Reuben Paul, el niño de 11 años que hackea ositos de peluche y ya tiene su propia empresa de ciberseguridad – El Mostrador

Este joven estadounidense, un prodigio de la informática, se llama a sí mismo “ciberninja” y a través de su propia empresa quiere “educar a la gente, enseñarles cosas nuevas” sobre la seguridad en el mundo cibernético.

Fuente: Reuben Paul, el niño de 11 años que hackea ositos de peluche y ya tiene su propia empresa de ciberseguridad – El Mostrador


Digital gold: why hackers love Bitcoin | Technology | The Guardian

The WannaCry ransomware attackers demanded payment in the cryptocurrency. But its use in the ‘clean’ economy is growing, too, and could revolutionise how we use money

Fuente: Digital gold: why hackers love Bitcoin | Technology | The Guardian


The U.S. Government Thinks Thousands of Russian Hackers May Be Reading My Blog. They Aren’t.

It’s plausible, and in my opinion likely, that hackers under orders from the Russian government were responsible for the DNC and Podesta hacks in order to influence the U.S. election in favor of Donald Trump. But the Grizzly Steppe report fails to adequately back up this claim. My research, for example, shows that much of the evidence presented is evidence of nothing at all.

Fuente: The U.S. Government Thinks Thousands of Russian Hackers May Be Reading My Blog. They Aren’t.


Top-Secret Snowden Document Reveals What the NSA Knew About Previous Russian Hacking

Now, a never-before-published top-secret document provided by whistleblower Edward Snowden suggests the NSA has a way of collecting evidence of Russian hacks, because the agency tracked a similar hack before in the case of a prominent Russian journalist, who was also a U.S. citizen.

Fuente: Top-Secret Snowden Document Reveals What the NSA Knew About Previous Russian Hacking


DDoS attack that disrupted internet was largest of its kind in history, experts say | Technology | The Guardian

The cyber-attack that brought down much of America’s internet last week was caused by a new weapon called the Mirai botnet and was likely the largest of its kind in history, experts said.

Fuente: DDoS attack that disrupted internet was largest of its kind in history, experts say | Technology | The Guardian


Spies for Hire

While cybersecurity companies traditionally aim to ensure that the code in software and hardware is free of flaws — mistakes that malicious hackers can take advantage of — DarkMatter, according to sources familiar with the company’s activities, was trying to find and exploit these flaws in order to install malware. DarkMatter could take over a nearby surveillance camera or cellphone and basically do whatever it wanted with it — conduct surveillance, interfere with or change any electronic messages it emitted, or block the signals entirely.

Fuente: Spies for Hire


Cyber attack: hackers ‘weaponised’ everyday devices with malware to mount assault | Technology | The Guardian

The huge attack on global internet access, which blocked some of the world’s most popular websites, is believed to have been unleashed by hackers using common devices like webcams and digital recorders.

Fuente: Cyber attack: hackers ‘weaponised’ everyday devices with malware to mount assault | Technology | The Guardian


Hackean grupo de espionaje de la NSA y subastan información por 1 millón de bitcoins | CriptoNoticias – Bitcoin, Blockchain y criptomonedas

Un grupo de hackers vinculado a la Agencia de Seguridad Nacional de los Estados Unidos, mejor conocida como la NSA (National Security Agency), ha sido hackeado recientemente y sus herramientas de espionaje, recolección de información, malware y más, han sido puestas en venta por 1 millón de bitcoins (más de 550 millones de dólares al momento de la publicación).

Fuente: Hackean grupo de espionaje de la NSA y subastan información por 1 millón de bitcoins | CriptoNoticias – Bitcoin, Blockchain y criptomonedas


¿Son estas las armas de espionaje de la NSA? | Derechos Digitales

Un grupo de hackers dice haber obtenido información confidencial de Equation Group, un conocido y sofisticado grupo de ciber atacantes ligado a la NSA. Parte de la información publicada permite por primera vez echar un vistazo a las herramientas utilizadas por la agencia de seguridad estadounidense.

Fuente: ¿Son estas las armas de espionaje de la NSA? | Derechos Digitales


El pionero satélite cuántico chino que puede revolucionar las comunicaciones del mundo – El Mostrador

Se trata de un millonario y ambicioso proyecto apodado QUESS, que pone al gigante asiático a la cabeza de una revolución tecnológica: crear nuevas redes de comunicación globales a prueba de hackeos.

Fuente: El pionero satélite cuántico chino que puede revolucionar las comunicaciones del mundo – El Mostrador


Cyber experts warn of hacking capability of drones – FT.com

Hackers could employ flying drones to buzz office buildings and intercept corporate communications, cyber security researchers have warned ahead of the industry’s annual gathering.A simple drone can be used to attack WiFi, bluetooth and other wireless connections such as those used in contactless payment cards, making it as easy to intercept information in a private building as it is in a public café.

Fuente: Cyber experts warn of hacking capability of drones – FT.com


FTC’s chief technologist gets her mobile phone number hijacked by ID thief | Ars Technica

In a scenario that’s growing increasingly common, the chief technologist of the US Federal Trade Commission recently lost control of her smartphone after someone posing as her walked into a mobile phone store and hijacked her number.

Fuente: FTC’s chief technologist gets her mobile phone number hijacked by ID thief | Ars Technica


The Vigilante Who Hacked Hacking Team Explains How He Did It | Motherboard

Back in July of last year, the controversial government spying and hacking tool seller Hacking Team was hacked itself by an outside attacker. The breach made headlines worldwide, but no one knew much about the perpetrator or how he did it.That mystery has finally been revealed.

Fuente: The Vigilante Who Hacked Hacking Team Explains How He Did It | Motherboard


Major sites including New York Times and BBC hit by ‘ransomware’ malvertising | Technology | The Guardian

Adverts hijacked by malicious campaign that demands payment in bitcoin to unlock user computers

Fuente: Major sites including New York Times and BBC hit by ‘ransomware’ malvertising | Technology | The Guardian


FireEye bulks up for ‘cyber arms race’ – FT.com

FireEye, a cyber security company, has bought threat intelligence start-up iSight Partners, as it seeks to compliment its machine learning with data gathered by humans who watch hackers in the darkest corners of the internet. With the acquisition,

Fuente: FireEye bulks up for ‘cyber arms race’ – FT.com


Intel Security’s Chris Young tells cyber sector to go on offensive – FT.com

Intel Security’s Chris Young tells cyber sector to go on offensive – FT.com.

 

Hacker; Cyber Security

The president of Intel Security has admonished the cyber security industry for being “too reactive” and focusing on the symptoms of attacks rather than the underlying causes.

Chris Young said that the sector had become “bogged down” in data while cyber attackers get better funded, more innovative and improve their skills.

“In security we’re chasing the symptoms like malware and vulnerabilities when we’d be smarter if we knew the context of attacks, who the attackers are and why do I care about them.”“We are swimming in symptoms but we don’t really understand the problem in many cases. To use a human analogy, I’m sneezing, I can’t breathe easily, I have a runny nose: do I have a cold, flu or allergies?” he said.

Mr Young told the Financial Times at the RSA cyber security conference that President Barack Obama’s new information sharing proposals, announced in the State of the Union speech, risk creating a flood of new data on attacks that few companies are skilled at processing. The US House of Representatives could vote on the bill this week.

 


How to tell if you've been hacked | Technology | The Guardian

How to tell if you’ve been hacked | Technology | The Guardian.

Worried that you might get compromised by hackers? The bad news is that the rest of the internet might know before you do

A man uses a laptop.
If you’ve been hacked, you may be the last to know. Photograph: Magdalena Rehova / Alamy/Alamy

According to the UK Government’s 2014 cybersecurity survey, 81% of large businesses have suffered malicious data breaches. That suggests almost one in five didn’t. But how can those companies be sure?

Working out whether you’ve been hacked by cybercriminals is like leaving your diary in your bag while you visit the bathroom. When you get back, everything might still be in your bag, but you can’t be certain that no one sneaked a peek.

“In this context, it’s impractical to prove a negative,” said Lenny Zeltser, a senior faculty member at the SANS Institute, who teaches malware defence and analysis there. “A company responding to signs of infection can conclude that it has been breached,” he points out. “However, the lack of visible signs of a compromise doesn’t indicate that the enterprise has not been breached.”

Or to quote Donald Rumsfeld, when thinking about hackers, companies will always have to cope with those pesky unknown unknowns.

In the early days of cyber intrusion, many hackers were crying out to be known. They were eager to crow about what they had done, and often revealed themselves in spectacular fashion by deleting files or defacing websites. These attackers still exist, and are often driven to make a political point.


New smoking gun further ties NSA to omnipotent “Equation Group” hackers | Ars Technica

New smoking gun further ties NSA to omnipotent “Equation Group” hackers | Ars Technica.

What are the chances unrelated state-sponsored projects were both named “BACKSNARF”?

 

 

 

Researchers from Moscow-based Kaspersky Lab have uncovered more evidence tying the US National Security Agency to a nearly omnipotent group of hackers who operated undetected for at least 14 years.

 

The Kaspersky researchers once again stopped short of saying the hacking collective they dubbed Equation Group was the handiwork of the NSA, saying only that the operation had to have been sponsored by a nation-state with nearly unlimited resources to dedicate to the project. Still, they heaped new findings on top of a mountain of existing evidence that already strongly implicated the spy agency. The strongest new tie to the NSA was the string “BACKSNARF_AB25” discovered only a few days ago embedded in a newly found sample of the Equation Group espionage platform dubbed “EquationDrug.” “BACKSNARF,” according to page 19 of this undated NSA presentation, was the name of a project tied to the NSA’s Tailored Access Operations.


Should we hack the hackers? | Technology | The Guardian

Should we hack the hackers? | Technology | The Guardian.

Banks are considering striking back at hackers – but what are the implications?Banks are considering striking back at hackers – but what are the implications? Photograph: Alamy

If we’re losing the war against cybercrime, then should we take off the gloves and strike back electronically against hackers?

As banks reel from another major hacking revelation, a former US director of intelligence has joined some of them in advocating for online counterstrikes against cybercriminals.

In February, security firm Kaspersky detailed a direct hack against 100 banks, in a co-ordinated heist worth up to $1bn. This follows growing sentiment among banks, expressed privately, that they should be allowed to hack back against the cybercriminals penetrating their networks.

At February’s Davos forum, senior banking officials reportedly lobbied for permission to track down hackers’ computers and disable them. They are frustrated by sustained hacking campaigns from attackers in other countries, intent on disrupting their web sites and stealing their data.

Dennis Blair, former director of national intelligence in the Obama administration, has now spoken out in favour of electronic countermeasures, known in cybersecurity circles as hacking back, or strikeback.

Blair co-authored a 2013 report from the US Commission on the Theft of American Intellectual Property. It considered explicitly authorising strikeback operations but stopped short of endorsing this measure at the time.

Instead, the report suggested exploring non-destructive alternatives, such as electronically tagging stolen data for later detection. It also called for a rethinking of the laws that forbid hacking, even in self-defence.

Western law enforcers don’t have jurisdiction in the countries where cybercriminals operate. Ideally, they would pass information about hackers onto their counterparts there, said Blair, but in many cases local police are un-cooperative. It’s time to up the ante, he suggested.

“I am more leaning towards some controlled experiments in officially conducting aggressive cyber-tracking of where attacks come from, discovering their origin, and then taking electronic action against them,” he told the Guardian.


La vulnerabilidad de los smartphones: Muy pocos modelos son seguros ante los hackers – BioBioChile

La vulnerabilidad de los smartphones: Muy pocos modelos son seguros ante los hackers – BioBioChile.

 

Johan Larsson (CC) Flickr

Johan Larsson (CC) Flickr

 

Publicado por Denisse Charpentier | La Información es de Agencia AFP

 

Muy vulnerables actualmente, los smartphones pueden convertirse en el futuro blanco predilecto de los hackers que se pueden aprovechar de las negligencias y la inocencia de los usuarios al manejar su teléfono.

“El mercado del móvil se rige por la innovación y se concentra sobre todo en la obtención de nuevas funcionalidades ligadas al marketing más que en la seguridad y el respeto de la vida privada”, analiza James Lyne, entrevistado en el Mobile World Congress que se cierra este jueves en Barcelona.

Responsable de la seguridad global en Sophos, Lyne responsabiliza a los fabricantes de la insuficiente sensibilización de los consumidores, de los que solo un 40% utiliza un código PIN.

En su presentación del Galaxy S6 el domingo en Barcelona, Samsung insistió en su apariencia, en la recarga inalámbrica o en la calidad de su cámara fotográfica pero apenas se refirió a su protección antivirus.

Por ello, explica a la AFP Tanguy de Coatpont, director general de Kaspersky Lab France, “vivimos con los smartphones lo que experimentamos con los ordenadores hace 15 años”.

“Cada vez hay más problemas de seguridad porque con su potencia se convierten en pequeños ordenadores, conectados permanentemente”, añade.


Hackers take down Lenovo website – FT.com

Hackers take down Lenovo website – FT.com.

High quality global journalism requires investment. Please share this article with others using the link below, do not cut & paste the article. See our Ts&Cs and Copyright Policy for more detail. Email ftsales.support@ft.com to buy additional rights. http://www.ft.com/cms/s/0/77843ec2-bd5f-11e4-b523-00144feab7de.html#ixzz3SzdZG1cE

 

February 26, 2015 2:45 am

Hackers take down Lenovo website

 

A pedestrian walks past the Lenovo Group Ltd. flagship store on Qianmen Street in Beijing, China, on Tuesday, Nov. 11, 2014. Lenovo Chief Executive Officer Yang Yuanqing has expanded in computer servers and mobile phones, including the $2.91 billion purchase of Motorola Mobility, to help combat a shrinking personal-computer market. Photographer: Tomohiro Ohsumi/Bloomberg©Bloomberg

Lenovo’s website has been hacked, less than a week after the personal computer maker was forced to disable controversial software that left users of its laptops vulnerable to cyber attacks.

On Thursday, the group – the world’s largest PC manufacturer by unit sales – said that users trying to visit its website had been redirected to another site by hackers.Hacker collective Lizard Squad had claimed credit for the attack via Twitter, where it also posted internal Lenovo e-mails discussing Superfish, the advertising software that the PC maker disabled on its products last week.

Lizard Squad has previously claimed credit for cyber attacks on Sony’s PlayStation network and Microsoft’s Xbox Live network. On Thursday, it also boasted of an attack on Google’s Vietnamese website.

Lenovo said it had taken its website down and was also investigating “other aspects” of the attack.

Later on Thursday morning, visitors to lenovo.com on Thursday morning received a message stating: “The Lenovo site you are attempting to access is currently unavailable due to system maintenance.” It was restored on Thursday afternoon.

Last week, Lenovo acknowledged that its consumer division had sold laptops pre-installed with controversial advertising software called Superfish that potentially left its computers open to being hacked. It said it had stopped installing Superfish on new units in January and disabled the software on existing machines.

Computer experts had warned of a security hole in the software that hackers could exploit to eavesdrop on a user’s web-browsing behaviour.

 


Lenovo admits to software vulnerability – FT.com

Lenovo admits to software vulnerability – FT.com.

 

Last updated: February 19, 2015 7:00 pm

Lenovo admits to software vulnerability

 

Lenovo Group Ltd. signage is displayed near laptops in an arranged photograph at a Lenovo store in the Yuen Long district of Hong Kong, China, on Friday, May 23, 2014. Lenovo, the world's largest maker of personal computers, reported a 25 percent jump in fourth-quarter profit as its desktop models and mobile devices gained global market share. Photographer: Brent Lewin/Bloomberg©Bloomberg

Lenovo, the world’s largest computer manufacturer by unit sales, has been forced to disable controversial software that left users of its laptops vulnerable to hacking attacks.

The software Superfish, which was pre-installed on Lenovo’s devices, was billed as a free “visual search” tool. But Lenovo used it to inject adverts into web pages.

More controversially, however, computer experts have discovered that Superfish contains a major security hole that hackers can potentially exploit to eavesdrop on a user’s web-browsing behaviour.

Users have been raising concerns about Superfish on Lenovo’s own online forums since September, complaining that the software is putting additional advertising into web pages without their permission.

Computer manufacturers often pre-install so-called “adware” into their laptops and PCs in exchange for payment by the software makers, which in turn make money from advertisers.

Lenovo said its customers were given a choice about whether to use the product.

However, Graham Cluley, an independent security expert, said the way in which Lenovo had installed the adware was “cack-handed, and could be exploited by a malicious hacker to intercept the traffic of innocent parties”.

While there is no evidence that hackers have exploited the vulnerability, Mr Cluley said: “If you have Superfish on your computer you really can’t trust secure connections to sites any more.”

 


Así protegen los ‘hackers’ sus datos en la nube | Tecnología | EL PAÍS

Así protegen los ‘hackers’ sus datos en la nube | Tecnología | EL PAÍS.


Algunos servicios de Internet son gratuitos a costa de hacer negocio con los datos de los usuarios

Existen alternativas seguras para alojar datos en la nube, mandar mensajes y gestionar contraseñas

JOHN FEDELE (GETTY IMAGES)

Enviar a LinkedIn346
Enviar a TuentiEnviar a Eskup

EnviarImprimirGuardar

Hace pocos días se conocía que 200.000 fotos y vídeos compartidos a través del servicio de mensajería Snapchat habían sido robados. Cualquiera puede hoy descargar esas imágenes. El caso no es uno más entre la montaña de informaciones sobre violaciones de la privacidad en Internet, pues en algunas de estas imágenes se ven escenas de sexo captadas por los usuarios. Además, el número de archivos filtrados es muy superior al del celebgate, un caso que tuvo mucho más repercusión porque las fotos robadas de las cuentas del servicio iCloud de Apple pertenecían a famosas actrices, cantantes y modelos.

El anonimato de las víctimas del snappening, que es como se ha llamado a este robo de datos, demuestra que no solo un personaje famoso puede ser víctima de una grave intromisión en su privacidad. También siembra dudas sobre servicios que son percibidos por el usuario como seguros, pues Snapchat debe su éxito a una función creada para evitar que el destinatario de una imagen pueda almacenarla y difundirla: la foto o el vídeo sólo aparece en la pantalla del móvil un máximo de 10 segundos.

Los responsables de Snapchat derivaron toda la responsabilidad en los creadores de la desaparecida web snapsaved.com, que permitía realizar copias de las fotos y vídeos enviados con la aplicación de mensajería. Ciertamente Snapchat no había proporcionado ninguna herramienta para que los creadores de esa web hackeada pudiesen usar su información, pero el caso demuestra lo frágiles que son los cimientos de algunas de estas aplicaciones tan populares.

Edward Snowden desaconseja el uso de Facebook, Dropbox y las diferentes herramientas de Google

De hecho, expertos en seguridad comoAdam Caudill ya habían advertido de que era relativamente sencillo usar la tecnología de Snapchat sin el consentimiento de sus responsables. Por eso en las tiendas de software de Apple, Google y Microsoft hay numerosas aplicaciones que explotan la fragilidad del código de Snapchat para ofrecer distintos servicios. Algunas de ellas comprometen la seguridad del usuario.

¿Estamos condenados a vivir en un estado de inseguridad permanente al usar servicios de Internet? La respuesta a esta duda que algunos se plantean parece ser negativa. Al menos si hacemos caso a lo que contaba Edward Snowden en una entrevista publicada por New Yorker. En ella, este antiguo empleado de la CIA desaconsejaba el uso de Facebook, Dropbox y las diferentes herramientas de Google. También señaló que la última versión del sistema operativo móvil de Apple, iOS 8, no es inmune a las intrusiones a pesar de que ha aumentado su seguridad.


El final de las contraseñas | Tecnología | EL PAÍS

El final de las contraseñas | Tecnología | EL PAÍS.

 

Los ataques convierten en obsoletos los sistemas de seguridad en la Red. La doble autenticación y la biometría se abren camino

 

 

Emilio Martínez muestra el programa de contraseña por voz. / santi burgos

Con saqueos masivos de datos como el de Sony, el mayor ciberataque padecido por una empresa, o el que sufrió Apple hace unos meses, cuando decenas de fotos privadas de actrices de Hollywood fueron robadas y difundidas por todos los rincones de la red, hablar de Internet y seguridad se ha convertido casi en un oxímoron, una contradicción en los términos. La mayoría de los expertos considera que el actual sistema de contraseñas que rige la red ha caducado por lo incómodo que resulta para los usuarios y, como queda cada vez más claro, por su falta de fiabilidad. El futuro se encuentra en los sistemas de doble autenticación y en la biometría, campo en el que varias empresas españolas están en la vanguardia. Mientras tanto todos los expertos en seguridad dan el mismo consejo: generar contraseñas más complejas para, en la medida de lo posible, entorpecer el trabajo de los ladrones de datos.

Como ha escrito el experto en informática de The New York Times, Farhad Manjoo, “no mandes un mail, no subas una foto a la nube, no mandes un mensaje de texto, al menos si tienes cualquier esperanza de que siga siendo privado”. El problema está en que cada vez tenemos más datos y más importantes en Internet, ya sean bancarios, profesionales o personales, y cada vez están más expuestos. La página web www.databreaches.net calcula que se han producido 30.000 robos de datos en todo tipo de empresas en los últimos diez años, con una inquietante aceleración en 2013 y 2014. Javier García Villalba, profesor del Departamento de Ingeniería de Software e Inteligencia Artificial de la Universidad Complutense de Madrid, asegura: “Una contraseña por sí sola ya no ofrece suficiente seguridad. Los ataques informáticos comprometen por igual cualquier contraseña, sea buena, mala o regular”.


How you could become a victim of cybercrime in 2015 | Technology | The Guardian

How you could become a victim of cybercrime in 2015 | Technology | The Guardian.

Cybersecurity experts’ predictions for the year ahead: from ransomware and healthcare hacks to social media scams and state-sponsored cyberwar

Will 2015 be a happy new year for cybercriminals?
 Will 2015 be a happy new year for cybercriminals? Photograph: Alamy

Will 2015 be a happy new year for internet users? Not if cybercriminals have their way.

Online security companies have been making their predictions for 2015, from the malware that will be trying to weasel its way onto our computers and smartphones to the prospect of cyberwar involving state-sponsored hackers.

Here’s a summary of what you should be watching out for online in 2015, based on the predictions of companies including BitDefender, KPMGAdaptiveMobile,Trend MicroBAE SystemsWebSenseInfoSec InstituteSymantecKaspersky,Proofpoint and Sophos. The links lead to their full predictions.


Chinese Android phones contain in-built hacker 'backdoor' | Technology | The Guardian

Chinese Android phones contain in-built hacker ‘backdoor’ | Technology | The Guardian.

Coolpad
 Smartphones from Chinese manufacturer Coolpad found to have malware pre-installed. Photograph: Coolpad

Smartphones from a major Chinese manufacturer have a security flaw that was deliberately introduced and allows hackers full control of the device.

The “CoolReaper” backdoor was found in the software that powers at least 24 models made by Coolpad, which is now the world’s sixth-biggest smartphone producer according to Canalys.

The flaw allows hackers or Coolpad itself to download and install any software onto the phones without the user’s permission.

“The operator can simply uninstall or disable all security applications in user devices, install additional malware, steal information and inject content into the users device in multiple ways,” according to a report on the malware by security firm Palo Alto Networks (Pan).


Empresa busca ‘hácker’ | Tecnología | EL PAÍS

Empresa busca ‘hácker’ | Tecnología | EL PAÍS.


Algunas compañías se sirven de ‘piratas’ para que examinen sus debilidades

Jóvenes especialistas españoles hacen carrera en Estados Unidos

Asistentes a una feria informática en Londres. / C. R. (BLOOMBERG)

Enviar a LinkedIn37
Enviar a TuentiEnviar a Eskup

EnviarImprimirGuardar

“Puedes acompañarnos ahora o, si quieres, esperamos abajo hasta que vayas a comprar el pan”, le dijeron. Al salir del portal le pusieron las esposas y fue a comisaría. A. G. I. se lo olía. Era noviembre de 2012. Desde agosto, este experto en pirateo informático de 26 años que prefiere no dar su nombre, sabía que tarde o temprano recibiría esa visita.

La policía española se lo llevaba al calabozo durante algo menos de un día a comienzos de noviembre. La culpa, asegura, la tuvo su curiosidad. Vio una máquina expendedora de billetes en Atocha estropeada, se puso a investigar y descubrió que todos los archivos donde se guardaban las tarjetas de crédito de los clientes estaban accesibles en Internet, sin cifrar.

Cumple todos los requisitos para cubrir un puesto que no se publica en los listados de Linkedin, sino que se demuestra poniendo a prueba contraseñas, sistemas de seguridad, vigilancia y control. Sus formas rozan la frontera de la ley. Según Glassdoor, una web de comparación de perfiles y salarios, el salario de este tipo de háckers oscila entre 180.000 y el millón de dólares. Los expertos consultados prefieren no dar su suelto exacto, pero asegura que no se corresponde con la realidad.

“Mandé un correo a Renfe, pero nadie dijo nada”, se excusa con cara de no haber roto un plato. Profundizó en su conocimiento hasta alcanzar la hazaña que todo hácker sueña, presentar el caso en la DEFCON, la conferencia anual en Las Vegas. “Normalmente lleva más tiempo, introducirse en un sistema es sencillo de contar, pero tiene mucha reflexión y estrategia detrás”, aclara.

El salario de este tipo dehácker profesional oscila en EE UU entre 180.000 y un millón de dólares

Tras la charla comenzó su persecución, cuando su travesura comenzó a cobrar rango de hazaña. Por suerte, un acuerdo verbal y el compromiso de ayudar a solventar el fallo fueron suficiente para recobrar la libertad.

Entre el público se encontraba otro joven español, A. P., mánager senior de una empresa estadounidense, que también prefiere reservar su identidad. Allí mismo, se fijó en su compatriota. “Este tipo es peligroso, pero creo que lo podemos convertir”, pensó. Entonces habló con su jefe y su paisano entró a trabajar como penetration hacker (experto en colarse). En agosto hizo un año que comenzó la relación laboral y en octubre cumplirá el primero en San Francisco.

Esta modalidad va más allá de pantallas y teclados. Si hace falta físicamente, o con un disfraz, por todos los medios posibles en las empresas hasta conseguir una base de datos concreta, la clave del garaje o el sistema de turnos. “Me lo tomo como un reto y me pagan, muy bien, por romper cosas”, confiesa en el argot, para referirse a reventar la seguridad.

La pizza es su mejor aliada. “A todo el mundo le gustan, así que haces de repartidor y tienes el acceso casi asegurado a muchísimos lugares”, dice con expresión pícara. Nunca se ha lucrado por los ataques, es lo que se llama “sombrero blanco”, búsqueda de errores para alertar de los mismos, documentarlo y que se corrijan. Solo ataca a su compañía y a empresas integradas en esta. Una decena en los últimos dos años y varios edificios por toda la Bahía. El trabajo no termina nunca. Las comprobaciones son constantes. Cuando termina, comienza la ronda de nuevo para buscar nuevas filtraciones.

Quizá no sea el chico más popular de su empresa: “Pisas demasiados callos como para caer bien. A nadie le gusta que le digan que lo ha hecho mal, pero reflexionan y se dan cuenta de que es bueno ponerse a prueba”. A. P. dice que le parece natural que haya fallos: “La proporción es indicativa. Por cada 12 o 15 que crean algo, hay uno para ponerlo a prueba. Los humanos cometemos errores, por supuesto”. Él busca los que haya en el software. A. G. I. usa la ingeniería social, algo así como el conocimiento de los mecanismo humanos para caer en trampas. “El hombre es el eslabón más débil de la cadena. Donde hay un persona, puede haber una vulnerabilidad”, apunta.


You Can Get Hacked Just By Watching This Cat Video on YouTube – The Intercept

You Can Get Hacked Just By Watching This Cat Video on YouTube – The Intercept.

By 190

Many otherwise well-informed people think they have to do something wrong, or stupid, or insecure to get hacked—like clicking on the wrong attachments, or browsing malicious websites. People also think that the NSA and its international partners are the only ones who have turned the internet into a militarized zone. But according to research I am releasing today at the Citizen Lab at the University of Toronto’s Munk School of Global Affairs, many of these commonly held beliefs are not necessarily true. The only thing you need to do to render your computer’s secrets—your private conversations, banking information, photographs—transparent to prying eyes is watch a cute cat video on YouTube, and catch the interest of a nation-state or law enforcement agency that has $1 million or so to spare.

To understand why, you have to realize that even in today’s increasingly security-conscious internet, much of the traffic is still unencrypted. You might be surprised to learn that even popular sites that advertise their use of encryption frequently still serve some unencrypted content or advertisements. While people now recognize that unencrypted traffic can be monitored, they may not recognize that it also serves as a direct path into compromising their computers.

Companies such as Hacking Team and FinFisher sell devices called “network injection appliances.” These are racks of physical machines deployed inside internet service providers around the world, which allow for the simple exploitation of targets. In order to do this, they inject malicious content into people’s everyday internet browsing traffic. One way that Hacking Team accomplishes this is by taking advantage of unencrypted YouTube video streams to compromise users. The Hacking Team device targets a user, waits for that user to watch a YouTube clip like the one above, and intercepts that traffic and replaces it with malicious code that gives the operator total control over the target’s computer without his or her knowledge. The machine also exploits Microsoft’s login.live.com web site in the same manner.

Fortunately for their users, both Google and Microsoft were responsive when alerted that commercial tools were being used to exploit their services, and have taken steps to close the vulnerability by encrypting all targeted traffic. There are, however, many other vectors for companies like Hacking Team and FinFisher to exploit.

In today’s internet, there are few excuses for any company to serve content unencrypted. Anyunencrypted traffic can be maliciously tampered with in a manner that is invisible to the average user. The only way to solve this problem is for web providers to offer fully encrypted services.


Puertas traseras que recuerdan a la NSA en 600 millones de dispositivos iOS

Puertas traseras que recuerdan a la NSA en 600 millones de dispositivos iOS.

Ciertos servicios de iOS, sobre todo en la versión 7 del sistema, permitirían el establecimiento de puertas traseras

A pesar de que hay una similitud con herramientas de la NSA, Apple defiende que estos servicios descubiertos en iOS solo obedecen a la necesidad de realizar tareas diagnósticas

600 millones de dispositivos iOS en riesgo

Jonathan Zdziarski, hacker experto en iPhone, conocido como NeverGas en la comunidad iOS, ha descubierto indicios de puertas traseras en los dispositivos iOS. El especialista en seguridad ha buceado en las capacidades disponibles en iOS para obtener datos y ha comprobado que unos 600 millones de dispositivos podrían estar en riesgo, sobre todo los que tienen instalada la versión iOS 7.

Zdziarski ha descubierto una serie de funciones no documentadas de iOS que permiten sortear el cifrado del backup en los dispositivos con el sistema operativo móvil de Apple, lo que permitiría robar datos personales de los usuarios sin introducir sus contraseñas, siempre que se den ciertas circunstancias. El atacante tendría que estar físicamente cerca del dispositivo en el que quiere penetrar, así como estar en la misma red WiFi que la víctima, quien para ello debería tener la conexión WiFi activada.

Las vulnerabilidades se han revelado en una conferencia de hackers en Nueva York y Zdziarski ha publicado las ha publicado en un PDF. El sistema iOS ofrece la posibilidad de proteger los mensajes, documentos, cuentas de email, contraseñas varias y otra información personal mediante el backup de iTunes, que se puede asegurar con un cifrado. Pero en lugar de introducir la contraseña para desbloquear todos estos datos, existe un servicio llamado com.apple.mobile.file_relay, cuyo acceso se puede lograr remotamente o a través de cable USB y permite sortear el cifrado del backup.

Así lo cuenta Zdziarski, quien señala que entre la información que se puede obtener de este modo se encuentra la agenda de contactos, las fotografías, los archivos de audio o los datos del GPS. Además, todas las credenciales de cuentas que se hayan configurado en el dispositivo, como los emails, las redes sociales o iCloud, quedan reveladas. El hacker ha señalado que con esta y otras herramientas se puede recopilar casi la misma información que hay en un backup completo.

También se han descubierto otros dos servicios potencialmente peligrosos, destinados en principio a usos por parte de los usuarios y desarrolladores, pero que pueden convertirse en armas de espionaje. Uno de ellos es com.apple.pcapd, que permitiría a un atacante monitorizar remotamente el tráfico que entra y sale de un dispositivo conectado a una red WiFi. El otro es com.apple.mobile.house_arrest, a través del cual iTunes puede copiar archivos y documentos sensibles procedentes de aplicaciones de terceros como Twitter o Facebook.

Puertas traseras que recuerdan a la NSA

Algunos de estos descubrimientos se parecen a las herramientas de la NSA, en concreto a DROPOUTJEEP, que en los dispositivos iOS permite a la agencia de espionaje estadounidense controlar y monitorizar remotamente todas las funciones de un iPhone. Zdziarski ha admitido que empezó a investigar a raíz de un informe de Der Spiegel sobre cómo la NSA había tomado como objetivo los dispositivos iOS y los sistemas a los que estaban asociados.

Por su parte Apple se ha apresurado a decir que estas puertas traseras no tienen relación alguna con ninguna agencia gubernamental. La compañía ha indicado que solo están orientadas a labores “diagnósticas” y a permitir a los departamentos de IT de las empresas gestionar los terminales de los empleados.

 “No me creo ni por un minuto que estos servicios estén pensados solo para diagnosticar. La información que filtran es de una naturaleza extremadamente personal. No hay notificación al usuario”, ha rebatido en su blog el hacker que descubrió las vulnerabilidades.


Whatsapp, dudoso testigo de cargo | Sociedad | EL PAÍS

Whatsapp, dudoso testigo de cargo | Sociedad | EL PAÍS.

Dos ‘hackers’ españoles consiguen falsear el remitente del popular servicio de mensajería.

 

Madrid 4 JUL 2014 – 00:00 CET

 

El País TV

 

Ver trabajar a un hacker no es lo más excitante del mundo. Sobre una mesa, dos teléfonos móviles y un ordenador portátil con la pantalla negra llena de un código ilegible para el no iniciado. Jaime Sánchez y Pablo San Emeterio, dos ingenieros informáticos expertos en ciberseguridad, han conseguido quebrar el código de WhatsApp para modificar el remitente de un mensaje; para simular que alguien envió unas líneas a nuestro teléfono móvil. La suya es una magia pequeña, pero poderosa. Una grieta en un servicio de mensajería que tiene 500 millones de usuarios, un tráfico diario de 10.000 millones de mensajes, y que acaba de ser adquirida por Facebook por 19.000 millones de dólares (14.000 millones de euros). Usando una metáfora de un mundo que desaparece, lo que han logrado estos hackers buenos sería comparable a colarse en el sistema de Correos para poder recibir falsas cartas certificadas y atribuibles a una persona que nunca las escribió.

 

Tres remitentes, un mismo móvil

Los expertos en ciberseguridad Jaime Sánchez y Pablo San Emeterio en la redacción de EL PAÍS. / Paula Casado

Los expertos en ciberseguridad Jaime Sánchez y Pablo San Emeterio realizaron para EL PAÍS una prueba de la grieta que han encontrado en el servicio de mensajería WhatsApp. En una situación normal, un mensaje del teléfono A al B pasa por el servidor de WhatsApp y un sistema de cuatro contraseñas lo valida al entrar y al salir. Lo que hacen  Sánchez y San Emeterio es colocarse en medio. El mensaje pasa por los dominios de WhatsApp, pero antes de llegar al teléfono B, es interceptado. Los hackers teclean en su ordenador el nombre y el teléfono de la persona a la que quieren suplantar. Cuando el mensaje aterriza en el teléfono B, este no solo no lo rechaza, sino que no hay manera de saber que el remitente ha sido modificado. Y como WhatsApp no almacena datos en sus servidores, es imposible encontrar el remitente original. En un minuto, los hackers mandan tres mensajes desde el teléfono A que llegan al B como si hubiesen sido enviados de tres números distintos. El de verdad y otros dos, a los que, por razones narrativas, han bautizado como “jefe” y “expareja”, para insinuar el tipo de falsas amenazas que uno podría alegar haber recibido.

 

“Nuestro día a día es buscar vulnerabilidades que pueden ser explotadas por delincuentes para afectar la seguridad de personas y empresas”, dice la pareja, que lleva un par de años explorando los fallos de WhatsApp. Desde entonces han descubierto cómo espiar conversaciones, han descifrado contraseñas, fabricado mensajes malignos que consiguen que un móvil deje de funcionar… Todas estas debilidades, que han hecho públicas en distintas ponencias internacionales, han sido parcheadas por la empresa con más o menos rapidez.

 

Pero a su último descubrimiento aún no se ha puesto solución. “Modificar el remitente de un mensaje podría tener todo tipo de implicaciones, tanto cotidianas como legales, en temas de divorcios, de extorsiones…”, explican los expertos. “Por ejemplo, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera hemos tenido acceso físico”. Basta con saber su número. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.

 

El portal de descargas Softonic.com (125 millones de usuarios únicos al mes) publicó el trabajo de Sánchez y San Emeterio en marzo y consiguió arrancar una reacción al esquivo Jan Koum, fundador de WhatsApp. Koum contestó entonces que los españoles no habían comprometido la seguridad de sus servidores ya que el mensaje se modificaba al llegar al teléfono receptor. Un portavoz de la compañía ha manifestado a EL PAÍS que “la seguridad es prioritaria para WhatsApp”.


Cae una red de fraude cibernético infiltrada en ordenadores de 12 países | Internacional | EL PAÍS

Cae una red de fraude cibernético infiltrada en ordenadores de 12 países | Internacional | EL PAÍS.


El departamento de Justicia de EE UU anunció este lunes la operación. / REUTERS

Enviar a LinkedIn5
Enviar a TuentiEnviar a MenéameEnviar a Eskup

EnviarImprimirGuardar

Una investigación internacional liderada por el FBI ha permitido desmantelar una red de fraude cibernético en 12 países que había robado más de 100 millones de dólares. Las autoridades estadounidenses anunciaron este lunes que se trata del “más sofisticado¨ sistema de infiltración remota de piratas informáticos que el FBI ha desarticulado e identificaron a un ciudadano ruso como el líder de la trama.

Tras esta operación, Evgeniy Bogachev, de 30 años, fue incorporado a la lista del FBI de cibercriminales más buscados. Dado que Rusia no extradita a otros países a sus ciudadanos acusados, es posible que Bogachev nunca llegue a ser detenido. Y con la tensión actual entre Washington y Moscú, a raíz de la crisis ucrania, parece muy improbable cualquier gesto conciliador de Rusia. Consciente de estas limitaciones, el anuncio de su identidad responde a la nueva estrategia de Washington de revelar abiertamente a sus piratas informáticos más buscados, como ya hizo hace dos semanas al acusar a cinco militares chinos de ciberespionaje industrial.

La red conocida como Gameover Zeus logró infectar a entre medio millón y un millón de ordenadores en distintas partes del mundo mediante dos programas con los que robaban credenciales bancarias para posteriormente “vaciar las cuentas” de sus usuarios, y después chantajear a sus propietarios para que pagaran una fianza a cambio de devolverles los datos sustraídos.

El sistema era de tal sofisticación que permitía a los hackers “infiltrarse, espiar e incluso controlar” los ordenadores infectados “desde cualquier lugar”, según la investigación del FBI. “Implementaron el tipo de cibercrímenes que no te creerías si los vieras en una película de ciencia ficción”, dijo el vicefiscal general, Leslie Caldwell, en una rueda de prensa en la sede del departamento de Justicia en Washington.


Antivirus software is dead, says security expert at Symantec | Technology | theguardian.com

Antivirus software is dead, says security expert at Symantec | Technology | theguardian.com.

Information chief at Norton developer says software in general misses 55% of attacks and its future lies in responding to hacks

Blue creepy-crawly bug crawls over green electronic circuit
Hackers are said increasingly to use novel methods and bugs in the software of computers to perform attacks. Photograph: Dale O’Dell/Alamy

Antivirus software only catches 45% of malware attacks and is “dead”, according to a senior manager at Symantec.

Remarks by Brian Dye, senior vice-president for information security at the company, which invented commercial antivirus software in the 1980s and now develops and sells Norton Antivirus, suggest that such software leaves users vulnerable.

Dye told the Wall Street Journal that hackers increasingly use novel methods and bugs in the software of computers to perform attacks, resulting in about 55% cyberattacks going unnoticed by commercial antivirus software.

Malware has become increasingly complex in a post-Stuxnet world. Computer viruses range from relatively simple criminal attacks, where credit card information is targeted, to espionage programs that spy on users and data but can easily be upgraded into cyberweapons at the touch of a button, according to security expert Eugene Kaspersky, founder of Kaspersky Lab, which also sells antivirus software.


Una grieta en la seguridad de la Red | Tecnología | EL PAÍS

Una grieta en la seguridad de la Red | Tecnología | EL PAÍS.

 

OpenSSL se crea de manera desinteresada por la comunidad informática. / KACPER PEMPEL (REUTERS / Cordon Press)

 

Un error en uno de los principales programas de conexión segura utilizado en Internet ha tenido potencialmente expuestos a millones de usuarios desde hace dos años. El lunes, Google difundió un punto débil en el sistema de cifrado que utiliza para sus conexiones seguras, llamado OpenSSL, que también ha afectado a gigantes como Yahoo y Amazon. Esta grieta, existente desde 2011 y descubierta en diciembre de 2013 por un técnico de Google, podría haber permitido a hackers robar contraseñas de los usuarios.

 

El problema afecta a las conexiones seguras, las que comienzan con “https” y aparecen en la barra de direcciones cuando el usuario introduce datos delicados, habitualmente contraseñas. El fallo ha sido bautizado en inglés como Heartbleed, o “corazón sangrante”, porque afecta a un tipo de intercambio de información en web, el Heartbeat (latido de corazón).

 

El agujero de seguridad está en el código fuente (los bloques de construcción que componen un programa informático) de las versiones 1.0.1 a 1.0.1f de OpenSSL. Ya existe una nueva versión lista para descargar que subsana el fallo: la 1.0.1g. Los internautas de las páginas que utilizan este código habrían sido potencialmente vulnerables desde 2011. Y si alguien hubiera accedido a información confidencial, no habría dejado rastro. Pero los expertos llaman a la calma porque no hay razones para suponer que la seguridad haya sido violada desde entonces.

 

Open SSL es un sistema de seguridad utilizado por algunas de las principales web que existen, y “entre el 50% y el 70%” de servidores según Igor Unanue, técnico de la empresa de seguridad S21SEC. Ricardo Galli, fundador de Menéame, rebaja los servidores afectados a unos 500.000. Es gratuito y funciona como una herramienta que las web utilizan para cifrar la información que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.

 

Open SSL es un programa de código abierto. Es decir, supuestamente cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artículos de Wikipedia.

 

Lo usan desde Yahoo, Google, Facebook o Amazon, a la plataforma de juegos Steam, pasando por el software de conexión segura Tor. Potencialmente podría haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en páginas de pago, o que utilizan el e-mail o los mensajes instantáneos.


“Heartbleed”: La grave falla que amenaza la seguridad de los usuarios en Internet – BioBioChile

“Heartbleed”: La grave falla que amenaza la seguridad de los usuarios en Internet – BioBioChile.


Heartbleed.com

Heartbleed.com

Publicado por Gabriela Ulloa
Esta semana se dio a conocer un preocupante problema de seguridad web que afecta a dos tercios de Internet: se trata de un error (bug) llamado “Heartbleed”, el cual permite a cualquier cibercriminal con acceso a la red robar datos protegidos en un servidor.

Precisamente corresponde a una falla en OpenSSL, un software de encriptación de código abierto usado por cerca del 66% de los servidores existentes en Internet, y que podría poner en riesgo los datos sensibles de los usuarios como contraseñas, datos de tarjetas de créditos y correos electrónicos, entre otros.

Uno de los aspectos más críticos es que dicha tecnología está detrás de múltiples sitios HTTPS que recogen información personal o financiera, los cuales se identifican con el ícono de un pequeño candado ubicado en la barra de direcciones y que avisa a los cibernautas que sus datos están a salvo de los espías web.

Al respecto, se precisó que actualmente los cibercriminales pueden explotar el bug para acceder a los datos personales de los usuarios y a las contraseñas criptográficas de los sitios, con el fin de crear imitaciones de las páginas para engañar a quienes navegan.


Heartbleed: don't rush to update passwords, security experts warn | Technology | theguardian.com

Heartbleed: don’t rush to update passwords, security experts warn | Technology | theguardian.com.

The severity of the Heartbleed bug means that rushing to change passwords could backfire

 

 

The Heartbleed logo.
The Heartbleed logo. Photograph: Codenomicon

 

Internet security researchers say people should not rush to change their passwords after the discovery of a widespread “catastrophic” software flaw that could expose website user details to hackers.

The flaw, dubbed “Heartbleed”, could reveal anything which is currently being processed by a web server – including usernames, passwords and cryptographic keys being used inside the site. Those at risk include Deutsche Bank, Yahoo and its subsidiary sites Flickr and Tumblr, photo-sharing site Imgur, and the FBI.

About half a million sites worldwide are reckoned to be insecure. “Catastrophic is the right word,” commented Bruce Schneier, an independent security expert. “On the scale of 1 to 10, this is an 11.”

But suggestions by Yahoo and the BBC that people should change their passwords at once – the typical reaction to a security breach – could make the problem worse if the web server hasn’t been updated to fix the flaw, says Mark Schloesser, a security researcher with Rapid7, based in Atlanta, Georgia.

Doing so “could even increase the chance of somebody getting the new password through the vulnerability,” Schloesser said, because logging in to an insecure server to change a password could reveal both the old and new passwords to an attacker.


'Heartbleed': for hundreds of thousands of servers at risk around the world from catastrophic bug | Technology | theguardian.com

‘Heartbleed’: for hundreds of thousands of servers at risk around the world from catastrophic bug | Technology | theguardian.com.

Code error means that websites can leak user details including passwords through ‘heartbeat’ function used to secure connections

 

 

The Heartbleed logo
The Heartbleed logo. Photograph: /Codenomicon

 

Hundreds of thousands of web and email servers worldwide have a software flaw that lets attackers steal the cryptographic keys used to secure online commerce and web connections, experts say.

They could also leak personal information to hackers when people carry out searches or log into email.

The bug, called “Heartbleed”, affects web servers running a package called OpenSSL.

Among the systems confirmed to be affected are Imgur, OKCupid, Eventbrite, and the FBI’s website, all of which run affected versions of OpenSSL. Attacks using the vulnerability are already in the wild: one lets a hacker look at the cookies of the last person to visit an affected server, revealing personal information. Connections to Google are not vulnerable, researchers say.

SSL is the most common technology used to secure websites. Web servers that use it securely send an encryption key to the visitor; that is then used to protect all other information coming to and from the server.

It is crucial in protecting services like online shopping or banking from eavesdropping, as it renders users immune to so-called man in the middle attacks, where a third party intercepts both streams of traffic and uses them to discover confidential information.