Casos de este tipo ya se han dado con anterioridad. Por ejemplo, Pedram Keyani, ingeniero de la compañía fundada por Zuckerberg, el año pasado ofreció a su staff un desafío consistente en traspasar la seguridad de Facebook para acceder a los sistemas de administración (en aquel entonces sólo pudieron hacerse de la cuenta personal de Keyani).

Sin embargo, hoy en día la empresa oriunda de Harvard está empeñada en ofrecer dinero a cualquiera que descubra bugs o fallas de seguridad en el sistema.

Según la compañía, “la seguridad es una de las mayores prioridades para nosotros, e invertimos un montón de recursos en proteger de ataques nuestro sitio y a la gente que lo usa”. En recientes declaraciones a Gizmodo, la empresa agregó: “se contratan los profesionales de seguridad e ingenieros más calificados y habilidosos en Facebook. Con el reciente lanzamiento de nuestro Security Bug Bounty Program (el programa de recompensas al que antes aludía), continuamos trabajando con la industria para identificar y resolver amenazas para mantener el sitio a salvo y seguro para todos”.

El programa al que la compañía se refiere ofrece una generosa recompensa de US$500 por bug encontrado; cifra que podría incrementarse si la vulnerabilidad detectada fuera lo suficientemente importante. Así, para fines de agosto Facebook estaba pagando en promedio US$1.500 diarios a hackers que reportaban bugs.

En declaraciones a The Telegraph, Joe Sullivan, director ejecutivo de seguridad, añadió: “el programa también ha sido grandioso porque ha hecho nuestro sitio más seguro, al mostrar problemas grandes y pequeños, presentándonos vectores de ataque de novatos, y ayudándonos a mejorar varios rincones de nuestro código”.

Ahora que hay interfaz nueva, la compañía parece estar empeñada en hacer más público aún su programa de caza recompensas. Después de todo, cambios importantes como el introducido recientemente en la conferencia f8 significan potenciales riesgos nuevos. ¿Alguien se apunta?

Link: How Facebook Uses Hackers to Keep Your Timeline Safe (Gizmodo)

Un nuevo sitio llamado Rankmyhack.com permite a exponer y calificar sitios hackeados con el fin de determinar quién es el mejor hacker del mundo.

RankMyHack fue creado por un hacker de Reino Unido llamado “s0lar” con el objetivo de crear un medio independiente para los hackers, donde se puedan comprobar las habilidades de sus compañeros – sobre todo en una escena underground donde la fanfarronería es algo común.

“Hasta ahora, cuando se encontraba con otro hacker en un foro o IRC, no había manera de saber si este tenía algún tipo de habilidad. RankMyHack.com fue construido para dar una indicación clara de las habilidades generales de un hacker. También sirve para dar seguimiento a los logros de un hacker con su alias actual para que otros hackers reconozcan sus logros. Los competidores ganan puntos en el ranking violando la seguridad de sitios web. Cuanto más grande es el sitio web, más puntos ganan. Del mismo modo, los ataques técnicamente mejor logrados dan más prestigio”, comenta s0lar.

Actualmente el ‘hackeo’ mayor calificado es el que sufrió el sitio de The Huffington Post, un ataque realizado por “Mudkip”, seguido por el de Google.com por blackfan y el del sitio del Boston Globe, también realizado por mudkip.

El sitio también recompensa con puntos el ataque a sitios web de una lista negra interna, que solo es accesible a los miembros del sitio debido a la “alta cobertura de los medios de comunicación”. De acuerdo con The Telegraph, esta lista incluye al Partido Nacional Británico y el Ku Klux Klan.

Según s0lar, las recompensas sólo cumplen un “objetivo políticamente constructivo” para reconocer el talento de los hackers, independientemente de su capacidad. De manera que RankMyHack no se puede comparar con grupos hacktivistas como Anonymous o LulzSec.

Link: RankMyHack.com Rewards Hackers With World Ranking, Bounties (PCMag)

Tras la toma de Trípoli y la eminente caída del régimen Gaddafi, el Frente Nacional por la Salvación de Libia anunció la restauración del servicio de Internet en la capital. Aunque es inestable, “Electr0n” y un grupo de hackers han aprovechado para desfigurar dos sitios importantes de Libia: el sitio de registro de dominios (nic.ly) y el sitio de Telecomunicaciones y Tecnología  del país (ltt.ly).

[+] HACKED By Electr0n[+]&|~| ali monder |~|
bye bye Qadaffi
Feb 17 Libya
Greetz toDr.exe | Qnix | Rock-Master | LoverBoy | r1zAnd All Muslim Hackers

Los sitios muestran un mensaje que hace referencia al 17 de febrero, fecha en que los rebeldes de Libia comenzaron sus protestas contra el régimen de Gaddafi.

Mientras tanto, los rebeldes tomaron la sede de la cadena de televisión estatal Jamahiriy. “Todas las cadenas de televisión estatal dejaron de emitir (en Trípoli). Nuestros combatientes entraron en sus locales y tomaron el control”, declaró Mohamed Zawiwa.

Link: Hackers deface Libya’s top level domain registry with anti-Gadaffi message (Sophos)

El pasado jueves, supervisores del sistema público de transporte rápido de la Bahía de San Francisco (BART) se enteraron de manifestaciones planeadas para ese mismo día en el sistema de trenes. Esas manifestaciones serían en protesta por el asesinato innecesario de Oscar Grant por parte de un policía de BART en 2009. De acuerdo con Anonymous, “BART tomó la decisión consciente de ordenar a varias compañías de teléfonos móviles suspender el servicio y acceso a Internet en la zona del centro, impidiendo a la gente en la zona usar sus móviles – incluso para casos de emergencia”.

Este acto de censura provocó la ira de Anonymous y bajo la “Operación BART” (#OpBart) atacó el sitio de MyBart.org para después publicar temporalmente nombres, contraseñas y otros datos personales del servicio.

Las autoridades del transporte confirman que al menos 2.400 miembros de su base de datos de 55 mil han sido comprometidos, pero no contenía información financiera, así que no será necesario cancelar sus tarjetas de crédito.  Sin embargo, la organización advierte de que los miembros deben tener cuidado ante posibles estafas telefónicas o de correo electrónico.

Mientras tanto Anonymous esta planeando una nueva protesta hoy a las 17:00 en la estación del Centro Cívico de San Francisco, así como continuos ataques en línea.

Mundo Hacker TV es un programa que se llevaba emitiendo por internet desde la plataforma “GlobbTV” y que ha conseguido dar el salto a una televisión generalista a raíz de lo bien que ha funcionado por Internet.

Según sus productores, parte del éxito del formato se debe a que tanto el presentador como los colaboradores se dedican a la seguridad informática y hacking colaborando con departamentos de defensa de gobiernos, fuerzas de seguridad del estado e instituciones.

Así, el contenido que veremos en la pantalla de Telecinco a partir de mañana será una tertulia donde expertos de un reconocido prestigio nacional e internacional conversarán sobre sus conocimientos: ¿Nos enseñarán técnicas de “hackeo”? Cuestión de sintonizarlos para ver qué tal.

De momento, si quieres tener una idea de lo que a partir de mañana veremos en Telecinco, puedes revisar los episodios de Internet y luego contarnos qué te han parecido.

Debo confesar, ya para terminar esta nota, que cuando me enteré de la transmisión de Mundo Hacker TV a través de Telecinco me angustié un poco por la suerte de esta cadena de televisión generalista…

¿Qué pasa si el programa lo ven desde la “cúpula” de la Policía? ¡Mínimo detienen a toda a plantilla de canal! Es que recordando el episodio de la máscara de Guy Fawkes en la detención de los miembros de la “cúpula” de Anonymous en España… ¡Susto!

Link: Mundo Hacker TV

El día de ayer la página del Congreso de Guanajuato se mantuvo inaccesible (durante gran parte del día) aparentemente por un ataque de Anonymous. Según el sitio zone-h.org, que guarda el archivo de sitios “defaceados”, el sitio mostró durante algún momento un mensaje que contenía una supuesta filtración.

El mundo es un sistema complejo en el mundo de la tecnología. Todos usamos mierda Microsoft y ese tipo de cosas… ¡pero aquí estamos!

Esta filtración tiene la intención de enseñar algo: Siempre se puede encontrar una manera de entrar. Por otro lado la transparencia, incluso cuando piensan que no puede estar expuesto, puedes estarlo. Todo depende de los números y la magia de la Internet, no puedes escapar no hay manera de salir. Tal vez los hackers son sólo una forma de vida, y estamos al tanto de ustedes. Utilizan sistemas operativos que no saben cómo controlar. En este caso, el sistema los controla.

Los archivos mencionados en la filtración no están disponibles, pero es evidente que la amenaza de hacktivistas hacia páginas de instituciones en el país sigue vigente. No hace mucho se “Anonymous” reveló su intención de realizar una serie de ataques bajo el nombre de operación “Cielito lindo”. Según comentan, esto es una respuesta a la corrupción y el descaro político en México.

Link: zone-h.org

Aquí tenemos un script sin protección

Hace un par de días CNET informó sobre un tercer ataque contra el sitio de Sony, donde el objetivo era copiar información de los servidores incluyendo nombres de clientes, números de tarjetas de crédito y direcciones. Sin embargo, un reporte del sitio The Hacker News (THN) ha hecho notar que este ataque es falso y la información era accesible desde la web de Sony.

Sony dijo ayer que había retirado de Internet los nombres y direcciones parciales de 2.500 concursantes de un sorteo que “habían sido robados por hackers y publicados en un sitio web“.  THN recibió un correo anónimo con enlaces que contenían dicha información, pero lo curioso, es que eran fácilmente accesibles desde la web – haciendo una simple búsqueda en Google con coincidencias del sitio con Perl y archivos XLS.

Los resultados y hoja de Excel arrojados contenían Nombre, Apellido, Ciudad, Estado y Código Postal, pero no tenían datos sensibles (Dirección, e-mail o números de tarjeta). Esto significa que el sitio de Sony en realidad no fue “asaltado” o atacado por Anonymous, pero es evidente que algunos hackers están tratando de encontrar agujeros de seguridad y que la empresa necesita mejores profesionales en el tema.

Tranquilos! la base de datos no tenía e-mail

Link: Exclusive Report on Sony 3rd Attack Issue (The Hacker News)

En el sitio de los hackers y defraudadores negocian de forma anónima bases de datos que contiene miles de detalles personales, incluyendo números de cuenta, PINs y contraseñas, así como distribución de manuales para hackear tarjetas de crédito. Venden software pirata e instrucciones de cómo fabricar metanfetamina y explosivos.

Nicholas Webber de 19 años y Thomas Ryan de 18 años de edad, fueron arrestados después de intentar pagar una factura de hotel de US$1600 con una tarjeta robada en octubre de 2009. Después de encontrar detalles de 100.000 tarjetas de crédito robadas en la computadora portátil de Webber, la policía descubrió la existencia del sitio web, así como pérdidas en cuentas bancarias de US$65.000. La policía estima que el sitio web estafó cerca de 26.37 millones de dólares con datos de tarjetas.

Los adolescentes salieron libres bajo fianza y huyeron a España, pero fueron arrestados de nuevo cuando regresaron a Reino Unido a principios del año pasado.

En el tribunal el defensor, Tyrone Smith, dijo que el sitio era un “Crimebook” donde la gente podía aprender y socializar, sin embargo eso no evitó que fueran condenados junto con Gary Kelly - autor del software “Pagode” que se usaba para robar información – y otros miembros de Gh0stMarket que recibieron sentencias menores.

Link: Teenagers jailed for running “criminal equivalent of Facebook” (ZDnet)

De esta encuesta, encontró que un 37% había hackeado perfiles de Facebook, 26% cuentas de correo electrónico y un 10% cuentas de compras en línea, entre otras actividades. Un tercio lo hace por diversión, 22% por curiosidad y un 15% para hacer dinero.

Aunque el 84% sabían que esto estaba mal, casi un tercio dijo que era algo “cool” y fácil de hacer. Más de un tercio utiliza su propia computadora para estas actividades, mientras que el 32% dijo que usa una máquina de la universidad y un 23% utiliza una PC en un café Internet.

Por otro lado, el estudio también descubrió que un 46% de los estudiantes había sido víctima de “hackeos” o fallas de seguridad en su propio perfil de redes sociales o cuenta de correo electrónico.

“Lo que este estudio pone en manifiesto es que el hacking de cuentas personales, ya sea correo electrónico o Facebook está sucediendo con regularidad entre la población estudiantil (…) Vivimos en un mundo donde las redes sociales, el correo electrónico e Internet son parte de nuestra vida diaria a edad temprana, por lo que una oportuna educación es esencial para garantizar que los jóvenes conozcan las consecuencias que puede tener esta actividad. El Hacking es ilegal y tenemos que asegurarnos que todo el mundo lo entienda” dijo Stuart Hyde, presidente de la sociedad para patrullaje del ciberespacio (POLCYB).

Shaul Efraim de Tufin Technologies esta consciente que hay una generación inteligente emergente que entiende cómo funcionan los sistemas, por lo que, sería bueno orientarlos para seguir una carrera en el sector de la seguridad para asegurar que todas las organizaciones se beneficien de su evidente capacidad para fortalecer los sistemas de seguridad y detener la fuga de datos.

En fin, si consideramos que en países como en Chile, el 85% de los estudiantes de preparatoria se consideran expertos en el uso de Internet, no sería extraño que en la universidad los Script Kiddies se las gasten para conseguir la contraseña de su novia.

Link: 23% of university students have hacked into an IT system (NetworkWorld)

En 10 meses el SHDH México ha crecido de solo 8 personas a cerca de 80 personas en su última edición, ahora se espera gente de California (USA), Tampico, Hermosillo, Toluca y Querétaro, entre otros estados, que compartirán 12 horas (10am – 10pm) explorando la tecnología y conocimientos.

Se trata de un evento no exclusivo dirigido a personas creativas y curiosas interesadas en la tecnología con una filosofía de resolución de problemas orientada a la cultura hacker. Sin olvidar  mencionar que de aquí surgieron proyectos como Digg (agregador social de noticias y contenidos) y PBwiki (un sistema de gestión de contenidos tipo Wiki).

La cita es en el Salón de Congresos, Salas C y D del Tecnológico de Monterrey, Campus Estado de México.  Es un evento abierto y gratuito,  solo necesitas registrar tu asistencia y proyecto en el wiki.

Link: SHDH 10 Ciudad de México

El día de ayer durante varias horas en sitio de Google en Marruecos (Google.co.ma) fue tomado por hackers paquistanos que se identifican como PAKBugs, un foro de temas relacionados con el hacking, xploids y warez. Al parecer estos hackers encontraron la manera de controlar los DNS para el país por medio de NIC.ma dado a que el dominio apuntaba a un servidor diferente de Google.

El problema fue resuelto, pero la situación duro lo suficiente para que se notara y algunos usuarios tomaran algunas capturas del hackeo.

De acuerdo con el blog francés zorgloob no es el primer incidente de este tipo, ya que el pasado mes los sitios de Google Argelia y  Google Puerto Rico también fueron tomados por hackers.

Link: Hackers Temporarily Seize Control Of Google Morocco Domain Name (TechCrunch)

Según la encuesta anual de TIME para determinar quien es la persona mas influyente del mundo es “moot“, un chico universitario de 21 años propietario de la comunidad 4chan.org cuyo verdadero nombre es Christopher Poole. Con 16,794,368 votos supera a Barack Obama , Vladimir Putin y Oprah Winfrey.

Obviamente esto no es posible, en realidad se trata de un hackeo realizado a la encuesta y es visible mirando la tabla final de los resultados, ya que las primeras letras de los 21 finalistas forma la frase “mARBLECAKE ALSO THE GAME” sin que el equipo técnico de TIME lo haya notado al final.

Como lo relata Paul Lamere en su blog, Zombocom, uno de los hackers que se reunía en un canal de IRC con el desaparecido colectivo llamado “Anonymous” fue quien le contó como lograron esto.

La razón de moot, es que algunos de sus amigos que participan del foro “random” también conocido como /b/ notaron que el fundador de 4chan estaba listado entre los candidatos de personas para la encuesta de las 100 personas más influyentes en el mundo. Random fue lugar que serviría para organizar y encontrar soluciones al hackeo de la encuesta, más tarde sería en el canal #time_vote.

El hackero lo lograron primero mediante peticiones GET HTTP donde rápidamente ubicaron a “moot” por encima de la lista, con la ayuda de autovoters (Moothattan, Mooter) y dos scripts Perl para mantener el juego de letras, aun cuando el equipo de TIME notara este rápido crecimiento de votos y modificara el protocolo de autentificación de votos.

Más tarde TIME se pondría más serio sobre el tema de la seguridad y modificaron la encuesta que ahora necesitaba probar que eras humano mediante un Captcha para aprobar el voto. Pero nuevamente el grupo encontró una solución para el reCAPTCHA de la encuesta de TIME, que mediante la validación manual y la ayuda de los usuarios /b/ (usando la fuerza bruta) logró su objetivo antes de que la encuesta se cerrara el pasado viernes.

¿Cual es el significado de “marblecake”?
Como lo comenta Zombocom, Marblecake fue una canal de IRC donde se origino el video de “Message to Scientology” donde la legión “Anónimo” ponía en claro su posición frente a la Cienciología. Muchos creyeron que este grupo había desaparecido y esta fue un forma de hacerse visibles nuevamente.

Pues bien, no se si esto demuestre la poca veracidad de las encuestas de TIME o la poca efectividad de las encuestas de su equipo técnico, pero lo cierto es que ahora la persona más influtente (hasta que no digan lo contrario) es moot, cuando hace un año era el Dalai Lama.

Link: moot wins, Time Inc. loses (Music Machine)