Category Archive Hacking

PorjLeonett

Conozca a los hackers de sombrero blanco que te mantienen a salvo del Gran Hermano

Era mayo de 2012 en una conferencia de seguridad en Calgary, Alberta, cuando el profesor Ron Deibert oyó un ex alto funcionario sugieren que debería ser procesado.

Esto no fue demasiado sorprendente. En el mundo de Deibert, este tipo de cosas de vez en cuando consiguen susurraron a través de la vid, siempre de segunda mano. Pero esta vez él estaba sentado en un panel con John Adams, el ex jefe de la Seguridad de las Comunicaciones Establecimiento Canada (ESCI), poco conocido aliado en el norte de la Agencia de Seguridad Nacional. Después, él recuerda, el ex jefe de inteligencia se acercó y casualmente comentó que había gente en el gobierno que querían Deibert arrestado – y que él era uno de ellos.

Adams se refería a Citizen Lab, el grupo de vigilancia Deibert fundada hace más de una década en la Universidad de Toronto, que ahora está orbitado por una red globo-que atraviesa de piratas informáticos, abogados y defensores de los derechos humanos. De la exposición de la red de espionaje que hackeó el Dalai Lama a descubrir el spyware comercial que se vende a los regímenes represivos, Citizen Lab ha desempeñado un papel pionero en peinar el Internet para iluminar paisajes encubiertas de vigilancia y censura global. Al mismo tiempo, también ha tomado el papel de un embajador, que conecta las distintas partes interesadas de Internet de los gobiernos a los ingenieros de seguridad y los activistas de derechos civiles.

“Cuando se trata de Citizen Lab, lo que tenemos es la gente metódica, cuidadosa, pero apasionados”, dice Gus Hosein, el director de la organización Privacy International con sede en Reino Unido y un viejo conocido de Deibert de. “Eso es lo que deseo a todas las instituciones de investigación académica era, pero está claro que se me ha permitido un grado de libertad que no se dan los demás en el mundo académico.”

Citizen Lab primero hizo olas en 2009 con “Tracking GhostNet”, un informe en el que expone una vasta red de espionaje electrónico que se habían comprometido más de 1.200 ordenadores en 103 países, atrapando a los activistas tibetanos, embajadas, medios de comunicación, y muchos otros. Pero fue la audacia de la investigación – que involucró a obtener el control de un servidor de malware no garantizada frente a la costa de China – que pareció tomar por sorpresa al gobierno. Mientras Citizen Lab sólo escanea, sistemas de orientación al público sin garantía, y las que aparentemente pensaron lo que estaban haciendo era ilegal.

“Es un poco extraño escuchar eso”, dijo Deibert al recordar el encuentro de Calgary en una entrevista con Ars. “Cuando la gente pregunta, ‘¿estás preocupado por los chinos o algún otro adversario por ahí-digo yo siempre estoy un poco más preocupado por mi propio gobierno, porque este es el tipo de cosas que escucho de vez en cuando.”

Un año después de que Edward Snowden, tales sentimientos son comunes – no sólo en la multitud de seguridad informática. En marzo, la organización Reporteros sin Fronteras la NSA y su homólogo británico GCHQ como “Enemigos de Internet” en su informe anual sobre la vigilancia y la censura. El Departamento de Justicia de EE.UU. respondió con una actualización de su propia lista de “Cyber ​​Most Wanted”, acusando a cinco piratas informáticos militares chinos que las reclamaciones han estado realizando espionaje económico en objetivos estadounidenses – incluso mientras continúan las fugas para mostrar los EE.UU. se dedica a las mismas actividades.

Mientras tanto, las herramientas de hacking comerciales y sistemas de intrusión escala masiva, como la TURBINA de la NSA y QUANTUM ilustran, además, que la Internet se ha convertido en lo que personas como Deibert siempre temían: una zona militarizada, donde las redes enteras están trenzados en armas de poder del Estado. “Tenemos estos enormes agencias que son reliquias de la Guerra Fría cuyos presupuestos se han disparado después del 9/11 que operan en total secreto, y al mismo tiempo que estamos pasando, probablemente, la revolución más profunda de las comunicaciones en la historia humana”, dice Deibert.

Sin embargo, Citizen Lab se ha ganado su reputación en parte mediante préstamos del libro de jugadas de los organismos de inteligencia. El resultado es lo Deibert describe como un “invernadero hacker,” donde la experiencia en seguridad, la política y la ética chocan.

Deibert durante una charla de 2014 re: publica

re: publica / Flickr CC BY 2.0

Curioso para el pueblo
Comenzando en el sótano de la Escuela Munk de Asuntos Globales, con un puñado de estudiantes en la primavera de 2001, Citizen Lab de Deibert ahora opera desde una oficina del tercer piso en Bloor Street, en el extremo noroeste del campus de la Universidad de Toronto. Pero al igual que las agencias de sus miembros a menudo critican, Citizen Lab cuenta con colaboradores que operan en todas partes, el suministro de información sobre cómo se ejerce el poder del Estado en el ciberespacio.

Deibert no le importa la comparación. De hecho, gran parte de su inspiración para el Laboratorio de vino de trabajar dentro del Departamento de Asuntos Exteriores de Canadá a mediados de los años 90, donde estudió el uso de satélites de reconocimiento para la verificación del control de armas. El grupo de trabajo fue parte de conceptualizado una especie de “sistema de Vigilancia de la Tierra” para hacer cumplir la prohibición de las pruebas nucleares – un sistema mundial de satélites, cercas submarinos y estaciones sísmicas diseñadas para albergar a naciones enteras a la cuenta.

Fue aquí que Deibert se asomó al oscuro reino de la inteligencia y la geopolítica mundial y vio una batalla que se libra en silencio detrás de las escenas. “Hay todo este mundo de la política en una gran potencia, una lucha para competir por la ventaja política de profundidad bajo la superficie”, dice. “Estaba atónito de que esta zona era tan importante para la política mundial, pero tan poco estudiada.”

Deibert trajo esa experiencia para cuando recibió una beca de la Fundación Ford en 2001 Quería Citizen Lab de ser como una agencia de inteligencia para la sociedad civil -. Una especie de sucedáneo de la NSA para las personas que utilizan herramientas de código abierto y la inteligencia de ver los vigilantes sin grietas contraseñas o irrumpir en los sistemas. Quería convertir el mundo fantasma en su cabeza, la contratación de hackers, abogados y expertos en políticas que podrían operar en la luz del día de la academia y, sobre todo, con el apoyo institucional.

Estos días Deibert es más juicioso con la metáfora agencia de inteligencia, preocupado porque podría poner en peligro la vida de los colaboradores en los lugares donde el trabajo del laboratorio pueda ser malentendido como una forma de espionaje estatal. Uno de estos socios, el grupo de derechos digitales paquistaní Bytes For All, es habitualmente objeto de amenazas e intimidación por parte de las agencias estatales y los grupos radicales, dice. Muchos otros se basan en los países donde la investigación de seguridad puede dar lugar a la intimidación, la prisión o algo peor. (Un portavoz de Citizen Lab no respondió cuando se le preguntó cuántos empleados y colaboradores del grupo tiene.)

Obviamente, Citizen Lab no tiene los recursos masivos técnicas, el secreto y las autoridades judiciales, a menudo cuestionables de la NSA o la ESCI. Pero Deibert es sin embargo lo suficientemente preocupado para bajar el tono de la retórica y describir el laboratorio en términos de su misión académica.

Aún así, cuando se trata de lo que es un “servicio de inteligencia de la gente” podría ser similar, es difícil encontrar una plantilla mejor que el creado por Citizen Lab. Y su espíritu hacker está reflejado en aquellos a los que llama a sus aliados.

 “Cuando se piensa en la piratería como una ética cívica – la idea de levantar la tapa y ver lo que hay debajo de la superficie – todo esto viene juntos”, dice Deibert. “La idea de la piratería y el hacktivismo me parecía una forma muy potente de motivar a la gente, no la piratería y la infracción de la ley, pero la piratería como el espíritu de la curiosidad acerca de los sistemas tecnológicos.”
Traduccion Google. Fuente: wired.co.uk
PorjLeonett

Herramienta de hacking para medidores de electricidad inteligentes

La aplicación de código libre, permite a cualquier persona con un poco de conocimiento conectarse a los medidores de electricidad digitales o medidores inteligentes que están siendo instalados en los hogares por las compañías de electricidad.

Este  framework escrito en Python que proporciona una plataforma para la prueba de la seguridad de los Smart Meters. Implementa los protocolos C12.18 y C12.19 y se comunica se conecta a los medidores inteligentes a través de un puerto infrarrojo que traen los medidores (conexión ANSI Type-2), y aunque inicialmente permite tener un acceso limitado a la data del medidor, el usuario pudiera llegar a adquirir privilegios de administrador, lo que le permitiría manejar el medidor a su antojo.

Los medidores de electricidad inteligentes permiten a las compañías, entro otras cosas revisar el consumo eléctrico remotamente, sin necesidad de enviar inspectores para que lean los registros.

El Software  potencialmente podría usarse para modificar el software del medidor, y reducir las tarifas que los usuarios pagan por la electricidad, o simplemente ordenarle al medidor que reporte menos consumo de energía a la compañía matriz.

Los creadores del programa dijeron que liberaron el software con la idea de demostrar las vulnerabilidades de los medidores, aunque admitieron que el programa podría ser abusado por cualquier persona para beneficio propio.

Fuente: Tecnomundo

PorjLeonett

Hacker Etico controla todas las habitaciones de un lujoso hotel chino automatizado

Jesus Molina, un experto en seguridad de California, dice haber ‘hackeado’ todas las habitaciones automatizadas del lujoso hotel de alta tecnología (hi-tech) St. Regis de la ciudad china de Shenzhen, informa el diario ‘South China Morning Post’. El hotel de 5 estrellas proporciona a sus huéspedes un iPad por el medio de cual pueden controlar la mayoría de funciones en sus cuartos, como la luz, termostato y televisión.

Molina estaba alojado en el St Regis Shenzhen, que ofrece a sus huéspedes un iPad y aplicaciones digitales aplicación tipo “mayordomo” para controlar las características de la habitación, incluyendo el termostato, las luces y la televisión.

Después de algunas investigaciones, y tres cambios de habitación, descubrió que las direcciones de red de cada sala y los dispositivos dentro de ellas eran secuenciales, lo que le permitió escribir un script para controlar cada uno de más de 250 habitaciones del hotel.

“Los hoteles son particularmente malos en lo que respecta a la seguridad”, dijo Molina. “El problema es la arquitectura de seguridad. En los hoteles y aeropuertos o en cualquier otro espacio con mucha gente es mucho más difícil”.

Molina dijo que el sistema de automatización KNX (un estándar mundial de domótica e inmótica) utilizado en el hotel también era inseguro. Molina explicó que se podría dejar al hotel en la oscuridad o cambiar cada televisor al mismo canal. Para dar un ejemplo disparó las luces de “no molestar” en todas las habitaciones.

Molina informó del problema a la dirección del hotel y se deshabilitó toda la red mientras buscaban una solución de automatización más segura. Molina dijo que la atención recibida, daría lugar a que más hoteles mejoren sus sistemas de seguridad.

Joost Demarest, un portavoz de la Asociación KNX, dijo que la versión más reciente de la norma utiliza autenticación y cifrado y que además “es esencial que las redes Wi-Fi utilizadas por los invitados y el sistema de automatización sea diferente”.

Molina presentará sus conclusiones en la conferencia de seguridad Black Hat, la próxima semana en ​​Las Vegas.

Fuente: SCMP

PorjLeonett

Sony indemnizará a los denunciantes por el hackeo de PSN

Sony ha alcanzado un acuerdo preliminar con los usuarios que interpusieron una demanda colectiva en Estados Unidos por el hackeo de PSN.

Si recuerdas, los ataques a la red PlayStation Network fue la noticia del momento en materia de seguridad en la primavera de 2011. Al menos 77 millones de usuarios de la red de juegos on-line (y de otros servicios de Sony)vieron comprometidos datos personales y financieros incluyendo sus tarjetas de crédito. 

La amenaza fue tal que Sony desconectó el servicio durante semanas en una de las mayores vulnerabilidades de seguridad que se recuerdan. Un ataque del grupo Anonymous que -dicen- en represalia por “la persecución judicial a hackers de PlayStation 3, como GeoHot y Graf_Chokolo” que desmantelaron la seguridad de la PS3 aprovechando vulnerabilidades de seguridad de la consola de juegos.

Algunos usuarios y organizaciones consideraron que esta intrusión masiva fue consecuencia de la negligencia de Sony por no asegurar el servicio y por ello interpusieron diferentes demandas que posteriormente se convirtió en colectiva.

El pasado año, los reguladores de Reino Unido multaron a Sony por este caso, ante “una violación grave de la Ley de Protección de datos que se podría haber evitado”.

Una vez recuperado del caso y con fuertes ventas de la PS4 como punta de lanza de su plataforma de juegos, Sony no ha querido arriesgarse a una condena y ha acordado el pago de un montante de 15 millones de dólares, mediante la descarga gratuita de juegos de PS3 o PSP, temas de Ps3 o suscripción a PlayStation Plus. El usuario que pueda demostrar un robo de identidad como consecuencia de los ataques recibirá 2.500 dólares.

El acuerdo sólo es de aplicación a los 65 usuarios u organizaciones estadounidenses de la demanda colectiva y debe ser aprobado por el juez que lleva el caso.

Fuente: Muy Seguridad