9/01/2014

Y vieron a las niñas?

Y vieron a las niñas?



Un puñado de personas no quería que pasara, pero la inmensa mayoría esperaba pacientemente...cual perro de taquería. El día llego, nadie sabía que hacer… las contraseñas “fallaron”, las fotos se “filtraron”, Apple y su iCloud fueron culpados… los fanáticos… los fanáticos. Pobres...

 

2012… Kenneth G. Lieberthal es un experto en el tema “China” por parte del Brookings Institution y cada que viaja a ese país, sigue una rutina que parece salida de una película de espías. Deja en casa el teléfono y laptop; se lleva dispositivos “prestados”, dispositivos que “limpia” antes de irse de los Estados Unidos y vuelve a limpiar antes de regresar. Estando en  China apaga Bluetooth y Wi-Fi, nunca pierde de vista el teléfono y durante las reuniones no solamente apaga el teléfono, también le quita la batería (por miedo a que pueda ser utilizado remotamente como micrófono). Se conecta a internet a través de canales encriptados y con contraseñas, también copia y pega su(s) contraseña(s) desde una memoria USB. Nunca ingresa contraseñas utilizando el teclado, porque en sus propias palabras: “the Chinese are very good at installing key-logging software on your laptop.”(Los Chinos son muy buenos instalando software key-logger en tu computadora). Como lo dijimos en: Invasiva… si, pero es porque te quiero.

El tema de moda es “la filtración de fotos intimas de muchas celebridades (dicen que 101)”… todo apunta a que se hizo a través de iCloud, curiosamente hace un par de horas se “reparo” (Patch) una falla en el sistema de seguridad de Find my iPhone, de donde se cree que viene "la fuga".

 
La historia ya es conocida por muchos, se robaron las fotos, muchas se publicaron en 4chan (no, no es un hacker asiático como muchos aún creen) y se corre el rumor que se exige un pago en Bitcoin por unos videos… también se descubrió que la página de entrada de Find My iPhone era vulnerable a los ataques FUERZA BRUTA ("brute force")…



“Que bruta?”

Por lo general cuando se ingresa una contraseña equivocada, el sitio o el dispositivo “darán” un cierto número de oportunidades para escribirlo bien; en caso de fallar, la cuenta o el dispositivo serán bloqueados por un numero de minutos/horas o hasta que se confirme cierta información de seguridad a través de otros canales. Captcha??


 
Pero no con la Interfaz de Programación de Aplicaciones (API) de Find My iPhone, ya que permite que los usuarios prueben con distintas contraseñas, así que es posible combinar este Exploit* con una lista de las contraseñas más comunes y poder ingresar en las cuentas de iCloud.

* Caso de Estudio: Exploit Java. Parte 1. “Diario de un Exploit en Java”

* Caso de Estudio: Exploit Java. Parte 2. “El Lado Oscuro de la Abuelita”

Se empieza con una contraseña de un digito, avanzando a dos, tres, etc. hasta tener la contraseña correcta. También es importante (MUY IMPORTANTE) mencionar que existen listas de las contraseñas más comunes, así como de las contraseñas más débiles.  



“Feexit, al servicio de la comunidad”

 
Esta es la receta de una buena contraseña:
  1. Números (10 y diferentes: 0-9) 
  1.  Letras (52 y diferentes: A-Z y a-z) 
  1. Caracteres Especiales (32 simbolitos pa’ todos!) 
Ejercicio:

En una contraseña de 5 caracteres; 3 minúsculas y 2 números (a5g2h).
Existen 36 opciones (10 números y 26 letras) a la 5ta potencia o 365= 60,466,176
Entonces la operación queda así: 60,466,176 / 2,000,000,000* = 0.03 segundos

Ahora, exploremos que pasaría con una contraseña más “fuerte”.

12 caracteres; 3 mayúsculas, 4 minúsculas, 3 caracteres especiales y 2 números (G3$aT^eB6*is)
Existen 94 opciones (10 números, 52 letras y 32 caracteres especiales) a la 12 o 9412= 475,920,314,814,253,376,475,136
Entonces la operación queda así: 475,920,314,814,253,376,475,136 / 2,000,000,000 = 237,960,157,407,127 segundos = aproximadamente 7.5 millones de años.
 

 
*La velocidad se mide en Megahertz o MHz. Un (1) MHz es un cálculo de 1 millón de ciclos por segundo (o instrucciones/órdenes a la computadora), asi que si tu procesador corre a 2000 MHz, la maquina es capaz de correr a 2,000,000,000 de ciclos por segundo…  Un (1) Gigahertz o GHz es lo mismo que 1000 MHz.

Les dejamos La Calculadora para que vean que tan seguro es es suyo.

“Le Pilon”

Un grupo de hackers llamados Team DoulCi aseguran haber encontrado la forma de como interceptar credenciales de usuario (Apple ID) así como reactivar los dispositivos iOS que habían sido desactivados por el Activation Lock. Según SurfRight, este ataque es posible debido a que la versión de iTunes para Windows no verifica correctamente los certificados de seguridad. 



 @feexitmx
www.feexit.mx
rp@feexit.mx
Publicadas por a la/s

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)