Andrés Sabás es cofundador de Electronic Cats, así mismo cuenta con el proyecto The Inventor House en Aguascalientes, que es un Hackerspace en donde se pueden crear proyectos muy diversos.
Juntos abordamos varias aristas del problema de seguridad en IoT.
El operador del servicio DDoS booter, filtró la semana pasada una lista de credenciales de acceso vía Telnet y direcciones IP de 515,000 dispositivos IoT, routers y servidores. El operador dijo que esta lista fue recopilada escaneado todos los dispositivos conectados a Internet probando credenciales por default y una serie de combinaciones de usuarios y contraseñas conocidas. ¿Pero por qué al operador de un servicio de ataques de DDoS se le ocurriría publicar la lista que probablemente le sería de utilidad? En un comunicado, el operador dijo que ya no necesitaba más esos dispositivos, que su servicio había mejorado y ahora realiza ataques con dispositivos más poderosos en servicios en la nube.
¡Ya están abiertos los Call for Papers para varios eventos! Para la gente de la comunidad de software libre les comento que ya está abierto el Call for papers del Instituto Tecnológico de Toluca para la edición 2020 de su FLISOL. El evento ya tiene fecha y se realizará el 27 de marzo de 9 a 19h en el propio instituto. Los interesados manden un mensaje directo para hacerles llegar el medio de contacto. Para nuestros amigos programadores, se vienen dos eventos importantes este año. Ya viene la primera edición del JS Conf México, un evento para los programadores de front-end, que se realizará en CDMX los días 4 y 5 de mayo. Tienen abierto su call For papers y puedes postularte en el sitio jsconf.mx. También en mayo 22 y 23 se realizará la conferencia RustLatam ahí mismo en CDMX. Si programas C y C++, y todavía no conoces el lenguaje Rust, creo que ya va siendo el momento de acercarse. Rust, entre otras cosas, evita errores de apuntadores y evita, en muchos casos, las vulnerabilidades de stackoverflow. Así que si no te has acercado a Rust, es momento de hacerlo y, si ya lo conoces, envía tu propuesta de ponencia. Podrás encontrar más información en rustlatam.org.
Sextorsiones que buscan intimidar a los usuarios de Google Nest Cam: Investigadores de Mimecast reportaron un nuevo tipo de estafa un poco más sofisticada en Los Estados Unidos. Las víctimas reciben un correo electrónico amenazándolos y diciendo que tienen supuestos videos íntimos. Lo que deben hacer para poder ver los videos que están en su posesión es entrar a una cuenta de correo electrónico e ingresar una contraseña y leer el correo que está ahí guardado llamado “léeme”. Posteriormente reciben otro correo con el link donde podrán descargar los videos y les piden pagar 500 euros en Bitcoin, tarjetas de Amazon, Google, Apple o Best Buy. El material que se puede descargar pudo haber sido descargado de cualquier cámara del hogar y no se distinguen bien los rostros. https://www.hackread.com/new-sextortion-scam-recording-hacked-google-nest-cam/
Ahora puedes usar tu iPhone o iPad, con iOS 10 o posterior, como llave de seguridad física para iniciar sesión de forma segura en tu cuenta de Google. Esta opción ya está disponible en Android desde Febrero 2019. Esta es una muy buena forma de proteger tu cuenta contra ataques de phishing o ataques de reuso de contraseñas, ya que nadie podrá acceder a tu cuenta por que tu iPhone funciona como una llave física que necesita estar presente durante la autenticación a tu cuenta de Google. Lo único que necesitas es instalar la app Google Smart Lock en tu dispositivo, parear tu dispositivo con tu laptop via Bluetooth y acceder a la sección Programa de Protección Avanzada para realizar la configuración. La aplicación almacena sus claves privadas en el Secure Enclave del iPhone, un procesador separado dentro de los iPhones modernos que maneja información biométrica como su huella digital, Face ID y otros datos criptográficos, es por eso que solo está disponible en iOS 10 y superior.
¿Recuerdan la noticia de que alguien había vulnerado el teléfono de Jeff Bezos? Pues hay avances en la investigación. Resulta que tras un análisis forense el teléfono de Jeff, que diariamente manejaba una subida de 430KB, aumentó a cerca de 126MB de subida diaria justo después de haber recibido un mensaje de Mohammed bin Salman, el príncipe Arabia Saudita, a través de Whatsapp. Esto ya se hizo una historia de complot internacional entre las intenciones de Mohammed bin Salman de aumentar la inversión occidental en Saudiarabia y el hackeo hacia el dueño del Washington post que desencadenaría en la muerte de uno de sus corresponsales. No se sabe qué información de Jeff se filtró, pero como quien dice, ya están en eso.
Los 10 mensajes sobre ciberseguridad que se están discutiendo en el Foro Económico Mundial en Davos, Suiza.
Donald Trump se paseará por los Alpes Suizos, mientras los Senadores estadounidenses comienzan su juicio político o impeachment y determinan si presionó o no al presidente de Ucrania para investigar al exvidepresidente Joe Biden… pero bueno… el Foro Económico Mundial ha sido uno de los más preocupados para concientizar a los más altos niveles sobre las implicaciones que pueden tener los fallos de seguridad y estos son los mensajes que quieren enviar a los mandatarios en 2020:
Los ciberataques están creciendo en cuanto a frecuencia y sofisticación se refiere. Es responsabilidad del sector privado y público tomar acción y generar confianza digital para los ciudadanos.
Los miembros de consejo y directivos deben comprender los riesgos a los que están expuestos y preparar una estrategia
Las organizaciones deben mejorar la administración de sus crisis, desarrollar una respuesta holística y planes de recuperación, así como una manera de comunicar hacia diferentes vías de forma precisa.
Los líderes deben promover una cultura de ciberseguridad desde el nivel más bajo, hasta el nivel más alto de la empresa.
Los líderes deben replantearse la estructura organizacional para poder darle más autoridad o gobernanza a la ciberseguridad.
Se deben destinar más recursos a la ciberseguridad, para estar a la par del desarrollo tan rápido que está teniendo la delincuencia.
Debe haber una cooperación global, compartir información entre los sectores públicos y privados, así como las agencias de inteligencia para desarrollar mejores habilidades y talento.
Para mantener un internet seguro y abierto, tanto el sector público y privado deben colaborar
El desarrollo de verificaciones y certificaciones confiables ayudarán a a la resilencia y al aseosramiento de las organizaciones.
El Foro Económico mundial funge como una plataforma neutral para facilitar la cooperación y medir el impacto de este sector de forma global.
Europa intenta dar un poco de cordura a la industria despiadada del hardware de telefonía celular. Se acaba de retomar el trabajo legislativo que busca, obviamente por ley, estandarizar el uso de los cables cargadores de teléfonos. ¿Se les ocurre una compañía que esté en contra de los estándares por miedo a juntarse con la plebe? Pues si, Apple ya dijo que esa medida va a afectar la innovación y que impactará negativamente generando chatarra y costos a los usuarios. Por otro lado, ¿a ustedes les gustaría que hubiera un único conector/cargador que pudiera gobernarlos a todos como bien lo dijera tolkien en el señor de los anillos?
Lo que pasa en tu iPhone, se queda en tu iPhone, pero ¿lo que sube a iCloud se queda en iCloud?. Son varios casos en los que el FBI y otras unidades de inteligencia del Gobierno de los EE. UU. ha solicitado a Apple desbloquear los iPhones de terroristas, pero Apple siempre ha dicho que ni ellos pueden tener acceso a la información almacenada en el iPhone. De hecho, en el caso más reciente, en donde un militar saudí mató a 3 militares estadounidenses, EE. UU. solicitó a Apple el acceso al iPhone del tirador a lo que Apple entregó las copias de seguridad de su iCloud. Después de todo esto, ha salido a la luz que Apple estaba trabajando hace 2 años en un proyecto para implementar el cifrado de punto a punto en iCloud para que la información que fuera transferida de un iPhone permaneciera cifrada en iCloud [Pasa lo mismo con Google Drive], pero el gobierno de los Estados Unidos lo detuvo porque podría dañar sus investigaciones. Durante los primeros 6 meses, el gobierno de los EE. UU. solicitó a Apple el contenido del iCloud de alrededor de 18,000 cuentas.
El gobierno mexicano quiere tener tus datos personales
Hackean el sitio BoingBoing
Paypal invierte 750 millones de dólares en Mercado Libre
Cyber warfare: EE UU vs Irán
El FBI le vuelve a preguntar a Apple si puede desbloquear el iPhone de un atacante
Notas del episodio
Los daños colaterales de un ataque de ransomware – La empresa The Heritage Company, una empresa de Telemarketing de Arkansas, fue víctima de un ataque de ransomware a principios de Octubre del 2019, la empresa decidió pagar el rescate al ver que no podían recuperar sus operaciones, ni su información, durante algunos meses mantuvieron el ataque en secreto y nunca les dijeron a sus empleados, hasta unos días antes de Navidad, tuvieron que suspender sus operaciones y les dijeron a sus 300 empleados que probablemente la empresa cerraría, aunque prometieron intentar recuperar sus operaciones y su información durante los últimos días del año, pero hasta el pasado 2 de enero llamaron de vuelta a sus empleados y les dijeron que la empresa cerraría permanentemente ya que no pudieron recuperarse del ataque y que les deseaban suerte.
El gobierno mexicano quiere contar los datos biométricos, dígase huellas digitales, rostro e iris de todos los mexicanos. Un documento filtrado al periódico el Universal, habla de una posible inversión de 600 millones de pesos. El objetivo es evitar el robo de identidad, del cual según el mismo artículo, México es el número 8 a nivel mundial. ¿Suena bien verdad? Sin embargo, la preocupación inmediata que le surge a casi todos los versados en sistemas, es la protección de esos datos. Ya se han dado casos en donde se filtra el padrón electoral por malas prácticas en servidores en AWS. Y, aunque en México se encuentra vigente la Ley General de Protección de datos personales en posesión de sujetos obligados, sólo contempla una amonestación pública y en el caso más grave una sanción que, al 2020 sería equivalente a 130mil míseros pesos. En Creadores digitales realizamos una mini encuesta en twitter que nos arrojó los siguientes resultados: 73% contestó que se siente asustado(a), 16.2% son indiferentes, 8.1% no sabe lo que son biométricos y 2.7% se siente seguro(a) con la medida.
Hackean el sitio BoingBoing. Estimados lectores de @BoingBoing: a las ~ 11:30 EST del 10 de enero, una parte desconocida inició sesión en nuestro CMS utilizando las credenciales de un miembro del equipo de BB. Procedieron a instalar un widget en nuestro tema que les permitió redirigir a los usuarios a una página de malware alojada en un tercero. Debido a la naturaleza de la publicidad programática, primero asumimos que se trataba de un adscript malicioso, y pedimos a los reporteros iniciales que informaran esta actividad a través de la página de informes de «anuncios incorrectos» de nuestro Ad Partner. Si bien en este caso, el código malicioso no se originó en un anuncio, * sí * permitió que nuestro socio publicitario eventualmente nos notificara los detalles del ataque. Una vez que esto se confirmó, eliminamos el código infractor inmediatamente de nuestros servidores y nuestros socios de CDN. Boing Boing es un publicación estadounidense fundada en 1988 como revista que logró una tirada máxima de 17 500 copias, pasó a Internet en 1995 y es un blog desde el 2000. Boing boing es un referente de la cultura cyberpunk. Les rodea la actualidad tecnológica, gadgets, ciencia ficción, propiedad intelectual y la política de izquierda. Todo el contenido está bajo licencia Creative Commons.
Paypal invierte 750 millones de dólares en Mercado Libre a través de de la compra de acciones comunes. La meta de Mercado Libre es incrementar su presencia de marca en todo américa latina, por eso puso a la venta 1,850 millones de dólares en acciones. No está claro si eso significará una cierta integración entre cuentas de Paypal y MercadoPago pero, de ser así, imaginen el potencial que tendrán ambas empresas cuando, automáticamente, una persona con saldo en MercadoPago pueda hacer compras en Ebay y viceversa. Quien debe de moverse rápido para despuntar es Amazon, quien este año debe de buscar una estrategia mucho más agresiva para responder a este movimiento en el mercado.
Cyber warfare: EE UU vs Irán. El 2 de enero por la noche las fuerzas de Estados Unidos mataron a Qassem Soleimani, ese mismo día se registraron enormes ataques DDoS entre Estados Unidos, Reino Unido, Hong Kong, Rusia, Australia, Francia, Alemania, entre otros.
[ 2 de Enero ] Se detecta un 1er Ataque DDoS hacia/desde Estados Unidos. Se detecta un 2do Ataque hacia/desde Estados Unidos (Aquí participaron varios países de Latinoamérica)
[ 3 de Enero ] Otro ataque DDoS. Países: Estados Unidos, México, Ecuador, Argentina, Brasil, Chile, Gran Bretaña, Países Bajos, Francia, Italia, India, Rusia, etc…
[ 4 de Enero ] Países: Estados Unidos, México, Ecuador, Argentina, Brasil, Chile, Gran Bretaña, Países Bajos, Francia, Italia, India, Rusia, etc… Aquí se unieron más países, por ejemplo de África. Defacement iraní del sitio Federal Deposit Library Program. El Defacement se considera algo muy sencillo. Esto sucedió gracias a que el sitio no había actualizado su Joomla desde el 2012 y usaron una “Inyección SQL” descubierta hace 11 meses que les permitió insertar la imagen en el sitio.
[ 5 de Enero ] Defacement iraní: Banco Comercial de Sierra Leone (Africa).
El FBI le vuelve a preguntar a Apple si puede desbloquear el iPhone de un atacante. La abogada general del FBI, Dana Boente, emitió la solicitud en una carta enviada a su homólogo de Apple la semana pasada. Boente dijo que, aunque los investigadores del FBI habían obtenido una orden de allanamiento para examinar los teléfonos, sus investigadores hasta ahora no habían podido adivinar los códigos de acceso necesarios para desbloquearlos y así descifrar sus contenidos almacenados. Y lo que complica aún más la recuperación de datos es el hecho de que Alshamrani, el atacante de la estación naval aérea de Florida, le disparó a uno de los teléfonos y lo atravesó. Por lo tanto, dependiendo de dónde fue la bala, los datos podrían destruirse físicamente, incluso si pudieran haber sido descifrados. Una portavoz del FBI confirmó que la carta había sido enviada, pero se negó a proporcionar algún detalle en cuanto a su contenido, citando la habitual molestia de que era parte de una investigación en curso. Apple emitió una declaración que decía —Tenemos el mayor respeto por la aplicación de la ley y siempre hemos trabajado cooperativamente para ayudar en sus investigaciones. Cuando el FBI nos solicitó información relacionada con este caso hace un mes, les dimos todos los datos en nuestro posesión, y continuaremos apoyándolos con los datos que tenemos disponibles— Y los representantes de Apple no dijeron si Apple cumpliría con la solicitud del gobierno.
