Posts

Los Hackers Pueden «Copiar» Las Huellas Dactilares a Partir De Una Fotografía

Chaos Computer Club señala que no hace falta obtener la huella física para reproducirla y utilizarla en sensores biométricos

Chaos Computer Club, una de las asociaciones de hackers más grandes de Europa, ha asegurado que pueden reproducir las huellas dactilares a partir de un par de fotografía que muestren los dedos de una persona.

Jan Krissler, también conocido como «Starbug», explicó cómo había copiado las huellas dactilares de la Ministra de defensa alemán, Ursula von der Leyen a través de una par de fotografías públicas. El especialista mostró su descubrimiento en la 31º convención anual deChaos Computer Club en Alemania.

Desde que Apple lanzara el iPhone 5S con sensor biométrico, varios hackers han demostrado que el detector se puede vulnerar al copiar la huella dactilar de una superficie física. Krissler, sin embargo, apunta que no hace falta ese rastro físico para reproducirla. El hacker apuntó en su conferencia que las huellas se pueden descifrar con simples fotografías tomadas con una cámara de fotos estándar en eventos públicos. Espera que tras su charla los políticos usen guantes cuando hablen en público.

Krissler usó el software comercial VeriFinger para lograr esto. Lo probó con una fotografía en primer plano del pulgar de Von der Leyen obtenida durante una conferencia de prensa en octubre. Krissler también usó más fotografías del pulgar desde otros ángulos paracompletar la imagen digital.

Según el especialista, la imagen creada puede ser usada para la identificación biométrica, es decir, para desbloquear smartphones, ordenadores y otros dispositivos (o habitaciones) que utilicen este sistema. «Starbug» explicó que el software es muy sencillo de utilizar.

Junto con su compañero Tobias Fiebig, Krissler ha estado trabajando en la Universidad Técnica de Berlín en la investigación de las debilidades de los sistemas de seguridad biométricos.

Krissler pretende mostrar cómo los sistemas que utilizan estas impresiones o los escaneos de iris para verificar la identidad, pueden ser burlados. Dio el ejemplo de un software de reconocimiento facial que puede ser engañado por la fotografía de una persona, además de mostrar cómo su huella digital falsa puede engañar al sensor de huellas dactilares iPhone.

Los Hackers De GOP Exponen Salarios y Contraseñas De Empleados De Sony Pictures

Los atacantes publicaron 26 documentos en Pastebin con información sensible

Sony Pictures, la división de Sony que se encarga de la producción depelículas sufrió un ataque informático la semana pasada afectó a sus servidores y obligó a sus empleados a volver al lápiza y al papel. Ahora, tras una gran cantidad de documentos filtrados, los especialistas en seguridad consideran que Sony ha sufrido uno de los peores ataques corporativos de los últimos años.

Los hackers de grupo GOP (Guardianes de la Paz) publicaron 26 documentos en Pastebin que luego fueron retirados, pero que han sido recopilados por diferentes medios. El periodista Kevin Roose, de Fusion, recopiló gran àrte de dichos documentos que exponen una gran cantidad de datos privados, como salarios y contraseñas de empleados, presupuestos para proyectos, estrategias de mercado y más de 3.800 números de la seguridad social.

Según expone, hay datos sensibles de más de 6.000 empleados de Sony Pictures, como nombres específicos, fechas de nacimientos y susrespectivos salarios.

Los atacantes también han desvelado gráficas relacionadas con los cálculos que realiza recursos humanos de Sony Pictures para despedir a un empleado. Muestran una lista con los nombres de las personas que fueron despedidos o jubilados en 2014 tras la reorganización de la empresa.

Claves débiles

Los documentos también desvelan las contraseñas utilizadas por los empleados, que carecen de los principios de seguridad básicos. Muchas de las contraseñas eran la palabra «password» (contraseña en inglés) o combinaciones lógicas como «Sony123».

Entre los documentos hay una carpeta llamada «contraseñas» con un documento word llamado así mismo: «contraseñas», guardado el 2 de marzo de 2011. En él hay una larga lista de nombres de usuarios de empleados, sus contraseñas e incluso, números de tarjetas bancarias.

Desde Mashable y Gizmodo apuntan que Sony Pictures no tenía un sistema robusto de seguridad informática. De hecho, no es la primera vez que Sony es sorprendida por usar mala seguridad. En 2011 Sony fue atacada varias veces. La red dePlayStation y Sony Pictures fueron vulneradas y se expusieron 37.000 cuentas de usuarios. En esa ocasión se conoció que Sony almacenaba estos en texto plano, sin mayores medidas de seguridad.

Los «Hackers» Declaran La Guerra a la RAE

La inclusión de este término como «pirata informático» en el nuevo Diccionario de la lengua española levanta ampollas en un colectivo que se siente criminalizado

Cuando el español es más universal que nunca, resulta curioso observar como aún sigue habiendo términos oficiales más propios de la Neolengua que describiera Orwell en su famosa novela 1984. Una contradicción que tiene en pie de guerra a los hackers desde que el pasado día 17 de octubre la Real Academia Española (RAE)presentó la vigésima tercera edición del Diccionario de la lengua española. En ella se ha incluido por primera vez el término hacker, pero no precisamente de la forma que este colectivo esperaba.

Si alguien abre el nuevo diccionario y busca la palabra en cuestión, leerá lo siguiente: «hacker»: pirata informático. Una única definición, lejos de la compañía de ninguna otra acepción, que retrata la temeridad de reducir un campo tan amplio a la creencia más extendida de la calle. Como si de una condena social se tratara, Yago Jesús, profesional de la seguridad informática y editor del blog securitybydefault.com, da en la tecla sobre el porqué de la decisión, «la definición que ha tomado la RAE ha sido la que habitualmente se usa en películas, prensa y programas de actualidad».

Aunque de sus palabras se desprende que «las personas que se dedican a la seguridad» están más que acostumbradas a «la perversión del término hacker», existe el malestar generalizado de que se podría haber procedido de otra manera a la hora de fijar el concepto. «Habría sido interesante una mejor documentación y que hubieran solicitado asesoramiento; me da la impresión que en esta palabra han invertido muy poco tiempo para elaborar la definición. Existe un término denominado ‘cracker’ que sí se ajusta a la definición que han tomado en la RAE».

Más allá de la inexactitud evidente, la indignación reside en la igualdad que establece entre el «hacker», que trabaja como investigador con el fin de conseguir reforzar los mecanismos de protección, y elcibercriminal que pone sus conocimientos al servicios de actividades delictivas. «Un Hacker es alguien que, armado de curiosidad, se dedica a aprender sobre algo y a buscar formas de mejorarlo. Hay hackers de la seguridad informática, hackers financieros, etc», explica Yago Jesús, para a continuación mostrar un símil demasiado familiar durante estos días, «Si trasladamos la cuestión al mundo real, bastaría con comprender que, por ejemplo, al médico que se le ocurrió utilizar el plasma de una persona que ha superado el ébola y usarlo como medicina, en realidad está ‘hackeando’ el ébola».

A pesar de que la palabra hacker es un término que sobrepasa el contexto informático, todavía guarda una parte de clandestinidadnecesaria para el desarrollo de la actividad, «evidentemente el mundo de la seguridad informática está inevitablemente ligado a elementos algo turbios. Al final se trata de defender algo de las posibles amenazas con lo que es necesario conocer dichas amenazas». No obstante, Yago Jesús remarca que una cosa es el desarrollo profesional y otra cosa es que eso signifique que una persona ligada profesionalmente a la seguridad tenga que tener «una parte oscura».

Aunque la polémica levantada por la RAE es solo el capítulo más reciente, la perversión del término viene de lejos, «la culpa de esto es de las empresas que, por beneficiarse de la palabra, han empezado a vender servicios de ‘hacking ético’ cuando en realidad el concepto es ‘auditoría de seguridad’. Esos, yo creo, son los verdaderos culpables de la perversión».

En última instancia, Yago Jesús coloca el foco de la solución en los medios de comunicación, «ellos tienen el altavoz necesario para llegar donde se toman esas decisiones». Duro camino el que aún deberán recorrer. Lo peor de arrastrar un «sambenito» no siempre reside en la propia estigmatización que de él se desprende, si no en los ecos distorsionados de quienes tienen el suficiente poder para perpetuarlo.