Te hacemos fácil la tecnología

crackear

Hackeos Memorables: El código fuente del Half-Life 2

axelgameAxel Gembe alias “Ago”, era un joven hacker de apenas 18 años amante del Half Life, tal era su pasión que un día decidió comprobar si era capaz de colarse en la red de la compañía que lo desarrollaba. Empezaba el verano del 2003 y se produciría una de las intrusiones más importantes de la década.
Según el mismo declaró, mediante una transferencia de zona DNS localizó un servidor de una compañía externa (Tangis.com) ubicada dentro de la red del popular juego. Este sistema tenía una configuración incorrecta en el servidor web que permitía la subida de ficheros de forma arbitraría. Guardó un ASP y consiguió ejecución de comandos. Aquel servidor que debía estar en una DMZ aislado mediante el cortafuegos, tenía acceso directo a la red interna y al resto de equipos que la componían. Demasiados fallos que no pasaron desapercibidos.

Más tarde, mediante un usuario llamado “Build”, con derechos de administrador del dominio  y sin contraseña, volcó los hashes del PDC, que crackeó usando tablas rainbow. En aquel momento Valve había agregado un nuevo empleado sin nómina y ellos no lo sabían.

Desde junio hasta octubre Gembe se dedicó a comprometer sistemáticamente y sin ningún tipo de precaución hasta 13 sistemas distintos. En los sistemas Linux montaba el rootkit adore, con el que ocultaba procesos y sus accesos, también hacia uso de vtun, para establecer comunicación directa con el PC de su casa, al que llamaba desde direcciones DNS dinámicas.  En las estaciones de trabajo Windows instalaba una versión modificada de PuTTy, el cliente de SSH, que guardaba un registro de todas las pulsaciones de los administradores. También se comentó, que podría haber infectado con otros mecanismos los equipos usando PcAnywhere, aunque Axel siempre lo desmintió.

(más…)


John McAfee entregó PC infectadas para espiar funcionarios de Belice

mcafee

A unas semanas de haber sido deportado a Estados Unidos, el empresario estadounidense John McAfee aseguró haber mantenido una operación para espiar a funcionarios estratégicos del gobierno de Belice.

A través de su blog personal, McAfee indicó que durante su estadía en el país centroamericano regaló cerca de 75 equipos de cómputo infectados con malware para monitorear la actividad de los empleados gubernamentales.

El especialista en seguridad informática relató que las PC  fueron entregados a policías, ministros, jueces y funcionarios de alto rango con el pretexto de brindarles un presente a cambio del buen trato que le habían brindado. Dichos equipos permitían que McAfee tuviera acceso al nombre de usuario, contraseña y claves de sus víctimas.

(más…)


Google Chrome fue el primero en caer durante el Pwn2Own 2012

 Después de ofrecer abultadas sumas de dinero a quien lograra hackear Google Chrome, el navegador fue el primer abatido durante el evento de hacking Pwn2Own 2012. Esta hazaña se le debe a la polémica compañía francesa Vupen, conocida por vender las vulnerabilidades de programas a gobiernos de otros países.

Aunque no se dieron mayores detalles sobre cómo se logró este hackeo, se sabe que utilizaron un par de exploits de día-cero para escapar de la caja de arena (o sandbox) de Chrome y tomar el control de una PC con Windows 7 SP1 a 64 bits con todas sus actualizaciones en un lapso de cinco minutos. Como parte del nuevo formato de competencia de Pwn2Own, Vupen se ganará 32 puntos por este ataque exitoso.

Según Chaouki Bekrar, miembro de Vupen, su equipo trabajó por seis semanas para encontrar las debilidades de Chrome y escribir el código de los exploits. El primero se trató de un mecanismo para esquivar la protección DEP y ASLR en Windows. El segundo se enfocó en romper la seguridad de la caja de arena. Afirmó que la táctica de quebrantarle el orgullo al navegador de Google fue deliberada.

Bekrar no mencionó si se utilizó el código de terceros para afectar al navegador y aunque se hizo la instalación por defecto, eso no tendría importancia. Cabe recordar que el año pasado publicó en Youtube un método similar aprovechando una vulnerabilidad en Adobe Flash, pero Google cuestionó su validez. Vupen pretende que uno de los exploits sea vendido mientras que el código de la caja de arena de Chrome “estaría reservado a sus clientes”.

Aún así, Bekrar alabó el sistema de seguridad de los desarrolladores de Chrome, ya que no fue sencillo crear un método efectivo para esquivar esta protección. Y finalizó: “Esto demuestra que cualquier navegador, o cualquier software, puede ser hackeado si hay suficiente motivación y habilidad”.


Estados Unidos prueba como capturar delicuentes en todo el mundo usando Twiiter

Una cacería mundial comenzará a fines de marzo, cuando se lance el proyecto del Departamento de Estado de Estados Unidos para capturar a un grupo de supuestos delincuentes, usando Twitter. En primera instancia se trata de un concurso, donde el equipo que logre atrapar a los ladrones obtendrá un premio de USD$5.000. La idea detrás de esto es demostrar a las agencias de inteligencia y policías que pueden atrapar a sospechosos que están en fuga usando sólo su ingenio y las redes sociales.

Bautizado como “Tag Challenge”, este no es el primer concurso en aprovechar a las masas en la red para descubrir información o buscar personas.  Sin embargo, ésta podría ser la simulación de mayor escala que se haya realizado de este tipo entre agencias de gobierno.

Cinco ladrones de joyas están sueltos en Nueva York, Washington, Londres, Estocolmo y Bratislava. A las 8 am de cada ciudad del 31 de marzo, los organizadores del concurso publicarán una foto de cada ladrón. Los concursantes tendrán luego 12 horas para buscarlos y subir una foto de ellos cuando los encuentren al sitio de la competencia.

Cómo lograrán eso los equipos, es un misterio que deberán resolver los concursantes. Encontrar a una persona entre millones no es fácil, y está claro que requerirá la colaboración entre muchas personas.

Las fotos de “los más buscados” han sido una estrategia usada por la policía por muchísimos años, pero hacerlo a través de redes sociales y esperar que otros los encuentren al mismo tiempo en cinco ciudades es nuevo.


Prisión para estudiante británico que pirateó Facebook

Un estudiante de programación informática británico fue condenado este viernes en Inglaterra a ocho meses de prisión por haber pirateado al gigante de la redes sociales Facebook, un asunto que motivó una investigación del FBI.

Glenn Mangham, de 26 años, reconoció haber pirateado Facebook entre abril y mayo de 2011 desde la casa de sus padres en York, en el norte de Inglaterra, aunque explicó que lo hizo para demostrar los fallos del sistema de seguridad de la red social.
 
Mangham aseguró que ya había hecho lo mismo anteriormente con el portal de internet Yahoo! y que posteriormente explicó a esa sociedad los defectos de su página web.

El fiscal, Sandip Patel, rechazó las alegaciones del joven, aseguró que el pirateo de Facebook no pudo ser “sino malintencionado” y que Mangham “actuó con determinación, una ingenuidad indudable y (…) con un espíritu calculador”.
 
“Es el más grave y el más importante incidente de piratería de una red social al que la justicia británica se ha enfrentado nunca”, añadió.
 
El estudiante pudo destruir “toda la empresa” Facebook e hizo temer un caso de espionaje industrial.
Facebook gastó 200.000 dólares (153.000 euros) para clarificar el asunto, que dio lugar incluso a una investigación “concertada, larga y costosa” por parte de la policía federal estadounidense (FBI) y las autoridades británicas, según Patel.
 
Las acciones de Mangham tuvieron “consecuencias reales y consecuencias eventualmente muy graves” que hubiesen podido ser “absolutamente desastrosas” para Facebook, estimó el juez Alistair McCreath para justificar la pena de prisión.


El día a día de un botnet


Botnets,uno de los términos al que más se recurre últimamente en la televisión cuando entra por la puerta grande los ataques de Anonymous, pero ¿sabemos como funcionan? ¿conocemos sus efectos en sus objetivos? ¿como se distribuyen entre miembros de un grupo las shells?
(más…)


Llega la primera demanda contra Sony por la Play Microsoft alerta de un ataque de ‘phishing’ en un juego de Xbox

Más pronto que tarde ha llegado la primera demanda contra Sony por el escándalo de la fuga masiva de datos de jugadores de la PlayStation. La firma californiana de abogados Rothken Law la ha presentado en nombre de un ciudadano, pero se trata de una iniciativa a la que pueden sumarse otros. El argumento es que la brecha de seguridad que ha permitido a un intruso acceder a los datos personales de 77 millones de miembros de la plataforma PlayStation Network (PSN) demuestra que la compañía no tomó las medidas necesarias para proteger datos clave de sus clientes y los alertó con tardanza.

A ello se suman las investigaciones abiertas por autoridades de la protección de datos en Reino Unido o Irlanda y las iniciadas por la fiscalía de Estados como Iowa, Massachusetts, Connecticut y Florida en EE UU. El Ponemon Institute calcula que lo sucedido puede costarle a Sony unos 16.000 millones de euros. Sea o no cierta la cifra, la cotización de la compañía ha bajado un 8% en los últimos días. Según Google Insights, la palabra más buscada estos días es precisamente PlayStation Network.

Sony dio ayer un detalle más sobre la intrusión y aseguró que los datos relativos a la tarjeta de crédito, no el resto, estaban cifrados, lo que dificultaría más el acceso no autorizado aunque no lo haría imposible. En distintos foros empiezan a aparecer testimonios de usos fraudulentos de tarjetas. Estas noticias, sin embargo, son difíciles de relacionar directamente con la brecha de seguridad padecida por la PSN. Uno asegura que un colega ha visto usada su tarjeta en la compra en una tienda alemana por valor de 1.500 dólares (1.020 euros). Dos jugadores informan del uso fraudulento de sus tarjetas por valor de 300 y 600 dólares (204 y 408 euros, respectivamente). Otro reporta que una docena de personas han denunciado cargos en su tarjeta de una compañía aérea alemana y otro denuncia un cobro de 8.000 dólares (5.445 euros) en una tienda japonesa.

Por su parte, Microsoft ha alertado de un problema en la plataforma de la Xbox. Es un conflicto de mucha menor entidad que el de Sony. Los jugadores de Modern Warfare 2 pueden ser objeto de una campaña de phishing (mensaje de correo que intenta obtener datos mediante el engaño). La compañía explica que trabaja para resolverlo.
Fuente:

Publicado con WordPress para BlackBerry.