black hat

Leo en Fayerwayer que el investigador Dan Kaminsky, el mismo que descubrió el bug de envenanimiento de la cache del DNS ha presentado una herramienta para detectar si tu ISP está siendo neutral o reduce artificialmente la velocidad hacia o desde un sitio web en la conferencia Black Hat que se esta celebrando en Las Vegas. La herramienta usa una variación de una VPN para esconder al ISP el origen del tráfico y poder detectar con seguridad cualquier cambio en la velocidad causado por el ISP.

Un pobrecito hablador nos cuenta: «La foto de perfil puede servir para identificarte por la calle. Mucho se ha hablado y escrito sobre los problemas de privacidad de Facebook. El sistema de reconocimiento facial que la compañía introdujo en el etiquetado de fotos levantó mucha polvareda, pero el descubrimiento de Alessandro Acquisti puede descubrir una nueva brecha, la foto de perfil de un usuario puede servir para identificarle por la calle.

En la conferencia Black Hat, dos expertos en seguridad de iSec Partners demostraron cómo abrir las puertas y encender el motor de un Subaru Outback usando un mensajes cortos de telefonía móvil, tras haber interceptado mensajes de autenticación de contraseña entre el coche y el servidor, gracias a haber montado su propia red GSM.

La noticia de que la batería de las portátiles de Apple son completamente hackables nos dejó un poco a la expectativa, esto porque a pesar de que la persona que descubrió la posibilidad se limitó a comentar lo que había logrado, para aquel entonces, todo habría quedado en teoría.

Un pobrecito hablador nos cuenta: «La Black Hat de este año ha sido especialmente relevante para el protocolo GSM. Se han presentado dos trabajos que dejan muy en evidencia su seguridad. En una de las presentaciones, la misma persona que reventó CSS (el sistema de protección de los DVDs), ha presentado una herramienta que permite descifrar A5/1 (el algoritmo de cifrado de GSM) en pocos segundos.

Las conferencias de seguridad Black Hat y Defcon que se celebran en Las Vegas están sirviendo para demostrar que los teclados para los Mac pueden ser fácilmente infectados con keyloggers y rootkits imposibles de detectar y que pueden ser un verdadero problema para las víctimas de estos ataques.

YJ nos cuenta: «Mañana da comienzo en Amsterdam el que probablemente sea el más prestigioso congreso de seguridad informática que se realiza en Europa, el Black Hat. La lista de ponentes es bastante impresionante, contando además con representación Española. Security By Default ha sido amablemente invitada para cubrir el evento, y a tal efecto hemos creado una cuenta Twitter desde la que se puede hacer un seguimiento del congreso en tiempo real. Y, aprovechando, nos han confirmado que la próxima Black Hat se realizará en Barcelona en 2010.»

chonago nos cuenta: «[ Vía Slashdot] Dos expertos en seguridad han presentado un informe en las conocidas conferencias de seguridad Black Hat en el que desvelan una nueva técnica para hacer que diversos mecanismos de seguridad de Windows Vista sean totalmente inútiles. Sistemas como Data Execution Prevention o la protección mediante controles ActiveX (que ya han planteado numerosos problemas de seguridad) han sido superados sin problemas por una forma de actuar que no aprovecha nuevas vulnerabilidades, sino que simplemente se basa en la arquitectura y concepción original de Vista.

Un pobrecito hablador nos cuenta: «En la conferencia de seguridad Black Hat, Microsoft ha reconocido que sus actualizaciones de seguridad mensuales han estado siendo aprovechadas por creadores de código malicioso para utilizar las brechas en su beneficio. Para evitarlo proporcionará información sobre los parches a las empresas de software de seguridad antes de lanzar dichos parches e incluso proporcionará una lista de las vulnerabilidades que son más susceptibles de ser aprovechadas.

Dan Kaminsky, el especialista en seguridad de IO Active que hace unos meses encontró uno de los mayores fallos recientes de seguridad de la Red y mediante el que se puede realizar DNS poisoning sobre los servidores que sean vulnerables, ha hablado por fin de ello en la Black Hat. A pesar de que a estas alturas casi todos los detalles del ataque son ya conocidos, las 104 transparencias que acompañaron su charla son igualmente interesantes. Dan tiene asimismo disponible en su blog un sistema de comprobación de DNS para poder averiguar si tu servidor es vulnerable o no.