Se puede participar hasta el próximo 1° de abril, independientemente del país en que residas, y siempre y cuando seas mayor de 14 años de edad. Las reglas y condiciones del concurso están explicadas (en inglés) en la Web que Microsoft ha lanzado para el BlueHat.

El dato: Además de los US$ 200.000 que componen el primer premio, BlueHat también reparte un segundo de 50 mil dólares y un tercero consistente en una suscripción al servicio de Microsoft “MSDN” valorada en 10.000 dólares. Los ganadores serán anunciados por la empresa en el Black Hat del próximo año.

Nada mal este concurso, ¿verdad? Así que si eres bueno con la seguridad informática y tienes ideas que quieras poner a concursar, ya sabes que a Microsoft le interesa tu consejo. ¡Adelante!

Link: Blue Hat Prize (Microsoft)

Según el investigador Alessandro Acquisti, de la Universidad Carnegie Mellon en Estados Unidos, un simple sistema que compara fotos de Facebook y fotos tomadas con una webcam puede identificar a una persona en menos de tres segundos. Acquisti presentó su sistema en la conferencia Black Hat en Las Vegas.

El sistema hizo comparaciones de fotos de Facebook, fotos tomadas con una webcam, y fotos de personas en un sitio de citas. Las fotos de webcam eran imágenes de estudiantes de la universidad, y el sistema identificó correctamente al 31%. Con el sitio de citas, la cantidad de identificados alcanzó sólo un 10%. Sin embargo, el mensaje es claro: esto está recién empezando y será cada vez más difícil mantenerse anónimo.

Esto puede convertirse en un problema por varias razones, aunque la más simple es ésta: ¿queremos que cualquier persona pueda tomarnos una foto en la calle, correr un software e identificar quiénes somos, quiénes son nuestros amigos, cuál es nuestra profesión, qué fue lo último que twitteamos?

Google se alejó del reconocimiento facial por considerarlo peligroso por estas razones, pero “ese genio ya salió de la botella”, dijo Acquisti. El investigador, que es profesor de tecnologías de la información y políticas públicas, creó una base de datos de 25.000 estudiantes, tomadas de sus perfiles de Facebook. Para el sitio de citas, se usó una base de 278.000 perfiles, comparada a 6.000 fotos de perfil del sitio de citas.

Acquisti y su equipo también desarrollaron una aplicación para iPhone que funciona de la misma manera, pasando la foto por un software de reconocimiento facial y entregando como resultado el nombre y la información del sujeto en la pantalla. El sistema funciona ahora sólo con imágenes donde la persona aparece de frente, pero a medida que la tecnología mejora, el reconocimiento será cada vez más fácil.

Lo malo aquí es que es prácticamente imposible salvarse de esto.  Aún si uno no subiera ninguna foto de uno mismo a las redes sociales o a internet, siempre hay alguien que subirá una imagen por uno (amigos, familia)…

Links:
- Your face – and the web – can tell everything about you (Red Tape)
- Face-matching with Facebook profiles: how it was done (CNET)

(cc) pfly

El investigador Dan Kaminsky presentó hoy durante la conferencia Black Hat en Las Vegas una herramienta para detectar si tu ISP está bajando artificialmente la velocidad, o aumentando el tráfico hacia y desde un sitio web, medidas que van en contra de la neutralidad en la red. El programa fue bautizado “N00ter” (o “neutral rooter”).

“¿Cómo detectas violaciones a la neutralidad de red? ¿Cómo detectas redes tendenciosas? “, se preguntaba Kaminsky.

El software podría ayudar a terminar con las excusas de que todo es culpa de tu hardware cuando un sitio no carga (pero el de la competencia sí) o si te bajan la velocidad artificialmente a servicios como Netflix, Skype o algún otro. También podría servir para monitorear el comportamiento de los ISP en los lugares donde existe una ley de neutralidad de red.

N00ter todavía no está disponible, pero Kaminsky dice que la lanzará en las próximas semanas.

El software usa una variación de una red virtual privada (VPN) para esconder la fuente de tráfico del ISP. Esto permite al usuario detectar cualquier variación en la velocidad que esté siendo causada por el ISP. N00ter está diseñado para captar hasta las variaciones más sutiles en las velocidades de tráfico, que pueden ser difíciles de detectar. Si un ISP intencionalmente está demorando el tráfico de un sitio o de algún competidor, N00ter mostrará la tendencia.

Kaminsky se hizo conocido al revelar una falla de seguridad en el sistema de DNS de Internet en la conferencia Black Hat de 2008, falla conocida como el “Kaminsky bug”. Ahora a los ISP les dio una advertencia: ”Estoy aquí como un ingeniero para decirles que los detectaremos. Y que lo probaremos de forma irrefutable”, dijo.

Link: Reseracher announces N00ter, a tool for catching net neutrality cheaters (Forbes)

(cc) 20th Century Fox

En la era del WhatsApp y otros servicios similares, ¿sirven para algo los SMS (además de para enviarlos a la persona equivocada con textos muy comprometedores)? La respuesta es si, y si me pedís ejemplos os daré uno: para robar autos.

¿No es un uso genial y divertido? Podéis darles las gracias a la pareja de hackers consultores de seguridad formada por Mathew Solnik y Don Bailey. Ambos empleados de iSec Partners utilizaron un simple ordenador portátil para probar que su fechoría era posible.

Para ello interceptaron los mensajes inalámbricos que se transmiten entre un automóvil y un sistema de control basado en software del mismo, como el popular OnStar de General Motors.

En apenas dos horas fueron capaces de superar las barreras de seguridad del protocolo entre ambos dispositivos y duplicarlo en su ordenador. Y no contentos con hacerlo en un sólo sistema lo hicieron con dos. Han llamado a su técnica “guerra de mensajes”.

Ahora les llega la hora de presumir asistiendo  a la conferencia Black Hat, aunque no darán todos los detalles técnicos de su “operación” hasta que el error de seguridad haya sido subsanado.

Teniendo en cuenta el avance en los sistemas de control y navegación de los automóviles no creo que tarde mucho en llegar el momento en el que los hackers no sólo abriran tu auto, sino que además serán capaces de conducirlo hasta su casa desde la comodidad de su salón.

Link: Hackers Can Unlock Doors, Start Some Cars Via SMS (Gizmodo)

‘War texting’ lets hackers unlock car doors via SMS (NetworkWorld)

La organización tiene como misión asegurarse de que cuando escribes el nombre de un sitio en un navegador, tu PC sepa dónde buscar y encontrar ese sitio que estás buscando. “No puedo pensar en nadie con un entendimiento mayor de las amenazas de seguridad que enfrentan los usuarios de internet y cómo defenderlos mejor ante ellas que Jeff Moss”, dijo el CEO de ICANN, Rod Beckstrom.

Moss comenzó con Defcon hace casi 18 años, cuando era conocido en el círculo online como “Dark Tangent”. Desde entonces se hizo conocido en los temas de seguridad, y hoy en día también es consejero del Departamento de Seguridad del Estado en EE.UU.

Link: ICANN names computer hacker as security chief (AP)

(cc) thinkpanama

Una vulnerabilidad de Windows CE y la poca rigurosidad de los fabricantes de cajeros automáticos permitieron que Barnaby Jack consiguiera dinero como si se hubiese ganado el premio mayor en las máquinas del casino.

Jack es director de investigación de seguridad  para IOActive y por suerte para los bancos y la gente de cajeros, logró este sueño de los ladrones en la Conferencia de Seguridad BlackHat que se realiza en Las Vegas.

Sobre el escenario de la conferencia, Jack hackeó dos cajeros comunes y corrientes, que los ladrones tradicionales roban con el menos sutil método de atarlos a una camioneta y arrastrarlos hasta que escupan el dinero.

Primero, Jack utilizó una llave universal para abrir el compartimiento electrónico del cajero y luego ejecutó un rootkit que fabricó él mismo (llamado Scrooge) usando un pendrive USB, que le permite tomar control de la máquina y hacer que entregue sus billetes (también podría haber hecho otras cosas, como ver una película, jugar, etc).

También desarrolló un sistema de administración online que le permite vigilar las máquinas y recolectar datos de las tarjetas de personas que utilicen ese equipo.

Los cajeros en peligro son los que corren usando Windows CE sobre plataformas ARM o XScale, y los fabricantes fueron advertidos con anticipación a esta demostración en Las Vegas para que tomaran medidas. Aún así, Jack indicó que todavía hay cajeros que son vulnerables a este ataque cuyos fabricantes no habían podido ser identificados como para alertar de esta vulnerabilidad.

Link: ATM hack gives cash on demand (PCWorld vía CHW)

Hasta un niño puede usar un kit de Malware (cc) Neoliminal - Flickr

Iba a poner como título de la noticia “Hackeando a los hackers” a sabiendas que iban a saltar varios a decir que no es lo mismo hacker que cracker, y luego otros dirían que todos son hackers pero unos tienen sombrero negro, etc etc. Al final, decidí que no correspondía el título, porque esta noticia no trata sobre los hackers, sino sobre unos delincuentes que no tienen idea de programación y se limitan a usar unos kits prefabricados.

Y a ellos, según lo que les voy a contar, sería posible atacarlos de vuelta.

La teoría del contraataque fue expuesta por el francés Laurent Oudot en la conferencia SyScan 2010 realizada en Singapur.

Resulta que, como les dije en la intro, la gran mayoría de los delincuentes informáticos no tiene idea de programación. Mientras todavía hay hackers o crackers de la vieja escuela que entran a servidores por línea de comando y luego borran sus huellas al salir, en realidad lo común es que un delincuente cualquiera que como gran cosa sabe usar el PC, descargue un kit de malware y lo use sin preguntarse mucho por la mecánica subyacente.

Estos kits, con nombres como Neon, Eleonore y Sniper, son desarrollados sin mucha meticulosidad y, aunque cumplen lo que prometen (la función de robar contraseñas, tarjetas de crédito y demases), vienen sin garantías y por cierto sin auditorías de seguridad. Laurent Odot se dedicó a desmenuzar estas aplicaciones malignas descubriendo que tienen más hoyos que un queso gruyere.

Desde un punto de vista teórico, sería perfectamente posible desarrollar maneras de detectar qué “kit malicioso” está ocupando un ciberdelincuente en un cierto momento, y explotar las vulnerabilidades de aquel para entrarle de vuelta. Con esto se podría acceder a su PC y probablemente averiguar su ubicación e identidad.

Hay ciertas implicancias legales en la práctica de combatir fuego con fuego, por lo que estamos hablando de un tema muy delicado que a lo mejor no sería recomendable aconsejar como práctica habitual. Mientras se maneje como un concepto teórico, en todo caso, no hay pecado en imaginarnos lo grato que sería poder emparejar cuentas con todos los parásitos que hacen de Internet un lugar inseguro para los incautos.

Link: Fighting back against web attacks (BBC)

(c) Joe Grand, Jacob Appelbaum, Chris Tarnovsky)

En la ciudad de San Francisco existen alrededor de 25.000 parquímetros “inteligentes”, fabricados por la empresa J.J. MacKay de Canadá y que pueden funcionar con monedas y tarjetas de prepago.

Si bien la compañía fabricante asegura que sus parquímetros utilizan sofisticados algoritmos de seguridad para que no sean vulnerados, estos no fueron suficientes para que un trío de hackers lograran encontrar la manera de descifrar cómo la tarjeta de prepago almacena su valor, para aumentarlo hasta los USD$999,99.

El trío de hackers reveló la falla en la protección de los parquímetros en la conferencia Black Hat que se realiza en la ciudad de Las Vegas.

Claramente esta noticia no cayó nada de bien en la Agencia Municipal de Transporte de la ciudad de San Francisco (responsable de la instalación de los aparatos), limitándose a señalar que estaban preocupados por la noticia y que se pondrían a trabajar con la empresa proveedora para solucionar el problema.

Link: Hackers: We can bypass San Francisco e-parking meters (CNET)