Biohackers logran codificar malware en hilo de DNA

Esto parece salido directamente de las películas; un grupo de biohackers presentó una prueba de como el DNA puede llevar algo más que información genética, no para infectar organismos vivientes, sino computadoras. Esta prueba fue presentada por investigadores de la Universidad de Washington en la conferencia USENIX, donde mostraron que se puede codificar malware o …

Leer másBiohackers logran codificar malware en hilo de DNA

Evita usar uno de estos 306 millones de passwords

Si estás necesitado de nuevos passwords, ya tienes 306 millones de opciones menos para elegir uno; un experto en seguridad liberó una lista con esa cantidad de passwords, los cuales han sido extraidos de hackeos y otras violaciones de datos en la red, algunas de alto perfil y otras no tanto, pero a fin de …

Leer másEvita usar uno de estos 306 millones de passwords

Peligroso ransomware NotPetya, ahora infectando PC’s a nivel mundial: como protegerse

Un nuevo y peligroso ransomware de nombre NotPetya (algunos lo llaman PetrWrap), que empezó con infecciones en Rusia y Ucrania, lugares donde ha afectado enormemente a empresas de energía, transporte, envíos y financieras. El virus recibió el nombre de NotPetya puesto que se enmascara como el otro ransomware Petya. El ransomware tiene está programado para …

Leer másPeligroso ransomware NotPetya, ahora infectando PC’s a nivel mundial: como protegerse

Finaliza auditoría de TrueCrypt con balance positivo, pero…

Para estas fechas hace un año se anunciaba que el desarrollo de TrueCrypt se detenía y el producto estaba muerto en esencia. En esas mismas fechas ya estaba en marcha un plan de auditoría para este producto, plan que se iba a dar en dos fases; la primera no arrojó problemas significativos: la segunda que …

Leer másFinaliza auditoría de TrueCrypt con balance positivo, pero…

Swatting, peligrosa broma pesada online

Swatting a un youtuber

Imagina que estás transmitiendo un vídeo en vivo; de pronto, elementos de alguna policía o unidad especializada de seguridad entran a patadas a tu casa, dejándote a ti y a todos en el piso a punta de pistola, bajo sospecha de que ahí se cometió algún crimen, como que alguien está golpeando a su esposa, o mataron a alguien o tienen a alguien raptado ahí. Sorpresa, has sido víctima de una cruel y estúpida broma llamada swatting, en la que alguien que te está viendo en línea obtiene tu dirección llama a algún teléfono de emergencias reportando un crimen (por lo general grave) en tu dirección, y gracias a eso todo mundo en línea, incluido un idiota (o algunos idiotas), puedan disfrutar de tu humillación en público. Eso le pasó a un gamer profesional de nombre Joshua Peters que acabó en el piso junto con su madre a punta de pistola de los policías que le decían que había un reporte de que había matado a su compañero de cuarto, lo cual a todas luces era falso.

El swatting no es nuevo: el FBI usaba el término desde 2008 y el nombre viene de que algunas veces el equipo que llegaba a la dirección proporcionada era un equipo SWAT (una unidad gringa de policía altamente especializada); pero ahora con tanta gente que hace sus cosas en línea y en tiempo real, la “broma”, por llamarla de alguna manera, ha tomado nuevas direcciones y cualquier la puede hacer, poniendo en riesgo a muchísimas personas inocentes cuyo único pecado es transmitir un vídeo o quizás hasta un podcast en tiempo real.

Esto, como se podrán imaginar, crea una situación terrible similar a la de Pedro y el Lobo; las fuerzas del orden están para ayudar, pero ¿como demonios distinguir entre las llamadas serias de las que hace un idiota para divertirse? la realidad es que, al menos al momento de escribir esto, no se puede; a pesar de que pasa con regularidad, el mismo FBI no tiene estadísticas de swatting a la fecha. Y los casos van a la alza, según números de otras oficinas; para acabarla, cada uno de estos chistes cuesta dinero, mucho dinero, el cual sale de las arcas del gobierno en cuestión: de hecho cuesta tanto, que se está legislando en gringolandia para que los que sean capturados y acusados de swatting le paguen de vuelta el dinero que costó su chiste al gobierno. Y por supuesto, no hagamos a un lado el peligro al que está expuesta la víctima y las mismas fuerzas del orden.

Leer másSwatting, peligrosa broma pesada online

Windows 10 trae de vuelta el fantasma de Secure Boot

Advertencia de Secure Boot

Aquellos que tengan memoria afilada recordarán que con el anuncio de Windows 8 hubo una controversia sobre el que no dejaría instalar otros sistemas operativos, debido a que para cumplir con el programa de logo “Diseñado para Windows 8“, el hardware debía tener soporte para la característica Secure Boot de UEFI. Ahora bien, un poco de background: para los que no sepan que es, Secure Boot es una característica que permite que un binario arranque dependiendo de si tiene la firma digital criptográfica correcta; de esta manera, si algún binario no se identifica de manera correcta, no podrá iniciar, con esto previniendo ciertos ataques muy especializados de malware y otros similares.

Para quedar claros: Secure Boot no es algo malo, muy al contrario, es una característica deseable de seguridad, a pesar de que como todas las medidas de seguridad es eso, otro nivel más, y puede ser atacado (ver este artículo); pero a pesar de ser algo bueno a la vez también deja fuera a todo sistema operativo que no tenga una firma criptográfica para identificarse al arrancar; de vuelta con el relajo de Windows 8, en aquel entonces Microsoft puso en marcha un plan de contingencia estableciendo que cada sistema debería tener un “switch” para deshabilitar Secure Boot, así como firmar binarios de terceros (por la módica suma de USD $99), y finalmente el que los usuarios pudieran añadir sus propias firmas y certificados al firmware de modo que sigan aprovechando Secure Boot. Pero hay indicios de que esto cambiará con Windows 10…

En las conferencias WinHEC 2015 se habló sobre los requerimientos de Windows 10, y hubo uno que llamó particularmente la atención: ahora el switch para deshabilitar Secure Boot será opcional, lo que abre la puerta a que los fabricantes de equipos (OEMs) puedan lanzar equipos diseñados para Windows 10 y nada más; aunado a esto, no se mencionó nada sobre la posibilidad de que tales OEMs ofrezcan la oportunidad de agregar certificados propios. El temor es que quizás en computadoras de escritorio no pase gran cosa, pero si en laptops y otros dispositivos con movilidad, donde bloquear el sistema operativo pueda significar menos dolores de cabeza relacionados con costos operativos de llamadas de soporte por otros sistemas no Windows.

Leer másWindows 10 trae de vuelta el fantasma de Secure Boot

Pwn2Own 2015: de nuevo hackean todos los navegadores principales, y es algo bueno

Otro Pwn2Own que pasa, y de nuevo vuelven a hackear a todos los navegadores (totalmente parchados) con exóticas combinaciones de métodos que explotan vulnerabilidades hasta ahora desconocidas incluso por sus creadores, todo con miras a pasar por alto los mecanismos de seguridad y defensa de los navegadores modernos, principalmente para prevenir ejecución de código remota. …

Leer másPwn2Own 2015: de nuevo hackean todos los navegadores principales, y es algo bueno

La vulnerabilidad Shellshock en bash: todo lo que hay que saber

Aún no está solucionado el problema de la vulnerabilidad Heartbleed, y ahora tenemos una nueva vulnerabilidad llamada Shellshock que gracias a que a) está presente en Unix, Linux y Mac OS X, y b) es fácilmente explotable, supone un gran problema de seguridad que se viene encima. A diferencia de Heartbleed, que requiere un alto …

Leer másLa vulnerabilidad Shellshock en bash: todo lo que hay que saber

HeartBleed: dos meses después, cientos de miles de servidores siguen vulnerables

A pesar de ser una de las peores vulnerabilidades de seguridad en la red que se han dado en años recientes, HeartBleed aún sigue dando de que hablar, pues según informes de la empresa Errata Security aún quedan poco más de 300,000 servidores que no tienen los parches adecuados; esta empresa encontró estos servidores haciendo un …

Leer másHeartBleed: dos meses después, cientos de miles de servidores siguen vulnerables

Descubren nuevo lote de vulnerabilidades en OpenSSL, algunas que datan de 1998

Seis nuevas vulnerabilidades se han encontrado en OpenSSL, librería que todavía se está recuperando del desastre de HeartBleed; esta vez las vulnerabilidades son variadas, y permiten, por mencionar uno, un ataque del tipo “hombre en medio” que dan pie a que se pueda “escuchar” las comunicaciones encriptadas, así como también poder introducir malware en los …

Leer másDescubren nuevo lote de vulnerabilidades en OpenSSL, algunas que datan de 1998