Los hackers avisan: cuidado con la seguridad en los coches conectados

El evento de seguridad Def Con que ha tenido lugar en Las Vegas este pasado fin de semana ha servido para demostrar cómo la comunidad de expertos en seguridad y los hackers 'de sombrero blanco' siguen descubriendo todo tipo de mecanismos para infiltrarse en diversos sistemas.

Y entre los protagonistas en estas conferencias han estado los que amenazan la seguridad de los coches conectados. Nuestros vehículos cada vez ofrecen más prestaciones tecnológicas, pero eso implica también importantes riesgos que, afirman, los fabricantes deben tratar de atajar cuanto antes.

Un grupo de hackers redactaron de hecho una carta con cinco requisitos entre los que se contaban las pruebas exhaustivas del funcionamiento de las herramientas digitales de los coches, o un programa de transparencia que permita desvelar vulnerabilidades en el software de estos vehículos del mismo modo que funcionan los programas de informe de vulnerabilidades en software para plataformas como los sistemas operativos móviles y de escritorio.

Los problemas de seguridad en los vehículos son evidentes, algo que demostraron dos expertos en seguridad hace poco en la célebre conferencia de seguridad Black Hat que también tuvo lugar en Las Vegas. Charlie Miller y Chris Valasek estudiaron 24 coches distintos y su nivel de 'hackabilidad'. Las conclusiones del estudio de 93 páginas dejaron claro que los problemas son preocupantes, aunque también es cierto que no lograron controlar remotamente estos coches.

Divide y vencerás

Otra de las ideas clave para mejorar esa prevención de problemas es la segmentación de las diferentes funciones de las redes internas del vehículo. De esta forma, indican, si un hacker (o más bien, un cracker) logra infiltrarse en los sistemas de comunicaciones o de radio del coche, no podría por ejemplo bloquar la dirección.

Como indican en Forbes, incluso se ha creado una propuesta colectiva en Change.org para instar a los fabricantes a dedicar recursos a un problema que hoy en día sigue sin ser contemplado con la suficiente profundidad por parte de los fabricantes. Tal y como se indica en esa petición,

Cuando la tecnología de la que dependemos afecta a la seguridad pública y a la vida humana, ésta requiere que le prestemos el máximo de atención y diligencia. Nuestros coches son un ejemplo de este nivel de atención. Cada día, todos los días, confiamos nuestras vidas y las vidas de los que amamos a los automóviles.

Google y Apple, a ponerse las pilas

Tesla es una de las empresas que más está invirtiendo en este tipo de medidas, y con razón: la empresa fabrica coches en los que la tecnología es parte fundamental -ese es precisamente uno de sus atractivos-, y hace tiempo que tienen en marcha un programa de informe de vulnerabilidades, además de contar con Kristin Paget, antigua responsable de seguridad en Apple, para hacerse cargo de este apartado.

La poca experiencia de la inmensa mayoría de fabricantes en este campo contrasta con las propuestas que algunas empresas han hecho a la hora de integrar tecnología en el campo de la automoción. Apple con CarPlay y Google con Android Auto son las dos plataformas protagonistas, y en ambos casos la seguridad debe ser una máxima de estos desarrollos.

De momento no hay modelos en los que dichas plataformas -cuya integración con los sistemas internos del coche es clara a la hora de monitorizar su estado- estén presentes, pero los fabricantes deberán prestar atención para que estos sistemas operativos destinados al coche no se conviertan en una pesadilla para los conductores.

Original

Seguir leyendo >>

Adiós a los cables, incluso a los de corriente, con esta cámara 'solar': GeckoEye

Ocurre: instalas una cámara de vigilancia en uno de los extremos de una habitación y con ella tiene que ir siempre un cable. Al menos uno, cuando no son varios los que tienes que colocar cuidadosamente hasta ella. ¿Y si las cámaras de vigilancia no tuviesen ningún cable? ¿Y si ni siquiera necesitasen corriente? No, no hablo de baterías recargables, si no de que sean completamente autosuficientes.

GeckoEye nace precisamente buscando ser completamente autónoma. Una cámara de vigilancia con un panel solar en su parte trasera, y que utiliza para recargar la batería interna para mantener su funcionamiento durante 240 horas. Tampoco hay un cable en el que se envíe el vídeo, ya que por supuesto la transferencia es inalámbrica. La idea del conjunto es librarnos de los malditos cables, sea cual sea su función.

¿Y cómo se realiza, entonces, esa transferencia de información? GeckoEye tiene una 'base', denominada Station a la que se conecta por WiFi y que, a su vez, permite gestionar y visualizar el contenido mediante apps móviles de forma sencilla, almacenándolo internamente en sus 128 GB de memoria. La cámara tampoco es un elemento simple, ya que dispone de micrófono, sensor de movimiento, GPS y la resolución capturada es 'HD'. Las aplicaciones son de lo más dispar, aunque sus creadores insisten en que puede usarse para vigilancia del hogar, de niños, garajes, monitor de mascotas o incluso como cámara de coche.

Éste es otro de esos inventos que están en proceso de crowdfunding, en este caso en Indiegogo donde apenas acaban de empezar a recaudar fondos. Los precios de GeckoEye no son excesivos para el dispositivo que es, ya que puede 'reservarse' por 189 dólares el modelo básico (de plástico negro; 229 dólares el de aluminio) o 339 dólares el pack de tres unidades (el número máximo de cámaras que pueden conectarse a la Station; 409 dólares si son de aluminio).

Original

Seguir leyendo >>

Facebook adquiere PrivateCore para reforzar la seguridad de sus servidores

La red social Facebook acaba de adquirir la compañía emergente PrivateCore, especializada en las soluciones de seguridad para la protección de los servidores ante amenazas de malware, accesos físicos no autorizados y dispositivos hardware maliciosos ,según ha señalado en un comunicado Oded Horovitz, CEO de la compañía, sin que se haya desvelado los detalles del acuerdo.

Horovitz señala que la unión de su compañía a Facebook hará que para ellos sean tan emocionante este desarrollo ya que ambas “tienen una misión alineada”. Alaba el hecho de que Facebook haya hecho “más que cualquier otra compañía de conectar el mundo”, y quieren usar su tecnología de servidor seguro permita que dichas conexiones en el mundo sean más seguras.

Continúa indicando que desde el comienzo de la compañía, han estrado trabajando sin descanso en su tecnología para proteger los servidores ante las amenazas antes señaladas, de manera que junto a Facebook, “hay una gran oportunidad” de promover su visión conjunta a escala “con un impacto increíble”. La adquisición permitirá que Facebook vaya introduciendo en el tiempo la tecnología de PrivateCore en su pila para proteger a sus usuarios.

Ante dicha adquisición, Facebook sigue haciéndose más fuerte, apostando por la seguridad de su infraestructura de servidores para evitar posibles amenazas y garantizar el buen funcionamiento del mismo ante los más de 1.280 millones de usuarios de los que dispone en la actualidad.

Por otro lado, también es noticia sobre Facebook la información publicada por AllFacebook, señalando que algunos usuarios están viendo la característica Insightsdentro de aquellos eventos que han creado en sus páginas, en el que acorde a las capturas mostradas, esta característica sólo esta disponible para los eventos creados después del 24 de julio. La misma red social confirmó este hecho ante TNW, señalando que éste es el primer paso para ayudar a las Páginas a obtener una mejor comprensión de lo que funciona y de lo que no en la promoción de sus eventos.

El lanzamiento de la API Graph 2.1 junto con la nueva SDK para Android e iOS, eliminando el soporte para la API Graph 2.0 para el 7 de Agosto de 2016, así como la prohibición del incentivo para el marcado de “me gusta” en las páginas y el uso de plugins sociales mediante recompensas y otras formas, son otras de las novedades que trae en el día de hoy Facebook.

Original

Seguir leyendo >>

La próxima arma contra las falsificaciones será tu aliento

Tu aliento será la prueba definitiva de que el producto que has comprado es totalmente auténtico. Al menos así lo apuntan desde la Universidad de Michigan que han diseñado una nueva etiqueta que muestra una imagen al contactar con aire húmedo.

Tu aliento será la próxima medida de seguridad contra las falsificaciones gracias a una nueva técnica de impresión desarrollada por la universidad de Michigan en colaboración con científicos en Corea del Sur. Este descubrimiento haría posible la creación de una etiqueta con una película que tendría imágenes invisibles que se revelarían al entrar en contacto con aire húmedo.
Lamentablemente aún no se conoce una fecha de disponibilidad
Esta nueva película se ha desarrollado a base de polyuretano y un adhesivo no especificado, para crear nanopilares que puedan servir de soporte para las etiquetas. Estos nanopilares se podrían añadir a plásticos, tejidos, papel, metal vidrio o piel, algo que los haría una opción muy interesante para el mercado de las prendas de lujo y no solo de los medicamentos, tal y como se pensó en un principio. La dinámica de funcionamiento es sencilla: los pilares microscópicos esconden una imagen o palabra y reaccionan con el contacto de aire húmedo, de este modo mostrarían lo que esconden confirmando la autenticidad del producto.

La maquinaria necesaria para producir estas etiquetas es de una sofisticación realmente elevada y, por extensión, su precio estará en consonancia. Así pues se apunta a que tan solo los laboratorios farmacéuticos y las marcas de prestigio puedan optar a hacerse con una de estas. Sin embargo, una vez instalada y funcionando, la impresión de las etiquetas de manera masiva es realmente asequible.

Los investigadores que han desarrollado esta nueva técnica esperan, con la estudiante de doctorado Terry Shyu a la cabeza, confían en poder patentar y comercializar esta solución a través de algunos socios. Y se darán prisa en ello ya que han recibido financiación de muchas partes, incluídos el Ministerio de Ciencia de Korea o el programa "Small Business Technology Transfer" de DARPA.

Original

Seguir leyendo >>

Descubierto el mayor robo de credenciales en la historia de Internet

Un grupo de hackers ruso está detrás del que puede ser el mayor robo de credenciales en la historia de Internet: 1.200 millones de combinaciones de nombre de usuario y contraseña, y más de 500 millones de direcciones de correo electrónico.

Para realizar tamaña fechoría, la banda ha recopilado información de 420.000 sitios web de todo tipo, desde grandes corporaciones a pequeñas webs. La empresa de seguridad Hold Security ha descubierto el hecho, que ha sido publicado por el New York Times.

A petición de este diario, un experto en seguridad independiente de Hold Security ha analizado la base de datos de credenciales robadas, confirmando que es auténtica. Otro experto en delitos informáticos que ha revisado los datos, ha manifestado que algunas grandes empresas son conscientes de que sus registros se encuentran entre la información robada.

Hold Security no ha revelado el nombre de las víctimas, amparándose en acuerdos de confidencialidad y por la reticencia de empresas de renombre cuyos sitios son aún vulnerables. Esta compañía tiene tras de sí importantes descubrimientos de acciones similares en el pasado, entre ellas el sonado robo a Adobe Systems.

Alex Holden, fundador de la citada compañía de seguridad, desvincula la acción delictiva del Gobierno Ruso. El grupo que ha protagonizado el robo incluye al menos una docena de jóvenes en torno a los 20 años de edad, que se conocen a nivel personal, cuyo centro de operaciones parece estar ubicado en una región del centro sur de Rusia, flanqueada por Kazajstán y Mongolia.

Hay una división del trabajo dentro de la banda (dice Holden). Unos escriben la programación, otros están robando los datos. Es como usted se puede imaginar una pequeña empresa; todo el mundo está tratando de ganarse la vida.

Según ha manifestado Holden, su empresa está estudiando una herramienta en lineaque permita a los usuarios probar con seguridad si sus datos han sido comprometidos. Lo que no ha determinado es cuándo puede estar disponible.

La pregunta que más de uno se puede hacer es: ¿y ahora qué? No cabe duda que Internet se ha convertido en territorio comanche, y la seguridad en una entelequia. Algo tiene que cambiar, bien los métodos de autenticación, bien los mecanismos de protección de las compañías responsables de custodiar los datos de sus usuarios.

Original

Seguir leyendo >>

USB tiene un problema de seguridad de nacimiento

Los expertos en seguridad digital de SR Labs, Karsten Nohl y Jakob Lell, presentarán la próxima semana en la convención Black Hat los increíbles hallazgos que hicieron sobre los dispositivos USB. En dicho evento se mostrará lo que puede hacer un malware creado por ellos mismos que permite tomar control de la PC donde se conecte un USB,

Todo esto provocado por una vulnerabilidad encontrada en los chips que permiten la comunicación entre el sistema y el conector USB. Esto no aplica solo a memorias, sino a cualquier artefacto que se conecte a un ordenador de esta manera.

El malware de nombre BadUSB puede alterar el contenido de la PC e incluso redirigir el tráfico del usuario debido a que existe un exploit en el firmware que permite dicha comunicación entre ambos artefactos. No solo eso, también tiene la capacidad de infectar a otras USB.

El software maligno pasa desapercibido ya que la llave de paso no es la memoria flash sino el firmware embebido en el chip.

Nohl y Jakob Lell aseguran que este problema de seguridad no puede ser parchado debido a que se comprometen las mismas funciones del dispositivo USB. La única manera de estar protegido sería excluir la capacidad de comunicación del dispositivo.

Esto comentó Karsten Nohl a Wired:

Estos problemas no pueden ser parchados. Estamos explotando la misma manera en que el USB fue diseñado [...] Puedes darle la USB a tu equipo de seguridad informática, lo escanearán, borrarán algunos archivos y te lo devolverán 'limpio'. El proceso de limpieza ni siquiera toca los archivos de los que estamos hablando [...] Esto significa que ya no puedes confiar más en tu computador. Hay una amenaza en un nivel que es invisible. Es un tipo terrible de paranoia.

La alternativa para Nohl es un tanto radical: Tratar a los dispositivos USB como agujas hipodérmicas que no pueden ser compartidas entre varios usuarios

Original

Seguir leyendo >>

Google quiere poner ojos para asegurar tu casa y piensa en la compra de Dropcam

Una de las guerras que se avecinan en entornos hasta ahora poco habituales es nuestrohogar. Ayer conocíamos que Apple podría iniciar su aventura más seria en el campo de la domótica y el control en el hogar mediante una plataforma que conectara diferente hardware de seguridad y control en el hogar con sus smartphones. Pues hoy nos levantamos con la posible compra de la empresa Dropcam por parte del gigante Google.

Según The Information, Google estaría interesada en hacerse con esta empresa y unirla a Nest como parte de una futura y potente división de seguridad del hogar. La empresa en la que parece que ha fijado sus ojos Google tiene un catálogo y servicios relacionados con cámaras WiFi que graban lo que ocurre en tu casa y envía las imágenes vía streaming a la web para que puedas controlar la situación desde tu smartphone u ordenador conectado a Internet.

Las cámaras de Dropcam son relativamente asequibles para este segmento e incluyen avanzado software capaz de reconocer si lo que se mueve por la zona controlada es un gato y no una persona (están avanzando en el reconocimiento de rostros en tiempo real) o complementos que, colocados en una puerta o ventana que queda fuera del alcance de la cámara, se integra en el sistema de seguridad con total fiabilidad.

Original

Seguir leyendo >>