Anonymous Chile advirtió a través de su Facebook sobre el uso de hardware keylogger en cibercafés, que se pueden detectar fácilmente si miras la parte de atrás del computador que vas a usar. El aparato es un pasador negro que guarda los datos que se ingresen en el equipo y el lugar donde los ingresaste, ideal para capturar contraseñas. La verdad es que es una técnica muy, muy antigua, pero nunca está de más fijarse para ahorrarse malos ratos.

De todos modos, lo recomendable siempre es evitar realizar cualquier operación sensible (como ingresar al banco por ejemplo) desde un cibercafé, puesto que también existen keyloggers de software que podrían ser más difíciles de detectar que el pasador negro.

Los keylogger de hardware a veces son usados por personas ajenas  a los cibercafés para robar datos, porque pueden ponerse y luego retirarse sin dejar rastros en el equipo donde se instalaron. Estos aparatos no son detectables por el antivirus que tenga el equipo, y no dejan evidencia de que estuvieron alguna vez ahí.

Link: Anonymous (vía Radio BioBio)

Se hizo un compilado de 25 combinaciones inseguras, destacando la primerísima opción; password (contraseña), seguida de secuencias numéricas obvias como 123456 y 12345678, junto con otras secuencias del teclado que por lo general son muy mala opción a la hora de escoger una clave de seguridad.

También llaman la atención algunas palabras como monkey (mono), letmein (déjame entrar), dragon y master (maestro), que se repiten con tanta frecuencia que entran al listado del top 25. Es por esto mismo que también soprende la presencia de un par de nombres propios como ashley y michael, que al parecer son demasiado comunes en Norteamérica.

Sin más, veamos el listado completo de las 25 contraseñas más inseguras en Internet:

1. password
2. 123456
3. 12345678
4. qwerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. passw0rd
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. football

Link: 25 Worst Internet Passwords (Fox News)

La medida inicialmente correría para la creación de nuevas cuentas de Hotmail o para quienes quieran cambiar sus claves actuales y más adelante se ampliaría a las cuentas que sigan teniendo estas claves.

Puede ser molesto para quienes no estén de acuerdo, pero definitivamente nos están haciendo a todos un favor ayudándonos a ser más precavidos.

También habrá una característica que permitirá reportar cuentas de amigos que posiblemente hayan sido hackeadas para enviar spam o correos fraudulentos y serán bloqueadas para que los spammers no puedan seguir utilizándolas y el amigo luego pueda entrar pasando por el proceso de recuperación de cuenta.

Link: Hotmail banning common passwords to beef up security (Ars Technica)

¡Hola! (a veces) nos gusta el porno, por eso aquí tienen algunas combinaciones de email/password que robamos de pron.com for the lulz.

Entre la información robada se encontraban  registros de seis usuarios que se suscribieron con direcciones de correo .gov (gobierno) y .mil (milicia), así como información del administrador de otros 55 sitios web para adultos. Esto hizo que Facebook bloqueara todas las cuentas filtradas que contaran con un perfil en Facebook para evitar el robo de identidad.

Aunque la obtención de accesos para sitios porno (con fuerza bruta) parece una práctica “común” en los canales IRC underground, el grupo LulzSec – que aparentemente tiene vínculos con Anonymous – se ha convertido en una de las fuerzas menos previsibles en el mundo de la seguridad cibernética, ya que surgió hace apenas tres semanas y ha realizado al menos 9 ataques – muchos de ellos comprometiendo datos de usuarios.

Link: LulzSec Hackers Get Personal, Dump 26,000 Porn Site Usernames And Passwords (Forbes)

Google publicó en su blog oficial una advertencia sobre un reciente ataque sufrido por su servicio de correo Gmail; destinado a obtener acceso a las cuentas de usuario de altos responsables del gobierno de Estados Unidos, disidentes chinos, miembros de gobiernos asiáticos (preferentemente de Corea del Sur), responsables militares y periodistas.

La compañía de inmediato tomó cartas en el asunto logrando interrumpir el ataque, aunque de todas maneras se comunicaron con los gobiernos y usuarios afectados.

Según la investigación realizada por Googl,e los atacantes habrían utilizado técnicas de malware y phishing para obtener las claves, siendo el origen de estos ataques la localidad China de Jinan.

Según la compañía el objetivo del ataque sería lograr controlar de alguna manera el contenido de los correos electrónicos enviados por los usuarios, para lo cual habrían cambiado las opciones de reenvío y delegación de correos.

Con la finalidad de asegurar que este hecho no se vuelva a repetir, la compañía de la gran G recomendó utilizar sólo contraseñas seguras en las cuentas de los usuarios. Además sugiere utilizar la opción de verificación de cuentas en aquellos lugares donde se encuentre disponible.

No es la primera vez que Google tiene enfrentamientos con China. El año pasado, la compañía acusó un ataque proveniente de ese país que tenía como objetivo obtener secretos industriales. Tras ese incidente, Google decidió salir de China, redireccionando a los usuarios al sitio de Hong Kong y dejando de censurar resultados, como ordena el gobierno.

Click aqui para ver el video.

Link: Ensuring your information is safe online (The Official Google Blog)

Sony cerró la opción de acceso a varios sitios usando la cuenta de PSN (como los foros de PlayStation) y la web que se utiliza para cambiar las contraseñas fue retirado. Diversos blogs comprobaron directamente que la vulnerabilidad existía.

Sony reconoció el problema diciendo que quienes todavía están tratando de cambiar sus contraseñas “no podrán hacerlo por el momento. Esto se debe a una mantención esencial y en el presente todavía no está claro cuánto demorará”.

Los usuarios sí podrán seguir conectándose a través de la consola, ya que el problema sólo afectaría a la web.

Para sumarle aristas al tema, el CEO de Sony, Howard Stringer, calificó el hackeo a la PSN como un “hipo” en la compañía. “Ningún sistema es 100% seguro. Este es un hipo en el camino a un futuro en red”, afirmó a la agencia Bloomberg.

Sin embargo, el ataque sin duda afectará los planes de la compañía de enlazar televisores, teléfonos y computadores a una sola red de contenidos interconectada entre equipos de Sony. Nadie quiere perder datos del celular además de los de la PlayStation.

Mientras tanto, en Japón el gobierno todavía no autoriza el retorno de la PSN, ya que todavía está insatisfecho con las medidas de seguridad de la empresa.

Actualización: Sony niega que haya sido un hackeo. En el blog oficial, Patrick Seybold explica que “en el proceso de resetear passwords, hubo un exploit de la URL que hemos reparado”. Seybold recomendó a quienes no hayan cambiado sus contraseñas, hacerlo directamente desde la PS3. No hay indicaciones de cuándo volverá a funcionar el servicio en la web.

Links:
- Not so fast: Sony’s PlayStation Network hacked again (The Next Web)
- PSN passwords system suffers from exploit? (PlayStation Universe)
- Sony’s PSN password page exploit (Eurogamer)
- Sony’s Stringer calls hacker attack a ‘hiccup’ in company’s online strategy (Bloomberg)

Los hackers TinKode y Ne0h publicaron un volcado de credenciales robadas de MySQL.com, MySQL.fr, MySQL.de, MySQL.it y www-jp.mysql.com en paste.bin. Entre los datos se incluye la pobre contraseña de 4 dígitos que Robin Schumacher, director de gestión de productos, utilizaba en su cuenta de WordPress para blogs.mysql.com.

La base de datos expuesta contenía correos electrónicos y credenciales de miembros y empleados, así como tablas con información de clientes y socios, y detalles internos de la red. Los hashes fueron publicados con algunos que ya habían sido descifrados. Por otro lado, XSSed.com también detalla una vulnerabilidad XSS (Cross Site Scripting) que afectan a MySQL.com  y que podría haber proporcionado un punto de entrada secundaria que ponía en peligro a los visitantes y empleados desde principios de enero de 2011.

Al mismo tiempo un par de sitios de Sun/Oracle recibieron un ataque similar, pero en este caso sin comprometer datos de acceso.

Link: MySQL.com Database Compromised By Blind SQL Injection (TechieBuzz)

Si hace unos días fueron los servidores del proyecto Fedora los que fueron atacados por hackers, ahora son los de SourceForge los que han debido hacer frente a un ataque similar contra su infraestructura.

Los problemas para esta “central de desarrollos de software” comenzaron el pasado día 27, cuando sus administradores detectaron que varios de sus servidores estaban siendo atacados. Con la finalidad de limitar los posibles daños causados por los ataques, optaron por apagar una serie de servidores.

Al parecer el ataque inicialmente provocó un fallo en los sistemas donde se aloja el repositorio CVS, aunque otras máquinas también se vieron comprometidas sin que hasta el momento se haya podido determinar el verdadero alcance del ataque.

Como una manera de responder a los ataques y que estos no terminaran afectando otros servidores, los administradores decidieron apagar los servidores responsables de los CVS, los ViewVC, los servicios interactivos de shell y la opción de subir nuevas versiones de programas.

Sumado a lo anterior y como una manera de resguardar la integridad de las cuentas de los usuarios, se procedió a restablecer todas las contraseñas de la base de datos sf.net.

Mientras tanto se sigue trabajando en detectar la forma como los atacantes lograron tener acceso a los servidores, en la restauración de los servicios y en la comprobación del nivel de daños causado.

Link: Service downtime due to exploit (SourceForge Vía Arizona Reporter)

Ahora que Chrome superó su estado Beta, por lo menos para Windows, se esperaba que muchos de los problemas que fueron reportados en las anteriores versiones estuvieran solucionados, pero según la compañía Chapin Information Services esto no es así.

Según un informe publicado en la página web de la compañía, Chrome 1.0 es el peor navegador a la hora de proteger las contraseñas de los usuarios que lo utilizan. Lo anterior se debe a que presenta tres errores que ayudan a explotar un fallo de seguridad que fue descubierto hace dos años y que facilita que un atacante obtenga las contraseñas almacenadas en Chrome sin que el usuario se percate.

Estos tres errores ya habían sido denunciados por Chapin cuando el navegador se encontraba en estado Beta y por si fuera poco, se han encontrado otros 17 errores relacionados con el administrador de contraseñas de Chrome.

En el mismo informe la compañía señala a Opera 9.62 como el navegador que protege de mejor forma las contraseñas de los usuarios.

Si quieres evaluar la seguridad de tu navegador, puedes acceder a un test disponible en la página de la compañía desde este enlace.

Link: Google Chrome Receives Lowest Password Security Score (vía CGISecurity)

La empresa ElcomSoft consciente de lo anterior, ha lanzado una nueva versión de su programa de recuperación de contraseñas de forma distribuida, pero que hace uso de las GPU de múltiples tarjetas gráficas NVIDIA (como la GeForce GTX 280) trabajando en paralelo.

Gracias a lo anterior sus resultados son bastante impresionantes, ya que el sistema ahora es capaz de explorar hasta 1.000 millones de contraseñas por segundo.

Como para tener un punto de comparación, un Core2Duo es capaz de probar 200 contraseñas por segundo, pero si le agregamos a nuestro sistema una GeForce GTX 260, incrementamos el poder de procesamiento del sistema hasta llegar a las 5.000 contraseñas por segundo.

En el listado de tarjetas soportadas están todas las GeForce 8 y 9, pero la gran gracia es que no es necesario que todas las tarjetas de nuestro sistema sean iguales.

Y nuestros bancos que todavía utilizan una clave de cuatro dígitos para los cajeros automáticos.

Link: Creating a New Reality: Cracking One Billion Passwords per Second (ElcomSoft)

¿Cansado de poner 1234, 123456, 1234567890, tu fecha de nacimiento, RUT, DNI, número de teléfono o el nombre de tu perro como contraseña? Bien, porque llegó ayuda: Password Bird. Ingresas un par de datos, una fecha especial y voilá, tienes una contraseña fácil de recordar. Mientras no se te olvide…