Categoría: Hacking

Fabio Baccaglioni


Es difícil empezar este post pero me siento obligado a escribir al respecto porque la mayoría de los medios más tradicionales estan llenando de confusión el tema, sí, hay vulnerabilidades terribles encontradas en los procesadores, una afectaba a Intel y casi todos se centraron en estos procesadores pero no, no es la única, hay varias y TODOS, repito, TODOS los procesadores estan en problemas para TODOS los sistemas operativos.

No es amarillismo, es un hecho, "Meltdown" y "Spectre" son los nombres de las dos vulnerabilidades más importantes encontradas a la fecha y lamentablemente el mismo diseño de los procesadores las hace virtualmente imposibles de corregir hasta que no se diseñe una nueva arquitectura interna mejorada contemplando estas fallas. Mientras tanto todo bugfix, ya sea desde BIOS/UEFI o sitema operativo será un parche para mitigar el problema y, en muchos casos, afectando la performance de dichos procesadores para ciertas aplicaciones o cargas.
Fabrizio Ballarino


Ni bien dio comienzo el día de hoy el mundo digital saltó con una alerta roja: habían hackeado el protocolo WPA2 de las conexiones Wi-Fi. Esto fue posible mediante el exploit denominado como KRACK (Key Reinstallation AttaCKs) que funciona explotando el handshake de cuatro vías.

Hasta ahí podríamos decir que ese es el encabezado de la noticia con un resumen bien técnico pero, para las personas de menores conocimientos... ¿Qué quiere decir toda esa ensalada de términos raros?

Desde Tecnogeek decidimos hacer una nota con un panorama general en base a una explicación más sencilla. Vamos a tratar de darte una síntesis de la manera más clara posible y sin necesidad de ser extremadamente técnicos, todo sea para ponerte en contexto ante la gravedad del asunto e ilustrarte de sus posibles consecuencias.
Fabrizio Ballarino


Hace unos días atrás se registró un hackeo a la base de datos de la empresa Equifax, una organización dedicada a análisis crediticios.

En ese entonces se supo que el inconveniente se produjo en su web principal y dejó vulnerable los datos de más de 143 millones de personas.

Sin embargo, sea por alguna de esas casualidades de la vida o como una consecuencia de aquella causa previa, ahora se acaba de registrar una nueva brecha de seguridad vulnerada para Veraz, la versión local de Argentina para Equifax.
Fabrizio Ballarino


El sitio web argentino Taringa! acaba de sufrir uno de sus mayores ciberataques de su historia, aunque podría decirse que es algo no tan nuevo.

Para ser más precisos, se trata de una brecha de seguridad que la empresa ya había comunicado tiempo atrás advirtiendo de que ciertas personas con malas intenciones tenían acceso a varios datos de un alto número de cuentas de su página.
Fabrizio Ballarino


La firma ZERODIUM es una empresa dedicada a pagar grandes cantidades de dinero para las personas que logren dar con hackeos y exploits de día cero planteados a modo de reto general.

Hoy acaba de dar a conocer dos imágenes que podríamos clasificar como tablas o grillas en donde se visualizan cada uno de los logros a conseguir y su correspondiente recompensa.
Nicolas Chamatropulo


Microsoft termino el soporte para la mayoría de las computadoras con Windows XP en el año 2014, pero a partir del dia de hoy está ofreciendo un parche de actualización para este sistema operativo que ya cuenta con 16 años de edad.

Como lo describen en el posteo que realizaron en su blog de seguridad, están realizando esta acción inusual, debido a que sus clientes de todo el mundo, en los cuales se encuentran empresas estatales de países importantes sufrieron un golpe de “WannaCrypt” ransomware, como muy bien nos explicó Fabio el día viernes (ver aquí).

Microsoft realizo una actualización en marzo sobre los sistemas que si mantenía soporte activo para corregir el fallo, por eso este ataque no se realizó en la totalidad de las computadoras. Pero no les quedo otra que sacar este parche para la totalidad de sus verisones. Ingresando en este link, podrán encontrar el parche para descargar e instalar en Windows XP, Windows 8 y Windows Server 2003.



Esto no solo es importante para empresas también para usuarios particulares, si todavía se encuentran ejecutando sistemas operativos antiguos, como los que nombramos anteriormente, deberán parchear inmediatamente y ponerse en planes de realizar una actualización a alguno más actual.
Fabio Baccaglioni


Qué día y qué fin de semana van a tener varios administradores de sistemas! y no estamos hablando de redes pequeñas, empresas como Telefónica, Iberdrola, Gas Natural, Vodafone, varias de Rusia y Ucrania hasta el NHS, el National Health Service británico, la entidad de hospitales, el sistema de salud!

Si, en este caso estamos hablando del WanaCrypt0r 2.0 / WannaCry / Wanna Decryptor o como lo llamen, un ransomware que está solicitando alrededor de 0.2 bitcoins (alrededor de USD 300) para recuperar archivos de los sistemas afectados.

¿Qué equipos infectó? Principalmente con Windows, los más comunes en las oficinas, y todas sus versiones pero principalmente las viejas que ya no reciben soporte oficial de Microsoft.

Para aquellos que viven en la modernidad tengan en cuenta que muchas instituciones privadas o públicas cuentan todavía con equipos con Windows XP, no es chiste, además de Vista, 7, 8, 8.1 y varios más. Pero este tipo de ataques, utilizando vulnerabilidades de SMB sin parchear (Windows SMB Remote Code Execution Vulnerability).

Ahora bien, ¿De dónde sale este ransomware? Pues no es más que una combinación de los existentes (encriptan archivos, te piden rescate con amenazas) con las herramienas filtradas de la NSA (National Security Agency) que se publicaron hace unos meses donde se detallaban varios vectores de ataques posibles sin parches que eran explotados por la agencia de inteligencia y que ahora quienquiera puede utilizar contra usuarios desprevenidos (y desactualizados).

Se que muchos prefieren seguir con su viejo y querido Windows 7 o hasta XP, pero señores, es el año 2017, salvo que sean unos genios del backup lo ideal es tener un sistema actualizado y el único que puede lanzar un parche en tiempo y forma es Windows 10, MacOS o Linux en sus últimas versiones. Jugar al héroe con un sistema operativo viejo es ridículo. Además de esto, claro, podemos insistir con usar algún sistema operativo alternativo, pero no viene al caso

Para aquellos que creen que un antivirus es la solución les aviso que... estan equivocados, son bastante colador y por más antivirus hasta que éste reciba una actualización para frenar el ransomware es probable que éste ya haya encriptado tus archivos más preciados.

Según el CCN-CERT español las versiones de Windows afectadas son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016


Es decir, prácticamenete todo lo que hay en mercado hoy en día.

Si tienen alguna de estas versiones les recomiendo ejecutar la actualización de Windows o chequear aquí si estan en peligro (si no suelen actualizar automáticamente 100% de probabilidades de estar en riesgo). El parche (depende verisión, para W10 es KB3213986) está disponible desde Enero así que, por favor, no se arriesguen innecesariamente.

Más sobre este tema aquí, aquí y aquí
Fabio Baccaglioni


PS4: PC Master Race es el nombre de la charla que dio en el evento 33c3 el famoso hacker Fail0verflow (marcan) y cuando digo hacker es de los de verdad, no esos script kiddies que vemos en algún noticiero porque le robaron unas fotos a un famoso, estamos hablando de hackear una P4 a nivel físico y de software.

La demostración, que tienen a continuación en video (dura una hora y con detalles MUY tecnogeeks), es fantástica, no sólo tuvo que hacer un ataque man-in-the-middle en el PCI Express, si, cortando cables, sino que fue exploit por exploit, analizando cada mensaje interno, entenidendo la estructura interna de la PS4 que, si bien parece una PC, no es del todo una PC.

El hacking llegó no sólo a poder instalar y bootear Linux, sino a tener control de la aceleradora 3D (tanto CPU como GPU son de AMD) y poder hacer un uso intensivo de puertos y conexiones, llegando a instalar Steam y jugar al Portal.

Toda la presentación la hace desde, claro, una PS4 y su joystick, y desde el vamos arranca booteando normalmente la PS4 (Firmware 4.05) y pasando a Linux, luego a una GUI bien simplificada para evitar uso de recursos pero toda la presentación la ejecuta ahí. Muy buena demo.

Eso sí, no hay planes de publicación para el exploit, sólo el kernel ultra modificado que se necesitó ajustar para las limitaciones de la PS4, no quieren meterse en los típicos problemas, menos con Sony, y es por arte puro, por el hacking más básico y sano, usar el hardware al máximo.

El único detalle en el video es que Fail0verflow habla más rápido que yo, por momentos es difícil seguirlo si no tenés un buen oído para el inglés, olvídense de subtítulos en algo a esta velocidad, por suerte la presentación está llena de los detalles que tuvieron que superar paso a paso.



Via Wololo
Fabio Baccaglioni


Piensen en los estrenos de las últimas series, en las carreras de F1 o los partidos de fútbol, todos los días decenas de sitios de streaming logran llevarnos esos contenidos que las empresas de medios tratan de evitar. En la mayoría de los casos ni siquiera existe una alternativa paga, ni que uno quiera, no al menos a nivel global.

Esto provocó el nacimiento de dichos sitios y ya sea por streaming directo por HTTP o por Spocast, Acestream o lo que sea hay una buena cantidad de contenidos que se pueden acceder que normalmente nos estarían vedados. Por el momento los canales de TV no tienen mucho para hacer pero los de Cisco dieron con una vieja idea, la marca de agua.

En resumidas cuentas buscan implementar una marca de agua individual para cada cliente de TV por cable, un sistema que detecte y automáticamente le avise al proveedor de cable a quien cortarle la señal. Así directo, el Streaming Piracy Prevention busca dar sólo con la fuente y no con el que consume el stream, cortar la cabeza por la serpiente.

Cisco lo ofrece como un método seguro que deja por fuera a los abogados y las demandas, no hace falta un cease-and-desist, simplemente te cortan el partido de fútbol que estás emitiendo. La forma de implementación requiere incorporar en la señal una especie de watermark que no afecta la imagen en sí (Esteganografía) y luego cuando se encuentra un stream sencillamente se obtiene el ID del cliente.

Cisco coordina esto con la empresa británica Friend MTS quienes son los que detectan y avisan a los proveedores con el nada amistoso Advanced Subscriber iDentification (ASiD). En un primer caso se puede identificar tan sólo al proveedor, por ejemplo HBO identifica que es Cablevisión el que emite, pero el ASiD permite identificar unívocamente al cliente final.

Tengo mis dudas al respecto del sistema, es decir, si hay un método esteganográfico para incorporar la marca de agua en la señal entonces la misma se puede confundir o modificar, al fin y al cabo quien hace el streaming está recibiendo la señal, puede procesarla, modificarla, encriptarla y emitirla, no digo eliminando completamente la marca de agua sino alterándola. También habrá que ver cómo funciona con la compresión. Para que una marca de agua sea invisible tiene que alterar muy poco lo que se transmite, pero he aquí que ante la compresión (que no es 1 a 1, se rompe un poco todo) esos bits inservibles son justamente eliminados y/o modificados.

Tal vez el futuro del streaming "no tan legal" sea el de una imagen no full HD ni 4K, pero que sobrevivirá un tiempo, está por verse

Via TorrentFreak y Cisco
Fabio Baccaglioni


Hace menos de un mes escribí sobre el ataque masivo de 1Tbps contra el ISP OVH que desestabilizó todos sus sitios y clientes.

Hoy el objetivo fue Dyn, un proveedor de DNS, y por ende la dificultad para Twitter, Spotify, Reddit, The New York Times, Pinterest, PayPal entre otros atacados desde la botnet Mirai.

No estamos hablando ya de un sitio de un bloguero, estamos hablando de sitios mayores, la primera liga, el ataque de la herramienta Mirai es la misma que había atacado el blog de Brian Krebs donde tan sólo 145.000 equipos IoT lo habían atacado en septiembre.

Y es allí donde debemos mirar, la enorme cantidad de equipos conectados a la red que no son ni PCs ni teléfonos, routers, cablemodems, cámaras de seguridad, DVRs, y lo más importante: ninguno de estos tiene la más mínima seguridad, son un colador todos.

En muchos casos passwords de admin públicas, o certificados SSH que puede obtener cualquiera, vulnerabilidad total de todo equipo barato chino, la consecuencia es la destrucción de lo que hoy conocemos como Internet en manos del Internet de las Cosas, terrible ironía.

El código de Mirai se hizo públco hace unos días por lo que cualquier potencial atacante se hizo del fuente y hoy podría sencillamente hacerlo cualquiera con deseos y recursos. Puede ser un grupo de hacking, puede ser una represalia por el corte de internet a Julian Assange, puede ser Rusia, puede ser ISIS, puede ser Corea del Norte, puede ser un vago aburrido en un Starbucks, tipos amenazando para obtener bitcoins so pena de ataque, o tal vez una empresa ofreciendo servicios contra estos ataques, ejem.

Pero hay que tener en cuenta otra variable, el ataque de hoy fue aprendizaje y adaptación, no fue uno solo, fueron varios, el tercero recién mitigado por Dyn y estan aprendiendo a hacerlo mejor.

Bienvenidos a una era en la que la censura se puede aplicar más fácil que en ningún otro momento y sin matar a nadie, la "democratización" de la censura, un DDOS y se acabó.