar el acceso a redes inalámbricas sin que importe el que hayan sido configuradas con sistemas de autenticación RADIUS.

Aunque a muchos de nosotros nos gustaría tener uno de estos para jugar, el gran problema es el precio, porque no podemos justificar la compra de un ordenador sin salida de video por 1.295 dólares. En realidad este aparato fue fabricado pensando en departamentos de seguridad informática para que las compañías puedan usar las mismas herramientas que podría tener en sus manos un buen cracker.

[Vía Wired]

Ayer te hablábamos del éxito conseguido por el reloj pulsera Pebble, que recaudó 10 millones de dólares en Kickstarter, y hoy aprovechamos para contarte sobre otro exitoso proyecto: Twine. Se trata de un dispositivo con varios sensores que puede ser configurado para enviar notificaciones de todo tipo, como "hay alguien en la puerta" o "se está inundando el sótano", por medio de una sencilla interfaz web que puede ser vista desde cualquier ordenador de la casa. Lo mejor de todo es que Twine funcionará con Pebble, por lo que las notificaciones aparecerán directamente en el reloj, y debido a la facilidad de configuración de los dos, no será necesario entender de programación para tener a toda la casa enviando notificaciones de todo lo que suceda dentro y fuera de ella.

Tras el salto puedes ver un video que demuestra la integración de estos dos curiosos productos.