En el marco de la gran conferencia de hackers Black Hat, que esta semana se realiza en Las Vegas, Estados Unidos, el hacker “Cody” William Brocius, de 24 años de edad, ha demostrado la forma de abrir las puertas de habitaciones de hotel que utilizan cerraduras electrónicas de la empresa Onity, lider mundial en su rubro.

La publicación financiera Forbes llevó a Brocius a un hotel en Nueva York, con el fin de que pudiera demostrar en la práctica el sistema que describió ante la audiencia de Black Hat.

Sólo uno de tres intentos fue exitoso

En el hotel, el hacker sólo logró abrir una de tres cerraduras, lo que implica un cierto revés en comparación con el “nivel de éxito” del que se jactó ante los asistentes a Black Hat.
A pesar de ello, es un hecho que el método funciona, y que las cerraduras instaladas por Onity en cientos de miles de puertas de hoteles en todo el mundo son potencialmente vulnerables a intrusos que cuenten con los conocimientos técnicos necesarios.
Las cerraduras de Onity llevan instalado un pequeño agujero para suministro externo de electricidad, que serían la vulnerabilidad en sí.

“Es como dejar la llave bajo el felpudo”

Según Brocius, las cerraduras de Onity almacenan una copia del código magnético, el que queda disponible mediante el edificio de suministro eléctrico, para quienes tengan el equipo de lectura necesario. Brocius compara el sistema de Onity con ” dejar la llave bajo el felpudo”.
La razón de que Brocius sólo lograra abrir una de tres puertas en el hotel neoyorkino es, según él mismo, un problema de coordinación. Según explicó, es preciso encontrar una ventana de tiempo de pocos segundos de duración para poder vulnerar el cerrojo y abrir la puerta. Si falla la precisión, es imposible hacerlo.
Según el hacker, las cerraduras también pueden ser abiertas cuando se agota su batería interna. La ganzúa electrónica utilizada por Brocius proporciona electricidad a la cerradura a la vez que lee el código magnético y lo envía al intruso.

Investigadores de GFI Labs han descubierto una nueva variante del troyano OpFake que se introduce en los terminales Android para envío de mensajes premium de pago y recopilación de datos.

Esta versión se disfraza del navegador web móvil Opera Mini, un desarrollo de los más utilizados para la navegación en Android.

Al hacer clic en el enlace malicioso situado en sitios alternativos de aplicaciones o enviados mediante spam, comienza la rutina de instalación para el malware con la descarga de un paquete llamado “opera_mini_65.apk”.

Una vez en el dispositivo, el troyano redirige al usuario a una página de descarga legítima de Opera Mini, por lo que la instalación del malware parece más auténtico. Si los usuarios deciden instalar el navegador el Opera Mini oficial se mostrará en el terminal.

Da igual, el malware ya está funcionando en segundo plano conectado a un servidor de comando y control, enviando mensajes premium de pago y recopilando datos del smartphone.ç

Aquí está una lista de las tareas de este malware lo hace en los teléfonos inteligentes comprometidas:

• Envía un (1) mensaje SMS a un número de tarifa superior antes de instalar el Opera Mini legítimo. Un comando y control  del servidor controla el mensaje enviado y el número donde se envía.
• Además, se conecta al servidor C & C para recuperar datos
• Se lee la siguiente información almacenada:
  • La ubicación del país
  • Nombre del operador
  • Versión del sistema operativo
  • Tipo de teléfono
  • ID de dispositivo

Los usuarios de smartphones se le aconseja visitar sólo los sitios legítimos en la búsqueda de los navegadores web para descargar.

Google Chrome llegó a los 310 millones de usuarios. Es un hecho que nos complació dar a conocer en la pasada conferencia Google I/O para desarrolladores y que medios tan importantes como Time reportaron. La cifra no es un simple número para nosotros: representa la preferencia de millones de usuarios que buscan navegar por Internet de manera segura y práctica.

Una de las razones por las cuales incluso, como han reportado diferentes medios, en Perú, Chrome resulta el navegador preferido, son las miles de utilidades que se pueden encontrar en la Web Store (entre aplicaciones y extensiones). Estas son 10 aplicaciones que le facilitarán muchas sus tareas diarias y lo llevarán a vivir experiencias mucho más productivas y divertidas conectado a Internet.

1. Cube Anywhere: pensada para empresas pero que puede usar cualquier persona, la aplicación permite llevar un seguimiento de sus gastos y tiempo para controlar el verdadero costo de cada proyecto, y está integrada a múltiples servicios de Google como Drive, Calendar y Talk.

2. NPR para Chrome: National Public Radio es uno de los servicios más populares de noticias, pues no sólo puede informar sobre temas de actualidad sino que también incluye temas como arte, cultura y música y puede tenerlo a la mano en su navegador.

3. Evernote Web: esta es la forma de tener toda la información que necesite, organizada y a la mano. Ideas, eventos, lista de teléfono, cualquier buena idea puede ir a esta aplicación y después acceder a ella en cualquier lugar que necesite.

4. Quick Note: esta aplicación está diseñada para ser una forma ligera de tomar notas y tener acceso a ellas con un solo clic. Además todas las notas se sincronizan en la nube para que tenga acceso a ellas desde cualquier lugar.

5. Pyskopaint: si quiere darle un toque especial a sus fotos esta aplicación permite hacer de ellas pinturas a partir de efectos tipo lienzo. Fácil de usar tiene diferentes efectos de brochas, capas y el resultado puede ir directo al computador o compartirlo con otros.

6. Persona/: tener varias ventanas y aplicaciones abiertas para ver lo que sucede en las diferentes redes sociales puede ser tedioso. Esta aplicación presenta en un solo lugar todo lo que está pasando de manera elegante y fluida.

7. Angry Birds. El divertido juego de Rovio va más allá de los dispositivos móviles y llega a los portátiles y computadores de escritorio. Para ver a los cerdos y pájaros en la lucha sin fin y divertirse un rato, solo hay que instalar la aplicación más popular de todo el Web Store.

8. Biodigital Human. Conocer el cuerpo humano es uno de los aspectos de la biología que los niños deben aprender, por eso en el área de la educación esta aplicación permite conocer casi al detalle médico aspectos tan importantes como los músculos y la circulación en 3D.

9. ¿Qué cocino hoy?: se trata de un buscador de recetas que se maneja de manera sencilla y amena. Brinda acceso a cualquier portal de cocina y gastronomía existente en Internet es capaz de convertir esta inaplazable labor diaria en algo fácil, rápido y divertido.

10. El Padrino, las cinco familias: si es amante de esta saga de películas y además le gustan los juegos, podrá participar en la Nueva York de los años 30 de la prohibición, y al ser multijugador podrá compartirlo con sus amigos para que todos puedan participar en la historia.

Los administradores del servicio del almacenamiento en la nube, Dropbox, investigan una posible brecha de seguridad luego de que cientos de usuarios se quejaran por la recepción de spam en su correo electrónico.

De acuerdo con The New York Times, los rumores comenzaron desde el lunes pasado cuando en distintos foros en línea internautas reportaron haber recibido correos no deseados en la bandeja de entrada del mail destinado para utilizar Dropbox.

“He recibido spam en la cuenta que utilicé para abrir el servicio, sólo Dropbox sabía de la existencia de esta dirección”, se inconformó una usuaria en el foro de ayuda del servicio de almacenamiento.

Frente a la amenaza, los responsables del sitio aseguraron no haber registrado algún robo de cuenta, ni acceso ilegal a sus sistemas. Sin embargo, Dropbox reveló que contrató un grupo de expertos para detectar cualquier anomalía y evitar la pérdida de información.

“Aunque no hemos tenido reportes de actividad no autorizada en cuentas de Dropbox, hemos tomado varios pasos de precaución y continuamos trabajando contra el reloj para asegurarnos de que tu información está segura”, agrega el post.

La posible brecha en los sistemas de la compañía recuerda las fallas que el servicio tuvo hace aproximadamente un año, cuando sus sistemas de autenticación dejaron de funcionar por un periodo de cuatro horas.

En la actualidad, Dropbox es uno de los sistemas de almacenamiento en la nube líderes del mercado con casi 50 millones de usuarios y más de 1,000 millones de documentos guardados.

Todo preparado para la celebración en septiembre de la conferencia mundial de seguridad profesional EUSecWest 2012 que se celebrará en Amsterdam y que continúa el CanSecWest canadiense celebrado en marzo.

La primera conferencia presentada ha sido el Mobile Pwn2Own, muestra del enfoque móvil que está tomando la informática/tecnología actual y la necesidad de aumentar la seguridad en el sector ante la llegada de múltiples amenazas.

Una conferencia donde destaca el desafío hacker patrocinado por TippingPoint ZDI, AT&T y RIM, y que pretende mostrar la situación actual de la seguridad en las tecnologías móviles más comunes, incluyendo ataques a navegadores web para móviles, Near Field Communication (NFC), SMS y a la banda base.

Los premios han aumentado hasta 200.000 dólares y para que el ataque se considere exitoso debe utilizar una vulnerabilidad zero-day, comprometer archivos y datos personales del terminal, capacidad para llamadas externas premium o escucha de conversaciones.

Se implementará una caja especial RF para facilitar los hacks sin romper las leyes locales y como en el resto de desafíos Pwn2Own, los participantes tendrán que informar a los fabricantes de las vulnerabilidades encontradassin divulgación pública.

Los terminales usados tendrán que estar actualizados con la última versión del software / firmware disponible y entre los modelos disponibles se incluyen la BlackBerry Bold 9930, Samsung Galaxy SIII, Nokia Lumia 900 o el Apple iPhone 4S.

Si un día entramos en la oficina y vemos una regleta de este tipo debajo de la mesa posiblemente no nos extrañaría. Sin embargo si nos fijamos un poco más habría algo que nos llamaría la atención, además del hecho de que utiliza enchufe tipo americano, ¿para qué necesita otros puertos adicionales en el lateral?.

Esta regleta, en apariencia convencional, esconde una serie de transmisores 3G, Bluetooth y WiFi que permiten de forma remota hacer diferentes pruebas de seguridad para comprobar si una red es segura y detectar ciertas vulnerabilidades aplicando una serie de pruebas de resistencia y exploits de todo tipo.

Por lo que cuentan sus creadores, ha sido un proyecto financiado por la agencia DARPA, este Power Pwn es fácil de usar y sólo hace falta enchufarlo para empezar a utilizarlo. Además, se puede utilizar y configurar a través del teléfono móvil enviando mensajes de texto al terminal en cuestión.

De hecho, incluso se puede configurar para utilizar comandos de voz de Siri, aunque esto lo cierto es que esto último no deja de ser algo más que anecdótico. Se entiende que esta regleta se ha diseñado para hacer pruebas de seguridad en redes domésticas o intranets, no para espiar a los usuarios y sacar información de los equipos.

De momento la herramienta en cuestión no está a la venta aunque podemos reservarla y adquirirla a un precio final de 1.300 dólares (unos 1.070 euros al cambio). Las primeras unidades se empezarán a distribuir a partir del 30 de septiembre. Una idea bastante interesante, aunque no creemos que llegue más lejos de Estados Unidos, por aquello de la compatibilidad con el tipo de enchufe.

La compañía lanzó la versión beta de su navegador Firefox para dispositivos móviles de Apple, el cual forma paradojal sólo podrá ser probado por los desarrolladores en OS X, Windows y Linux.

Sin embargo, si un kit de desarrollo completo, los creadores de programas y aplicaciones no conseguirán llegar muy lejos en cuanto a la fabricación de plataformas para el servicio operativo, cuyo nombre código es boot2gecko.

Los planes de Mozilla es que el sistema esté disponible dentro de un año, en tanto que continuará lanzando versiones compiladas para su mejora.

A aquellos desarrolladores que ya han trabajado con Firefox como navegador web antes les será más fácil saltar a el sistema operativo Firefox, ya que trabaja con tecnologías web estándares como HTML5 y CSS.

Se espera que el aspecto de la interfaz de usuario pueda cambiar de manera significativa antes de que sea puesto en libertad en forma definitiva.

Para conocer el beta de Firefox OS, haz CLICK AQUI.

Kim Dotcom ha iniciado en la red una campaña para demostrar que no es el vil pirata que las autoridades estadounidenses (manipuladas por Hollywood según él) señalan. En las últimas semanas se ha hecho fuerte en las redes sociales, empleando Twitter como plataforma para demostrar que es en primer lugar humano y en segundo lugar una persona normal y corriente, no el lujoso excéntrico millonario que todos pensábamos. El último paso en este esfuerzo es musical: Dotcom acaba de presentar una de las canciones de su próximo disco.

Se titula Mr. President y está dedicada al presidente de Estados Unidos, Barack Obama. Como género musical se mueve entre la canción protesta y la tonadilla discotequera y su mensaje es bastante claro. Un Dotcom vestido de comandante militar y con aires de protagonista de una película futurista lo deja claro: “el Gobierno está acabando con la innovación”. Él bien lo sabe.

La canción alterna imágenes del propio Dotcom con otras de políticos estadounidenses, un Obama convertido en marioneta y aquellas que reflejan las manifestaciones en todo el mundo en contra de ACTA y otras leyes de control de la red. El videoclip culmina con la foto de Dotcom y sus tres socios en el tribunal mientras el fundador de Megaupload asegura que esto “empieza contigo y conmigo” y “vamos a hacer historia”.

Kim Dotcom, fundador de Megaupload, emitió un comunicado dirigido a la meca del cine para aclarar su situación. También solicitó a la justicia norteamericana que se le retiren los cargos por los que se le acusa y se le quiere extraditar.

El fundador de Megaupload, Kim Dotcom, en libertad condicional en Nueva Zelanda, anunció hoy que ha solicitado ante la Justicia estadounidense que desestime los cargos de piratería informática presentados contra su portal de descargas.

Dotcom publicó en su cuenta de Twitter un comunicado de su abogado en EEUU, Ira Rothken, en el que informa de la presentación de esta petición y critica a las autoridades del país por la falta de apoyo jurídico a Megaupload cuando operaba en internet.

Por otro lado, los medios neozelandeses difundieron hoy una carta abierta de Dotcom dirigida a los ejecutivos del cine de Hollywood en la que dice que estos han hecho que el caso parezca un guión de películas de acción y conspiración llevado a “la vida real”.

“Tengo soluciones a sus problemas, no soy su enemigo”, apuntó Dotcom en la carta reproducida parcialmente por el portal neozelandés de noticias Stuff.

La misiva, publicada inicialmente por Hollywood Reporter, también acusa al director ejecutivo de la Asociación Cinematográfica de Estados Unidos, el exsenador Chris Dodd, de buscar en las esferas de la Casa Blanca el apoyo para convertirle “en un villano que debe ser destruido”.

Dotcom fue detenido en enero pasado junto a otros tres ejecutivos de Megaupload en su mansión de las afueras de la ciudad de Auckland, en el marco de una operación policial impulsada por EEUU, y que incluyó el cierre del portal, la confiscación de sus bienes y otras detenciones en Europa.

Dotcom y sus tres socios están a la espera del inicio del juicio de extradición a Estados Unidos previsto para marzo de 2013.

Las autoridades estadounidenses atribuyen a Megaupload haber causado más de 500 millones de dólares en pérdidas a la industria del cine y de la música al transgredir los derechos de autor y obtener con ello unos beneficios de 175 millones de dólares.

Los voceros de Microsoft siempre han argumentado que para el corporativo es muy importante la seguridad, y en seguimiento a la filosofía que predican, hoy el gerente general de Xbox LIVE, Alex Garden, anunció que se están implementando mejoras al sistema de seguridad del servicio en línea de la consola, pero adicional a toda actualización, expresa que también queda en manos del usuario la responsabilidad de proteger su cuenta y tomar las medidas necesarias para no exponer su información a posibles cibercriminales.

Garden explica que la mecánica fundamental en la protección de Xbox LIVE, y para efecto válido todos los sistemas en línea que posee Microsoft, dependen de que los miembros tengan actualizada su información personal con datos válidos, en especial los rubros de seguridad. “Exhorto a que todos tomen cinco minutos para revisar su información de seguridad y la actualicen si es necesario,” comenta el ejecutivo, mientras establece que es la mejor forma de asegurar una rápida y sencilla recuperación de cuenta en caso de haberla perdido, además, garantiza que dichos datos son usados expresamente para seguridad, y nunca con un afán mercadotécnico ni de publicidad. Sobre la misma línea, el vocero aprovecha para recomendar que se cambien nombres de usuario y contraseñas, para que el de Xbox LIVE sea diferente al de otros servicios en Internet, pues los criminales atacan con mayor efectividad a aquellas personas que utilizan la misma información para múltiples sitios.

En lo que refiere al compromiso de Microsoft, Garden desglosa que se están haciendo los siguientes cambios:

• Incrementar las notificaciones a miembros cuyas cuentas puede estar comprometidas, para que brinden pruebas, actualicen sus contraseñas y, de ser necesario, contacten a soporte de Xbox. Eso ayudará a que el equipo técnico bloquee rápidamente la cuenta, realice una investigación y la restituya con la brevedad a su dueño legítimo.
• Se está tomando acción legal para eliminar los sitios que publican gamertags, nombres de usuario y contraseñas recolectadas por malware o programas de phishing, a fin de proteger a la comunidad.
• La actualización de Xbox LIVE Spring incluye muchas mejoras no documentadas que ayudarán a construir una estructura de seguridad más sólida.
• Se enviarán códigos de seguridad únicos a números de teléfono y correos electrónicos secundarios, para que se autoricen compras en Xbox.com o se permitan cambios a la cuenta que provengan de un dispositivo no verificado por el usuario.
• Habrá sanciones más severas, con el fin de reducir los incentivos de los criminales. Incursionar en robo de identidad, comerciar con cuentas robadas y hacer fraude a tarjetas de crédito son actividades ilegales y violan los Términos de uso. Aquellos involucrados en dichas actividades se arriesgan a un proceso penal formal, además de veto de cuenta y consola. Lo mismo va para vendedores y compradores de cuentas y contenido.

Desde nuestra perspectiva, resulta encomiable que se estén realizando mejoras a la seguridad en Xbox LIVE, en especial frente a los reportes de fraudes a cuentas que aquejaron a numerosos usuarios a finales del año pasado.