HACKERS REVELAN GRAVES FALLAS DE SEGURIDAD ALREDEDOR DEL MUNDO
Mostraron la forma de vulnerar diversos sistemas, como las puertas de hoteles, las cajas para guardar armas o los sistemas de reconocimiento del iris humano.
“Si han estado en un hotel últimamente, quizás hayan visto esta cerradura", dijo Cody Brocious, un corpulento experto informático de 24 años, a los asistentes de la conferencia de hackers Black Hat, realizada en Las Vegas.
Brocious le explicó a la audiencia cómo había desentrañado los secretos de la cerradura electrónica que abre las puertas de cerca de 4 millones de habitaciones de hoteles en el mundo, usando una tarjeta.
Provisto de una placa Arduino -que se pueda comprar por US$ 40 y un poco de programación, logró extraer la clave de seguridad de los cerrojos, desencriptarla y almacenarla para poder abrir la puerta. Con esto cualquier tarjeta se puede convertir en una llave maestra.
En vez de decírselo al fabricante, lo publicó en su sitio web.
Según Brocious, en dos días el documento fue descargado 100 mil veces. "Después de pensarlo mucho, decidí que los efectos a corto plazo de esta publicación no superan el daño que se puede causar si la información sólo es conocida por un grupo específico de personas".
El problema es que la falla de seguridad sólo se soluciona cambiando las cerraduras, y todas a la vez, ya que su software interno no es actualizable. Al publicar su hallazgo Brocious quiere evitar que el problema se soslaye y lo usen " hackers malos" para cometer fechorías.
SECRETOS EXPUESTOS
Lo de las cerraduras es sólo un ejemplo de las conferencias que se presentan en Black Hat y Def Con, dos convenciones que se realizaron la semana pasada en Las Vegas.
"La Black Hat y la Def Con son los eventos más importantes del mundo del hacking y la seguridad informática. Los mejores investigadores del mundo disertan en ambos eventos, pero cada uno de ellos tiene su propio espíritu", dice Sebastián Bortnik, gerente de Educación y Servicios de ESET Latinoamérica, que acaba de regresar de ambos eventos.
Para Bortnik, Black Hat es más corporativo, con stands de las empresas proveedoras de seguridad más importantes del mundo y muchas charlas donde se presentan, entre otras cosas, vulnerabilidades recién encontradas. "En la Def Con, se vive un ambiente más distendido, pero sosteniendo la calidad de las charlas y con un espacio de intercambio mucho más amplio", señala.
En la Def Con, por ejemplo, Marc Tobías, de Security Labs, demostró lo sencillo que es abrir las cajas de seguridad que se usan para guardar armas. Y lo hizo a una semana de la matanza en Aurora (Colorado). El especialista se interesó en investigarlas después de que un niño en Canadá fuera asesinado a balazos por su hermano con una pistola guardada en casa. Al probar esa caja en particular, los investigadores descubrieron que se abría con sólo inclinarla y dejarla caer, ya que el impacto la desbloqueaba.
"Pueden abrirse con cables, pajitas o agitándolas", dijo Tobías. De hecho, es posible abrir una caja con una cerradura que se activa con la huella dactilar, tan solo usando un clip. Esto, ya que debajo de la almohadilla del escáner hay un agujero que la destraba. "No se trata de cómo abrir las cajas fuertes, se trata de la facilidad con que se pueden abrir".
El español Javier Galbally, junto con expertos de las U. de West Virginia y Autónoma de Madrid, mostraron en la conferencia Black Hat cómo podían engañar a los sistemas biométricos que usan el iris para reconocer a una persona.
Tomando los datos almacenados en la base de datos de seguridad -que guarda cerca de 5.000 rasgos del ojo-, lograron crear un iris falso que fue reconocido como el original en el 80% de las pruebas. Usando esta técnica cualquiera podría engañar a los sistemas de seguridad.
Otro español, Alberto García Illera, demostró en Def Con cómo era posible penetrar en los sistemas informáticos del metro y el Renfe de Madrid. Usando las máquinas expendedoras de boletos logró emitir tickets con descuentos (como los que se venden a la tercera edad), incluso acceder a la red de cámaras de vigilancia y a información de las tarjetas de crédito de las personas que usaron ese medio de pago. El español dijo que está dispuesto a trabajar con las autoridades del metro para ayudar a solucionar el problema.
No hay comentarios:
Publicar un comentario