Las fotos de famosas, la improbabilidad de iCloud y la omnipresencia online

Standard

Hola tus fotos estan en todos lados

A estas horas todo el mundo debe estar hablando de la publicación en 4Chan de fotos privadas de muchas famosas estadounidenses y hay algunos que incluso hablan de un hack a gran escala a iCloud, el servicio de almacenamiento en la nube de Apple que sincroniza de forma casi instantanea tus fotos en todos los dispositivos de Apple… personalmente creo que es casi ridículo un hackeo a gran escala en iCloud, pero creo que pocos entienden como funcionan estos servicios y que cuando algo se hace digital no se borra con un click sino que queda, quizás por siempre en algún server. Continue reading

Target: El factor humano

Standard

Hace tiempo recibí este mail, mi tarjeta de débito y el consiguiente acceso a mis cuentas fueron “comprometidas” en un hackeo masivo al sistema de puntos de venta de Target; mi banco proactivamente la reemplazó sin cargo y sólo por precaución… ¿la razón? Target, la cadena minorista de USA que gasta decenas de millones de dólares en medidas de seguridad no hizo caso a las repetidas alertas de los sistemas de seguridad instalados por ellos mismos. Continue reading

Apple Developer Center Hackeado

Standard

Hace ya tres días Apple sufrió el hack de su Apple Developer Center, cerraron el sitio, no dijeron nada y recién hoy piden disculpas “por los inconvenientes que pueden haberte causado” y advierten que “no descartan que “nombres de desarrolladores, direcciones y correo electrónico hayan sido accedidos” sinceramente no entiendo que se defiendan este tipo de estrategia.

apple developer center hackeado

Para ponerlo simple: Apple tuvo claro hace 72 horas que los datos de sus desarrolladores fueron hackeados y no dijo nada, entiendo que hayan cerrado el sitio para evaluar daños [los cuales SIGUEN sin ser evaluados o comunicados] y definir los pasos a seguir y comunicar; pero pasaron 72 horas y recién ahora admiten haber sido hackeados.

Continue reading

Contraseñas: una línea de caracteres no es segura

Standard

contrasena pirata hacker Hace un tiempo el hackeo a Matt Homan fue tan fuerte y tan público que Amazon y Apple cambiaron sus políticas de seguridad claro que no todos tenemos el peso de Wired para influir en las empresas pero esta bueno cada tanto hacer un reality-check sobre nuestra actitud frente a la seguridad y lo digo aún cuando tuve que reconstruir este blog desde cero.

Continue reading

Amazon y Apple cambian sus políticas por el hack a un periodista

Standard

Hacía falta que le hackearan la cuenta a una persona que pudiera publicarlo en Wired y en su blog y lograr que hasta empresas de seguridad analizaran como pudieron borrarle toda su vida digital en una hora para que Amazon y Apple, dos pesos pesado del comercio electrónico, decidieran cambiar sus políticas de seguridad… y aunque personalmente crea que el error de Apple es enorme la realidad es que esto muestra que hacen falta estándares de seguridad a nivel global.

Continue reading

LinkedIn, Last.fm, MD5 ¿algún otro problema de seguridad esta semana?

Standard

El mundo digital es seguro. Bueno en apenas una semana las siguientes noticias fueron públicas:

  • – Hackers exponen 6.5 millones de claves de LinkedIn (LINK)
  • – El creador del algoritmo MD5 lo declaró “fuera de servicio” y que “no se lo puede considerar seguro” (LINK)
  • – Last.fm está investigando una potencial brecha de seguridad y pérdida de claves de usuarios (LINK)
  • – eHarmony confirmó que 1.5 millones de las claves de sus usuarios se hicieron públicas (LINK)

¿En serio falta algo más esta semana? Mientras tanto mi Google Authenticator y mi LastPass me están dejando dormir relativamente tranquilo… pero no mucho :S

Apple: Seguridad por oscuridad

Standard

Ayer Charlie Millerse descubrió una vulnerabilidad muy importante en iOS que permite esquivar los filtros de la App Store de Apple y, por medio de una aplicación que puede ser gratuita, conectarse a un server remoto y simplemente poseer control total de tu iPhone… ¿la respuesta de Apple? le sacaron sus credenciales de desarrollador
Twitter _ @0xcharlie_ OMG, Apple just kicked me ...
Una de las movidas más estúpidas de las que tenga memoria, un smartphone es cada día más importante en la vida cotidiana y piensen por un segundo en la cantidad enorme de información privada, personal y confidencial que uno tiene en el teléfono… no, tus fotos “intimas” es lo menos importante porque seguro tenés hasta datos de acceso a sistemas, a aplicaciones, datos bancarios y claves a otros servicios.

Continue reading

Hacking: un banco no es responsable del robo a sus clientes

Standard

En una sentencia que va a sentar un precedente peligrosísimo un juez de USA acaba de dictaminar que el Ocean Bank de Maine no es responsable por el hackeo a una cuenta de Patco Construction uno de sus clientes. Los hechos son bastante simples de explicar, un hacker instaló un sniffer en una PC de la empresa, en cuanto robaron las claves del banco hicieron 6 transferencias por u$s540.000, el banco vió transferencias raras pero no le prestó atención a las banderas rojas y el cliente cuando recibió un resúmen de cuenta, y el banco en ese momento bloqueó la cuenta y pudo recuperar solo u$s240.000

Ahora, el fallo del juez da una serie de frases que de sentar precedente van a hacer de USA un paraiso hacker:

“el banco no es responsable si el cliente pierde sus contraseñas”
“Aparentemente y viendo las evidencias, los procesos de seguridad de 2009 no son óptimos y podrían haber usando un sistema de transferencias riesgosas en vez de hacer preguntas de seguridad”
“la ley no obliga al banco a tener los mejores sistemas de seguridad disponibles”

Continue reading

Los dos problemas de Sony y sus hackeos

Standard

psn_hack_otra_vez

En un almuerzo hoy con @briascoi surgió el tema del hack a Sony, primero tirando abajo la Playstation Network por casi un mes y poniendo en peligro los datos de 100 millones de usuarios, y luego los episodios de So-Net robando datos de clientes, el phishing en un dominio oficial de Sony Thailandia, el DDoS a Grecia, Indonesia y Canadá… en definitiva, Sony está afrontando una intrusión o hack diferente por semana a sus redes desde hace casi ya dos meses.

Y pese a que su respuesta haya sido poco menos que del manual de buenas prácticas comunicaciones (aceptar el problema, cerrar el acceso total, comunicarse con los potenciales afectados, etc.) esto tiene dos problemas más allá del típico de los usuarios enojados y que son más graves aún:

Continue reading

¿Era necesario Firesheep?

Standard

A veces me pregunto que pasa con la industria de Internet que necesita de golpes en la nuca para hacer las cosas como deberían hacerse de una vez; hace 6 meses salió Firesheep, una extensión de Firefox que permitía a todo el mundo hacer sidejacking de una forma simple

firesheep y cuentas ajenas

Y aunque la realidad era una simple interfaz gráfica que permitía hacer algo que cualquier script kiddie podía hacer, fue necesario que aparezca esto para que poco a poco Twitter te diera la opción de ingresar con HTTPS por defecto y recién hoy que Foursquare anuncie que todas las conexiones saldrán por HTTPS.

Y acá viene el mensaje cuasi-apocalíptico-paranoico (o simplemente realista) Internet no se volvió totalmente segura de un día para el otro ni tus claves están 100% seguras porque usás HTTPS… pero parece que para ir implementando cosas de seguridad es necesario un golpe de realidad cada poco tiempo.

HiJack: hardware hacking iPhones

Standard

Pocas cosas me están gustan más que el viejo hábito de hackear algo de la manera tradicional, mezclando hardware y software para lograr que un equipo haga algo para lo que no está pensado. El proyecto Hi Jack es una combinación genial de esto que busca crear una interfaz análoga para extraer de forma “parasitaria” energía y transferencia de datos de un iPhone usando la interfaz del auricular… en forma similar a lo que hace Square el startup de Jack Dorsey

Continue reading

Cambridge respondiendo por un estudiante

Standard

La tesis de un estudiante de Cambridge demostró que el sistema de Chip y PIN de las tarjetas bancarias es inseguro, publicó un paper en Internet, la UK banking trade pidió censurar el trabajo y que se prohiba su publicación…. la respuesta del responsable del laboratorio de seguridad es, simplemente, genial:

En segundo lugar, usted parece pensar que podría censurar la tesis de un estudiante, que es legal y ya es de dominio público, simplemente porque un poderoso interés le resulta inconveniente. Esto muestra un profundo desconocimiento de lo que las universidades son y cómo trabajamos. Cambridge es la Universidad de Erasmus, de Newton, y de Darwin; censurar los escritos que ofenden a los poderosos es ofensivo para nuestros valores más profundos.

Y miren más allá del discurso de la “libertad de expresión” y verán como luego de su publicación en menos de un mes, al menos el Barclay’s arregló una vulnerabilidad que tenía casi un año de reportada pero no probada en cámara y con el respaldo de una institución como Cambridge…. lo que muestra que el white-hat hacking es necesario

El detalle, el profesor aprovecha el post en su blog para invitar a los responsables de seguridad a Financial Cryptography 2011 ;)

Vulnerado el DRM de la Mac App Store

Standard

A 10 días del lanzamiento del Mac App Store, los responsables de Hackulous anunciaron que ya vulneraron el DRM de la tienda y sus aplicaciones y que lo van a lanzar en cuanto la tienda tenga unos cuantos miles de aplicaciones ya disponibles.

mac app store tienda aplicaciones mac

Si uno usó un iPad,un iPod Touch o un iPhone ya sabe que la combinación Hackulous + AppTrackr es casi obligatoria, sea porque uno en serio se cree el “somos un directorio para que puedas probar aplicaciones antes de comprarlas” o porque simplemente aceptes públicamente que no vas a gastar plata en aplicaciones.

Continue reading

SEO Spam en los feeds de WordPress

Standard

Seguramente si algunos de ustedes estaban suscriptos a este blog a través del feed rdf habrán notado que en el ultimo tiempo entre los posts de este blog se recibían algunas actualizaciones con gran cantidad de spam y pese a buscar y rebuscar no encontré la solución hasta que hoy Esteban y Juan de SomosWP lo han solucionado…. y acá cuentan como lo solucionaron.
Continue reading

Des-inteligencia colectiva o el hoax del Facebook Messenger

Standard

Leyendo a Jennifer Leggio veo como una invitación de Facebook puede generar un problema de seguridad gigantesca; un grupo llamado “Facebook MessengerTM NEW Facebook Messenger Available Now For News Facebook.” llegó a tener 1.1 millón de usuarios que fueron a descargar un supuesto, e inexistente, programa para poder chatear con tus contactos de Facebook sin problemas.

facebook-messenger

En este caso el grupo apuntaba a una URL donde había una Toolbar para descargar y no mucho más, pero si logran que 1.1 millones de usuarios caigan en un hoax gigante como este y se crean que hay que hacer click en una página que obviamente no era creada ni administrada por Facebook ¿que podría lograr un grupo que sea más profesional al desarrollar una aplicación para aprovechar la des-inteligencia colectiva existente?

El principio de la ingeniería social amplificado por “plataformas de confianza” acaba de abrir la puerta y lo ridículo es que Facebook haya tardado en desactivar el grupo lo suficiente como para que 1.1 millones de personas se suscriban.