Hacking para todos

El ‘Hacking ofensivo’ entra en juego

La Unión Europea podría considerar una propuesta que daría a las fuerzas del orden la capacidad de hackear infraestructuras y sistemas privados sospechosos.

Publicado el 17 de mayo de 2013 por Rosalía Arroyo 2 comentarios

El hecho de los ataques de denegación de servicio y otras amenazas continúen creciendo y golpeando a organizaciones y estados ha llevado a muchos a plantearse el despliegue de una estrategia ‘hack back’ o hacking ofensivo para repeler los ataques y mitigar los daños, en lo que sería un bíblico “ojo por ojo”.
El asunto ha llegado incluso a la Unión Europea, donde podría empezar a tenerse en cuenta una propuesta que daría a las fuerzas del orden la capacidad de realizar hacking ofensivos que comprometieran infraestructuras y sistemas privados para obtener información a través de spyware, eliminar datos o incluso hacer caer servidores cuando haya causa probable de actividad cibercriminal.

Por el momento lo que hay en juego es un proyecto de ley propuesto por los políticos holandeses para modificar la ley y que sea legal hackear infraestructuras de cibercriminales, informan desde TechWeek Europe. Incluye además una disposición que permitiría a la policía realizar un ‘hack back’ en naciones extranjeras también.
No todos están de acuerdo en extender el poder de las fuerzas del orden ante la posibilidad de que la privacidad de los ciudadanos pueda verse afectada, pero en Bruselas se plantean estudiar esta posibilidad, que permitiría acabar con sistemas criminales sospechosos activos en toda la Unión Europea, promoviendo al mismo tiempo un conjunto de guías y regulaciones que controlen el hacking back.
Para algunos, como Bits of Freedom, una ley como la que se está planteando en Holanda podría suponer un serio revés contra la privacidad. “Países como China utilizarán estas medidas como una justificación para sus propias actividades. Ellos seguirán el ejemplo de Holanda permitiendo a su policía utilizar los mismos métodos, incluido el hacking fuera de sus fronteras, con el fin de eliminar datos controvertidos”, dicen en un post.
Según TechWeek, está claro que los gobiernos ya están haciendo uso de software malicioso que entra en los ordenadores de los ciudadanos. Empresas como la británica Gamma Internacional o la italiana Hacking Team venden spyware muy sofisticado. El gobierno alemán, por ejemplo, ha reconocido haber gastado 150.000 euros en FinFisher, un software desarrollo por Gamma.

Fuente:
    http://www.itespresso.es/hacking-ofensivo-en-juego-111377.html

INSTAGRAM Y SUS DEBILIDADES

Una vulnerabilidad de Instagram permite acceder a cualquier cuenta

abc tecnologia / madrid

Día 11/05/2013 - 20.09h

Este fallo roba la cuenta de la red de fotografía directamente o bien usa el robo de sesión a través de Facebook

Acceder al perfil de cualquier usuario de forma fácil y peligrosa. El fundador de Break Security, Nir Goldshlager, ha descubierto una vulnerabilidad Oauth de Instagram que permite a un atacante acceder a cualquier cuenta sin el permiso de su propietario. La vulnerabilidad roba la cuenta de la red de fotografía directamente o bien usa el robo de sesión a través de Facebook.

En una entrada en su blog, su descubridor es el mismo que ha informado recientemente de otros fallos detectados en redes sociales tan importantes como Facebook. En este caso cualquier ciberdelincuente que aproveche este fallo de seguridad en la red de fotografía Instagram podría acceder a fotos privadas e incluso borrar información, así como subir nuevas imágenes y editar o borrar comentarios.

Para llevar a cabo la vulnerabilidad Oauth el atacante utiliza el parámetro «redirection_uri» que valida el sitio web indicado y que es explotado si se modificaba el sufijo del sitio especificado. Así un dominio web acabado en .com podría cambiarse a .com.es y «hackear la seguridad». El ciberdelincuente debe comprar el dominio con el sufijo modificado y de esta forma robar la cuenta.

Goldshlager descubrió un segundo método para llevar a cabo la usurpación de la cuenta y demostró que es posible utilizar cualquier dominio en el parámetro «redirection_uri». Así, un atacante podría robar el «token» de sesión de cualquier usuario de Instagram. Desde Facebook han informado de que este problema ya está solucionado.

La cuenta será robada sin necesidad de poner usuario y contraseña y por ahora no se ha encontrado solución para la misma. Los afectados sólo pueden recurrir a eliminar la cuenta mientras Instagram trabaja para solucionar el problema.

 fuente: http://www.abc.es/tecnologia/redes/20130511/abci-vulnerabilidad-instagram-fallos-201305112000.html

OAuth

Saltar a: navegación, búsqueda

OAuth (Open Authorization) es un protocolo abierto, propuesto por Blaine Cook y Chris Messina, que permite autorización segura de un API de modo estándar y simple para aplicaciones de escritorio, móviles, y web.

Para desarrolladores de consumidores, OAuth es un método de interactuar con datos protegidos y publicarlos. Para desarrolladores de proveedores de servicio, OAuth proporciona a los usuarios un acceso a sus datos al mismo tiempo que protege las credenciales de su cuenta. En otras palabras, OAuth permite a un usuario del sitio A compartir su información en el sitio A (proveedor de servicio) con el sitio B (llamado consumidor) sin compartir toda su identidad.

fuente: http://es.wikipedia.org/wiki/OAuth

TOKEN:
Un token o también llamado componente léxico es una cadena de caracteres que tiene un significado coherente en cierto lenguaje de programación. Ejemplos de tokens, podrían ser palabras clave (if, else, while, int, ...), identificadores, números, signos, o un operador de varios caracteres, (por ejemplo, :=).
Son los elementos más básicos sobre los cuales se desarrolla toda traducción de un programa, surgen en la primera fase, llamada análisis léxico, sin embargo se siguen utilizando en las siguientes fases (análisis sintáctico y análisis semántico) antes de perderse en la fase de síntesis. SI Nuevo > MáxNúm ENTONCES... los tokens son: "SI" "NUEVO" ">" "MáxNúm" "entonces" los tokens se describen por lo general en dos partes, un tipo o clase y un valor: Token=(Tipo,Valor) para la secuencia anterior, los tokens pueden describirse como: (palabra reservada, SI) (identificador, "NUEVO") (operador, >) (identificador, "MáxNúm") (palabra reservada,ENTONCES).

fuente:  http://es.wikipedia.org/wiki/Token_%28inform%C3%A1tica%29

 «redirection_uri»

 URL de redirección, también llamado redirigir un URL, es una Web de técnica para hacer una página web disponible en más de una URL de direcciones. Cuando un navegador web intenta abrir un URL que haya sido redirigido, se abre una página con una URL distinta. Por ejemplo, www.example.com se redirige a www.iana.org/domains/example/ . Del mismo modo, la redirección de dominio o la transmisión de dominio es cuando todas las páginas en una URL de dominio se redirige a un dominio diferente, como cuando wikipedia.com y wikipedia.net se redirigen automáticamente a wikipedia.org . URL de redirección se puede utilizar para el acortamiento de URL , para evitar enlaces rotos cuando se mueven las páginas web, para permitir que varios nombres de dominio que pertenecen al mismo propietario que se refieren a un solo sitio web , para guiar la navegación dentro y fuera de un sitio web, para la protección de la privacidad , y para fines menos inocuos como phishing ataques.

fuente: http://translate.google.com.pe/translate?hl=es&sl=en&u=http://en.wikipedia.org/wiki/URL_redirection&prev=/search%3Fq%3D%25C2%25ABredirection%2Burl%25C2%25BB%26sa%3DX%26hl%3Des%26biw%3D1280%26bih%3D920