Skip to Content

AOL Tech

hacks posts

Que no cunda el pánico: Heartbleed podría no ser tan peligroso

Que no cunda el pánico: Heartbleed podría no ser tan peligroso
Tras una semana caótica en lo que a seguridad cibernética se refiere, hoy llegan unas declaraciones que muchos administradores de sistemas estaban esperando: Heartbleed no es tan peligroso como lo pintan. A semejante conclusión han llegado en Cloudfare, una compañía especializada en seguridad que, tras comprobar en sus propias carnes los problemas del famoso error, han podido corroborar que en ningún momento el atacante podrá tener acceso a la clave privada que andaba buscando.

Están tan seguro de ello que han dejado sus propios servidores con OpenSSL sin parchear para que todo aquel que lo desee intente extraer la clave privada de la web haciendo uso de la vulnerabilidad de Heartbleed. De esta forma pueden ocurrir dos cosas, o que su teoría se confirme y pongamos fin al asunto (y a la incertidumbre de más de un usuario) o que se intensifiquen los esfuerzos por acabar con Heartbleed, consigan la clave y todo internet vuelva a entrar en parada cardiorespiratoria. Esperemos que sea lo primero.

[Vía The Verge]
[Imagen original: Wikimedia]

Leer - Comunicado de Cloudfare
Leer - Reto de Cloudfare

Desvalijan cajeros automáticos inyectando malware vía USB

Desvalijan cajeros automáticos inyectando malware vía USB
No es una mala costumbre tapar el teclado numérico o comprobar el lector de tarjetas cuando visitamos el cajero automático. Son precauciones fáciles de tomar y que nos pueden ahorrar un disgusto bastante grave cuando llega el extracto bancario, pero el hack de hoy no ataca a los usuarios de los cajeros como suele ser lo habitual, sino a las propias máquinas, y por extensión al banco. Esto es lo que sucedió con los cajeros de una entidad alemana cuyo nombre no ha sido revelado, y que a mediados de este año se encontró con que una banda con elevados conocimientos técnicos estaba reventando sus cajeros usando los puertos USB integrados y un pendrive cargado de malware. El método ha sido revelado ahora en Hamburgo por expertos en seguridad congregados en el Chaos Computing Congress, donde se ha explicado el sistema en mayor detalle.

De acuerdo con los datos de la presentación, facilitados por dos investigadores anónimos, los ladrones realizaban agujeros en la estructura de los cajeros para acceder a los puertos USB del interior. La mayoría de estas máquinas poseen en su interior un simple PC con alguna de las numerosas versiones de Windows lanzadas durante los últimos años, así que una vez descubierto el puerto, pinchaban una memoria desde la que cargaban un malware personalizado que incluso contaba con su propio menú para especificar la cantidad de dinero deseada y el tamaño de los billetes, de forma que los ladrones podían extraer únicamente los de mayor valor y abandonar el lugar lo antes posible. Finalmente, el malware borraba sus huellas para poder repetir el truco más adelante. La banda solo fue descubierta cuando el banco se dio cuenta de que el dinero de varios cajeros había desparecido por arte de birlibirloque, lo que hizo incrementar las medidas de vigilancia. Posiblemente no hubiera sido necesario si el fabricante de los cajeros hubiera tomado más precauciones, puesto que la viabilidad de este tipo de ataques fue demostrada hace varios años en la conferencia Black Hat.

La presentación ofrecida en el Chaos Computing Congress no solo pone de manifiesto el atractivo (y la inseguridad) de los cajeros electrónicos para las bandas criminales, sino también que no existe el tan mitificado honor entre ladrones; los cabecillas de la banda no se fiaban del resto, de forma que para evitar que alguno de los miembros clonara un pendrive y se marchara a "trabajar" por su cuenta, el malware solicitaba una contraseña variable que debía ser preguntada por teléfono cada vez que era utilizado.

Apple: nunca hemos trabajado con la NSA para crear puertas traseras

Apple: nunca hemos trabajado con la NSA para crear puertas traseras
El affaire Snowden ha conseguido que cualquier asociación con la NSA, por nimia o involuntaria que sea, resulte peligrosamente tóxica para cualquier compañía que aprecie su reputación. En estos momentos la mera idea de trabajar junto a los servicios de inteligencia de los Estados Unidos hace despertar las peores dudas, así que nadie debería sorprenderse de que Apple haya querido marcar las distancias después de conocerse que la NSA posee herramientas para hackear iPhones y espiar a sus usuarios, accediendo no solo a sus comunicaciones, sino también al GPS, el micrófono y las cámaras de los terminales.

En un comunicado remitido por los de Tim Cook a AllThingsD, Apple niega rotundamente cualquier tipo de colaboración con la NSA para crear puertas traseras, añadiendo que seguirá trabajando para cerrar cualquier vulnerabilidad que pueda encontrar sin que importe la procedencia de la misma. Por supuesto, Apple sigue obligada a trabajar con las autoridades cuando un tribunal autoriza una solicitud de datos de la NSA, pero esa ya es una polémica distinta.

Si quieres conocer la postura oficial de Apple, encontrarás el texto a continuación.

Arduino Due: 32 bits de posibilidades para tus próximos hacks

Arduino Due: 32 bits de posibilidades para tus próximos hacks
Por muy buenos ratos que el Arduino Uno nos haya hecho pasar, hay que reconocer que no se trata precisamente de una de las piezas más potentes que nos podemos encontrar a la hora de hacer manualidades tecnológicas de andar por casa... es por ello que los aficionados a este tipo de actividades probablemente agradezcan la llegada de una nueva versión de 32 bits. Sobre estas líneas tienes ya al flamante Arduino Due, una placa que presume de una conectividad y rendimiento mejorados gracias a su procesador Atmel a 84 MHz basado en la arquitectura Cortex M3 de ARM (concretamente el modelo SAM3X8E). La unidad se pone hoy la venta con el reclamo adicional de costar tan sólo 49 dólares -unos 37 euros al cambio-, con lo que en breve deberíamos empezar a tener noticias de los primeros drones voladores e impresoras 3D caseras. Ya sabes, no te vayas demasiado lejos...

Kindle Paperwhite obtiene su dosis de jailbreak y un futuro aún más prometedor

Kindle Paperwhite obtiene su dosis de jailbreak y un futuro aún más prometedor
Si ahora que conoces todos los secretos de la tecnología que se encuentra tras la flamante pantalla iluminada del nuevo Kindle Paperwhite quieres llevar un poco más allá sus habilidades, estás de enhorabuena: el nuevo retoño de Amazon ha resultado ser vulnerable al mismo exploit que el Kindle Touch, detalle que ha hecho posible su jailbreak apenas unos días después de su estreno comercial en Estados Unidos (el resto de mercados, por desgracia, aún tendrán que esperar un poco). Aunque encontrarás instrucciones detalladas en el enlace de lectura, al parecer el proceso es tan sencillo como copiar un determinado archivo a directorio raíz del dispositivo y reiniciar el equipo. Una vez hecho esto, podremos utilizar el e-reader como si fuera una improvisada estación meteorológica o hasta conectarlo a un Raspberry Pi para sacarle todavía más partido. De aquí en adelante puede ocurrir casi cualquier cosa, así que si logras localizar a las musas y das con un apaño resultón, no dejes de avisarnos.

[Vía SlashGear]

Adafruit anuncia WebIDE para principiantes del mundo Raspberry Pi

Adafruit anuncia WebIDE para principiantes del mundo Raspberry Pi
Seguramente ya te has dado cuenta de que somos fanáticos de los mini ordenadores Raspberry Pi, pero no podemos negar que son aparatos un poquito difíciles de usar para principiantes. Utilizarlos requiere cierta experiencia a nivel de programación, y por eso la gente de Adafruit desea hacer las cosas más sencillas para que personas con pocos conocimientos de Linux y desarrollo de software también tengan acceso a la plataforma. Con esa idea en mente, Adafruit acaba de anunciar WebIDE (Web Integrated Development Environment), que no es más que una aplicación web que se instala con un simple script y desde ahí permite usar varios scripts y administrar la conexión a periféricos y sensores. WebIDE además puede auto-actualizarse para que los usuarios siempre tengan la última versión disponible en su RasPi.

Programadores con experiencia también podrán usar el software con alegría, porque incluye una consola y el código se muestra con atractivos colores y bien organizado.

En el video disponible tras el salto podrás ver una pequeña demostración de WebIDE, y si tienes un Raspberry Pi, siguiendo el enlace Leer podrás descargar el software de inmediato.

Kindle Fire HD sucumbe finalmente al 'root' pese a las trabas de Amazon

Kindle Fire HD sucumbe finalmente al 'root' pese a las trabas de Amazon
Por mucho que Amazon se haya empeñado en proteger a sus nuevos Kindle Fire con unas cuantas medidas de seguridad adicionales, en el fondo sabíamos de sobra que era una mera cuestión de tiempo que la tableta sucumbiera a los hacks y ya por fin ha llegado el momento. En concreto, la hazaña ha sido posible gracias a Hashcode, Justin Case, Reverend Kyle y Sparklym3, de los foros XDA-Developers y RootzWiki, que han conseguido acceso root en el modelo Kindle Fire HD para personalizar un poco más a fondo a este androide con ICS camuflado por la distintiva interfaz de Amazon. Eso sí, pese a lo sencillo del proceso (tienes una pequeña muestra tras la pausa), no está nunca de más reiterar la importancia de seguir las instrucciones al pie de la letra para no acabar con un bonito pisapapeles en tus manos y de paso ahorrarte preocupaciones innecesarias. Después de haber visto de todo lo que es capaz el modelo anterior, estamos impacientes estamos por conocer qué nos termina deparando la siguiente hornada, así que ya sabes: si sacas a relucir tu lado más creativo, no dejes de avisarnos.

Modder fabrica una cámara térmica open source de 150 dólares para aislar su casa

Modder fabrica una cámara térmica open source de 150 dólares para aislar su casa
Las cámaras térmicas son dispositivos muy útiles que pueden proporcionar valiosa información sobre la temperatura de lugares y objetos, pero lamentablemente también son instrumentos bastante costosos, con precios que pueden llegar a superar los 10.000 dólares. El protagonista de nuestra historia, Andy Rawson, quiso usar una de estas cámaras para aprender a controlar la temperatura en su casa, que fue fabricada hace más de 100 años; algo que no pudo hacer por el prohibitivo precio de estos dispositivos. Pero hay pocas cosas tan ciertas como que la necesidad es la madre de la ciencia, así que ni corto ni perezoso, se embarcó en su propio proyecto de cámara termal, que ha dado como resultado un accesorio que se conecta al iPhone y muestra la información sobre la temperatura sobreimpuesta en las imágenes de la cámara. Andy dice que tiene pensado vender este aparato por unos 150 dólares, pero también lo ofrecerá a través de un proyecto de código abierto para que cualquier persona con iniciativa pueda montar el suyo. Además, y porque no todo el mundo tiene un teléfono iOS, también tiene pensado lanzar una versión del software para teléfonos Android.

Si la iniciativa te parece tan interesante como a nosotros, te recomendamos que sigas tras el salto para ver una demo del aparato.

Google tienta a los hackers con 2 millones de dólares... todo sea por la seguridad de Chrome

Google tienta a los hackers con 2 milliones de dólares... todo sea por la seguridad de ChromeEn Mountain View parece que gustan mucho los deportes de riesgo... aunque sean los que se practican a golpe de ratón y teclado, que para algo sirven también para revolucionar igual de bien nuestras pulsaciones. Al menos eso es lo que extraemos del siguiente movimiento de Google, que ha vuelto convocar a los hackers más reputados del mundo a sus conferencias de seguridad en Malasia y ha retado al respetable a buscar las vueltas a su navegador Chrome. La firma ya realizó una acción similar a primeros de año en territorio canadiense, pero por lo visto aprendió tanto, que no se lo ha pensado dos veces a la hora de organizar un Pwnium 2, ofreciendo esta vez premios por un valor de casi 2 millones de dólares. Entre las distintas categorías, hay hueco para los que quieran lanzarse a trastocar el propio código de Chrome, dar caza a algún bug en el kernel de Windows o Webkit, así como descubrir gazapos en berenjenales ajenos que en principio no formen directamente parte del navegador, pero sí que podrían acabar fastidiándolo más de lo necesario -digamos, por ejemplo, algún driver díscolo que pueda haber en el equipo.

Y tú, ¿vas a probar suerte a ver si logras encontrarle las cosquillas a la gran G?

Amazon y Apple deciden no realizar cambios por teléfono en las cuentas tras el 'hack' a un usuario

A estas alturas, te habrá llegado por uno u otro lado la historia del conocido periodista de Wired, Mat Honan, que vio su vida digital literalmente fulminada mediante un sencillo ataque de hackers que accedieron a su cuenta de Amazon, de ahí a iCloud, Google y finalmente Twitter, objetivo último del ataque. Tras este incidente, tanto Apple como Amazon fueron puestos en tela de juicio por la sencillez mediante la cual se podía cambiar la configuración de una cuenta por teléfono, y ambos gigantes han decidido de forma simultánea impedir los cambios en las cuentas mediante llamadas de teléfono.

Amazon ha publicado ya un cambio en su política de uso que impide precisamente que se hagan cambios mediante llamadas de teléfono al soporte, y aunque Apple no ha sido tan explícita, Wired asegura que los de Cupertino han congelado esta forma de cambiar las cuentas durante al menos 24 horas hasta que decidan qué niveles de seguridad establecer en estos casos.

Ninguna de las dos empresas ha sido muy explícita sobre el asunto, y así, Amazon no ha realizado ninguna declaración, mientras que Apple ha asegurado que sus procedimientos internos no se siguieron correctamente.

Leer - Wired (1)
Leer - Wired (2)

Adafruit desarrolla la distribución Linux Raspberry Pi Educational para hackers

Adafruit desarrolla la distribución Linux Raspberry Pi Educational para hackers
Los hackers de hardware son un grupo de gente muy dedicada a su trabajo y que no se complica la vida cuando no encuentra lo que busca, porque están más que acostumbrados a mancharse las manos para fabricar todo tipo de dispositivos, si hace falta, creando sus propias herramientas. Por eso no nos asombra que los genios de Adafruit hayan desarrollado su propia distribución Linux para el pequeño Raspberry Pi. Con el nombre de Rapsberry Pi Educational Linux Distro aparece este sistema operativo basado en Wheezy que incluye soporte para SPI, I2C, one wire y WiFi, además de sshd y Bonjour activados desde un inicio. Aclaran que su distribución no es para novatos, sino específicamente para hackers de hardware que sepan utilizar conexiones I/O sin miedo a quemar un chip con una sobrecarga de voltaje; para el resto de mortales están las distribuciones proporcionadas directamente por la fundación que fabrica los Raspberry Pis, más sencillas y manejables.

La regleta para hackers Power Pwn no es una simple colección de enchufes

El dispositivo de la foto superior parece una simple regleta, zapatilla, multitoma o cortapicos, pero es mucho más que eso. Se trata de un pequeño ordenador desarrollado con el apoyo de la agencia gubernamental estadounidense DARPA para ayudar a detectar vulnerabilidades y así conseguir que las redes sean más seguras. El Power Pwn funciona con la distribución de Linux Debian 6 e incluye soporte para conexiones 3G, Ethernet y WiFi, haciendo posible el acceso a redes y el envío de comandos bash por medio de la señal móvil usando SMS. Opciones como el Evil AP WiFi permiten probar el acceso a redes inalámbricas sin que importe el que hayan sido configuradas con sistemas de autenticación RADIUS.

Aunque a muchos de nosotros nos gustaría tener uno de estos para jugar, el gran problema es el precio, porque no podemos justificar la compra de un ordenador sin salida de video por 1.295 dólares. En realidad este aparato fue fabricado pensando en departamentos de seguridad informática para que las compañías puedan usar las mismas herramientas que podría tener en sus manos un buen cracker.

[Vía Wired]

Hackean el Nexus Q para que ejecute aplicaciones y funcione con mandos a distancia

Hackean el Nexus Q para que ejecute aplicaciones y funcione con mandos a distancia
Desde un principio Google dijo que el Nexus Q sería un dispositivo abierto a hacks, y sus responsables no pudieron tener mejor idea, por más que algunas de las modificaciones que aparecerán tal vez no estuvieran en mente de la compañía. Como podrás ver en el video publicado tras el salto, kornyone, de XDA Developers, ha conseguido que su Nexus Q lance aplicaciones de todo tipo, y como no tiene una pantalla táctil, las opciones se escogen directamente con un cursor de ratón. Hay que admitir que el hack no funciona muy bien, porque el retraso es evidente y su respuesta es mejorable, pero al menos vemos que Android reconoce un teclado y un ratón sin mayores complicaciones. Lo más práctico de esto es que aplicaciones como Netflix muestran video en 1080p, y además se puede usar el dispositivo por medio de un navegador instalando el .apk de la aplicación QRemote. Tras el salto podrás ver un segundo video que muestra el funcionamiento del control remoto, gracias a un usuario llamado apodado Bliny.

Con esta noticia, nos da la impresión de que el Nexus Q acaba de convertirse en un dispositivo mucho más interesante de lo que se auguraba.

Ouya: Una videoconsola basada en Android y abierta para todos

Eso que ves aquí es Ouya, una videoconsola basada en Android que se presenta como la opción más liberal del sector de entretenimiento. Para empezar, tanto el software como el hardware está completamente abierto para todo aquel que quiera cambiarlo a su gusto. El nivel de permisividad es tal, que el gestor de arranque está desbloqueado e incluso incluye documentación de las placas integradas. En su interior podemos encontrar un procesador Tegra 3, 8 GB de almacenamiento interno, lector de tarjetas SD, WiFi 801.11n, Bluetooth y Android 4.0 como sistema operativo, mientras que en el lado de los controladores dispondremos de un mando RF con touchpad integrado con el que sacar partido a los juegos de plataformas móviles.

Estéticamente presenta un diminuto diseño bastante futurista, mientras que la interfaz del sistema guarda bastante parecido con la que podemos encontrar en Xbox 360. Todas las consolas se lanzarán con un kit de desarrollo y las aplicaciones publicadas deberán ser gratuitas y presentar únicamente opciones de pago o subscripciones. La idea final de sus creadores es poder lanzar al mercado la Ouya con un precio de 99 dólares, pero para lelo deberán contar con el apoyo de todos los inversores y conseguir el objetivo de 950.000 dólares que se han marcado en la plataforma Kickstarter.

Samsung Galaxy S III se endulza la vida con Jelly Bean (pero no por vías oficiales)

Samsung Galaxy S III se endulza la vida con Jelly Bean (pero no por vías oficiales)
Puede que para muchos sea uno de los terminales más completos del momento, pero al Galaxy S III se le ha quedado clavada una espinita demasiado pronto: Google ya tiene fuera una versión más reciente de su sistema operativo, Android 4.1 o Jelly Bean. Como ya nos conocemos qué tal va la historia con las actualizaciones de fabricantes y operadoras, los chicos de XDA-Developers han decidido tomar cartas en el asunto y ya han colgado en el foro una ROM con sabor a gominolas para la versión internacional del dispositivo -en caso de que te lo andes preguntando, se trata de un "apaño" a partir de la actualización oficial del Galaxy Nexus. Por desgracia este primer aperitivo supone tener que trastocar el equipo algo más de lo que Samsung le gustaría, así como despedirnos de funciones como el WiFi, Bluetooth, NFC o la cámara. Así que ya lo sabes, si eres de la opinión de que tienes que probar la nueva chuche de los de Mountain View, cueste lo que cueste, no dejes de echar un ojo a las instrucciones del enlace de lectura.

[Vía PocketNow]




Noticias AOL