Jorge Alberto Mussuto Sr.

Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®

Thursday, May 6, 2010

Kits para crackear claves Wi-Fi vendidos en China significan Internet gratis

Kits para crackear claves Wi-Fi vendidos en China significan Internet gratis: "Un vendedor poco fiable en China está haciendo dinero de una vieja y conocida debilidad del estándar de cifrado Wi-Fi mediante la venta de kits para quebrar claves para el usuario común.

En China se están vendiendo online y en bulliciosos bazares unos adaptadores Wi-Fi USB empaquetados junto con un sistema operativo Linux, software para quebrar claves y un libro con instrucciones detalladas. Los kits, anunciados como una forma para navegar la Web gratis, ha atraído a suficientes compradores y la atención que un sitio de subastas Chino, Taobao.com, tuvo que prohibir su venta el año pasado.

Con una de las 'placas de red garroneras,' o 'ceng wang ka'en Chino, un usuario con poco conocimiento técnico puede fácilmente robar contraseñas para conectarse online mediante redes Wi-Fi propiedad de otras personas.

Los kits también son baratos. Un negocio de un bazar de Beijing vendió uno por 165 yuanes (u$s 24), un precio que incluye la ayuda de configuración de un hombre del otro lado del extendido edificio de varias plantas.

La pieza principal de los kits, un adaptador con una antena de 15 centimetros que se conecta al puerto USB, viene con un CD-ROM para instalar su driver y en un CD.ROM live separado que inicia un sistema operativo denominado BackTtrack. En Back-Track, el usuario puede ejecutar aplicaciones que intentan obtener las claves para dos protocolos usados en redes Wi-Fi seguras, WEP (Wired Equivalent Privacy) y WPA (Wi-Fi Protected
Access). Depués de un ataque exitoso con las aplicaciones, llamadas Spoonwep y Spoonwpa, el usuario puede reiniciar indows y usar las claves reveladas para acceder a su red Wi-Fi.

Para quebrar una clave WEP, la aplicación explota una debilidad del protocolo que se conoce desde hace años. Para WPA, capturan la información que es trasmitida en la red inalámbrica y la apunta con un ataque de fuerza bruta para adivinar la clave.

Los investigadores de seguridad dicen que no tienen conocimiento de un kit similar que se venda en otra parte además de la China, aunque tutoriales sobre como quebrar WEP han estado online desde hace años.

Los kits parecen ser ilegales en China y no está claro quien está empaquetando el software junto con los adaptadores USB. Uno de los fabricantes de adaptadores es Wifly-City, una compañía que opera una red Wi-Fi que abarca los cafés y otras áreas en Taipei, Taiwan. Una mujer dde apellido Ren que atendió el teléfono en esa compañía dijo que no proveen el software que a menudo aparece con sus productos.

Un desarrollador de BackTrack dijo que el sistema operativo está destinado a pruebas de penetración (pen-testing), no para ataques maliciosos. 'Parece que BackTrack esta siendo abusado en China para propósitos ilegales. Esto se hace sin nuestro conocimiento o aprobación,' dijo el desarrollador de nombre Muts en un correo electrónico.

A uno de los kits le tomó cerca de una hora para poder quebrar la clave WEP equivalente a la contraseña 'sugar' en un ataque de prueba a un router personal configurado a propósito usando cifrado de 40 bits.

'Dependiendo de varios factores, las claves WEP se pueden extraer en cuestión de minutos,' dijo Muts. 'Creo que el récord es de alrededor de 20 segundos.'

Los ataques de fuerza bruta al cifrado WPA son menos efectivos. Pero aun cuando WEP está desactualizado, mucha gente aún lo usa, especialmente en routers hogareños, dijo un investigador de seguridad en China. Esto significa que un edificio de departamentos es seguro que tendrá redes WEP para ser atacadas por el usuario.

Ya que estos kits capturan paquetes de datos para realizar sus ataques, también pueden permitir a un usuario robar información personal sensible que envíe una víctima por la red, dijo el investigador.

Los kits siguen siendo populares a pesar de las leyes Chinas contra el hacking.

'No importa a donde vaya, podrá usar Internet gratis', dijo el investigador.

Traducción: Raúl Batista - Segu-Info

Autor: Owen Fletcher

Fuente: Networkworld

ClearWire afirma que Samsung y HTC fabricarán nuevos teléfonos 4G

ClearWire afirma que Samsung y HTC fabricarán nuevos teléfonos 4G: "

Filed under: , ,




ClearWire sigue en su empeño de ofrecernos sus redes cuanto antes. En la presentación de sus resultados fiscales, la compañía comentó que tienen previsto lanzar dos terminales WiMAX este mismo año.

Uno de ellos podríamos tener claro que sería el HTC EVO 4G, pero no será así. La empresa ha aclarado que serán dos teléfono totalmente nuevos, uno de ellos por parte de HTC y el segundo, que se ha confirmado que será Android, llegará de la mano de Samsung.

Clearwire espera que su base de abonados total se triplique en 2010, confiando en alcanzar los 2 millones de clientes en Estados Unidos. La llegada a nuevas ciudades de su cobertura ampliará la red 4G hasta cubrir 120 millones de personas para finales de año.

Un distribuidor muestra un desconocido HDD de 900 GB, 2,5 pulgadas y 10.000 RPM

Un distribuidor muestra un desconocido HDD de 900 GB, 2,5 pulgadas y 10.000 RPM: "

Filed under: ,

En el mundo de los discos duros, la unión de factores como el tamaño, la velocidad y la capacidad son determinantes para definir el modelo perfecto, y parece que el número uno está a punto de ser relevado según una lista de próximos componentes del distribuidor de material informático Compellent. Tal y como comenta The Register, el proveedor cita una unidad de 900 GB de 2,5" a 10.000 RPM, además de otro a 15.000 RPM con 300 GB de capacidad. Como podrás comprobar, esas cifras no encajan con ningún modelo del mercado, así que tendremos que esperar a alguna confirmación oficial para conocer finalmente que fabricante es el primero en atreverse con esos discos. Seagate, Samsung, Western Digital... ¿apuestas?

Los límites de Twitter

Los límites de Twitter: "

Interesante infografía que muestra los límites de Twitter que oficialmente se explican en esta página


twitter y sus limites


Visto en Social Media Graphics y no recuerdo quien me lo pasó :S




(CC) mariano for Denken Über, 2010.
Permalink

Pagar con tarjeta Visa desde el iPhone

Pagar con tarjeta Visa desde el iPhone: "

Visa se hizo eco de los pedidos de los usuarios que hace tiempo vienen reclamando un accesorio que les permitiera utilizar su teléfono como medio de pago de tarjetas de crédito, en este caso en particular Visa junto a DeviceFidelity Inc. lanzaron un comunicado de prensa avisando de su nueva funda con formato de accesorio que sirve para pagar con las tarjetas de crédito Visa.


Visa iPhone Pagar con tarjeta Visa desde el iPhone


Al parecer el comunicado de prensa estaba previsto para salir el día de mañana pero que por algún tipo de error de programación del lanzamiento, habría sido liberado un día antes. Tal y como hace tiempo se viene pidiendo, esta especie de funda de Visa se conecta con una aplicación directamente en el iPhone lo que le permite estar protegido por contraseña. Se espera que las pruebas experimentales de este nuevo método comiencen a mitad de año, pero no se aclaran las limitaciones que este sistema pueda llegar a tener, tanto porque todavía no se conocen o porque directamente no se quieren dar a conocer hasta estar seguros.


Según lo que podemos leer del comunicado de prensa, los pagos se podrían realizar directamente al pasar el teléfono (con su respectivo accesorio de Visa incorporado) en uno de los terminales de pagos con tajeta de crédito, tan simple como llevar el teléfono con este accesorio a todos lados, sin la necesidad de que llevemos siquiera la billetera.


La funda en cuestión combinaría la funcionalidad de funda del teléfono con un espacio dedicado exclusivamente para guardar los datos de la tarjeta Visa, que se conecta con la aplicación llamada Visa payWave que funciona tanto en el iPhone 3GS como en el iPhone 3G. Por lo menos en lo que a Estados Unidos respecta, este método de recepción de pago estará disponible prácticamente en todos los lugares donde se acepte Visa como medio de pago.


Una buena noticia es que esta tecnología también funcionará en todos los smartphones que cuenten con slot para tarjetas de memoria, es decir, que no se limitará exclusivamente al iPhone, aunque en un principio si será dedicado para este teléfono. Por ahora cuentan que Visa está experimentando con este tipo de tecnología en Malasia y Japón, donde los consumidores ya pueden realizar pagos con sus móviles en tiendas y restaurantes.


En cuanto a los métodos de seguridad, los pagos mediante Visa Mobile serán procesados mediante la red global de Visa y analizados constantemente para evitar todo tipo de fraude en tiempo real, para que en caso de robos podamos contactar directamente al banco que emitió la tarjeta y que sea cancelada desde todos los medios, desactivando la cuenta en el teléfono celular también.


Vía mobilecrunch



Tutorial de Google permite a desarrolladores jugar de hackers maliciosos

Tutorial de Google permite a desarrolladores jugar de hackers maliciosos: "Google ha publicado un tutorial que le da la posibilidad a los desarrolladores de jugar el papel de hacker malicioso explotando fallas de seguridad reales en una aplicación web simulada.

El codelab está pensado de antemano en una 'aplicación web pequeña y barata' apodada Jarlsberg, que está llena de fallas que pueden ser explotadas para derribar servidores web, realizar ataques de ejecución remota de código, y hacer brotar fugas de información. Se puede descargar y ejecutar en una máquina local para enseñarle de primera mano a los desarrolladores los peligros de la codificación insegura.

El codelab de Google 'Explotación y Defensas de Aplicaciones Web' puede ser utilizado en una configuración de caja negra, en la cual los hackers no están en conocimiento del código fuente de la aplicación que están atacando, o una configuración de caja blanca, en la cual si lo conocen. Jarlsberg está escrito en Python, aunque los hackers, por supuesto, no necesitan ser versados en ese lenguaje para poder hacer picadillo a la aplicación.

El tutorial está diseñado para darle a los desarrolladores - y a cualquier otro - experiencia concreta en la búsqueda y reparación de fallas de seguridad en una aplicación web típica. Está repartido en distintas clases de vulnerabilidades tales como XSS, o cross site-scripting; CSRF, o cross-site request forgeries; y path traversal. Se enseña a los estudiantes no solo como identificar vulnerabilidades específicas sino también como explotarlas para llevar a cabo cierto tipo de ataques.

El código está disponible aquí, y un PDF con la guía del instructor está aquí.

Traducción: Raúl Batista - Segu-Info

Autor: Dan Goodin

Fuente: The Register

Introducción a la esteganografía (III)

Introducción a la esteganografía (III): "

Par acabar con esta breve serie sobre esteganografía, entraremos brevemente en el concepto de estegoanálisis, que como ya se ha comentado en alguna entrada anterior, es la técnica que se usa para recuperar mensajes ocultos o para impedir la comunicación por esteganografía. Básicamente, podríamos hablar de dos tipos principales de estegoanálisis:


Estegoanálisis manual: Consiste en buscar de forma manual diferencias entre el objeto contenedor y el estego-objeto buscando cambios en la estructura para localizar datos ocultos. En este caso es imprescindible disponer del objeto contenedor, y aunque en muchas ocasiones se detecta información oculta resulta imposible recuperarla. Un estegoanálisis manual podría consistir en un escenario en el que a partir de un archivo BMP donde el bit menos significativo de las componentes de algunos de sus píxeles hubiese sido sustituido por información oculta, aplicásemos un filtro de modo que sólo se considere el bit menos significativo de cada componente RGB de cada píxel.


Estegoanálisis estadístico: Consiste en detectar modificaciones esteganográficas mediante la observación de desviaciones respecto a la norma de algunas propiedades estadísticas (por ejemplo, la entropía siempre aumenta). En el caso de tener como contenedor una imagen, se realizaría un cotejo de la frecuencia de distribución de colores del estego-objeto a través de un software especializado. Una de estas técnicas es el ataque Chi-Square, que permite estimar el tamaño de la posible información oculta en un estego-objeto. Es aplicable cuando un conjunto fijo de parejas de valores conmutan de un valor al otro de la pareja cuando se insertan los bits del mensaje oculto. Como indican Arturo Ribagorda, Juan M.Estevez-Tapiador y Julio César Hernández en el documento que les apuntábamos el otro día, Esteganografia, esteganalisis e Internet (PDF), este tipo de estegoanálisis presenta limitaciones importantes, como son a) falsos positivos al procesar gran cantidad de contenidos, b) dificultad en la elección de la norma, y c) gran dependencia del tamaño del mensaje oculto y del medio.


Casualmente hace unas semanas la comunidad científica se ha hecho eco de una nueva técnica que se puede usar para un estegoanálisis. Dicha técnica revela imágenes en objetos ocultos y puede que algún día mejore la capacidad de los pilotos para volar a través de condiciones de poca visibilidad por niebla, o a los médicos a ver con mas precisión en el cuerpo humano sin necesitad de cirugía. Desarrollado por ingenieros de la Universidad de Princeton, el método se basa en la alta capacidad para aclarar una imagen mediante rayos de luz que normalmente hacen que la imagen sea irreconocible (europapress, tendencias21). Dichos resultados han sido publicados en Nature Photonics.


En sus experimentos, los investigadores Fleischer y Dmitry Dylov, empleando materiales ópticos no lineales, restauraron una imagen oculta en un patrón claro de números y lineas. Según Dylov “Es como si hubiésemos tomado una foto de una persona en la oscuridad, y hayamos hecho a la persona mas brillante y el fondo mas oscuro. El contraste hace que la persona se destaque”. Personalmente espero y confío que en el futuro se pueda perfeccionar esta técnica y pueda ser útil y de gran ayuda para por ejemplo diagnósticos precoces en el ámbito médico, o incluso combinándola con otras técnicas sea útil para operar sin cirugía, a través de láser u otro tipo de método ya que el nivel de visión interno sería mucho más preciso.


Para acabar, y en cuanto a software, existe una gran variedad tanto para esconder mensajes (HIP, MP3Stego, JPHide y JPSeek, BitCrypt, S-Tools,BlindSide Cryptographic Tool, StegoVideo, Xiao steganography,OpenStego,…) como para descubrirlos a través del estegoanálisis (Stegdetct, StegSecret, Stego Suite, Stegkit, Digital Invisible Ink Toolkit, StegSpy, SteGUI, Stepic, StegAlyzerSS,…). Queda como ejercicio para el lector interesado indagar en las características y propiedades de cada una de estas aplicaciones. Para ampliar esta y otra información, pueden tirar de la Wikipedia, el documento indicado previamente, el artículo de INTECO, y por supuesto, de los innumerables recursos que aporta Internet.

Blog Archive

Quilts

Where am I?