Hacking Mx

Se trata de un reto que el jefe de Seguridad en Facebook le ha impuesto a sus empleados, el objetivo era hackearlo para conseguir la cuenta maestra que abre todos los perfiles y tiene acceso total a las bases de datos de la afamada red social Facebook.

Los empleados para lograr el cometido, se conectaron al router de su casa desde una furgoneta en la calle, llegaron a obtener los passwords y números de su tarjeta de crédito. (Como dato extra, la práctica de ir buscando redes wifi en un vehículo se le denomina Wardriving).

Mucha atención si ves vehículos sospechosos fuera de tu casa.

Le sacaron todo lo que tenía en el ordenador. Contraseñas, cuentas bancarias, correo electrónico… El jefe de seguridad de Facebook había sido hackeado por sus propios empleados. Se trataba de un desafío que él mismo les había propuesto.

Continue reading “El jefe de seguridad de Facebook Hackeado” »

Todos tenemos un dispositivo USB que conectamos normalmente a nuestras computadoras, o al menos los hemos visto, pero… ¿Qué tan seguros son?

Para contestar esta interrogante un equipo conformado por ingenieros del Royal Military College de Canadá en Kingston, Ontario ha demostrado que cualquier periférico USB es potencialmente capaz de obtener información del equipo donde este sea conectado.

Incluso este microondas USB podría robar tu información, ten cuidado lo que cocinas!

Y… ¿Cómo se logra esto? Anteriormente un “hardware trojan” o “troyano del hardware” operaban de forma que al periférico se le tenía que hacer una modificación física insertándole un chip, sin que el usuario se diera cuenta para de esa forma hacer que el periférico funcionara de forma distinta a la esperada.

Continue reading “Hasta tu comida puede robar información de tu PC” »

Hoy Youtube ha sido el blanco para grupos de hackers de comunidades como 4chan, el ataque usado se denomina XSS  (Cross-Site Scripting) este ataque se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web.

El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Por eso es tan importante la parte de escribir código seguro, un verdadero reto para las empresas.

Mediante este ataque fué posible secuestrar “cookies” para obtener acceso a una sesión de usuario de Gmail y las cuentas de YouTube (o de cualquier otro servicio de Google).

Los atacantes lograron inyectar código HTML (el código con el que el que se construyen los sitios web) desde el área de comentarios en Youtube, un área que debería estar restringida a inyecciones de código. Los hackers hicieron de todo, desde forzar mensajes “pop-up” para que aparecieran en el sitio hasta redireccionar a los usuarios a páginas pornográficas o con malware.

Continue reading “Youtube Hackeado debido a ataque XSS” »

¿En las corporaciones donde se desarrollan aplicaciones se privilegia la funcionalidad o la seguridad? Hoy en día muchas empresas cuentan con al menos un pequeño equipo de desarrolladores para crear aplicaciones personalizadas (por ejemplo web) ya que la funcionalidad que buscan no la encuentran en aplicaciones de terceros.

Cuando se desarrollan estas aplicaciones internamente, todo mundo quiere que funcionen, es decir, que cumplan con lo que pide el usuario. ¿Seguridad? Ni al caso, eso no es importante y cuesta muy caro desarrollar software seguro para que al final de todas maneras tenga bugs (ni Microsoft logra codificar software bug-free, por qué lo habría de hacer el equipo de desarrolladores de una corporación?).

Aunque lo anterior pueda sonar a sarcasmo de mi parte, léanlo de nuevo y verán que hay verdad en esas líneas: cuesta caro desarrollar software seguro (cierto), de todas maneras probablemente va a tener bugs (cierto) y ni fabricantes que se dedican a desarrollar software logran crearlo 100% libre de bugs (cierto). ¿Entonces para qué esforzarse?

Continue reading “Desarrollo de Aplicaciones: Funcionalidad vs Seguridad” »

Es bien sabido que el cibercrimen  ha aumentado en los últimos años de manera alarmante y se preguntarán porqué ha ocurrido tal cosa, porqué no ha sonado tanto en los medios y menos en México, dónde aún hay un gran hueco tecnológico, tan grande, que un sinnúmero de personas no saben que existe legislación en contra de los delitos informáticos.

El cibercrimen se esta haciendo popular en Latinoamérica, los propulsores son principalmente la crísis económica y una legislación insuficiente.

Pero ¿Porqué no escuchamos más seguido de estos crimenes? ¿Porqué tantas personas no conocen el término Cómputo Forense?

La desinformación es la causante, en mi punto de vista para contrarestarlo habría que haber un apoyo al derecho informático en México y así mismo a los escasos profesionales de seguridad que existen en el país y en américa latina en general, darles más importancia en los medios cómo en la TV así se crearía conciencia y un “Security Awareness” en las personas, habría curiosidad por protegerse, buscarían la manera de aprender y por decir un ejemplo, buscarían el mejor antivirus, pero sobre todo mejorar sus hábitos en internet porque no importa que antivirus usemos, al final del día somos nosotros, el factor humano el más inseguro, el que aceptará o rechazará la petición de un troyano para instalarse.

Continue reading “Hacker o Narcotraficante?” »

Alguna vez nos hemos preguntado que software o qué sistema operativo corre aquella máquina donde realizamos importantes transacciones y ciegamente le confiamos información crítica.

Esta vez se ha informado gracias a una alerta por la empresa fabricante de ATMs Diebold Opteva que varios hacker rusos instalaron software malicioso en varios de los cajeros automáticos modelo Opteva en Rusia y Ucrania, para saquear al menos 20 cajeros. Estos cajeros utilizaban el software de la empresa Diebold basado en el sistema operativo Windows XP, por lo que Diebold tuvo que lanzar una alerta urgente.

Continue reading “Cajeros con Windows son presa fácil de Crackers” »

Esta vez nuestros amigos de Geekspot Mx lanzaron un nuevo capítulo de su podcast en el que los temas principales son la tecnología y la cultura geek,  el pasado miércoles una de las temáticas del podcast fue la Seguridad Informática y el Hacking ético, para ello invitaron a un experto en la materia (@paco_ ) y administrador de este sitio.

Tuvimos de invitado a @paco_, un experto en Seguridad Informática y Hacking Ético, administrador del sitio HackingMX, con el que tuvimos la oportunidad de platicar sobre el tema que mas le apasiona. La plática fue desde definir a un hacker, hasta como las empresas estan cada vez mas vulnerables a ataques de las personas que menos se lo esperan. Definitivamente, de las mejores entrevistas que hemos tenido en el programa. No, aquí no vas a encontrar como “hackear” la cuenta de MSN de tu novia… es mas, ni siquiera tienes novia!

No olviden visitar el sitio de GeekspotMx

Una vez más el grupo de hackers iPhone Dev team logró hacer jailbreak al iPhone 4, el nuevo dispositivo de Apple lanzado el 24 de Junio. Afirman usaron una vieja vulnerabilidad para lograr instalar saltarse la seguridad de Apple e instalar Cydia. Estas vulnerabilidades son gracias a los desbordamientos de memoria o buffer overflows dónde se hace crashear a un programa y opere de manera inusual, al hacerlo fallar se explota esta vulnerabilidad y se le injecta código.

Terminal ejecutando código en un iPhone 4.

Desafortunadamente aún no pueden hacer público este hack ya que usaron código fuente de Apple y esto infringe el Copyright, dicen un miembro del Dev team.

Continue reading “Hackeado el iPhone 4” »

¿Cuál es el objetivo de las métricas de seguridad? Medir a un control de seguridad. Ya sé, es obvio. Mejor: las métricas intentan asignar valores alrededor de actividades orientadas a proteger los recursos de información. Por ahí dicen que “las métricas de seguridad son sirvientes de la administración del riesgo, y la administración del riesgo es acerca de tomar decisiones”.

Por lo tanto: “las únicas métricas de seguridad que nos deben de interesar son aquéllas que soportan la toma de decisiones respecto al riesgo con el propósito de manejarlo o administrarlo”.

Las métricas de seguridad son un tema relativamente nuevo e inmaduro (sobre todo comparado con otros indicadores como los que genera el sector financiero, por ejemplo); es una cuestión poco explorada y escasamente dominada como bien nos dice Andrew Jaquith en su libro “Security Metrics”. Que por cierto y como podrán intuir, este post se basa en la lectura que hice de algunos capítulos del mismo (en concreto, el 2: “Defining Security Metrics”).

Las métricas de seguridad intentan medir el nivel de seguridad (o un aspecto de ella) en una corporación y por cierto el estándar ISO/IEC 27001 las exige en el sentido de contar con métricas (indicadores) para medir la eficacia de los controles de seguridad que tenemos en la organización (no todos los controles, sino aquéllos que estén dentro del alcance establecido en el sistema de gestión que propone el 27001).

Continue reading “Medir Para Decidir” »