Archivado con la Etiqueta: Hacking

The Onion cuenta cómo les suplantaron con su propia cuenta de Twitter

En The Onion cuentan como la “Syrian Electronic Army” se hizo con su cuenta Twitter: primero se hicieron con la cuenta de correo de un periodista de la publicación mediante phishing y luego con esa cuenta envío mensajes a compañeros para repetir el proceso hasta dar con uno que tenía acceso a la cuenta Twitter.

Muy bien The Onion, en lugar de intentar hablar lo mínimo sobre el tema, han compartido la experiencia de forma que el resto de publicaciones y organizaciones puedan tomar nota y aumente el conocimiento y concienciación sobre seguridad y ataques de este tipo.

Crackear contraseñas no es tan difícil

Muy buen artículo “cómo me hice un cracker de contraseñas” en Ars Technica, que refleja como esta actividad se ha convertido en terreno para los “script kiddies” (los que utilizan herramientas de terceros sin necesitar dominar la tecnología subyacente) más que de expertos en seguridad.

Dos recordatorios, si puedes y valoras tu seguridad activa la verificación en dos pasos y, no olvidemos, que esto de “crackear contraseñas” es ilegal la mayoría de las veces.

Del virus de PC al cibercrimen. Vídeo con Mikko Hypponen

Merece la pena dedicar unos minutos a esta conferencia TED de Mikko Hypponen sobre la evolución del mundo de los virus para PC: de un escenario creado por aficionados empujados por la curiosidad a toda una industria del cibercrimen en las antípodas de lo que hace años se entendía por “hacking”. Hay quien quiere seguir viendo el lado “romántico e idealista” en quienes crackean, utilizan botnets o dictan quienes pueden estar en la red a base de ataques de denegación de servicio… pero la realidad es bien diferente a como se entendía este mundillo en los 80.

Y es interesante volver sobre estos temas – ya hablamos por aquí en “Cibercrimen y seguridad” – porque las herramientas que de las que disponen quienes luchan por la seguridad en la red están muy por debajo de lo que posibilita el lanzar los ataques desde cualquier rincón del planeta.

PD: tengo problemas con el vídeo embebido, basta con ir a la web de TED y poder verlo con subtítulos en español

Jailbreak, una brecha que Apple no se puede permitir

iPhone 4 Apple

Apple podría tolerar el “Jailbreak” de sus dispositivos siempre y cuando se tratase de un fenómeno marginal, utilizado sólo por una minoría de usuarios muy avanzados. Aunque la tienda de aplicaciones no es un gran negocio de forma directa, que un usuario decida evitar la tutela de Apple respecto a qué software puede instalar en su teléfono supone sobre todo una pérdida de control por parte de la empresa de la manzana y la erosión del ecosistema de pago que ha creado.

El Jailbreak no sólo permite descargar software de otras fuentes como Cydia, permite instalar también a aplicaciones “crackeadas”, motivos ambos por los Apple no se puede permitir su generalización: con su control de la plataforma Apple ha construido un sistema de incentivos para los desarrolladores, enfocados a fomentar ingresos para los mismos (entorno con una fuerte cultura de pago, comercialización fácil y directa, integración de sistemas publicitarios), no competencia con los propios servicios de Apple y respeto a los acuerdos de ésta con las telecos.

Jailbreak cada vez más popular

En los últimos tiempos, el Jailbreak ha cobrado protagonismo por hacerse explícita su legalidad en Estados Unidos, la aparición de un sistema que lo hacía tan sencillo como visitar una web (Jailbreakme.com, sólo válida para algunas versiones de los dispositivos Apple) y de voces reconocidas y populares en el mundillo Apple que lo practican y prestigian (Wozniak, Justin Long).

En Wired dan algunas cifras del movimiento de usuarios y desarrolladores, con espectaculares incrementos de tráfico en el repositorio alternativo a la App Store más popular, Cydia.

Apple contra el Jailbreak

Las dos mayores armas de Apple (una vez que la legalidad no está en el debate) para luchar contra el Jailbreak son la pérdida de la garantía si lo descubren (algo que es dudoso si se restaura el dispositivo) y la dificultad de hacerlo ante las medidas de seguridad con que arman el sistema. Ambas parecen insuficientes para frenar la tendencia hacia la práctica del mismo, por lo que no es de extrañar que estén definiendo nuevos métodos para luchar contra él, aunque por su naturaleza (bloqueo remoto del terminal por parte de Apple sin control del usuario), tendríamos que ver hasta donde son capaces de llegar a la hora de implementarlos.

El peligro aquí para Apple es que mantener sus dispositivos sin “liberar” se convierta en sinónimo de usuario poco espabilado, de que se prestigie el Jailbreak. Para ello no sólo van a necesitar hacerlo difícil, también que lo que se puede encontrar fuera en cuanto a aplicaciones, se pueda encontrar dentro de la plataforma con una experiencia mucho más fácil y segura. Juegan en contra de Apple las continuas prohibiciones de funcionalidades en aplicaciones en la App Store que sí que se pueden encontrar en Cydia y que hace que sean sus propios clientes los embajadores del Jailbreak a través del “mira lo que sí que puede hacer mi dispositivo y no el tuyo”. Al final, si dispositivos como iPad replican el modelo de las consolas de videojuegos, era de esperar que compartieran el mismo tipo de problemas.

Apple puede no estar ganando mucho dinero con la venta de software, pero sí que necesita atraer desarrolladores a su plataforma y el mayor incentivo que ofrece es tener el mayor mercado de usuarios dispuestos a pagar por software. Ese es su “círculo virtuoso”, a más inversión de terceros para desarrollar programas para sus dispositivos, más atractivos son estos para los usuarios, más venden hardware (donde está su negocio) y más mercado para quienes hacen software, cerrando el círculo. Y eso es el presente, hay un futuro donde habrá mucho más negocio en servicios: alrededor de la localización, del pago con el móvil, publicidad con iAd… si Apple quiere seguir controlando el terreno de juego, no se puede permitir que el porcentaje de usuarios que hace Jailbreak siga en aumento.

Spotify y el peligro de usar la misma contraseña en todos los servicios online

Spotify

Si te registraste en Spotify antes del 20 de Diciembre de 2008, te conviene leer este anuncio en su blog. Y es que hasta ese día, este servicio de música online tenía un fallo de seguridad que permitía el acceso a información de los usuarios. Como en Spotify pensaron que nadie había aprovechado el bug, no habían avisado hasta que “algo” les han indicado lo contrario.

Lo malo no es que alguien se haya podido hacer con nuestro usuario y contraseña en Spotify, el problema es que además se ha filtrado el correo electrónico y la mala costumbre de utilizar la misma password en otros servicios puede hacer el resto. ¿Consejo para estos casos? Correr y cambiar todas las contraseñas en otros servicios en los que compartiéramos el mismo correo o nombre de usuario. Después de eso, empezar a pensar en una estrategia por la cual no se siga con esta práctica, alguien podría llevar más de tres meses con nuestro usuario en cualquier otro sitio – correo, tienda online, red social – por un fallo de uno sólo de las webs que utilizamos.

Maestrosdelweb usurpado y cuanto perdemos cuando se hacen con nuestro usuario

Terrible el problema en el que se ha visto envuelto Christian Van Der Henst, que relata en su twitter la odisea que está sufriendo desde que se hicieron con su cuenta en GoDaddy, su registrador de dominios. Gracias a eso los “okupas” usurparon “maestrosdelweb.com” y “forosdelweb.com” (sin enlace hasta que se arregle), redirigiendo las DNS a otras máquinas sin control por parte de Christian. Ahora al legítimo dueño le queda la tarea de convencer a GoDaddy de que ha ocurrido así, algo nada fácil porque una de las primeras medidas de seguridad de este tipo de servicios es no atender sin el usuario debidamente identificado. Por suerte, y con campaña en Twittter mediante, parece que tiene visos de solucionarse pronto.

El problema se ha agravado cuando se han hecho con la cuenta de correo y el usuario de Facebook de Christian. Como comentábamos cuando hablamos de cibercrimen y seguridad, hace cinco años si se hacían con tu contraseña del correo tenías un problema, hoy puede incluso que se hagan con todos tus documentos, ingresos publicitarios, acceso a estadísticas y hasta medio de pago. En este escenario, los “malos” van muy por delante de los sistemas de identificación y de nuestra gestión de usuarios y contraseñas. Espero que más pronto que tarde, Christian vuelva pronto con su “maestrosdelweb.com”.

También lo comentan en Alt1040 y en InfoSpyware añaden algunos consejos de seguridad bastante útiles.

iPod Touch, actualización de pago y los problemas de los sistemas cerrados

Actualización de pago del iPod Touch, 20 dólares a cambio de poder instalar varias aplicaciones (Mail, Maps, Notes, Stock y Weather). ¿Dónde está el problema? Pues que tanto esas aplicaciones como otras muchas están disponibles para el iPod Touch saltándose el candado con el que Apple sacó su reproductor. No creo que nadie pueda decir que es una forma de “piratería” (estás metiendo gratis aplicaciones de pago), lo cierto es que estarán incluidas en las nuevas versiones de iPod Touch incluidas en el precio de compra y también vienen con el iPhone.

¿Qué está consiguiendo Apple al mantener el iPod Touch cerrado? Pues ser el distribuidor único de software para el dispositivo. El resultado para el usuario final es que no hay competencia, que sólo hay un software de mapas (el de Google) y que quien lo quiera tiene dos opciones: pagar los 20 dólares o apostar por hacer un “jailbreak” saltándose las protecciones del iPod Touch y, de paso, perdiendo la garantía. Como explica Sacha el trato para los usuarios de iPod Touch es incluso peor que el dispensado para otros productos cerrados de Apple.

Hace tiempo que anunciaron que facilitarían la creación de aplicaciones para el iPhone y el iPod Touch con un SDK oficial, pero visto este movimiento cabe preguntarse hasta que punto Apple se reservará la distribución y el control de estas aplicaciones con vistas a su explotación comercial. Desde luego, con este movimiento de la actualización del iPod Touch, han dado un nuevo paso hacia su universo cerrado, ¿hasta cuando sus usuarios seguirán felices en él mientras les intentan cobrar abusando del candado?

Cafetera Nespresso y reutilizar las cápsulas con otro café

Nespresso Krups

Una cafetera Nespresso Krups Essenza estaba entre los regalos que trajeron “los reyes” este año. Sin ser un experto en café, la verdad es que el brebaje que prepara no está nada mal. Claro que los “gourmets cafeteros” rechazan cafetera Nespresso y otras plataformas a base de cápsulas por aquello de limitarte el café que puedes utilizar, pero para perfiles menos exigentes la verdad es que mucho mejor que lo que tenía con mi vieja cafetera italiana.

El problema con las cafeteras Nespresso es el propio sistema de cápsulas. Sólo te las vende Nestlé, que es quien está detrás, y a un precio bastante alto: 0.32 euros la dosis. Teniendo en cuento que tomo dos cafés al día, el incremento de gasto no es trivial. Además las cápsulas para Nespresso no las venden en tiendas (ni siquiera donde comercializan las cafeteras), hay un número reducido de tipos (12, contando tres de descafeinado) y no parecen fáciles de reciclar. Por todo ello que lo primero que se pregunta uno cuando ha fulminado todas las cápsulas incluidas en el regalo es ¿cómo puedo reutilizar las cápsulas para utilizar otros tipos de café?

Y es que lo que Nespresso plantea es un “lock-in”, la implantación de un estándar cerrado de cápsulas de café de manera que tenga a sus clientes cautivos y le tengamos que comprar el café sólo a ellos. Es lo que hacen los fabricantes de impresoras, de máquinas afeitadoras y que algunos intentan en dispositivos multimedia mediante sistemas DRM: venderte la máquina y que los repuestos sólo te los puedan servir ellos. Esto lo refuerzan intimidando (“la máquina puede dejar de funcionar”) y amenazando (“perderá su garantía”). Ante esto, claro, lo que nace es un gran movimiento hacker contrario a esta práctica y presto a “liberar la Nespresso”.

Hay montón de vídeos que muestran como reutilizar las cápsulas Nespresso con otro café. Claro que hay pérdida de calidad (dependiendo del café que se utilice será mayor o no), pero es que es como poder cargar canciones sin DRM en el iPod, un elemento imprescindible para sentirte dueño de la cafetera. Os dejo con un vídeo que lo muestra:

Ripear y copiar HD-DVD y Blu-Ray

Un inciso en el 3GSM para rescatar un tema que hemos comentado varias veces. Hasta ahora venía sosteniendo que AACS, el sistema anticopia de HD-DVD y Blu-ray, no había sido superado realmente puesto que aunque se habían obtenido las claves de algunas películas, no había un sistema conocido para obtenerlas de forma automática.

Pero esto ha cambiado si lo que publica el usuario Arnezami en doom9 (vía Digg) es cierto, ha encontrado y publicado las “processing key” utilizadas para desencriptas las películas en HD-DVD y Blu-ray. ¿Qué significa esto? Que sería posible construir una herramienta capaz de realizar copias de las películas en cualquiera de los formatos y que funcionara con todos los títulos lanzados hasta ahora y que también será posible volcarlas en las redes P2P. Vamos, será posible hacer un software para ripear y copiar películas HD-DVD / Blu-ray como lo hay para DVD.

Que se superen sistemas creados para controlar lo que un usuario puede hacer con su contenido y que le impiden hasta hacer copios de seguridad del mismo siempre me ha parecido una buena noticia, pero en este caso me resulta especialmente grato, HDCP es una tecnología que perjudica a los usuarios que compran: si su televisor no lo soporta, no podrá ver los contenidos en alta definición. Una batalla perdida más por los que siguen apostando por las tecnologías anticopia y de control sobre el usuario.

BackupHDDVD y películas HD-DVD en BitTorrent

BackupHDDVD funciona, pero no es realmente un “crack” del sistema HD-DVD, necesita que le demos las claves de cada película para poder funcionar, lo que constituye el principal problema para hacer copias (más sobre esta herramienta en ¿Crackeado el AACS de HD-DVD y BlueRay?).

En Genbeta comentan que muchas claves ya han sido publicadas, por lo que es de suponer que hay algún mecanismo automático para obtenerlas. Lo más probable es que se trate de aprovechar un error de algún software de reproducción (PowerDVD por ejemplo) que cargue las claves en memoria y sea posible obtenerlas, aunque tampoco descartaría que alguien las esté filtrando.

La buena noticia para la industria que desea mantener este sistema anticopia es que AACS no ha sido superado, la mala noticia es que el único modo de que no proliferen las copias de películas HD-DVD es revocar al software del que estén obteniendo las claves, lo que solo impediría la copia de nuevos títulos, pero no de los antiguos.

Por último, ya anuncian que hay algún título HD-DVD en un tracker de BitTorrent (hdtvblogger), se trata de Serenity. Permite ser visionada – una vez descargada – con PowerDVD y WinDVD.