Se han descubierto dos nuevas vulnerabilidades de seguridad en el nuevo sistema operativo de Apple, Mac OS X Lion, en las cuales la seguridad de las contraseñas de superusuario queda expuesta. No es la primera vez que se detectan problemas de seguridad en Mac, pues ya se conoce de la existencia de falsos antivirus en Mac, y hace varios meses se descubrió que un malware podría permitir el control del sistema Mac. Incluso, un hacker llegó a afirmar que Windows 7 es más seguro que Mac OS X. Conoce todos los detalles de las vulnerabilidades a continuación.

El primer problema de seguridad descubierto es la posibilidad de que cualquier usuario sin privilegios de administrador acceda al fichero shadow y ver el hash de la contraseña de cualquier usuario, incluido root. En anteriores versiones de Mac OS X, solamente el usuario root (usuario administrador) podía acceder al fichero shadow, donde se almacenan los hashes de las contraseñas de todos los usuarios del sistema.

Teniendo acceso al hash de las contraseñas, es más sencillo hackear la contraseña de root. De hecho, hay un programa hecho en Python capaz de crackear contraseñas en Mac OS X Lion a partir de los hashes obtenidos.

La segunda vulnerabilidad permite cambiar la contraseña de cualquier usuario sin solicitar introducir la contraseña actual, de forma que simplemente podríamos cambiar la contraseña del usuario actual con el siguiente comando: dscl localhost -passwd /Search/Users/bob

Como medida de seguridad para intentar evitar posibles ataques, se recomienda limitar el acceso a la utilidad dscl, mediante el siguiente comando: sudo chmod 100 /usr/bin/dscl

El programador estadounidense Richard Stallman, fundador de la organización sin ánimo de lucro Free Software Foundation y del movimiento del software libre como alternativa al privativo, es una voz muy autorizada para responder a las cuestiones de libertad en torno al sistema operativo Android y ha expresado sus opiniones en un artículo en theguardian.

Stallman, inventor del concepto copyleft como licencia de software, garantizando que permanezca siempre libre para la comunidad tras su uso y modificación, comienza fuerte el análisis de Android con una pregunta clave: ¿Hasta qué punto respeta Android la libertad de sus usuarios?

El gurú por el software libre explica las amplias diferencias del movimiento que preside y la idea del ‘código abierto’ centrado a su juicio en cómo se desarrolla el código. “Por lo tanto, la preocupación no es si Android está “abierto”, sino si permite a los usuarios ser libres”, indica.

“Android es un sistema operativo basado en Linux (kernel de Linus Torvalds), algunas bibliotecas, una plataforma Java y algunas aplicaciones. Dejando Linux a un lado, el software de las versiones 1 y 2 de Android fue desarrollado principalmente por Google y liberado bajo Apache 2.0, licencia de software libre pero no copyleft ya que no requiere la redistribución del código fuente cuando se distribuyen versiones modificadas”, explica Stallman.

Además, la “versión de Linux incluida en Android no es totalmente libre ya que contiene binarios que no son libres. Tampoco son libres el firmware utilizado en las bibliotecas…. Aparte de eso, el código fuente de las versiones Android 1 y 2 liberados por Google son software libre pero este código no es suficiente para ejecutar el dispositivo”, recalca.

Por otro lado, prosigue Stallman, “dentro de Android, Linux sigue siendo un programa separado con su código fuente bajo licencia GNU GPL 2 (licencia con la que ha cumplido Google) pero la combinación bajo la licencia Apache 2.0 sería una infracción de copyright, ya que la GPL versión 2 y 2.0 de Apache son incompatibles…. Los rumores de que Google de alguna manera ha convertido Linux a la licencia de Apache son erróneos“.

Para enredar aún más el asunto, Google anunció que no publicaría el código fuente de Android 3.0 (aparte de Linux), a pesar de que los ejecutables se han lanzado al público. El código de Android 3.1 código también está siendo retenido. “Así, Android 3, aparte de Linux, no es software libre, puro y simple”, asegura Stallman.

Esta estrategia “plantea la preocupación de que Google pueda tener la intención de convertir Android en propiedad permanente y privativa. La liberación de algunas versiones de Android como software libre puede haber sido una táctica temporal para obtener ayuda de la comunidad en la mejora de un producto de software privativo. Esperemos que no suceda”, indica el presidente de la Free Software Foundation.

Además ¿la publicación de la mayoría del código fuente de versiones de Android significa que el sistema sea libre? No, por varias razones insiste Stallman, “ya que la mayoría de bibliotecas y herramientas para comunicarse con servicios como YouTube o Maps no son libres, tampoco las aplicaciones, ni el firmware e importantes controladores que manejan radios, Wi-Fi, GPS gráficos 3D y otros, y algunos modelos de smartphones Android están diseñados para evitar que los usuarios instalen y usen software modificado”.

En resumen, “a pesar de que los teléfonos Android son mucho menos malos que los de Apple o Microsoft no se puede decir que respeten tu libertad”, asegura Stallman, no sin recalcar que “Android es un paso importante hacia una ética, controlada por el usuario, de software libre en terminales móviles…. pero hay un largo camino por recorrer“.

¿Y cuál es ese camino? Según Stallman (siempre el más purista de los puristas) desarrollos como Replicant un proyecto de Android 100% libre tanto en el kernel, aplicaciones, firmware y controladores. Eso, o que Google cambie de estrategia respecto a Android, impensable en estos momentos.

Google, ha retocado la versión de Chrome para Mac OS X Lion y ha pagado más de 14.000 dólares en recompensas.

Google ha parcheado 32 vulnerabilidades en Chrome, pagando más de 14.000 dólares en recompensas y actualizando la edición estable del navegador a la versión 14.

La compañía también ha anunciado un par de extensiones orientadas a los desarrolladores y ha destacado novedades en la versión para Mac OS X 10.7, Lion, en la que ahora se incluye un modo a pantalla completa y barras de desplazamiento que se desvanecen.

La última versión estable de Chrome se lanzó a primeros de agosto. Google lanza una actualización cada seis semanas, una práctica que Mozilla ha tenido que adoptar para no quedarse atrás y que empezó a aplicar con Firefox 5 el pasado mes de junio.

Quince de las 32 vulnerabilidades parcheadas han sido calificadas como ‘altas’, el segundo grado más serio del sistema de calificación de Google, diez se consideran ‘medias’ y las siete restantes están calificadas como ‘bajas’.

Ninguno de los fallos se han considerado ‘críticos’, la categoría normalmente reservada para aquellas vulnerabilidades que podrían permitir que un atacante escapara a la ‘sandbox’ antiexploit de Chrome.

Esta actualización de seguridad le ha costado a Google un total de 14.337 dólares en recompensas pagadas a nueve investigadores, incluidos 3.500 dólares a “miaubiz” y 2.337 a Sergey Glazunov, ambos habituales en los listados de investigadores de seguridad de Google.

Además de actualizar la seguridad del navegador, Google ha añadido un par de características a Chrome 14 pensadas para los desarrolladores, como es la incorporación de soporte para  Web Audio API y para “native client”, una tecnología de código abierto que ejecuta software escrito en C y C++ dentro de la caja de arena de seguridad de Chrome.

Chrome 14 ya se puede descargar para Windows, Mac OS X y Linux desde la página de Google. Aquellos usuarios que estén utilizando este navegador, serán actualizados automáticamente.

Durante una conferencia sobre piratería informática celebrada a principios de agosto en Las Vegas (EEUU), Jay Radcliffe habló sobre los serios problemas de seguridad que había encontrado en unas conocidas bombas de insulina implantables. Advirtió de que cualquier ‘hacker’ podía hacerse fácilmente con el control remoto de esos dispositivos y manejarlos a su antojo. Es decir, podría alterar las dosis, los tiempos de administración y, por tanto, poner en riesgo la salud del paciente.

No se trataba de una afirmación de oídas, sino con conocimiento de causa. Radcliffe es diabético, lleva esas bombas y las ha ‘pirateado’ él mismo. En ese momento no acusó a ningún fabricante porque como reconoció a la prensa estadounidense “quería dar opción a la compañía de reparar sus problemas de seguridad”. Sin embargo, tras ser ignorado en repetidas ocasiones -según su versión- y ver que minimizaban sus advertencias, ha decidido identificar al responsable de estas bombas ‘inseguras’, para ver si la presión pública les obliga a reaccionar. El señalado con el dedo es Medtronic, una de las mayores compañías del mundo de tecnología médica.

Ante esta acusación, Medtronic no ha tenido más remedio que salir a la palestra. Ha reconocido ciertos problemas de seguridad en su línea de bombas implantables, pero aseguran que los pacientes que las usan pueden estar tranquilos porque el riesgo de un “ciberataque” es extremadamente bajo. “Tendría que ser premeditado por alguien que intenta causar daño a una persona”, indicó John Mastrototaro, médico y vicepresidente de investigación y desarrollo de la división diabetes de la compañía. “La probabilidad de que esto suceda accidentalmente es nula”, afirma.

No obstante, Mastrototaro ha adelantado que ya se están tomando cartas en el asunto y que se ha ordenado un mayor control de las potenciales vulnerabilidades de seguridad en la próxima generación de bombas de insulina de la compañía que están en desarrollo. Sobre posibles cambios en las actuales, dice que sería difícil, pues se exige la aprobación de la FDA (la Agencia reguladora de los medicamentos de EEUU) para cualquier cambio en un producto así como para el uso de “parches” de software de un dispositivo.

La polémica de la ‘ciberseguridad’

Las bombas de insulina han sido los últimos dispositivos médicos ‘hackeados’, pero no los únicos. Anteriormente, la misma polémica ya había girado sobre los marcapasos. Stuart McClure, vicepresidente senior de seguridad del productor de software McAfee explica que el debate sobre la ciberseguridad de estos productos -que ha ocupado espacio en diversas publicaciones científicas- generará cada vez más debate.

“Todos los dispositivos, incluidos los médicos, pueden ser vulnerados por piratas informáticos y las empresas son tontas si creen que sus aparatos son inmunes“, expresó.

Tras la denuncia pública de Radcliffe, dos abogados -de California y Massachusetts-, ambos del Partido Demócrata, han solicitado a la Oficina de Contabilidad del Gobierno estadounidense que evalúe los esfuerzos que las autoridades hacen en la actualidad para identificar estos riesgos en implantes médicos que usan la comunicación inalámbrica.

Los objetivos de los hackers en sus primeras décadas, antes de que muchos de ellos perdieran la inocencia y muchos se dedicaran a robar dinero o a conformar verdaderas mafias, además de aprender y practicar sus conocimientos violando la seguridad telefónica, de redes, de computadores o de sitios web, eran demostrar sus habilidades y obtener el reconocimiento de sus pares. Con esta idea surge RankMyHack.Com, un sitio web inglés en el que los hackers compiten y ganan puntos por sitios vulnerados, para así demostrar dentro de la comunidad quiénes son los mayores poseedores de talento o los más perseverantes en sus acciones.

Con algo más de 700 miembros, fue creada por ‘S0lar’, como se ha identificado el hacker fundador. La idea del sitio web es que, de manera independiente, sin mediaciones de ninguna índole, el hacker demuestre sus capacidades y así obtenga ese esperado reconocimiento.

“Hasta ahora, cuando se encuentra un hacker con otro en un foro o IRC, no hay manera de indicar si ese hacker tiene alguna habilidad. RankMyHack.Com fue construido para dar una indicación clara de la capacidad de los hackers en general”. También la idea es poder seguir los logros de las otras personas y saber con qué tipo de hackers se está tratando.

La asignación de la posición en RankMyHank.Com se hace a través de puntaje asignado por la labor de cada hacker, teniendo en cuenta la dificultad del sitio y la seguridad que tiene, lo cual dará más prestigio a cada participante. También existen puntajes de bonificación si se realizan actividades a algunos sitios escogidos por el sitio web, solo accesibles a quienes estén inscritos.

“Las bonificaciones fueron creadas con la intención de centrar las capacidades de los hackers talentosos en contra de las fuerzas políticas y de gobiernos, proporcionan un objetivo político constructivo para los talentos que existen en los hackers, independientemente de su capacidad”, comentó S0lar a The Telegraph.

Con este sistema de reconocimientos, el creador de RankMyHack.Com busca estimular el ‘hacking ético’ o simplemente el hacking con fines de diversión, reto personal y grupal, que es la verdadera esencia de los hackers. Allí no se estimulan el robo de identidad, los delitos financieros ni la destrucción de información o sitios web. En esta primera etapa del sitio no hay aún ningún hacker famoso, aunque se supone que quien tiene esta condición ya no necesita demostrar nada ni estar en un listado de honor.

Además del ranking de hackers, el sitio cuenta con una sección de recursos en la que se encuentran tutoriales y acceso a otro tipo de comunidades. También tiene una sección de duelos, en la que se crean competencias entre los hackers para romper la seguridad de un sitio web determinado en un tiempo específico.

RankMyHack.Com no es la única propuesta curiosa en el Reino Unido para estimular esta actividad y poner a competir a los hackers. Del otro lado de la balanza ha surgido Cyber Security Challenge UK,

De la evolución del sitio dependerá si se creen las promesas de S0lar. Por lo pronto, el líder en la tabla de posiciones, llamado ‘Mudkip’, reportó haber hackeado el HuffingtonPost.com, uno de los medios de comunicación en línea más reconocidos del mundo, mientras que otros reportaron haber vulnerado la seguridad de Google.com, Globo.com, Terra.com.br, Dropbox.com, Mozilla.org. Monster.com, Baidu.com, LinkedIn.com y WordPress.org (lo que no quiere decir que los usuarios de estos sitios y sus servicios deban, por lo pronto, preocuparse, si los hackers cumplen su promesa de ser éticos o ‘de sombrero blanco’).

Los Oscar no son ya unos premios exclusivos del cine. Después del nacimiento de los anti-Hollywood, los Razzies, que valoran a los peores actores del año, también los hackers se apuntan a esta ceremonia. Se llaman los Pwnie Awards 2011 y destacan las acciones más notorias de los activistas del mundo hacker, así como las empresas que han mostrado más debilidad a los ataques. Eso sí, no habrá expectativa por ver a los ‘mejor vestidos’ porque muchos premiados tendrán que renunciar a recoger el galardón. Si lo hicieran serían inmediatamente detenidos por la policía.

No podía ser de otra forma. La ciudad que más representa la estafa y el engaño del mundo entero será la que acoja el próximo 3 de agosto la ceremonia de los Pwnie Awards 2011: Las Vegas. Allí, los premios que son la peor pesadilla de los grandes gigantes de Internet (Google, Microsoft, Linux, Java, Blackberry) otorgarán su último ‘gran golpe’; el de la concesión de premios. Desde el 20 de julio ya están cerradas sus nominaciones.

Unas nominaciones que incluyen entre sus filas al archiconocido grupo Lulzsec, que tiene a sus espaldas ‘éxitos’ como el ataque a Sony o la entrada en los servidores de Nintendo, el virus Stuxnet – de autores anónimos que lograron infectar instalaciones nucleares de Irán- o la compañía Sony, propuesta por su facilidad para ser víctima de todo tipo de ataques debido a una escasa seguridad interna del site. Estos premios se conceden desde el año 2007 y, en su última edición, la empresa que más padeció la crítica de los hackers fue Microsoft con su filtro de Internet Explorer 8 XSS, ganando el premio Pwnie a la ‘más épica caída’.

Muchos se preguntarán por qué Pwnie, ¿de dónde procede esta denominación? El término es común entre los adictos de este colectivo y significa ‘controlado por un hacker’. El galardón para el mejor hacker también es un ‘fake’. Se trata de una figurita de Mi pequeño pony, de Hasbro, pintada de color amarillo. Quién se lo llevará todavía es una incógnita, pero las apuestas más fuertes son Lulszsec y el colectivo Anonymous, por ser los que han logrado ejecutar acciones más dañinas con mayor repercusión mediática en un escaso periodo de tiempo.  De hecho, Anonymous ha logrado en varias ocasiones ser Trending Topic (TT) global en Twitter por sus ataques contra la Reserva Federal de Estados Unidos y contra el servidor de Apple.

Así lo descubrió un hacker, quien especificó que la empresa del androide guarda las claves de manera ilegal en formato de texto plano.

Un ciber pirata descubrió que las contraseñas de los usuarios de Android son guardadas en los celulares a través del formato de texto plano, algo que en algunos países es ilegal.

Según explicó el hacker, las claves son guardadas en la base de datos SQlite, pero al mismo tiempo éste alertó que los “passwords” son almacenados en los archivos de sistemas de los smartphones como texto plano, lo que según la página Techeye, haría que esa información sea vulnerable.

Por otras parte, Andy Standler, funcionario del Departamento de Asistencia Técnica de Android, aseguró que el problema se encuentra en el correo del sistema operativo debido a que está aplicación es compatible con protocolos antiguos como POP3, IMAP, SMTP, y Exchange ActiveSync.

Es así como el uso de esas tecnologías implica que el usuario necesita introducir su contraseña cada vez que desee utilizar ese programa de correo móvil, y a su vez, Android debe recopilarla mientras se encuentre conectado.

En este contexto, Stadler aseguró que ya trabaja en la búsqueda de una solución al problema, pero también dejó en claro que el hecho de que las contraseñas estén cifradas no implica que sean más seguras.

El error del cual Android está conciente en algunos países es considerado un delito, como por ejemplo en España. Es por aquello que la empresa trabaja de manera rápida para solucionar el inconveniente.

Es muy probable que, aunque seamos seguidores de todo lo que hace la empresa de Cupertino, también nos haya llamado la atención un proyecto de sistema operativo en ciernes que está auspiciando Google desde hace unos años, se trata de Chrome OS, un sistema operativo de escritorio algo diferente al resto pues se basa íntegramente en la red utilizando todos los servicios que la empresa del buscador posee.

Si bien Google ha establecido ciertos acuerdos con fabricantes de portátiles para que ofrezcan equipos adaptados para ser usados con Chrome OS, a los que han dado en llamar Chromebooks (qué causalidad), estos equipos parecen pequeños netbooks bastante limitados y con poca capacidad. Es por eso que un conocido hacker conocido como Hexxeh ha intentado instalar y ejecutar la versión de desarrollo de Chrome OS, llamada Chromium OS, en un MacBook Air de 11 pulgadas de la última generación con excelentes resultados.

El proceso ha sido realizado utilizando Boot Camp y sobreescribiendo OS X de modo que es recomendable hacer una copia de seguridad de nuestro equipo si quisiéramos emular a este individuo en su hazaña. Al finalizar todo el proceso, detallado en su página web, el resultado es un ChromeBook de Apple totalmente funcional salvo en tres aspectos:

• El Bluetooth no funciona, porque esta tecnología no tiene soporte aún en el desarrollo de Google.
• El arranque es algo más lento de lo habitual, hasta 22 segundos.
• El scroll del touchpad funciona algo más lento de lo habitual.

Por lo demás, como os decíamos, tendremos todas las “ventajas” de Chrome OS en un MacBook Air. Aunque en lo personal, no le veo ningún beneficio a este hack, tan solo la satisfacción de la curiosidad o el orgullo de haber conseguido una hazaña digital. Como decíamos al principio, todas las posibilidades con Chrome OS se circunscriben a las funciones que otorgan los servicios de Google, y hay mucha vida más allá de estos. ¿No es mejor esperar a Lion y disfrutarlo?.

Para los usuarios con iPhone no es nuevo tener que enfrentarse a este problema de seguridad con la pantalla de bloqueo. No está muy lejos cuando saltó en Internet que era posible desbloquear los teléfonos iPhone con la versión iOS 4.1 instalada, haciendo uso para ello de las llamadas de emergencia.

Es por esta razón que, después del revuelo que se generó, nadie esperaba que esto pudiera volver a pasar, pero en la versión iOS 4.3.3 parece que se puede hacer algo muy similar.

Visto esto, mucho cuidado con donde dejáis el terminal, que cualquiera podría dedicarse a curiosear por nuestras cosas y llamar gratis desde vuestra línea

Google ha lanzado una nueva herramienta denominada DOM Snitch destinada a desarrolladores que permite verificar si las aplicaciones web que han creado son vulnerables a ataques y ponen en peligro la seguridad de los usuarios de Chrome.

Google ha lanzado una nueva herramienta denominada DOM Snitch destinada a desarrolladores que permite verificar si las aplicaciones web que han creado son vulnerables a ataques y ponen en peligro la seguridad de los usuarios de Chrome.

La herramienta que lanza Google es una extensión de Chrome en fase experimental permite a los desarrolladores y testeadores “identificar las prácticas inseguras que se encuentran en el código del lado del cliente”.

DOM Snitch se une así a otras herramientas open source como Skipfish y Ratproxy que Google ofrece para comprobar la seguridad de aplicaciones web.

La nueva herramienta de Google, como elemento diferenciador, se puede utilizar en tiempo real, los desarrolladores pueden observar modificaciones DOM cuando ocurren dentro del navegador sin necesidad de desplazarse por el código JavaScript con un depurador o pausando la ejecución de su aplicación.

Por otro lado, según Google, es una herramienta fácil de usar, con las función de seguridad heurística y las vistas anidadas, tanto a los desarrolladores avanzados como los menos expertos pueden detectar áreas de la aplicación que se está probando que necesitan más atención de forma rápida.

Además, con esta herramienta será posible compartir experiencias, permite a los desarrolladores exportar y compartir fácilmente capturado modificaciones DOM, “para resolver un problema con sus compañeros”, dice Google.

La herramienta está ya disponible de forma experimental para desarrolladores, testeadores e investigadores de seguridad. Puede descargarse a través de la página oficial de descargas de Google.

Con el lanzamiento de DOM Snitch, Google continúa potenciando el desarrollo de aplicaciones para su navegador web Chrome, que hace pocas semanas recibió una tienda de aplicaciones propia.

Enlaces relacionados:

-Google Blog(http://googleonlinesecurity.blogspot.com/2011/06/introducing-dom-snitch-our-passive-in.html).

- Google descargas (https://code.google.com/p/domsnitch/downloads/list).