¿Sabe si le está abriendo la puerta a los hackers?

agosto 11, 2013 · Imprimir este artículo

Si conecta su puerta a Internet, ¿le está abriendo la puerta a los hackers?
Por Danny Yadron

LAS VEGAS — Daniel Crowley puede abrir una cerradura sin siquiera ver la puerta.

Desde su computadora, Crowley también puede desarmar el sistema de seguridad de una vivienda, abrir la puerta de un garaje y apagar las luces. Sólo necesita que esos aparatos estén conectados a Internet, un paso que los consumidores dan cada vez más seguido para controlar facetas de sus vidas a través de teléfonos inteligentes y tabletas.

Crowley, un joven de 27 años del estado de Texas, con un corte de pelo moderno, no tiene pinta de ladrón. Más bien, el consultor de la firma de seguridad Trustwave Holdings Inc. es uno de los miles de investigadores informáticos —algunos los llaman piratas informáticos o hackers— que llegaron a Las Vegas la semana pasada para hacer alarde de las numerosas formas en que pueden usar la tecnología para hacer cosas terribles.

Actualmente, la piratería informática no está limitada a computadoras o teléfonos inteligentes. Cuando hace poco los hackers chinos atacaron la Cámara de Comercio de Estados Unidos en Washington, se descubrió que un termostato en un edificio de la Cámara enviaba señales a China.

A medida que más aparatos domésticos —estufas, bombillos, e incluso inodoros— pueden ser controlados en línea, ofrecen nuevos caminos para que los hackers hagan daño.

La semana pasada dos investigadores mostraron cómo pueden hacer que un nuevo televisor de Samsung Electronics Co., que cuenta con una cámara, lo observe. Una de ellas mostrará que lo puede hacer incluso su usted cree que el aparato está apagado.

“Samsung toma muy en serio todas las preocupaciones sobre la privacidad del consumidor y la seguridad de la información”, indicó la empresa en una declaración escrita. Sugirió, entre otras soluciones, ajustar la cámara para que quede cubierta, o desconectar la televisión de Internet cuando no se usan sus funciones en línea.

Por diversión, Crowley hace poco también tomó el control de un inodoro automático fabricado por Lixil Corp., una firma japonesa, de forma que lo podía hacer tirar la cadena o reproducir música, una de sus funciones promocionadas, controlándolo de forma remota. Lixil no respondió a un pedido de comentarios.

La parte seria es que los llamados electrodomésticos inteligentes presentan desafíos de seguridad distintos a las computadoras. Por un lado, ofrecen una posibilidad de hacer daño físico de una forma que no es posible al leer el e-mail de otra persona. Es más, esos aparatos no suelen recibir la misma encriptación y las pruebas contra hackers que los teléfonos y computadoras.

“A medida que aumentamos la inteligencia de todo, realmente significa más superficies de ataque”, indicó Aaron Grattafiori, un investigador en seguridad de iSEC Partners en San Francisco que es uno de los investigadores que hackeo un televisor Samsung.

“Muchas veces los fabricantes se preocupan por el tiempo para llevar un producto al mercado y las fechas límite, y no realizan ningún control de seguridad”, sostuvo David Bryan, un consultor en seguridad de Trustware, quien trabajó para la firma estadounidense en el proyecto de ataque informático a una vivienda junto a Crowley.

Bryan y Crowley tomaron control de una variedad de aparatos conectados a una red doméstica que funcionan como centros inalámbricos que pueden usar los consumidores para controlar su casa

Una red, llamada VeraLite, fabricada por la firma de Hong Kong Mi Casa Verde, se conecta con electrodomésticos que usan tecnologías nuevas conocidas como Z-Wave e Insteon para comunicarse con electrodomésticos compatibles.

Los consumidores usan sus redes domésticas de Wi-Fi para controlar los aparatos desde sus computadoras o teléfonos. El problema: esas redes, incluso si tienen contraseñas, usan tecnología que es muy fácil de descifrar.

Crowley afirma que alertó a Mi Casa Verde pero que no arreglaron la falla.

La empresa sostiene que sus aparatos son seguros, según un vocero.

Kwikset, la empresa de cerraduras, no respondió a pedidos de comentarios.

Crowley y Bryan dijeron que depende de las empresas fabricar productos más seguros para vender.

Pero el sentido común también podría tener su papel. “Quizás podrían no conectar algo tan importante como la cerradura de una puerta a la red”, indicó Crowley.

Fuente: The Wall Street Journal, 05/08/13.

Descargue gratuitamente el e-Book: Cuidadado-con-el-Phishing-v2012-10

Artículos relacionados:

Protéjase del Robo de Identidad y los Fraudes Fiscales

Sony advierte sobre los riesgos de una nueva era de cibercrimen

La Seguridad de los Datos Personales en Internet

————————————————————

Los cinco ‘hackeos’ más temibles que quizá ni siquiera imaginas
Por Heather Kelly

(CNN) — Si algo puede conectarse a una red, puede hackearse. Las computadoras y los teléfonos son blancos populares, pero también lo son los autos, los sistemas de seguridad doméstica, los televisores y hasta las refinerías petroleras.

Ese fue el mensaje que se transmitió en las conferencias anuales de seguridad para computadoras Black Hat y DefCon, celebradas la semana pasada en Las Vegas. Las conferencias anuales atraen a una mezcla de investigadores sobre computadoras y hackers que presentan los fallos y las vulnerabilidades que descubrieron recientemente. Es una combinación de servicio público, negocio y hobby.

Estos son algunos de los blancos más populares de los que se trató en las conferencias de este año. Al llamar la atención sobre ellos, los “hackers de sombrero blanco” esperan animar a los diferentes fabricantes e industrias a aumentar la seguridad y a los consumidores a prestar más atención.

Típicamente, los presentadores informan a los fabricantes sobre los fallos antes de dar sus conferencias para que las empresas puedan arreglar los problemas antes de que los criminales los aprovechen.

1. Autos a control remoto

El que alguien hackee tu computadora puede ser una molestia. El que alguien hackee tu auto puede ser letal. El viernes pasado se realizaron dos presentaciones sobre el hackeo de autos en la conferencia DefCon. El hacker australiano Zoz enumeró los problemas de seguridad a los que se enfrentarán los autos totalmente autónomos y dijo que su hackeo es inevitable.

Los vehículos autónomos como autos y drones son esencialmente robots y dependen de sensores para funcionar. Dijo que en teoría, un hacker podría apoderarse por completo del control de un auto por medio de las redes inalámbricas o engañar a los distintos sensores para que muestren al conductor datos falsos sobre ubicación, velocidad y proximidad de otros autos u objetos.

Aún faltan varios años para que existan los autos totalmente libres de conductor, pero ya es común encontrar sistemas computarizados en los vehículos que circulan actualmente. Las unidades de control electrónico pueden controlar varias funciones del auto como el frenado, la aceleración y la dirección. Manejan funciones de seguridad, indicadores dentro del auto e incluso cinturones de seguridad.

Los investigadores Charlie Miller y Chris Valasek estudiaron el daño que los hackers podrían hacer a un auto al tomar el control de un Prius, de Toyota, y de un Escape, de Ford, con apoyo de una beca de la Agencia de Investigación de Proyectos Avanzados de Defensa del Ejército de Estados Unidos (DARPA, por sus siglas en inglés).

Para acceder a los sistemas, tuvieron que conectar físicamente una computadora a los autos por medio de un puerto de diagnóstico. Escribieron un software a la medida para poder secuestrar los sistemas de los autos.

Una vez que tuvieron el control, desactivaron los frenos, cambiaron los indicadores para que mostraran velocidades o niveles de gasolina incorrectos y manipularon la dirección y los cinturones de seguridad. Pudieron apagar el motor y jugar con otras características del auto como la bocina y las luces.

Toyota minimizó la demostración y señaló que se están concentrando en las medidas de seguridad para evitar ataques inalámbricos.

2. Poner en riesgo a los smartphones

Los delincuentes cibernéticos solían ganarse la vida con ataques a computadoras personales, lo que propició un lucrativo mercado negro de malware y de los programas antivirus que lo combaten.

El siguiente gran blanco son los smartphones. Los dispositivos móviles no son inmunes a los ataques aunque las tiendas de aplicaciones bien defendidas han mantenido a raya a la mayor parte del malware.

Kevin McNamee demostró que un fragmento de malware pude transformar a un smartphone Android en un “teléfono espía” que vigile a distancia a su dueño y envíe información sobre la ubicación, comunicaciones y contenidos —como fotografías— a un tercero.

La intrusión no es nueva, pero McNamee se las arregló para inyectar el código malicioso en aplicaciones populares como Angry Birds. Una vez instalado, el usuario ignoraría que su teléfono está actuando como un dispositivo de vigilancia a distancia.

Los investigadores de seguridad de iSEC Partners penetraron en las femtoceldas de Verizon —pequeñas cajas que se usan para extender la cobertura del servicio celular— e interceptaron llamadas y otros datos que se enviaron por medio de las redes celulares, como mensajes de texto, imágenes e historiales de exploración. El proveedor de servicios inalámbricos publicó una actualización para reparar todas sus femtoceldas, pero los investigadores dicen que otras redes podrían tener el mismo problema.

Con un equipo con valor de 45 dólares (580 pesos), los investigadores Billy Lau, Yeongjin Jang y Chengyu Song transformaron un aparentemente inofensivo cargador para iPhone en una herramienta para recabar información como contraseñas; correos electrónicos y otras comunicaciones, y datos de localización directamente del smartphone. Apple agradeció a los investigadores y señaló que presentará un remedio para la falla en su actualización de software del iOS 7 que saldrá este año.

3. Un hogar demasiado inteligente

Gracias a los sensores baratos y de bajo consumo de energía, cualquier cosa en casa puede volverse un dispositivo inteligente y puede conectarse a internet para que puedas controlarlo desde una computadora o un smartphone. Los dispositivos de seguridad doméstica tienen el potencial de causar el mayor daño si se los hackea y en dos demostraciones independientes se mostró cómo entrar en una casa al abrir las cerraduras inteligentes de las puertas principales.

Otra tendencia inquietante revelada en las conferencias es la de espiar a las personas sin que se den cuenta a través de sus propias cámaras. Cualquiera que quiera entrar en la casa puede desactivar las cámaras domésticas de seguridad, o las pueden transformar en dispositivos de vigilancia remota. Un investigador demostró lo fácil que es tomar el control de la transmisión de video de un juguete infantil desde una computadora.

Los investigadores Aaron Grattafiori y Josh Yavor encontraron fallos en el modelo 2012 del televisor Samsung Smart TV que les permitió encenderlo y ver una transmisión de video desde la cámara del dispositivo. Samsung señaló que había publicado una actualización de software para reparar el problema. (Muchos expertos en seguridad sugieren que coloques un trozo de cinta sobre cualquier cámara si no quieres que te observen, solo por si acaso).

4. Los hackers se lo toman personal

Incluso tras las revelaciones que la NSA hizo este año, es perturbador pensar en un dispositivo casero de vigilancia que detecte fragmentos de datos procedentes de tus diversos dispositivos de cómputo aún cuando no estén en línea.

Brendan O’Connor, quien dirige una empresa de seguridad y está terminando la carrera de Derecho, creó ese dispositivo al que llamó CreepyDOL (DOL significa localizador de objetos distribuidos, creepy significa perturbador). Fabricar el dispositivo costó 57 dólares (730 pesos) y consiste en una computadora Raspberry Pi, un puerto USB, dos conexiones para wi-fi, una tarjeta SD y una batería USB dentro de una caja negra común.

Las computadoras y los teléfonos actúan como dispositivos de rastreo y filtran información constantemente, de acuerdo con O’Connor. Cuando se conecta, el CreepyDOL detecta a los teléfonos y computadoras cercanos y los usa para rastrear la ubicación de las personas y sus patrones, descubre quienes son, a dónde van y qué hacen en línea.

Para demostrar el dispositivo sin violar la ley, O’Connor mostró cómo uno de los dispositivos detectó su propia información. Por medio de un motor de juegos y de Open Street Maps, se colocó sobre su punto en un mapa. Surgió su nombre, su dirección de correo electrónico, una foto, el nombre del sitio de citas que usaba, detalles sobre sus dispositivos y los lugares que frecuenta en la ciudad.

En el peor de los casos —como lo imaginó O’Connor— un malhechor podría conectarse a alguno de los dispositivos que haya en cualquier Starbucks cerca de un edificio en la capital para detectar a un senador y esperarlo a que haga algo comprometedor.

“Encuentras a alguien que tenga poder y lo explotas”, dijo O’Connor.

La sencillez de la creación es notable. Es probable que otras personas tengan conocimientos y equipos similares que exploten las mismas fallas de seguridad en aplicaciones, sitios web, dispositivos y redes.

5. Complejos industriales

Lo más atemorizante fue que en la conferencia se puso énfasis en blancos totalmente diferentes a las personas.

La infraestructura estratégica, como las tuberías de petróleo y gas o las plantas de tratamiento de agua son blancos potenciales para los hackers. Muchas industrias se controlan con sistemas de control de supervisión o de adquisición de datos (SCADA).

Los sistemas son más viejos, fueron instalados en una época en la que no se temía a los ataques cibernéticos y se conectan a internet por medio de un protocolo de red no seguro.

La primera razón por la que los sistemas están conectados es para que sean fáciles de monitorizar. Algunos, como las tuberías de petróleo, se encuentran en lugares remotos.

En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.

Los investigadores Brian Meixell y Eric Forner hicieron una representación de un hackeo a un pozo petrolero falso y usaron unas bombas y un contenedor lleno con un líquido color azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e hicieron que se desbordaran los contenedores al introducir datos falsos en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar una catástrofe ambiental, según los investigadores.

Es posible apagar todo un complejo industrial a 65 kilómetros de distancia por medio de un radiotransmisor, de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su demostración introdujeron medidas falsas, lo que provocó que el dispositivo que las recibió se comportara de forma extraña. Por ejemplo, alguien podría provocar que un tanque de agua desbordara al fingir una temperatura anormalmente elevada.

Las industrias y el gobierno estadounidenses están conscientes de la vulnerabilidad de los sistemas industriales, pero la lejanía y la antigüedad hacen que la actualización sea costosa y difícil. No hay un sistema integrado por medio del que se pueda transmitir software de reparación como en el caso de las computadoras personales.

En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.

Los investigadores Brian Meixell y Eric Forner hicieron una representación de un hackeo a un pozo petrolero falso y usaron unas bombas y un contenedor lleno con un líquido color azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e hicieron que se desbordaran los contenedores al introducir datos falsos en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar una catástrofe ambiental, según los investigadores.

Es posible apagar todo un complejo industrial a 65 kilómetros de distancia por medio de un radiotransmisor, de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su demostración introdujeron medidas falsas, lo que provocó que el dispositivo que las recibió se comportara de forma extraña. Por ejemplo, alguien podría provocar que un tanque de agua desbordara al fingir una temperatura anormalmente elevada.

Las industrias y el gobierno estadounidenses están conscientes de la vulnerabilidad de los sistemas industriales, pero la lejanía y la antigüedad hacen que la actualización sea costosa y difícil. No hay un sistema integrado por medio del que se pueda transmitir software de reparación como en el caso de las computadoras personales.

Fuente: CNN México, 06/08/13.

————————————————————————————-

¡Cuidado!, un hacker podría abrir su puerta

Lo conocen como Cody, tiene 24 años y asegura que ha encontrado la llave maestra para abrir millones de cerraduras electrónicas de los hoteles de todo el mundo.

Su nombre es William Brocious, hacker que, con menos de $50 y un poco de programación, fue capaz de crear un sistema para tener acceso, sin dejar huella, para abrir las puertas de los hoteles, protegidas con tarjetas magnéticas.

El hackeo fue demostrado por Brocious, desarrollador de software de Mozilla, en la conferencia Black Hat Security, en Las Vegas, a inicios de agosto.

Es la reunión mundial de hackers más popular que se realiza cada año desde 1992 y a la que asisten miles de piratas informáticos interconectados, en la que se considera la red más peligrosa y hostil en cuanto a software se refiere.

Según el hacker, al menos 4 millones de cuartos de hotel protegidos por el sistema de tarjetas magnéticas de Onity han sido vulnerados con su invento.

Él asegura que el problema no se puede arreglar fácilmente. Se necesita actualizar el firmware y, para asegurarse de que no vaya a entrar un amigo de lo ajeno, hay que cambiar la cerradura electrónica de cada habitación.

El sistema desarrollado por este experto informático consiste en un dispositivo que funciona como tarjeta universal para abrir cualquier puerta con un sistema de bloqueo de la empresa Onity, líder en el sector.

El dispositivo hace las veces de ganzúa que se introduce en el cerebro de la cerradura y que lee el código magnético.

Al respecto, los directivos de Onity dijeron que estarán atentos al trabajo de Brocious y que solucionarán los posibles problemas que causen su hallazgo, debido a que la empresa tiene alrededor de 10 millones de cerraduras instaladas en hoteles de todo el mundo.

“Vamos a revisar y analizar la presentación y cualquier otra información que se publica sobre este tema”, dijo la compañía a la BBC en un comunicado.

En la cita de Las Vegas, el hacker dijo que había descubierto que la memoria de cada cerradura estaba expuesta a cualquier dispositivo que intente leerlo a través de un puerto de alimentación. Pero no todas las pruebas fueron satisfactorias.

La revista Forbes lo llevó a un hotel de Nueva York para que demostrara su invento. Después de probar su dispositivo en tres puertas, solo pudo abrir una.

Según dijo, la falla se debió a un problema de sincronización porque debe hallar una ventana de escasos segundos para abrir las cerraduras.

Brocius descubrió que las cerraduras también pueden ser abiertas cuando se agota su batería y reveló que hizo sus hallazgos mientras trabajaba como director de Tecnología de la empresa Plataforma Unificada de Gestión, que busca competir con los grandes de la industria de cerraduras de hotel.

Fuente: hoy.com.ec, 03/09/12.

El hacker Cody.

banner CEP 01 click aqui

Comentarios

Algo para decir?

Usted debe estar logueado para escribir un comentario.