Esto era imposible hasta hace poco porque todos los requerimientos de Siri pasan por un servidor seguro en Cupertino, que se aseguraba que los requerimientos venían de un iPhone 4S. Sin embargo, Applidium desarrolló una herramienta para engañar a los servidores y confirmar los requerimientos sin importar de dónde vengan.

Así que quizás pronto puedas tener a Siri hablando nativamente (aunque no legalmente) en equipos Android o en escritorios. Lo malo es que todavía sólo habla en inglés, así que hay que ser bilingüe para jugar con este asistente.

Link: Cracking Siri (Applidium)

Ayer LulzSec se atribuyó la caída de sitios – por petición de sus ‘fans’ – como parte del  Titanic Takedown Tuesday. Los sitios afectados fueron el servidor de Minecraft, la revista de The Escapist y la compañía de seguridad FinFisher, además de los servidores de sesión para los juegos EVE Online y League of Legends. La mayoría de estas caídas se produjo por ataques de denegación de servicio.

LulzSec anunció en su cuenta de Twitter el número telefónico 614-LULZSEC donde cualquiera que desee tirar un sitio web puede llamar y solicitarlo. Al llamar a la línea, un mensaje grabado – de alguien que se hace llamar Pierre Dubois o Francois Deluxe – tomará la petición en un buzón de voz.

Si bien el código de área 614 parece referirse al estado de Ohio, es poco probable que sea su verdadera ubicación.

Como parte de estas solicitudes, LulzSec también tiró el servidor principal de sesiones para Heroes of Newerth.

Link: LulzSec opens hack request line (BBC)

Sony cerró la opción de acceso a varios sitios usando la cuenta de PSN (como los foros de PlayStation) y la web que se utiliza para cambiar las contraseñas fue retirado. Diversos blogs comprobaron directamente que la vulnerabilidad existía.

Sony reconoció el problema diciendo que quienes todavía están tratando de cambiar sus contraseñas “no podrán hacerlo por el momento. Esto se debe a una mantención esencial y en el presente todavía no está claro cuánto demorará”.

Los usuarios sí podrán seguir conectándose a través de la consola, ya que el problema sólo afectaría a la web.

Para sumarle aristas al tema, el CEO de Sony, Howard Stringer, calificó el hackeo a la PSN como un “hipo” en la compañía. “Ningún sistema es 100% seguro. Este es un hipo en el camino a un futuro en red”, afirmó a la agencia Bloomberg.

Sin embargo, el ataque sin duda afectará los planes de la compañía de enlazar televisores, teléfonos y computadores a una sola red de contenidos interconectada entre equipos de Sony. Nadie quiere perder datos del celular además de los de la PlayStation.

Mientras tanto, en Japón el gobierno todavía no autoriza el retorno de la PSN, ya que todavía está insatisfecho con las medidas de seguridad de la empresa.

Actualización: Sony niega que haya sido un hackeo. En el blog oficial, Patrick Seybold explica que “en el proceso de resetear passwords, hubo un exploit de la URL que hemos reparado”. Seybold recomendó a quienes no hayan cambiado sus contraseñas, hacerlo directamente desde la PS3. No hay indicaciones de cuándo volverá a funcionar el servicio en la web.

Links:
- Not so fast: Sony’s PlayStation Network hacked again (The Next Web)
- PSN passwords system suffers from exploit? (PlayStation Universe)
- Sony’s PSN password page exploit (Eurogamer)
- Sony’s Stringer calls hacker attack a ‘hiccup’ in company’s online strategy (Bloomberg)

Según el documento, es posible que una guerra futura se inicie por un hackeo. “Los estados tienen un derecho inherente a la propia defensa, que puede ser activada por ciertos actos agresivos en el ciberespacio“, dice el documento.

“Ciertos actos hostiles conducidos en el ciberespacio podrían obligar a tomar acciones bajo los compromisos que tenemos con nuestros socios de tratados militares. Cuando sea justificado, Estados Unidos responderá a actos hostiles en el ciberespacio como responderíamos a cualquier otra amenaza a nuestro país”, agrega.

El documento señala de todas maneras que las fuerzas militares serían el último recurso después de la diplomacia y medidas económicas.

Adicionalmente, Estados Unidos no se limita a su propio territorio, sino que también aplicaría las medidas a otros países. ”Una red global y distribuida requiere capacidades de advertencia globales y distribuidas”, dice la estrategia. “Estados Unidos se asegurará de que los riesgos asociados con atacar o explotar nuestras redes pese más que los potenciales beneficios”.

Link: US warns: hack us, and we might bomb you (Ars Technica)

El canal fue secuestrado por un moderador llamado “Ryan”, y su ataque desató un agitado debate respecto de los “líderes” de Anonymous.

Los principales servidores de chat usados por Anonymous han sido históricamente administrados por un grupo llamado “AnonOps”. Usando un cliente de IRC para conectarse a anonops.ru o anonops.net conectaba a esos servidores, donde se puede ingresar a canales como #OpSony (bastante polémico últimamente), y participar en las variadas actividades del grupo.

Aunque Anonymous ha dicho muchas veces que no tiene líderes, grupos como AnonOps sí tienen cierto orden: hay que pagar los servidores, registrar nombres de dominio, y tener cierta moderación en los canales de chat. Uno de los moderadores de IRC era “Ryan”, y esta semana, inició un ataque para tomarse el control de los servidores de AnonOps y quitárselo a los “líderes” que lo tenían.

Esos líderes son gente con nombres como “shitstorm”, “Nerdo”, “blergh”, Power2All” y “Owen”. Ahora, uno de los servidores de IRC simplemente dice “anonops está muerto, váyanse a casa”.

Antiguos vs. nuevos líderes

Los “ex” jefes lanzaron un comunicado explicando lo que pasó el fin de semana y por qué los servidores de IRC siguen abajo:

Lamentamos informarles que nuestra red se ha visto comprometida por un ex-operador de IRC y compañero ayudante llamado “Ryan”. Él decidió que no le gustaba la estructura sin líderes que usa la red de administradores de AnonOps. Así que organizó un golpe de estado, con sus “amigos” de skidsr.us. Usando el servicio de bot de redes “Zalgo”, buscó las IPs y contraseñas de todos los servidores de redes (incluyendo al hub) y luego los atacó sistemáticamente con denegaciones de servicio (que es la razón por la que la red ha estado inestable durante la semana pasada). Desafortunadamente, él tiene el control de los nombres de dominio AnonOps.ru (y posiblemente AnonOps.net, no sabemos todavía), así que no podemos seguir usándolos.

Ahora, no todos están convencidos con esta explicación. Hay un fuerte sentimiento de que AnonOps no está contando toda la verdad en este caso. Ryan indicó hoy en una entrevista que decidió lanzar el ataque porque creía que AnonOps se había vuelto demasiado centralizado.

Según Ryan, “Owen y otros han cruzado la barrera, involucrándose en un rol de líderes. Esa no es la la forma en que se organizaron las cosas”. El sujeto afirmó que su idea era “echar por tierra” la idea de que Anonymous era democrático y que no había líderes.

Como sea, al final Ryan redirigió los nombres de dominio de AnonOps que controlaba, y encabezó un ataque a los servidores de IRC. Luego publicó las direcciones IP  de todos aquellos que estaban conectados a esos servidores, en una medida que dijo que era “lamentable pero necesaria”.

Cacería

Por el lado de los que apoyan a AnonOps, ya se inició una campaña para pescarlo. En poco tiempo ya había nombres, direcciones, números de teléfono, nombre en Skype y su edad (17 años).

Algunos han comenzado a decir que Ryan “traicionó” a Anonymous y lo acusan de haber robado las tarjetas de crédito de la PSN, aunque no hay ninguna prueba de que tenga algo que ver con eso.

AnonOps cambió sus dominios a la India y se están reorganizando. Ahora, no se sabe si podrán volver a tomarse el control de todo Anonymous, o qué sucederá con el reordenamiento del colectivo. Algunos han apuntado que, en realidad, el drama es una cosa común dentro de Anonymous y que sucede todo el tiempo “for the lulz”. De todos modos, el grupo ha llamado mucho la atención luego que empezara a defender a WikiLeaks este año. Si antes sólo era burlarse de la Cientología u hacer otras cosas chistosas en Internet, ahora Anonymous se ha posicionado como una fuerza que de verdad puede generar cambios, y quizás por eso un cierto nivel de organización se hace necesario.

Habrá que ver si todo sigue como antes y esto es solo una “pataleta”, o si el “golpe de estado” de Ryan genera cambios.

Links:
- AnonOps
- The hackers hacked: main Anonymous IRC servers invaded (Ars Technica)

El usuario de YouTube “Keysosaurus” publicó un video demostrando su último hack de Kinect: un juego 3D de Tetris que, además de usar el dispositivo de Microsoft, usa también el Wiimote de Nintendo.

El hack fue hecho como parte de su trabajo en la Trinity College en Dublín, Irlanda. Usando código C#, XNA y OpenNI este estudiante logró crear un juego de Tetris que funciona sobre la imagen del jugador.

Para controlar la visión del tablero se usa Kinect. Es decir, si quieres hacer zoom in o out, tienes que mover la cabeza hacia adelante o hacia atrás. Si quieres girar el panel de juego hacia los lados, mueve la cabeza hacia los lados. El Wiimote sirve para controlar cómo caen las piezas del juego: puedes moverlas hacia los lados, rotarlas y acelerar su caída. Además el juego es capaz de llevar tu puntuación y decir qué pieza va a caer después.

Link: Kinect Hack Lets You Play 3D Tetris: Kiss You Social Life Goodbye (PC World)

Click aqui para ver el video.

Barcelona es una ciudad conocida mundialmente que recibe millones de turistas al año; una de las calles más transitadas por estos visitantes son Las Ramblas. Este largo paseo que va del centro de la ciudad hasta el puerto siempre está lleno de artistas de la calle; mimos y esculturas humanas es lo que más hay y los turistas se deleitan con la abundante creatividad en este espacio.

Bueno, pues un grupo de artistas digitales llamado blablaLab pusieron una interesante instalación en esta calle. Llamada “Be your own souvenir” la pieza permite a los usuarios crear muñequitos de ellos mismos mediante un “escaneo” en 3D utilizando tres Kinects.

Jugando con la idea de los turistas, el souvenir y los artistas de la calle, los chicos de blablaLab crearon esta instalación que invita a los usuarios no sólo a ser espectadores sino también actores y representarse a si mismos ante los Kinects para luego ser reconstruidos en pequeños modelos de ellos mismos y llevarse un souvenir único: su propia figurita de plástico.

En la parte superior de este post podrán ver un videoclip-documental que muestra un poco la experiencia de “Be your own souvenir” mientras se estuvo presentando en las Ramblas. Se puede apreciar la instalación con los tres kinects, donde los usuarios tenían que mantenerse en la posición deseada a quedar registrada en 3D. Después se ve como la información de los tres Kinects se junta y se ajusta en otros programas para luego ser enviada a una impresora 3D RapMan, la cual es la que finalmente produce la figurita del usuario.

Interesante idea que convierte al turista en parte de la misma atracción que está visitando, llevándose así un recuerdo de si mismo y de la instalación.

Y también hay una buena noticia para aquellos que estén interesados en esta tecnología, todo se ha hecho con código abierto por lo que es posible acceder a la programación e intentar reconstruir esta instalación en la casa.

Link: Zoolander meets Dr. Evil: Kinect hack prints out a model mini-you (Fast Company)

Para aquellos que pensaron que Gmail Motion era una buena idea, aquí llegó una solución. Un grupo del Institute for Creative Technologies de la USC creó una aplicación llamada “SLOOW” o “Software Library Optimizing Obligatory Waving” que permite controlar Gmail a través de Kinect, con los gestos anunciados en la broma de Gmail Motion.

Así, abres un correo “abriendo un sobre”, respondes moviendo la mano hacia atrás y envías el correo simulando pegar una estampilla. Los creadores son el mismo equipo que desarrolló la aplicación para controlar World of Warcraft mediante gestos con Kinect. Ellos mismos reconocen que la aplicación es bastante ridícula, pero el hecho que funcione ya es interesante.

Link: Gmail Motion April Fools’ gag inevitably turned into reality using Kinect (video) (Engadget)

Un programador conocido como Shantanu Goel logró comunicar el accesorio para Xbox 360 Kinect (de Microsoft) con la PlayStation 3 (de Sony) para jugar Killzone 3.

En el video superior se hace una demostración de cómo se controla el PS3 con Kinect. Primero, se ve como navega por el menu de sistema XMB de la consola de Sony, para después entrar al videojuego de Killzone 3.

La interacción con el menú está decente, pero lo que respecta a la interacción con el videojuego es bastante lenta y parece muy incómoda – incluso injugable.

De hecho, Shantanu Goel reconoce que este hack está apenas en una fase pre-alpha, a la vez que dice estar solucionando problemas con el reconocimiento/tracking corporal y la comunicación con el PS3, entre otros más.

Aún así es muy curioso ver a los dispositivos Sony y Microsoft conectados entre ellos para jugar. Y bueno, por si alguno de ustedes quiere intentarlo, este hacker dejó colgadas las instrucciones y códigos para comunicar los aparatos.

Link: Kinect mated with PlayStation 3 to play Killzone 3 (DVICE)

¿Estás aburrido de ver los sitios siempre iguales? ¿Crees que necesitan una limpieza de tantas letras? Con este hack puedes entretenerte un rato sin salir de tu navegador al estilo de Katamari Damacy. El juego funciona siempre que tu navegador lea HTML5 (se recomienda Chrome o Firefox 4).

Para quienes no lo conozcan, Katamari Damacy es un juego que consiste en ir pegando todas las cosas posibles en una gran bola que luego se convertirá en una estrella. Para activarlo, simplemente copia el siguiente código en la barra de direcciones:

javascript:var i,s,ss=['http://kathack.com/js/kh.js','http://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js'];for(i=0;i!=ss.length;i++){s=document.createElement('script');s.src=ss[i];document.body.appendChild(s);}void(0);

PS: Es una sola línea de código, WordPress no me dejaba ponerla toda de una vez (por razones obvias, ya ven que se ve feo). Para copiarla toda hagan click 3 veces seguidas rápido sobre una de las palabras y después ctrl+C, luego peguen eso en la barra de direcciones.

Link: Katamari Hack (vía Engadget)

Pues bien, nadie se sintió capaz de lograrlo (ya en las dos ediciones anteriores había sido infranqueable) o -en rigor- hubo dos inscripciones para la compleja misión, pero el primer aspirante nunca apareció y el Team Anon decidió marginarse para enfocar sus esfuerzos en su vulneración para BlackBerry. Así los US$20.000 ofrecidos por Mountain View se quedan en casa.

Pero hoy es el segundo día de competencia, por lo que aún podría caer el hasta ahora inexpugnable software.

En tanto, una suerte diametralmente opuesta corrieron Internet Explorer 8 y Safari.

El navegador de Apple quedó en vergüenza al ser derrotado en apenas cinco segundos por la compañía francesa de seguridad Vupen.

Por su parte, el navegador de Microsoft fue hackeado por Stephen Fewer en el primer intento, aunque requirió usar tres vulnerabilidades distintas para lograr romper los mecanismos de seguridad.

La competencia continúa hoy con los intentos por vulnerar Chrome y Firefox de Mozilla, mientras que el viernes es el turno de los teléfonos móviles.

Actualización: El segundo día de ataques no trajo nuevas víctimas, por lo que tanto Chrome como Firefox resultaron ilesos este año. Para la segunda jornada estaban programados intentos para vulnerar al navegador de Mozilla, pero al igual que como ocurrió con su par de Google en la primera jornada, ninguno de los candidatos para dicha competencia se presentó.

Link:

- Google’s Chrome untouched at Pwn2Own hack match (ComputerWorld)

- Chrome, Mozilla survive in Pwn2Own hacking contest (CBR)

Mientras Kinect tiene montones de modificaciones curiosas con Microsoft impulsándolas – inteligentemente – el Move de Sony también tiene algunos espacios donde innovar.

Los desarrolladores de PABR Technologies crearon así el “Copernitron”, un hack del PlayStation Move que mide la rotación de la Tierra. El invento incluye una mesa rotatoria, un control y un montón de otras herramientas que permiten que el equipo detecte cuál es el norte geográfico, determine la latitud y mida la rotación.

La explicación completa sobre cómo funciona se puede ver en el link de abajo.

Link: Copernitron (vía Geekosystem)

Johnny Chung Lee es un conocido modificador de productos. Ha hecho varios hacks del Wiimote, y más recientemente, de Kinect. Hace poco se cambió de Seattle a Mountain View, lejos de su novia. Para tratar de hacer que la distancia parezca menos, Johnny pensó en formas para mantener el contacto. Y mientras cualquier habría pensado “¡hey, ocupemos Skype!”, él hizo algo más complicado: construyó su propio robot de telepresencia.

Ya hemos visto varios de estos robots. Sheldon Cooper ocupó uno en The Big Bang Theory, y la semana pasada les contamos sobre un niño que los usa para ir al colegio. El problema es que suelen ser muy caros, generalmente sobre los US$ 15 mil. Ahí radica la gracia del robot de Johnny Chung Lee: sólo cuesta US$ 500.

Para construirlo usó un iRobot Create (de los mismos creadores de la Roomba) y un netbook con Skype. Eso, más los cables, suma un costo de US$ 500. En su sitio subió las instrucciones de cómo hacerlo, además del código que usó para que el robot pueda ser controlado remotamente. Las mismas instrucciones están en el video de arriba.

Link: Johnny Chung Lee makes DIY telepresence bot out of an iRobot Create and a netbook (Engadget)

Su navegador Chrome es el único de los cuatro más importantes (que completan Internet Explorer, Firefox y Safari) sin haber sido vulnerado en las últimas dos ediciones, entonces para estimular a los cabros, decidió gratificar con suculentos US$20.000 y un notebook CR-48 a quien logre encontrar algún bug y salir del sandbox sin dejar evidencias durante el primer día de la próxima reunión.

El sandbox es un sistema de defensa que aísla los procesos de sistema previniendo o dificultando mucho que sea vulnerado el programa. Para resultar exitosos, los hackers deben hallar dos vulnerabilidades: una para permitir que su código logre salir del sandbox y otro para explotar un bug en Chrome.

Google es la primera compañía en aportar premios a la competencia, pero de salir invicto el primer día recortará su reconocimiento a US$10.000 y a partir del segundo día podrán emplear un bug ajeno a Chrome para intentar hackearlo, pero la diferencia será repuesta por la organización.

En la cita de hackers -que se desarrollará entre el 9 y 11 de marzo en Vancouver, Canadá, en el marco de la conferencia CanSecWest-  se premiará también con US$15.000 a quienes consigan hackear los otros navegadores en cuestión y la misma cantidad de dinero en la categoría “móvil”, donde estarán presentes smartphones con Apple iOS, Google Android, Microsoft Windows Phone 7 y BlackBerry OS.

Link: Google bets $20K that Chrome can’t be hacked (Computerworld)

Siempre supe que tenía que dejar anotado el nombre de este tipo Oliver Kreylos en alguna parte. Ya tiene una suerte de doctorado en hackeos del Kinect con un par de las intervenciones más interesantes desde que se lanzó el periférico de la Xbox y se descubrió que se podía hacer harto más que jugar. Algo se traía entre manos y hoy ya lo dio a conocer.

Ya vimos hace unos días cómo concretaba una más que correcta transmisión en 3D utilizando dos cámaras para que cada una llene los espacios dejados por la otra. Hablábamos de que la calidad no era la mejor y que seguramente iría puliendo la técnica, pero aquí pegó un salto importante: la telepresencia 3D.

También es una suerte de beta, pero deja en claro que no está solamente jugando con el aparato de Microsoft.

Aquí logra insertar a dos personas en un mismo ambiente virtual en tres dimensiones (también con dos Kinect), pero sólo viendo la interacción su pantalla… aún falta para que llegue a ser holográfico. La navegación y la lucha con espadas de luz la consigue a través de un Wiimote.

Tras el salto, la nueva demostración de Kreylos:

Click aqui para ver el video.

Link: Two Kinects join forces to make 3D telepresence, enable virtual light saber battles (Engadget)

En este post agrupamos a tres que han aparecido en los último días:

1.- Kinect Minority Report

Click aqui para ver el video.

Desde que apareció Tom Cruise jugando con sus dedos sobre una pantalla en la película Minority Report, todos nos hemos imaginado el día en que esa tecnología sería realidad. Ahora Kinect lo ha logrado con ayuda de un equipo del MIT, que creó un sistema que detecta la posición de las palmas de las manos y de los diez dedos.

Con esto, se puede hacer scroll de imágenes, seleccionarlas, agrandarlas o achicarlas, sin necesidad de guantes. La interfaz fue diseñada por miembros del Laboratorio de Ciencias de la Computación e Inteligencia Artificial del MIT, así que no son sólo jovenes aburridos los que están jugando con este aparato.

2.- Cuadricóptero Kinect volador

Click aqui para ver el video.

¿Qué tal si le ponemos alas a un Kinect y lo hacemos volar? Un equipo de la Universidad de California hackeó un AR Drone y le montó un Kinect y un computador de procesador Atom de 1.6 GHz con Ubuntu encima. Así, el cuadricóptero puede “mirar” sus alrededores con los sensores y calcular cómo volar sin chocar nada y sin que lo controle una persona.

3.- Kinect motorizado

Click aqui para ver el video.

Si volar no era suficiente, ahora Kinect también puede andar por la tierra a toda velocidad después de que Michael Schweitzer y Michael Himmelsbach de la Universidad de Bundeswehr en Munich, Alemania, lo fusionaran con un auto a control remoto.

El mini vehículo usa Kinect como “ojos” mientras que en la parte de los pasajeros va un Dell XPS M1330, que usa una versión modificada de un software que se usó para hacer que un auto de verdad ande solo en la Darpa Urban Challenge. El autito puede ahora esquivar obstáculos por si mismo, aunque todavía le faltan algunos ajustes para que funcione perfectamente.

Desde que Kinect salió a la venta hemos visto varios anuncios de personas que lograron “hackear” Kinect. Que lo hicieron funcionar en un PC, que se pueden grabar videos en 3D, que se puede usar para generar títeres de sombra. Y desde un comienzo, Microsoft dejó claro que no estaban de acuerdo con esto. Incluso, luego de la aparición de varias recompensas para quienes logren incorporar Kinect a otros sistemas, Microsoft mandó una declaración a CNet que dice:

Con Kinect, Microsoft incorporó varias protecciones de hardware y software diseñadas para reducir las posibilidades de manipular el producto. Microsoft va a seguir haciendo avances en este tipo de protecciones y va a trabajar de cerca con la policía y grupos de protección de productos para mantener a Kinect resistente a las manipulaciones.

Eso fue el 4 de noviembre. Pero ahora, Microsoft cambia la canción y dice que Kinect siempre fue pensado para ser abierto. En una entrevista en NPR, el director de incubación de Xbox, Alex Kipman, declaró:

Kinect no fue hackeado. Eso significaría que alguien obtuvo los algoritmos que están dentro del Xbox y los pudo usar, lo que no ha pasado (…) Lo que sí pasó es que alguien escribió un driver de código abierto para PCs, que es esencialmente abrir la conexión USB, la que por diseño no está protegida, permitiendo leer el input del sensor.

El cambio es tal que una studio manage en Microsoft dijo estar emocionada por ver la inspiración en el público por crear cosas. Así que, ahora sí que sí, hay permiso de Microsoft: pueden hacer lo que quieran con Kinect. Porque esto obviamente estaba frenándolos antes.

Link: Microsoft Now “Excited” by Kinect Hacks (Mashable)

La locura por Kinect ha sido tanta que hasta Google quiere entrar al baile, o al menos uno de sus ingenieros quiere hacerlo. Matt Cutts, ingeniero de la gran G, está ofreciendo dinero a quienes creen los mejores proyectos de código abierto y basados en Linux para Kinect.

En su blog, Cutts cuenta su interés en las interfaces que capturan movimiento. Está interesado en ellas desde la universidad, por lo que la posibilidad de comprar uno a US$ 150 en una tienda regular lo tiene entusiasmado. Por eso, y ante la publicación de los drivers de código abierto para Kinect que salieron esta semana, Cutt decidió hacer un concurso.

La competencia tendrá dos premios. US$ 1000 para la persona que haga la aplicación, demo o programa de código abierto más interesante usando Kinect. El segundo premio son otros US$ 1000 para quien logre simplificar al máximo el proceso de escribir aplicaciones en Linux para Kinect.

Para participar, tienes que dejar un comentario en el post del concurso en el blog de Cutts, dejando un link al proyecto y una pequeña descripción. El concurso termina el 31 de diciembre y aunque dijo que pedirá ayuda para elegir el ganador, la decisión final la tomará él. ¿Alguien se anima?

Link: Open Kinect Contest: $2000 in prizes (MattCutts)

Kamkar atrae a la víctima a un sitio web que utiliza PHP + JavaScript [PPT] para extraer la MAC Adress del router. Una vez que tuvo esta información, la buscó en los datos de Google Street View para ver dónde se registró esa MAC, obteniendo así las coordenadas de posición del router. Esto demuestra lo fácil que es identificar el domicilio de una persona con una precisión casi exacta, utilizando los datos recogidos por los vehículos de Google.

Este tipo de bases de datos “MAC-to-Location” empleadas por servicios como Google Street View y Skyhook pueden utilizarse para acosar o atacar a personas, poniendo en tela de juicio la responsabilidad de estas empresas con los datos “privados” que recolectan.

Mientras tanto Apple se lava las manos y desde iOS 3.2 utiliza sus propias bases de datos para ofrecer servicios basados en la ubicación – que antes mantenía con Google y Skyhook Wireless (“Skyhook”).  Recientemente manifestó que siempre ha tenido cuidado en proteger la privacidad de sus clientes.

Link: Web attack knows where you live (BBC – gracias Nobita81)

(c) Javier

Varios lectores nos enviaron ayer una alerta respecto de que algo raro estaba pasando en Facebook. En la parte de avisos de cumpleaños, aparecía “fuck you bitches”.

El asunto fue obra de un grupo de gente miembros del sitio turco “Inci Sözlük”, que utilizaron la aplicación de traducción de Facebook para lograr estos cambios. Además de la modificación a los cumpleaños, se pudieron encontrar mensajes como “ha follado la foto de” en lugar de “comentado” y se agregaron notificaciones como “inci is here” a diversos mensajes.

Básicamente, Inci hizo que Facebook pensara que la mejor traducción para “cumpleaños” fuera “fuck you bitches”. A estas alturas el asunto debiera estar solucionado (si todavía lo ves, puedes cambiar el idioma a Español de otro lado y funcionará normal).

El problema deja en evidencia la vulnerabilidad que existe en los idiomas “en beta” en la red social. En estos casos, si suficientes personas dicen que un término que Facebook utiliza es incorrecto y sugieren uno diferente (da lo mismo lo que sea), el sitio lo cambia automáticamente. Inci usó el mismo truco a principios de año en la versión turca del sitio.

Con 500 millones de usuarios de los que una buena cantidad habla un idioma distinto al inglés, Facebook tendrá que poner algo más de atención en este punto.

Links:
- Yo tb vi como hackearon Facebook con el “fuck you bitches” (Facebook – gracias Javier, Cristóbal y Rogelio)
- Did Facebook just get hacked? (Gawker)
- Fuck you bitches en Facebook – mala traducción o fue hackeada? (Blog AntiLinux)

Mucho ojo con los furgones fuera de tu casa (cc) renaissancechambara - Twitter

La historia corta: uno de los ingenieros jefes del departamento SRE (Site Reliability Engineering) de Facebook, justamente el área a cargo de la seguridad y privacidad entre otros temas, desafió a los empleados de la compañía a hackearlo y con ello acceder al backend  de Facebook como admin. Resultado: lo hackearon y le sacaron no sólo las claves de Facebook sino del correo, banco, Twitter y todo lo que se les ocurra.

Todo empezó cuando, en junio, la FTC amonestase a Twitter por “haber fallado en proteger su sistema de administración de accesos no autorizados”, un incidente que los tuvo por las cuerdas durante el 2009.  Para prevenir la ocurrencia de un evento equivalente, el depto de SRE de Facebook quiso hacer un ensayo de ataque, nada menos que declarando temporada abierta para que cualquier empleado cuyo sueño fuese hackear la compañía, lo intentase.

En favor del SRE hay que decir que no los hackearon instantáneamente, sino que el éxito de la misión fue resultado de dos semanas de abnegado y detectivesco trabajo.

Los empleados que lograron hackear al ingeniero de SRE se ubicaron sigilosamente cerca de su domicilio particular, y conectaron un router inalámbrico que se identificó con el mismo SSID de la red casera de la víctima. Esperaron pacientemente hasta que el ingeniero ingresó al router-trampa y de ahí en adelante, toda su experiencia de navegación fue registrada en detalle, incluyendo por supuesto los passwords de todos los servicios que pedían autentificación incluyendo macoy123.

Algunos dirán que si para hackear a este ingeniero hizo falta seguirlo hasta su casa, no puede ser tan fácil para un computín al otro lado del mundo hacer la misma gracia valiéndose sólo de internet. También da para pensar que  al ingeniero SRE siendo un experto, y sabiendo que iban tras él, igual le entraron. ¿Qué queda para el resto de los mortales?

Link: Employees Challenged To Crack Facebook Security, Succeed (TechCrunch)

Random Hacks of Kidness es una organización que tiene como socios a Google, Microsoft, la NASA y el Banco Mundial, y que busca resolver problemas del mundo real con ayuda de la tecnología y la comunidad de hackers.

En Chile, el evento se llevará a cabo en el zócalo del Hall Sur del edificio de la Escuela de Ingeniería de la Universidad de Chile (Beauchef 850), a partir de las 8.00 am ambos días.

Esta es la primera RHoK celebrada en el país, aunque el encuentro se estará haciendo de forma simultánea en varias ciudades del mundo, entre las que se cuentan Washington DC (la sede central), Sydney, Londres, Nairobi, Jakarta, y Sao Paulo.

RHoK reúne a ingenieros de software y expertos en control de desastres naturales (como el último terremoto en Chile), para identificar desafíos críticos de carácter global y desarrollar software para responder ante ellos.

Si quieres participar, debes inscribirte en el sitio y presentarte con muchas ganas este fin de semana.

Links:
- Rhok (Gracias Werner!)
- Chile Ayuda

Según un equipo de investigadores de la Universidad de California (San Diego) y la Universidad de Washington, muchos de los sistemas de computadora que se encuentran en los actuales automóviles son vulnerables a ataques.

Un atacante que sea capaz de infiltrarse en prácticamente cualquier Unidad Electrónica de Control (ECU), pude aprovechar esta capacidad y eludir por completo una serie de sistemas de seguridad. De esta manera podía controlar una serie de funciones si hacer caso del conductor – como deshabilitar los frenos, parar el motor, cerrar las puertas y modificar el tablero para convertirlo en un reloj cuenta atrás.

Para demostrarlo [PDF] los investigadores se conectaron con el coche a través de un puerto de computadora simple OBD-II (Diagnóstico de Abordo II) y utilizaron un programa llamado CarShark para identificar los paquetes de información a través de la CAN (Controller Area Network),  analizarlos y después atacar (mandando paquetes de datos malformados) para obtener una respuesta del vehículo.

Afortunadamente aun se necesita acceso físico para a los puertos de comunicación, pero eso no es problema una vez que se interviene el automóvil, ¿verdad Batman?

Click aqui para ver el video.

Link: Car electronics easily hacked says research (Neowin)

David Litchfield, jefe de investigación en NGSSoftware Ltd, una compañía con sede en Reino Unido dijo haber reportado a Oracle la vulnerabilidad desde Noviembre (Oracle 10.2.0.4), pero no fue solucionado en los parches de seguridad de enero. Por lo que ha decidido hacerlo público (“11g 0day exploit”) durante la conferencia Black Hat en Washington el miércoles.

Litchfield dijo que “permite a un atacante sin un ID de usuario y contraseña tomar el control completo. Todos los firewalls se vuelven irrelevantes”.

Aunque es posible prevenir la explotación cambiando la configuración por defecto del software, Litchfield cree que nueve de cada diez bases de datos son vulnerables. Añadió que no había manera de saber si los hackers ya aprovechan la vulnerabilidad para acceder a una base de datos.

Oracle no ha hecho algún comentario al respecto y Black Hat ha retirado el video de David Litchfield donde se mostraba el exploit.

Link: Researcher says Oracle database can be hacked remotely (Neowin)

Prácticamente todo geek ve cómo a medida que pasa el tiempo sus gadgets van quedando en el pasado, superados por nuevas y mejores versiones. Sin embargo, esto es especialmente doloroso con nuestros computadores de escritorio, y lo es más aún, cuando lo que ha quedado “obsoleto” es la placa madre, dado que suele conllevar cambios en el procesador y/o memorias, lo que vuelve nuestra actualización más costosa.

No obstante lo anterior, un grupo de hackers a estado trabajando en una placa madre que no quedaría obsoleta tan rápidamente, al menos no completamente, porque la Illuminato X Machina es una placa madre modular, basada en bloques con funciones específicas. Por ejemplo hay un bloque encargado del procesador, otro de las memorias RAM, otro del almacenamiento de datos, etc.

Cada bloque posee un procesador de 72MHz, 16KB SSD y 128KB en un chip EEPROM. Con los que se le ha equipado para tomar decisiones y comunicarse con otros módulos, además de controlar el flujo de datos mediante la aceptación y denegación de datos entrantes, así como salientes.

Actualmente esta placa madre es un prototipo, en el que cada bloque parece una pequeña placa madre casi completa, funcionando más como un cluster que como un computador tradicional. Demás está decir, que por el momento no veremos a la Illuminato X Machina en el comercio común y corriente, pero ya se encuentra a la venta, pero aunque la idea es excelente, debe seguir siendo mejorado para plantearse como una real alternativa a nuestras placas madres tradicionales, buscando algo similar a lo que en telefonía móvil buscan los móviles Modu, nos permitiría realizar upgrades progresivos y obtener mayores rendimientos al ir ampliando nuestros equipos de un modo que actualmente es sólo un sueño.

Link: Modular Motherboard: Hack makes motherboards more robust (GizmoWatch)

Actualización: Efectivamente es un hoax. Pequé de inocente, muy bien hecho el vídeo…

Un vídeo que es posible que algunos ya hayan visto, pero que vale la pena difundir entre quienes aun no lo han hecho.

Se trata de un método bastante sencillo para aumentar la cobertura del WiFi de tu computador. Necesitas un teléfono móvil, un cable RJ-45 y un computador con WiFi y puerto Ethernet. El procedimiento, es bastante sencillo, basta con que enrolles un extremo del cable a tu móvil y conectes la otra punta a tu equipo. Suena extraño, pero funciona; me recuerda a Afrotech Mods.

Si lo intentas, no olvides dejar tus resultados en nuestros comentarios.

Link: How to Increase Your Wi-Fi Signal (YouTube vía popurls)

Click aqui para ver el video.

El responsable de este increíble video publicado en Youtube en Noviembre de 2008 es Yves Peitzner, Director creativo de “The Brainstormclub” como un concepto promocional para una conferencia de videojuegos que no se realizó, aun así la empresa decidió lanzarlo como video viral por medio de DSG Dialog Solutions.

En el video podemos ver unos hackers tomando el control de iluminación de un rascacielos para jugar el legendario Space Invaders, y recientemente la gente de McAfee Avert Labs lo tomó para ejemplificar en su blog el peligro de un ataque urbano para controlar  infraestructuras, proceso, instalaciones y equipos por medio de las redes SCADA (Supervisory Control and Data Acquisition). Según Francois Paget sin conocer si el video es falso o verdadero, esto confirma que los hackers y ciber-delincuentes tienen sus ojos puestos sobre redes SCADA.

Tal vez la primera demostración fue sólo por diversión, pero las demás tendrán objetivos menos infantiles. Un ataque puede crear daño a nivel nacional, un terrible efecto en la moral del público y enormes pérdidas financieras. Las modernas redes SCADA son más vulnerables que nunca, porque usan redes abiertas estándar (como TCP / IP), que son utilizadas en sistemas operativos menos seguros (Windows), están conectadas a otras redes (incluyendo Internet) y no pueden ser fácilmente actualizadas o reiniciadas.

El video llamado “URBAN HACK ATTACK – EPISODE 1″ recientemente fue uno de los 7 seleccionados (homenajeados) en la 13a. edición de los Webby Awards, en la sección de Videos Virales.

Entiendo a McAfee Avert Labs, ahora con los ataques a Google y Youtube, un Gobierno de Obama poniendo énfasis en la cyberseguridad y realidades como el proyecto Blinkenlights, todo es posible.

Link: Viral Video Hoax, or Proof of Impending Cyber Apocalypse? (Wired)

El VBootkit 2.0 de tan solo 3KB toma el control de una maquina virtual de Windows 7 cuando esta booteando, para esto es necesario que atacante tenga acceso físico a la computadora de la víctima. El atacante toma el control cuando se realizan cambios a los archivos que se cargan en la memoria del sistema durante el proceso de arranque de Windows 7.

Este software también tiene la capacidad de controlar remotamente el ordenador de la víctima, además de que le permite al atacante aumentar sus privilegios de usuario y eliminar la contraseña del usuario sin que sea detectado por el antinvirus y de manera invisible para la victima.

“No hay solución para esto. Se trata de un problema de diseño” dice Vipin Kumar, al referirse de la arquitectura personalizada para los sectores de arranque de Windows 7. Pero de igual manera al reiniciar el equipo VBootkit 2,0 pierde su control y se pierden los datos contenidos en la memoria del sistema.

Esta es la segunda versión de un programa que ya mostraron antes en la conferencia de Black Hat Europa donde presentaron su primera versión documentada para Windows Vista.

Link: Researchers show how to take control of Windows 7 (NetworkWorld) / Vía: Patricio

Ya había visto esto en otros países, tanto en el caso del Snelweg Hack, donde hacen un hack vía WiFi de los letreros luminosos en base a LEDs, como en el caso de Estados Unidos, donde derechamente abren las cajas de control y modifican el mensaje desde ahí, pero nunca había visto tal modificación en un país hispano.

Esto sucedió en Chile, donde la consultora cultural Grifo hizo esta instalacion para humanizar lo que parece ser una infraestructura fría y urbana. No sabemos si fue por la razón, la fuerza o Photoshop, pero en cualquiera de los casos, saca más de una sonrisa.

Link: Soy una autopista, tengo sentimientos (Disorder vía Disfrute con Poco)

(c) Djuric

Tradicionalmente un netbook es usado como un equipo portable de bajo costo, con conexión a internet y para realizar funciones básicas de procesamiento. Pero hay algunos proyectos interesantes que aumentan las capacidades y usos de tu netbook por medio de DIY hacks como colocar una base robot, instalar MacOSX con WiFi habilitado o montar una pantalla tácttil.

Uno de esos proyectos (comerciales) es el Indamixx, una netbook basada en el diseño del Sylvania G Meso que viene cargada con toneladas de aplicaciones para crear y editar música en una distribución basada en Ubuntu llamada Transmission 2.1.

Con este equipo se puede producir música con EnergyXT, Hydrogen Drums, Ardour DAW, DJ software Mixxx y más de 2900 drum sounds, 350 samples y  scratches precargados. Como también podrás hacer streaming por Internet de tus producciones en vivo.

Opcionalmente pudes utilizar la base DIY de Sasa Djuric donde utilizó un soporte universal de monitor montado con una placa y 2 imanes de neodimio reciclados de un disco duro, para el soporte de su netbook o algún otro hardware de música. Djuric lo utilizó para colocar su x0xb0x 303 clone (un completo proyecto opensource basado en el controlador MIDI TB-303) usado junto con el software ReBirth en Linux mediante Wine.

El precio del Indamixx es de USD$479.00 y es una interesante opción portable para DJs y profesionales del audio.

Click aqui para ver el video.

Link: Making music with netbooks (Liliputing)