Me parecio realmente interesante este video de Joe Grand explicando como lograron una secuencia lógica para hackear fisicamente un hardware wallet Trezor One y recuperar así $2 millones en Theta.
Leer completaNoticias de hacking
Hoy los datos son uno de los activos más importantes de todo startup. Esos datos son de clientes y en general son personales y son susceptibles de ser usados para perfilar pero también para individualizar personas. No sólo eso sino que las contraseñas entre servicios son, aunque esté mal hecho, compartidas varias veces. Y de todos los nuevos servicios que uno prueba, sean chicos o grandes, como mucho un 10% tiene alguien dedicado a seguridad y apenas la mitad puede responder con cierta coherencia sobre políticas e implementaciones de seguridad... y los datos son tuyos.
Entiendo, y lo digo sinceramente, que un ingeniero de seguridad interno tiene un coste elevado para un startup. También entiendo que cuando tenés un equipo de una decena de personas es complicado que un tipo esté dedicado a seguridad pero lamentablemente tienen que step-up y darse cuenta que la seguridad es un problema no sólo de hackers de película sino de cosas tan simples como empleados con accesos a bases de datos ¿recuerdan a Snowden? :)Leer completa
Charlie Miller, el responsable del hack a un Jeep Cherokee via 3G entrando por su sistema de entretenimiento y capaz de tomar control TOTAL del auto se retiró de Twitter. Un detalle, el experimento se hizo con la autorización de Chrysler quien terminó haciendo un recall de 1.4 millones de autos para hacer un upgrade del sistema que ahora previene ese tipo de ataques.
Hace un tiempo publiqué como hackeaban físicamente un Prius y un Ford Escape apenas dos años despues lograron hackear con la conectividad 3G de fábrica un Jeep Cherokee y tomar control remoto de todos los sistemas del auto.
Me sorprende que hayan tardado poco tiempo en romper conectividad móvil (con sus protocolos) que viene embebida y donde lo que era apenas un ataque al geoposicionamiento para poder seguir un auto se haya convertido en un ataque donde se toma el control 100% del auto:Leer completa
Finalmente Apple dió una respuesta oficial sobre las fotos de famosas desnudas que se publicaron hace un par de días y todo apunta a lo que sostuve en su momento: el ataque era quirúrgico y apunta a fallas humanas:Leer completa
A estas horas todo el mundo debe estar hablando de la publicación en 4Chan de fotos privadas de muchas famosas estadounidenses y hay algunos que incluso hablan de un hack a gran escala a iCloud, el servicio de almacenamiento en la nube de Apple que sincroniza de forma casi instantanea tus fotos en todos los dispositivos de Apple... personalmente creo que es casi ridículo un hackeo a gran escala en iCloud, pero creo que pocos entienden como funcionan estos servicios y que cuando algo se hace digital no se borra con un click sino que queda, quizás por siempre en algún server.Leer completa
Blackhat 2014 viene desarrollandose con algún que otro contratiempo pero nada grave y entre algunos de los papers y presentaciones más interesantes destacaría 4Leer completa
Excelente paper académico de Jonathan Zdziarski, que muestra una cantidad preocupante de servicios sin documentar que corren en iOS y que dan acceso a toda tu información en formatos que no son "asociables" o "explicables" por parte de Apple como algo que se use internamente.Leer completa
Esos mails que uno no quiere recibir :s #target pic.twitter.com/v8QCCngeHG
— Mariano Amartino (@amartino) febrero 5, 2014
Hace tiempo recibí este mail, mi tarjeta de débito y el consiguiente acceso a mis cuentas fueron "comprometidas" en un hackeo masivo al sistema de puntos de venta de Target; mi banco proactivamente la reemplazó sin cargo y sólo por precaución... ¿la razón? Target, la cadena minorista de USA que gasta decenas de millones de dólares en medidas de seguridad no hizo caso a las repetidas alertas de los sistemas de seguridad instalados por ellos mismos.Leer completa
En el curso de esta semana me crucé con un par de noticias que son, además de esperables, una muestra de que no hay conciencia de la necesidad de seguridad en todo lo que esté conectado, repito: en TODO lo que esté conectado... y hoy en día eso implica desde smart-phones conectados hasta casas con controles remotos.
Hace ya tres días Apple sufrió el hack de su Apple Developer Center, cerraron el sitio, no dijeron nada y recién hoy piden disculpas "por los inconvenientes que pueden haberte causado" y advierten que "no descartan que "nombres de desarrolladores, direcciones y correo electrónico hayan sido accedidos" sinceramente no entiendo que se defiendan este tipo de estrategia.
Para ponerlo simple: Apple tuvo claro hace 72 horas que los datos de sus desarrolladores fueron hackeados y no dijo nada, entiendo que hayan cerrado el sitio para evaluar daños [los cuales SIGUEN sin ser evaluados o comunicados] y definir los pasos a seguir y comunicar; pero pasaron 72 horas y recién ahora admiten haber sido hackeados.
Hace un tiempo el hackeo a Matt Homan fue tan fuerte y tan público que Amazon y Apple cambiaron sus políticas de seguridad claro que no todos tenemos el peso de Wired para influir en las empresas pero esta bueno cada tanto hacer un reality-check sobre nuestra actitud frente a la seguridad y lo digo aún cuando tuve que reconstruir este blog desde cero.
Hacía falta que le hackearan la cuenta a una persona que pudiera publicarlo en Wired y en su blog y lograr que hasta empresas de seguridad analizaran como pudieron borrarle toda su vida digital en una hora para que Amazon y Apple, dos pesos pesado del comercio electrónico, decidieran cambiar sus políticas de seguridad... y aunque personalmente crea que el error de Apple es enorme la realidad es que esto muestra que hacen falta estándares de seguridad a nivel global.
El mundo digital es seguro. Bueno en apenas una semana las siguientes noticias fueron públicas:
- - Hackers exponen 6.5 millones de claves de LinkedIn (LINK)
- - El creador del algoritmo MD5 lo declaró “fuera de servicio” y que “no se lo puede considerar seguro” (LINK)
- - Last.fm está investigando una potencial brecha de seguridad y pérdida de claves de usuarios (LINK)
- - eHarmony confirmó que 1.5 millones de las claves de sus usuarios se hicieron públicas (LINK)
¿En serio falta algo más esta semana? Mientras tanto mi Google Authenticator y mi LastPass me están dejando dormir relativamente tranquilo… pero no mucho :S
Ayer Charlie Millerse descubrió una vulnerabilidad muy importante en iOS que permite esquivar los filtros de la App Store de Apple y, por medio de una aplicación que puede ser gratuita, conectarse a un server remoto y simplemente poseer control total de tu iPhone... ¿la respuesta de Apple? le sacaron sus credenciales de desarrollador
Una de las movidas más estúpidas de las que tenga memoria, un smartphone es cada día más importante en la vida cotidiana y piensen por un segundo en la cantidad enorme de información privada, personal y confidencial que uno tiene en el teléfono... no, tus fotos "intimas" es lo menos importante porque seguro tenés hasta datos de acceso a sistemas, a aplicaciones, datos bancarios y claves a otros servicios.
En una sentencia que va a sentar un precedente peligrosísimo un juez de USA acaba de dictaminar que el Ocean Bank de Maine no es responsable por el hackeo a una cuenta de Patco Construction uno de sus clientes. Los hechos son bastante simples de explicar, un hacker instaló un sniffer en una PC de la empresa, en cuanto robaron las claves del banco hicieron 6 transferencias por u$s540.000, el banco vió transferencias raras pero no le prestó atención a las banderas rojas y el cliente cuando recibió un resúmen de cuenta, y el banco en ese momento bloqueó la cuenta y pudo recuperar solo u$s240.000
Ahora, el fallo del juez da una serie de frases que de sentar precedente van a hacer de USA un paraiso hacker:
"el banco no es responsable si el cliente pierde sus contraseñas"
“Aparentemente y viendo las evidencias, los procesos de seguridad de 2009 no son óptimos y podrían haber usando un sistema de transferencias riesgosas en vez de hacer preguntas de seguridad"
"la ley no obliga al banco a tener los mejores sistemas de seguridad disponibles"
En un almuerzo hoy con @briascoi surgió el tema del hack a Sony, primero tirando abajo la Playstation Network por casi un mes y poniendo en peligro los datos de 100 millones de usuarios, y luego los episodios de So-Net robando datos de clientes, el phishing en un dominio oficial de Sony Thailandia, el DDoS a Grecia, Indonesia y Canadá... en definitiva, Sony está afrontando una intrusión o hack diferente por semana a sus redes desde hace casi ya dos meses.
Y pese a que su respuesta haya sido poco menos que del manual de buenas prácticas comunicaciones (aceptar el problema, cerrar el acceso total, comunicarse con los potenciales afectados, etc.) esto tiene dos problemas más allá del típico de los usuarios enojados y que son más graves aún:
A veces me pregunto que pasa con la industria de Internet que necesita de golpes en la nuca para hacer las cosas como deberían hacerse de una vez; hace 6 meses salió Firesheep, una extensión de Firefox que permitía a todo el mundo hacer sidejacking de una forma simple...
Y aunque la realidad era una simple interfaz gráfica que permitía hacer algo que cualquier script kiddie podía hacer, fue necesario que aparezca esto para que poco a poco Twitter te diera la opción de ingresar con HTTPS por defecto y recién hoy que Foursquare anuncie que todas las conexiones saldrán por HTTPS.
Y acá viene el mensaje cuasi-apocalíptico-paranoico (o simplemente realista) Internet no se volvió totalmente segura de un día para el otro ni tus claves están 100% seguras porque usás HTTPS... pero parece que para ir implementando cosas de seguridad es necesario un golpe de realidad cada poco tiempo.
Pocas cosas me están gustan más que el viejo hábito de hackear algo de la manera tradicional, mezclando hardware y software para lograr que un equipo haga algo para lo que no está pensado. El proyecto Hi Jack es una combinación genial de esto que busca crear una interfaz análoga para extraer de forma "parasitaria" energía y transferencia de datos de un iPhone usando la interfaz del auricular... en forma similar a lo que hace Square el startup de Jack Dorsey
La tesis de un estudiante de Cambridge demostró que el sistema de Chip y PIN de las tarjetas bancarias es inseguro, publicó un paper en Internet, la UK banking trade pidió censurar el trabajo y que se prohiba su publicación.... la respuesta del responsable del laboratorio de seguridad es, simplemente, genial:
En segundo lugar, usted parece pensar que podría censurar la tesis de un estudiante, que es legal y ya es de dominio público, simplemente porque un poderoso interés le resulta inconveniente. Esto muestra un profundo desconocimiento de lo que las universidades son y cómo trabajamos. Cambridge es la Universidad de Erasmus, de Newton, y de Darwin; censurar los escritos que ofenden a los poderosos es ofensivo para nuestros valores más profundos.
Y miren más allá del discurso de la "libertad de expresión" y verán como luego de su publicación en menos de un mes, al menos el Barclay's arregló una vulnerabilidad que tenía casi un año de reportada pero no probada en cámara y con el respaldo de una institución como Cambridge.... lo que muestra que el white-hat hacking es necesario
El detalle, el profesor aprovecha el post en su blog para invitar a los responsables de seguridad a Financial Cryptography 2011 ;)
