MyKey: Ford le pone freno a los adolescentes

Publicado el 06/10/2008 a las 11:55 pm por ZeroZen

Muchos padres les prestan el automóvil a sus hijos, pero algunos de ellos no confían en que sus retoños conducirán de manera prudente. Pensando en los nerviosos progenitores Ford creó “Mykey”, una llave que los padres pueden programar para limitar el volumen de la radio y para emitir una alarma constante y tediosa que obliga a los ocupantes a usar el cinturón de seguridad. De todos modos, la característica más importante para frenar a los impetuosos jóvenes es la limitación de velocidad de 128 km/h (80 millas por hora), la cual sigue siendo suficiente para desplazarse por una carretera y obviamente no es tan restrictiva como pudiera pensarse. Además los padres podrán programar una alarma de sonido que se activará cada vez que se excedan los 72, 88 y 104 km/h (45, 55 y 65 millas por hora).

El sistema MyKey hará su debut en Estados Unidos a bordo del Ford Focus 2010, para luego llegar a otros modelos de la marca como parte del equipamiento estándar.

Cerca de 5.000 adolescentes mueren anualmente en Estados Unidos cada año por exceso de velocidad y se ven envueltos en 10 veces más accidentes que personas de entre 30 y 59 años.

Link: Ford feature will let parents set limits for teens (Yahoo! News)

Hardware falsificado compromete la seguridad de EE.UU.

Publicado el 04/10/2008 a las 11:59 pm por VJ

Todos tenemos algún conocimiento acerca del popular y masificado software falsificado, y aunque parezca extraño el hardware falsificado también existe, y no sólo eso, sino que le está dando un fuerte dolor de cabeza al departamento de defensa de Estados Unidos.

Investigaciones profundas llevadas hace poco han concluido que, en su obligación legal de comprar cierto porcentaje de equipo a pequeños empresarios y minimizar costos, el organismo ha terminado insertando chips y controladores de dudosa procedencia en equipo de alta seguridad, que parte desde routers encargados de redes altamente codificadas hasta jets F15.

Continuar Leyendo “Hardware falsificado compromete la seguridad de EE.UU.” »

Sistema logra obtener una clave secreta en cosa de minutos

Publicado el 02/10/2008 a las 11:30 pm por ZooTV

Desde hace un tiempo que es posible utilizar el procesador de las tarjetas gráficas para acelerar ciertos cálculos, con el objeto de facilitarle la vida al procesador y lograr un mejor rendimiento general de la máquina.

La empresa ElcomSoft consciente de lo anterior, ha lanzado una nueva versión de su programa de recuperación de contraseñas de forma distribuida, pero que hace uso de las GPU de múltiples tarjetas gráficas NVIDIA (como la GeForce GTX 280) trabajando en paralelo.

Gracias a lo anterior sus resultados son bastante impresionantes, ya que el sistema ahora es capaz de explorar hasta 1.000 millones de contraseñas por segundo.

Como para tener un punto de comparación, un Core2Duo es capaz de probar 200 contraseñas por segundo, pero si le agregamos a nuestro sistema una GeForce GTX 260, incrementamos el poder de procesamiento del sistema hasta llegar a las 5.000 contraseñas por segundo.

En el listado de tarjetas soportadas están todas las GeForce 8 y 9, pero la gran gracia es que no es necesario que todas las tarjetas de nuestro sistema sean iguales.

Y nuestros bancos que todavía utilizan una clave de cuatro dígitos para los cajeros automáticos.

Link: Creating a New Reality: Cracking One Billion Passwords per Second (ElcomSoft)

¿Cómo nos protegemos del Clickjacking?

Publicado el 02/10/2008 a las 7:01 pm por ZooTV

Hace algunos días les contamos de una vulnerabilidad que afectaba a casi todos los navegadores. Ahora les contamos qué podemos hacer para estar a salvo, ya sea utilizando algunos navegadores o modificando los parámetros de otros.

Vamos paso a paso entonces:

1. Los usuarios de Firefox + NoScript se encuentran a salvo.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m, entre otros) se encuentran a salvo.
3. Los usuarios de Opera deben seguir dos pasos: deshabilitar todas las opciones en Herramientas -> Avanzado -> Contenidos y escribir “opera:config” en la barra de direcciones de Opera. Buscar “Extensions” y deshabilitar iFrames.

Para quienes utilizan Explorer, Safari y Chrome: lamentablemente no se ha encontrado un método que entregue una protección realmente eficaz contra el Clickjacking.

Link: Clickjacking and Other Browsers (Hackademix)

Elvis ha vuelto, o por lo menos eso dijo un pasaporte con RFID

Publicado el 02/10/2008 a las 12:55 pm por tricky

Si bien el sistema RFID para poder identificar productos o personas nos abre un montón de posibilidades, como poder pagar más rápido en los sistemas de transporte o manejar de manera más eficiente los inventarios.

Sin embargo, un gran pero de esta tecnología es el tema de la seguridad y la privacidad.

Los chicos de The Hacker´s Choice, un grupo de expertos en seguridad, han lanzado el código fuente de una herramienta que permite “respaldar” la información en los chips de los pasaportes con RFID, como el de Estados Unidos.

Para demostrarlo, no encontraron nada mejor que cargar un pasaporte con la información de Elvis Presley y probarla en un terminal de un aeropuerto holandés, sin ningún problema ya que el sistema no detectó que el chip estuviera modificado.

De seguro que los menos contentos deben ser los de la TSA. Y también los fans de Elvis que pensaban que el Rey había vuelto.

Link: THC ePassports (vía slashdot)

Clickjacking: Lo que todos callan pero muchos ya saben

Publicado el 29/09/2008 a las 1:01 pm por ZooTV

Hace algunos días Jeremiah Grossman y Robert Hansen (dos tipos que saben mucho de seguridad en navegadores) se presentarían en la conferencia OWASP NYC AppSec 2008, con el objeto de discutir y develar una vulnerabilidad que afecta a casi todos los navegadores (excepto a lynx y similares). Claro que a última hora decidieron posponer su presentación, principalmente por “recomendación” de Adobe (que parece ser uno de los principales afectados).

Entonces surgen las dudas y rumores sobre el tema a tratar y éste no sería otra cosa que el Clickjacking, que en palabras bastante simples permite al creador de un sitio web hacer que el usuario pinche en cualquier vínculo, cualquier botón o en cualquier cosa de la página sin siquiera percatarse que lo hace.

En ocasiones anteriores se han presentado vulnerabilidades que afectan a diversos navegadores y que, por lo general, se solucionan con un parche. El problema del que estamos hablando parece no tener una solución tan fácil (no se podría implementar en un simple parche) y no depende de JavaScript (aunque Dicen™ que lo facilita).

Según Hansen el problema ha sido discutido tanto con Mozilla como con Microsoft y ambos han coincidido en que este es un problema bastante complicado y que no tiene una solución sencilla. En tanto Grossman confirmó que las últimas versiones de Internet Explorer y Firefox 3 se encuentran entre los navegadores afectados.

La pelota la tienen ahora las empresas detrás de los distintos navegadores.

Link: New clickjacking affects all browsers; cause remains unknown (ars technica)

Hacker robó clave fiscal de la presidenta de Argentina

Publicado el 24/09/2008 a las 9:46 am por Alexander Schek (Mr.Chips)

Un hacker robó y manipuló la clave fiscal de la presidenta de Argentina, Cristina Fernández de Kirchner, y la recategorizó como “monotributista” en lugar de “autónoma” según la Administración Federal de Ingresos Públicos (AFIP).

No es la primera vez que se intenta vulnerar la clave fiscal de la mandataria. Durante el mes de octubre de 2007, se registraron más de 200 intentos denegados por el sistema para ingresar indebidamente declaraciones juradas de la presidenta desde distintos puntos del país.

Además, el  26 de julio la clave fiscal de la presidenta fue utilizada ilegítimamente con el objetivo de modificar su condición ante el fisco.

Link: La AFIP denunció que la clave fiscal de la Presidenta fue utilizada ilegalmente (El Argentino)

Britax Advocate CS, una silla de seguridad y trono para los pequeños

Publicado el 23/09/2008 a las 8:00 am por Snidel

La seguridad es uno de los aspectos más importantes a la hora de comprar un vehículo, hoy nadie duda de la necesidad y utilidad que prestan las sillas para bebés y niños en nuestro automóvil, pero su utilización supone una desventaja. La imposibilidad de “disfrutar” de uno de los avances en seguridad más importante de los últimos años, las bolsas de aire (airbags), que por cierto no son muy útiles cuando se trata de infantes.

Lo anterior aplicará, siempre y cuando no utilices una Britax Advocate CS, una sillita que incluye varias ventajas de seguridad (no es la primera silla que integra sistemas de seguridad, pero si es la más segura del mercado y tiene un diseño integral, es decir, no sólo medidas de seguridad adoptadas sin una armonía). Entre sus ventajas nos encontramos con un cinturón de 5 puntas (sí, tu pequeño iría como piloto de fórmula uno, mientras tú tienes uno de 3 puntas), un diseño para absorber impactos, sistema de reclinación, seguro con el sistema click&safe, y lo mejor, bolsas de aire laterales diseñadas especialmente para proteger al rey de la casa, y digo rey porque su precio es de módicos USD$369,99 pero tendrás que esperar, porque no estará disponible en el mercado, sino hasta febrero del próximo año.

Link: Britax Advocate CS Convertible Car Seat Includes Side Impact Airbags (OhGizmo!)

Reunion contra el delito cibernético en América Latina

Publicado el 03/09/2008 a las 8:03 am por Alexander Schek (Mr.Chips)

Delegados de 18 países de la Organización de Estados Americanos (OEA) se encuentran reunidos en un taller en Bogotá que analizará la cooperación conjunta contra los delitos cibernéticos

La cita de 3 días consiste en intercambiar experiencias para fortalecer las legislaciones nacionales.

Los paises participantes son Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, República Dominicana, Uruguay y Venezuela.

Los temas a tratar están vinculados a víctimas de delitos informáticos como el robo de identidad en línea, el robo de propiedad intelectual y la pornografía infantil por Internet.

El taller se basa en las recomendaciones del Grupo de Trabajo en Delito Cibernético, creado por los ministros de Justicia de los estados miembros de la OEA en 1999 y encabezado actualmente por el Departamento de Justicia de Estados Unidos.

En el año 2007 sólo 15 de los 35 países miembros tenían leyes contra la delincuencia cibernética.

Link: Grupo de Trabajo en Delito Cibernético

Las redes sociales facilitan el trabajo de los secuestradores

Publicado el 29/08/2008 a las 1:01 pm por ZooTV

Páginas como Hi5, MySpace y Facebook, o lo que llaman redes sociales, ya no son utilizadas solamente por personas con ánimo de encontrar sus pares o viejas amistades perdidas en el tiempo; sino que en la actualidad son aprovechadas por bandas delictuales organizadas, con el objeto de obtener información sobre sus víctimas.

Claro porque en muchas de ellas se entrega variada información que puede ser útil para secuestradores, quienes sólo deben interpretar algunos datos socioeconómicos y lazos familiares contenidos en las imágenes.

Eduardo Muriel, investigador privado con más de 40 años de experiencia en el negocio de la seguridad en la ciudad de México señaló:

“Esto ya ha sucedido en México, tenemos clientes que lo han sufrido. Estas páginas no sólo están exhibiendo a una persona, sino que dan información de quién compone la familia, dónde y cómo vive y dónde estudia. Esto crea la posibilidad de un secuestro.

Continuar Leyendo “Las redes sociales facilitan el trabajo de los secuestradores” »

Revelan el mayor agujero de seguridad de Internet (otro más)

Publicado el 27/08/2008 a las 7:01 pm por ZooTV

Dos investigadores de seguridad informática, han demostrado una nueva técnica para interceptar (en forma furtiva) el tráfico de Internet a una escala que, se presume, no estaría disponible para el usuario común sino que para grandes organismos de inteligencia.

La técnica utiliza el protocolo BGP para desviar el tráfico de Internet en cualquier lugar del mundo hacia una estación de monitorización, para luego ser enviado (una vez que se ha modificado) hacia su destino final.

El protocolo BGP mantiene las tablas de rutas que permiten encontrar la más eficiente hacia un destino determinado. Estas rutas se basan en las máscaras de red y la más restrictiva (o la más específica) gana.

Para lograr interceptar el tráfico, el atacante tendría que publicar un rango de IPs más acotado que el que tiene publicado su legítimo dueño. Esta publicación se propaga en cosa de minutos a todo el mundo, con lo que el atacante recibirá los datos destinados a los rangos de IPs publicados. Claro que con esto sería fácilmente detectado, puesto que todo el tráfico “desaparecería” sin llegar a su destino (porque sería desviada hacia el destino definido por el atacante).

Continuar Leyendo “Revelan el mayor agujero de seguridad de Internet (otro más)” »

Servidores de Fedora y Red Hat vulnerados por indeseados intrusos

Publicado el 25/08/2008 a las 1:01 pm por ZooTV

Red Hat confirmó que varios de sus servidores resultaron comprometidos por un atacante hace un par de semanas.

El atacante logró ingresar a los servidores y firmar varios paquetes de OpenSSH que se utilizan en distintas versiones de Red Hat Enterprise Linux. Los paquetes que resultaron afectados ya fueron reemplazados, pero para mayor seguridad Red Hat puso a disposición de sus usuarios de un script que permite comprobar si poseen una versión comprometida. De igual forma, la empresa señaló que quienes actualizan sus sistemas vía Red Hat Network no se vieron afectados.

En el caso de Fedora, uno de los servidores que fueron afectados (y que son hospedados por Red Hat Inc.) ha sido el que contenía la clave que utilizan para firmar sus paquetes. Aunque luego del análisis respectivo del equipo se ha comprobado que el intruso no obtuvo la contraseña necesaria para desbloquear la clave de firma, igual han procedido a sustituirla como medida de precaución. Fedora ha señalado que ningún paquete logró ser manipulado, pero igual están firmándolos con la nueva clave.

Link: OpenSSH blacklist script (Red Hat)

ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]

Publicado el 22/08/2008 a las 1:05 pm por Alexander Schek (Mr.Chips)

[Actualización] @04:08pm: Creo que es necesario aclarar que SI nos comunicamos con la USACH y coordinamos con ellos para asegurarnos que la falla de seguridad haya estado resuelta. Hable con Dennis Carrasco, Editor Portal USACH, con quien confirmamos que los datos ya están protegidos y no pueden ser accesados. ¡Tan irresponsables no somos! — Leo Prieto

———

[Actualización] @12:55pm: (Sarcasmo mode: ON) Con el fin de ayudar a la USACH, nuestros super ingenieros en computación han desarrollado el siguiente código y pseudo-algoritmo para que ellos lo pongan en sus servidores y eviten este problema a futuro:

User-agent: *
Disallow: /admision2008/
Disallow: /admision2007/

———

Si piensas que ya lo has visto todo en cuanto a seguridad informática en Chile, la siguiente noticia te hará recapacitar. Y no, esta vez no es culpa del Gobierno ni tampoco se trata de un hackeo malicioso.

Nuestro lector Andrés Pontt descubrió de puro curioso que al ingresar directamente en Google una cierta búsqueda (bastante sencilla) se abre un mundo de posibilidades para tener acceso a miles de registros personales de alumnos y docentes de la Universidad de Santiago de Chile.

Esto no es un trabajo de un Hacker, el sitio de la Universidad no ha sido violado, ni tampoco es culpa de Google.

En este caso en específico la responsabilidad cae en la USACH directamente ya que al parecer no ha hecho nada para proteger esos datos privados, que ya son públicos.

Es un grave pero simple problema de ingeniería humana, el eslabón más débil en toda estrategia de seguridad.

Google y otros buscadores inocentemente piensan que esos archivos en esos directorios son contenido normal y público, y lo meten a su índice de búsqueda ya que la USACH no lo tiene protegido de ninguna manera, ni ha instruido a los buscadores de no indexar esas bases o directorios.

Hemos bajado varias bases de datos, y como podrán ver en las fotos, en una de ellas nos encontramos con 238.000 registros de alumnos, con su dirección, correo electrónico, teléfono, RUT, etc… El sueño del Spammer, el botín del pirata informático.

Todo lo anterior es un simple descuido por parte de la Universidad… muy entretenido de mirar…

Link: Buscando en Google (Blog de Andrés Pontt)

Galería de Fotos

Ver 3 fotos →

USB Block: Candado para memorias USB

Publicado el 06/08/2008 a las 6:42 am por ZeroZen

Los japonenses de Thanko han desarrollado un nuevo método para que protejas la información de tu memoria USB, pero no se trata de un complejo sistema de encriptación de datos.

Por el equivalente a poco más de US$9, puedes tener el USB Block, un pequeño candado que incluye clave de seguridad, para que nadie se meta donde no debe. También puede ser usado para evitar el uso de otros dispositivos con conector USB.

Continuar Leyendo “USB Block: Candado para memorias USB” »

Gestiona y cierra tus sesiones abiertas de GMail remotamente

Publicado el 08/07/2008 a las 9:00 am por JI Stark

¿Preocupado porque dejaste la sesión abierta en un cibercafé? La gente de GMail pensó en eso, y desde ahora te permitirá manejar las sesiones abiertas de correo que tienes en otros computadores y dispositivos móviles, permitiéndote cerrarlas cómodamente desde donde estés. La útil función para los olvidadizos de siempre no está disponible de inmediato, sino que — como siempre — será habilitada de manera progresiva y solo para usuarios de IE7 y Firefox. (vía)