Archivo

Posts Tagged ‘vulnerabilidad’

Coches, ¿el próximo objetivo de los hackers?

8 de septiembre de 2013 Deja un comentario

carroshackeados

Un grupo de hackers ha conseguido piratear el sistema de algunos coches híbridos, dejando al descubierto puntos débiles en sus sistemas de seguridad.

Parece que el futuro de la automoción es eléctrico. Sin embargo, aunque los coches eléctricos son más respetuosos por el medio ambiente, y los sistemas híbridos están de moda, el contar con tanta tecnología puede ser un punto en contra, si no se cuida la seguridad. Por eso, un grupo de hackers ha demostrado que pueden hacerse con el control de algunos coches, mostrando sus debilidades antes de que personas malintencionadas puedan hacer uso de ellas.

Los expertos en seguridad Charlie Miller y Chris Valasek, dos hackers que trabajan con las empresas para localizar vulnerabilidades en sistemas antes de que otras personas lo hagan, han hecho lo propio atacando sistemas críticos en un Toyota Prius y un Ford Escape, y recogerán sus métodos, investigación y resultados en un documento de 100 páginas que deberá servir para mejorar la seguridad en los coches, sobre todo en aquellos con motores eléctricos e híbridos, que cuentan con una mayor interrelación entre sus sistemas electrónicos y mecánicos.

En concreto, en el caso del Toyota Prius, los hackers lograron frenarlo bruscamente cuando circulaba a 80 millas por hora (casi 130 kilómetros por hora). También pudieron mover el volante, y acelerar el coche. En cuanto al Ford Escape, se las ingeniaron para desactivar sus frenos cuando el vehículo circula a baja velocidad.

Estos hechos, que ya de por sí son peligrosos para los ocupantes del vehículo, pueden serlo aún más si pensamos en un coche que se dirige hacia un grupo de personas, edificios, parques, etc. En el caso del frenazo brusco, si eso ocurriera por una autopista a toda velocidad, las consecuencias podrían ser terribles.

Sin embargo, todas estas pruebas tienen un punto común que hace que no debamos preocuparnos tanto: fueron realizadas conectando directamente los ordenadores portátiles de los hackers al coche, estando ellos dentro del vehículo. Sin duda, esto hace que sean vulnerabilidades mucho menos críticas que si se hubiera tratado de ataques mediante Wi-Fi o Bluetooth, pero aún así, los responsables de Toyota y Ford han confirmado que trabajarán para evitar que este tipo de ataques se puedan producir aunque sea físicamente desde dentro del coche.

En cualquier caso, parece que ya en 2011 se realizaron estudios académicos sobre diferentes formas de atacar la seguridad de vehículos mediante conexiones inalámbricas, aunque esas investigaciones han permanecido en secreto, sin que llegue a saberse siquiera el modelo de coche que se logró hackear.

La tecnología avanza para estar a nuestro servicio (así debería ser), y sin duda nos ofrece grandes ventajas de cara a la automoción del futuro, creando coches más eficientes, con sistemas más inteligentes, y un mayor respeto por el medio ambiente. Sin embargo, no deben descuidarse aspectos como la seguridad de dichos sistemas, ya que de lo contrario podemos encontrarnos con peligros que antes no habíamos pensado, como que alguien pueda dirigir nuestro coche a voluntad, con el riesgo que eso conlleva.

Tomado de: 20minutos.es

Desvían un yate de su ruta manipulando las señales GPS

4 de agosto de 2013 Deja un comentario

Estudiantes de ingeniería de la Universidad de Texas en Austin han conseguido tomar el control de un yate de lujo de 65 metros manipulando su sistema de navegación GPS, sin que la tripulación notara nada.

Lo hicieron con la ayuda de un simple ordenador y de una caja electrónica, con la finalidad de poner en evidencia las lagunas de seguridad de los sistemas de navegación por satélite usados por barcos, aviones y vehículos terrestres.

El secuestro del yate White Rose tuvo lugar en junio pasado y lo cuenta la propia Universidad de Texas en un comunicado. Ocurrió en aguas internacionales del Mediterráneo, próximas a las costas italianas. El equipo de piratas iba en el buque dotado de un ordenador portátil y de una caja GPS especialmente creada para este fin, que cualquiera puede construirse por 1.500 euros.

Con estas herramientas, los estudiantes e investigadores enviaron una señal falsa a las antenas del GPS del yate, que se confundió con las señales enviadas por los satélites para determinar la posición del buque. A continuación aumentaron progresivamente la intensidad de la falsa señal para que dominara sobre la de los satélites, sin que se detectara ninguna anomalía ni saltara ninguna alarma.

Desvío de la ruta

Una vez controlado el sistema de navegación con este sistema, los estudiantes enviaron información falsa a las antenas del GPS, señalando una posición errónea del yate. Para no levantar sospechas, las variaciones respecto a la ruta programada real fueron deliberadamente mínimas.

Cuando el capitán notó el ligero cambio, corrigió la trayectoria para poner el yate en la ruta inicial. En realidad lo que hizo fue situarlo en la falsa ruta decidida por los estudiantes, situada a un centenar de metros de la ruta original. Ni siquiera el cuadro de mandos del buque registró la anomalía.

La experiencia deja al descubierto la posibilidad de que un barco pueda ser engañado electrónicamente para que se dirija a otro destino diferente sin darse cuenta. Para ello no será necesario que el instrumental de piratería esté a bordo, sino que puede estar en otro barco cercano o en un avión no tripulado.

El invento de los estudiantes Jahshan Bhatti y Ken Pesyna, dirigidos por el profesor Todd Humphreys, del Departamento de Ingeniería Aeroespacial y Mecánica del Cockrell School of Engineering, puede funcionar con todos los sistemas de navegación por satélite utilizados en cualquier transporte, marítimo, aéreo o terrestre, ya esté basado en el sistema GPS norteamericano, el Glonass ruso o el futuro sistema europeo Galileo.

Este riesgo es real por la sencilla razón de que las señales de satélites civiles no están cifradas, por lo que es posible interceptarlas y duplicarlas. Codificar estas señales no es sencillo, pero según expertos caro y poco práctico, por lo que el experimento de los estudiantes de la Universidad de Texas lo que ha hecho es poner de manifiesto una brecha de seguridad en los sistemas de transporte que no tiene visas de resolverse.

Tomado de: Tendencias21

En jaque los códigos de seguridad usados por algunos fabricantes de automóviles

4 de agosto de 2013 Deja un comentario

segurocarro

Un investigador de la Universidad de Birmingham, Reino Unido, evidenció la falla en el sistema de seguridad que impide que un auto sea arrancado con otra llave que no sea la original.

La investigación de Flavio García reveló que muchas marcas como Bentley, Porsche, Audi o Lamborghini, utilizan un algoritmo de seguridad para evitar que el auto sea arrancado con otra llave pero que es muy fácil de descifrar para los delincuentes.

La investigación realizada por la Universidad de Birmingham iba a ser publicada en el simposio de seguridad Usenix que se celebra en agosto en Washington DC., pero un tribunal británico prohibió a Flavio García, desvelar su importante descubrimiento que afectaría los sistemas de seguridad de miles de vehículos.

Según el juez, la publicación de la información obtenida por García pondría en peligro miles de vehículos, que serían susceptibles de ser robados. Por su parte el grupo Volkswagen, pidió a los investigadores que publiquen el artículo sin los códigos, para no poner en peligro la seguridad de sus modelos; sin embargo los autores se han negado.

Aduciendo su idoneidad científica y académica, García y sus colaboradores declaran que la investigación es un trabajo legítimo y responsable, cuyo objetivo es mejorar la seguridad de los vehículos y no dar una mano a grupos criminales que puedan utilizar los códigos para ‘hackear’ autos de alta gama. Además, el público tiene derecho a saber las debilidades en seguridad a las que se expone. La industria y los criminales saben que la seguridad es muy endeble, pero el público no, agregó.

DATO

Este algoritmo de cifrado, llamado Megamos Crypto, se encarga de validar la identidad de la llave de arranque.

Un fallo en la tarjeta SIM que podría llegar a arruinarte

4 de agosto de 2013 Deja un comentario

celular

Los móviles ya son el objetivo favorito de los hackers. Mientras algunos idean estafas absurdas pero muy efectivas para llenarse los bolsillos, otros se tiran años y años para encontrar una puerta de acceso que les permita vulnerar su seguridad.

Este es el caso de Karsten Nohl, un doctor en ingeniería que ha descubierto como acceder a una tarjeta SIM, duplicarla y utilizarla para enviar mensajes premium sin que la víctima se entere absolutamente de nada hasta que se pegue el susto de su vida al mirar la factura a fin de mes.

Nohl, que la semana que viene presentará su hallazgo en la Black Hat Security Conference de Las Vegas, ha tardado tres años en encontrar un fallo de seguridad en las SIM. Esta vulnerabilidad no afecta a todas las tarjetas, solo a aquellas que utilizan el sistema de cifrado DES (Digital Encryption Standard) creado por IBM en los años 70, es decir al 8% de las tarjetas SIM que hay en el mundo.

El método ideado por Nohl consiste en un mensaje de texto oculto -el receptor no se enterará que lo ha recibido- que llega al teléfono de la víctima mediante un protocolo llamado OTA (Over-the-air programming). Este sistema es el mismo que utilizan las operadoras para actualizar la información de nuestras SIM, sin que nosotros seamos conscientes de ello.

El código que contiene la transmisión maliciosa accederá a la SIM y la replicará a distancia. Con esa información, el hacker podría, por ejemplo, enviar cientos de mensajes premium que tendrá que pagar la víctima. Sería el equivalente a clonar una tarjeta de crédito y comprar compulsivamente con ella.

Las operadoras estadounidenses Verizon y AT&T han asegurado a la revista Forbes que las tarjetas SIM de los móviles que venden disponen de un sistema de triple cifrado que no puede ser vulnerado por el sistema de Nohl. Parece que las SIM más modernas son más seguras, pero algunas que todavía hoy en día se venden en países de África son las más vulnerables.

Junto con este hallazgo, Nohl descubrió una vulnerabilidad de las SIM más modernas, las que están instaladas en los smartphones actuales, que le permitiría acceder a datos cifrados de aplicaciones de pago como PayPal. Este último e inquietante hackeo ha sido completamente negado por los fabricantes de tarjetas SIM, como Gemalto. En declaraciones a Forbes, un portavoz de la empresa defiende que con los sistemas de cifrado actuales es imposible acceder a ese tipo de datos.

Tomado de: Finance.yahoo

Google soluciona el grave fallo de seguridad de Android

14 de julio de 2013 Deja un comentario

android

El buscador lanza un parche de seguridad para solventar el agujero de seguridad que afectaba al 99% de los dispositivos Android. La vulnerabilidad fue reparada por los propios fabricantes de terminales.

Recordemos que la semana pasada la firma especializada en seguridad Bluebox dio a conocer un grave fallo en el sistema operativo móvil de Android, que afecta a casi la totalidad de las versiones del sistema y permite tomar el control de los dispositivos y robar sus datos y contraseñas.

El fallo tenía que ver con el proceso de verificación de las aplicaciones Android que se distribuyen a través de las distintas tiendas de apps no oficiales alrededor del mundo. Todas las aplicaciones Android deben estar criptográficamente verificadas, pero esta vulnerabilidad permite modificar este código criptográfico una vez que la app ha sido publicada en la tienda correspondiente, sin que el usuario sea notificado sobre ello.

Gina Sciglian, responsable de comunicación de Android, asegura que el problema está solucionado y no se ha detectado ningún tipo de evidencia que haga sospechar que el troyano se ha extendido por Google Play, así que, según la ejecutiva: «no hay nada de qué preocuparse».

Tomado de: PC Actual

Descubren una vulnerabilidad de Android que permite convertir las aplicaciones en troyanos

14 de julio de 2013 Deja un comentario

android

La compañía de seguridad Bluebox ha alertado de una nueva vulnerabilidad de los sistemas Android que permite convertir aplicaciones legítimas en troyanos, pasando totalmente desapercibido por la tienda de aplicaciones, el teléfono o el usuario. Esta vulnerabilidad afecta a cualquier dispositivo Android lanzado al mercado en los últimos cuatro años. En función del tipo de aplicación, un hacker puede desde robar datos hasta crear una red de ‘bots’ móviles.

Según asegura Bluebox Security en su último informe, el riesgo para los usuarios y las empresas es grande, y se agrava si se tienen en cuenta las aplicaciones desarrolladas por los fabricantes de dispositivos como HTC, Samsung, Motorola o LG, o de terceros que trabajan en cooperación con el fabricante del dispositivo, ya que se otorgan privilegios elevados especiales dentro de Android, específicamente el acceso UID del sistema. Todas las aplicaciones Android contienen firmas criptográficas, que utiliza Android para determinar si la aplicación es legítima y verificar que la aplicación no ha sido alterada o modificada. Esta vulnerabilidad hace que sea posible cambiar el código de una aplicación sin afectar a la firma criptográfica de la aplicación, lo que permite que un autor malicioso engañe a Android creyendo que la aplicación no cambia. “Todo depende de la capacidad de los fabricantes de dispositivos para producir y lanzar actualizaciones de ‘firmware’ para los dispositivos móviles y que los usuarios las instalen. La disponibilidad de estas actualizaciones varían ampliamente dependiendo del fabricante y el modelo de que se trate”, afirma la compañía de seguridad.

Tomado de: 20minutos.es

Categorías:Seguridad Etiquetas: , , , ,

Revelan vulnerabilidades en teléfonos Samsung, independientes de Android

26 de marzo de 2013 Deja un comentario

Logo Samsung

El experto italiano en seguridad informática Roberto Paleari comenta en su blog que a mediados de enero informó a Samsung sobre seis vulnerabilidades que ha detectado en teléfonos de la empresa, operados con Android. El experto recalca que no se trata de vulnerabilidades en la plataforma Android, propiamente tal, sino en aplicaciones y adaptaciones específicas de Samsung, como TouchWiz. Las vulnerabilidades hacen posible realizar distintos tipos de ataques. Los más graves de ellos permiten a las aplicaciones instaladas descargar por cuenta propia programas potencialmente malignos, otorgándoles plenos privilegios, sin contar con autorización, y menos con el conocimiento, del propietario del aparato.

Samsung habría respondido a Paleari, aunque sin confirmar qué planes tiene para solucionar el problema. Hace un mes, la empresa le habría pedido esperar antes de publicar los detalles de las vulnerabilidades, hasta que tuviera disponibles los parches de seguridad correspondientes.

Según Paleari, Samsung le había comentado que todos los parches deben ser necesariamente aprobados por los operadores de telefonía móvil. Éste planteamiento lleva a Paleari a concluir que la solución tomará mucho tiempo. Por lo tanto, ha decidido informar públicamente sobre el potencial de daño de las vulnerabilidades, aunque sin explicar el procedimiento técnico en sí.

El experto agrega que: “Considerando que la mayoría de estos errores de programación pueden ser solucionados fácilmente, sin necesidad de hacer cambios drásticos al software del aparato, debo admitir que esperaba una reacción más rápida por parte de Samsung. Sin embargo, dos meses no fueron suficientes ni siquiera para comenzar el desarrollo de un parche de seguridad. En realidad, no creo que vayan a publicarlo muy pronto tampoco”.

Las vulnerabilidades detectadas por Paleari no son las únicas que afectan a smartphones de Samsung. La empresa de seguridad informática Bkav Corporation informa que la función de bloqueo de los aparatos Samsung Galaxy S III y Samsung Galaxy Note II puede ser eludida mediante la función que permite hacer llamadas telefónicas de emergencia. Al igual que el experto italiano Roberto Paleari, Bkav Corporation también menciona que Samsung simplemente no solucionó el problema. Por ello, comenta que la versión gratuita de Bkav Mobile Security soluciona la vulnerabilidad descrita, incluso tomando capturas de pantalla de los intentos de intrusión. Tales capturas son enviadas directamente por correo electrónico a los usuarios registrados del software.

Roberto Paleari explica en su blog las vulnerabilidades de teléfonos Samsung.

Tomado de: Diario Ti

Categorías:Seguridad Etiquetas: , ,
A %d blogueros les gusta esto: