Su libro “Ghost in the Wires” narra, toda sus actividades de hacking desde los inicios hasta que se cambió al bando de la seguridad informática. Lo interesante de esta historia, es el hacking en la era pre-internet (como la conocemos) pues narra y explica sus hacks (o phreaks) a las líneas telefónicas, como logró tomar poder se de switches, hacer llamadas a donde quisiera, clonar líneas telefónicas, entre otros. Para la gente de nuestra generación que conoce el hacking sólo a través de Internet, les gustará conocer el pasado de como se hacía todo esto a través de las líneas telefónicas.

Portada del libro

La narración me parece normal, el libro se pone interesante dependiendo del tema que se esta leyendo, hay partes aburridas pero otras buenas, podemos decir que tiene sus altos y altibajos. Para los amantes de la ingeniería social, les gustará ver como Mitnick lograba engañar a las personas y tener control sobre ellas para pedir cualquier tipo de información interna, logrando ahorrarse gran parte de encontrar vulnerabilidades en los servidores, para los phreakers encontrarán mucha información sobre como se hacían los ataques a las líneas telefónicas y para los hackers pues como estudiaba la infraestructura de la empresa para encontrar una vulnerabilidad y aprovecharla.

Al final de leer el libro, aprenderán como en la vida se tiene altos y bajos, como él para llegar a la fama y reputación actual pasó por muchas situaciones difíciles y el castigo que se aplica a los crackers. También una vez conocida la historia, al ver la película “Operation Takedown” de nuevo, se darán cuenta que no se acerca a la vida real todo es una historia paralela creada por  Tsutomu Shimomura.

Realmente les recomiendo leer este libro si son fanáticos de Kevin Mitnick, del hacking y de la ingeniería social. La versión física incluye unas fotos de Kevin, Lewis y Eric. De resto no le veo ninguna diferencia con respecto a la versión digital.

En este año, vimos como varios Gobiernos cayeron y otros recibieron fuertes protestas debido a la organización de desconocidos motivados por un mismo objetivo o por el sufrimiento de la misma causa. Vimos como la gente se organizó en España, Estados Unidos, Egipto, LIbia, Turquía, Inglaterra y otros, para protestar en contra de los representates del estado por diversos motivos. Todo llevo a cabo a través del uso de redes sociales y teléfonos celulares, provocando que los gobiernos trataran de controlar y filtrar esos medios ante su incapacidad de reaccionar ante esta nueva forma de “rebeldia”.

Con la aparición de grupos locales de Anonymous en muchos paises, Lulzsec y otros. Vimos un auge en los delitos informáticos y con víctimas grandes/importantes como Sony, FBI, Paypal, Sun. Lo innovador de ellos es su estructura interna: ya no son grupos con miembros formados como tal o con jerarquías sino desconocidos en búsqueda del mismo objetivo, muchos de los DDos que hicieron fue con ayuda de persona comunes usando sus herramientas las cuales podían ser descargadas de sus páginas, en algunos casos algunos miembros no participan porque no estaba de acuerdo a los ataques. Además a través de las redes sociales anunciaban sus ataques con fecha y hora, dando tiempo a los miembros IT de sus víctimas a estar preparados aunque casi siempre fue en vano porque lograban atacarlos.

Ya veremos en los próximos años como algo normal la organización de protestas de forma “voluntaria”, sin líderes, usando Internet como medio para coordinarse, y la creación de movimientos digitales (hacktivistas) para protestar en el mundo virtual en contra de cualquier objetivo que afecte a las masas. Para finalizar les dejo el vídeo de Anonymous sobre este fin de año:

Con el reciente surgimiento de grupos de personas con grandes conocimientos en seguridad informática como Luzsec y Anonymous (con ideales muy distintos), vemos como han logrado hacer que las personas y compañías tomen mayor seriedad sobre la seguridad informática, pues han visto como grandes empresas en las que confiaban su información debido a su reputación comercial, han caido en manos de los piratas quienes puden hacer cualquier cosas con los datos extraidos. Algunos ven estos grupos como ladrones, terroristas, peligrosos que desean acabar con los sistemas de compañías u organizaciones. Otros los vemos como salvadores, activistas (o mejor hacktivistas), curiosos que intentan demostrar la vulnerabilidad del uso de la tecnología en nuestras vidas.

Cosas como el ataque a Sony, Nintendo, Sega, los defaces a páginas del FBI, FOX, liberación de información de las embajadas de Estados Unidos, artículos que encontramos en Wikileaks, decodificación de videos secretos de la guerra de Iraq, entre otros. Son cosas que cada vez serán mas normales, pues al ir migrando mas actividades a Internet, aumentamos la probabilidad de sufrir las consecuencias de estos actos, pues ningún sistema es seguro y en la medida que almacenos información delicada, llamaremos la atención de curiosos.

No todo es malo ni estoy proponiendo evitar el uso de la tecnología, solo recomiendo tener cuidado de la información almacenada y verificar las compañías donde contratamos sus servicio; éstas deben tener buena reputación sobre la seguridad de sus datos, ofrecer soluciones en caso de ataques, fama, etc. Además, gracias a lo acontecimientos comentados anteriormente muchas empresas y organizaciones estan empezando a tomarse en serio la seguridad de sus sistemas, pues estan viendo como se hace mas popular el conocimiento del funcionamiento de sistemas (sobre todo en la parte de vulnerabilidades) y necesitan estar preparados para evitar ataques a sus máquinas.

Espero que en el futuro nuestros sistemas y software sean mas seguros, asi tendremos total confianza de usarlos. Sin embargo, espero también el surgimiento de grupos como Anonymous y Luzsec para seguir defendiendo nuestros derechos, liberando información como protestas ante ciertas acciones, atacando sistemas para alertar a las compañias e incrementen su seguridad para ofrecernos mejores servicios.

Luego de casi 5 años de haber salido al mercado el Playstation 3, al fin podemos ver la ejecución de aplicaciones en esa poderosa máquina. Quien sabe que futuras aplicaciones veremos realizada por la comunidad homebrew del PS3.

Y una pequeña prueba de GNU/Linux corriendo en un Playstation 3 Slim gracias a PSGroove.com

Con esto podemos concluir que ningún sistema de seguridad es perfecto, ya todas las consolas de la actual generación han sido hackeadas para tener control de su hardware y por último: “Jamás te metas con la comunidad hacker”. Si Sony no hubiese removido la opción de usar Linux en su consola, no hubiese necesidad de explotar el sistema para ejecutar nuestras propias aplicaciones, asi que para la próxima no le ofrezcan una característica a los hackers y luego removerla.

He separado las películas en 2 listas, la categoría de Serias son cuya historia son basadas en hechos reales ó se centra en el programador,hacker, etc; y las entretenidas que son dirigidas mas para el público general y el tema de informática no es lo mas actractivo de la película.

Serias

• Wargames: Creo que es la mas vieja de la lista, se trata de un muchacho que logra acceder a una computadora del pentágono y confunde un sistema de lanzamiento de misiles nucleares con un videojuego, ocasionando que USA y Rusia esten a punto de estallar la tercera guerra mundial. Lo chévere de esta película es ver las computadoras viejas, las comunicación entre computadoras a través de modems telefónicos, el uso de PC usando terminales, entre otras cosas.  Además, me parece que es muy precursora para la época. En ese entonces no había Internet públicamente y no era común escuchar sobre ataques a computadoras.
• Hackers: Para mí es la mejor del género, tal vez porque es la primera que ví de este género y porque actúa Angelina Jolie. Se trata sobre un hacker cuyo objetivo es lanzar un virus a buques petroleros y echarle la culpa a la comunidad de Hackers, por lo que estos se revelan masivamente contra él y logran ganar. Es interesante ver como aqui ya se habla de delitos informáticos, robo de identidad y muchas cosas que todavía eran nuevas para la época, ya aparece Internet y juega un papel importante en la película (todavía a través de la línea telefónica), ademas en esta película a diferencia del resto, los hackers son personas extrovertidas y locas,  totalmente distinta a la imagen de nerd que hacen ver en las demás.
• Operation Takedown: Basada en como lograron atrapar a Kevin Mitnick (el piráta informático mas famoso), es una película seria (muy real) con un poco de acción, donde muestran las habilidades de Kevin para acceder a la información usando ingeniería social, como vive perseguido por el FBI y luego arrestado por su mayor enemigo.
• Antitrust: Otra de mis favoritas por su trama y porque actúa Claire Forlani. Se trata sobre un chamo que es contratado por la empresa mas grande de ese momento (que se parece mucho a Microsoft)  y descubre que su jefe (igual a Bill Gates) ha conseguido todo gracias a estafas, asesinatos a la competencia, compra y robo. Tiene referencias al software libre, java, sun y muchas cosas del mundo informático, realmente recomendable.
• Red social: La mas reciente de la lista, habla sobre la creación de Facebook y la demanda por el robo de la idea de facebook. La película esta bien hecha, narra los acontecimientos de buena forma, hay muchas referencias geeks (el uso de KDE en las PCs, nombran muchos proyectos open-source como Apache, Mysql, entre otros) e inspiradora para la gente que desee iniciar un start-up.
• Piratas de Silicon Valley: Otra que me gustó mucho, narra la historia de la creación de Apple y Microsoft, realmente interesante para quienes desconocen como se formaron estas empresas, como al principio trabajaron juntas y causaron una revolución tecnológica en todo el mundo, el final es muy bueno y recomendable para todo fan de Apple y Microsoft.

Entretenidas

• Tron: Una de mis películas favoritas, se trata sobre un joven donde una reconocida empresa de videojuegos roba sus ideas, y el intenta acceder a la computadora principal en busca de evidencia pero por un accidente entra en la computadora donde debe jugar un videojuego para salvar su vida.
• Duro de Matar 4.0: Se trata sobre un ex-empleado del sistema de seguridad nacional intenta usar el sistema a su antojo para pedir una recompensa al gobierno de USA, pero John McClane lo detiene. El co-protagonista es el mismo actor de “I’m Mac” e interpreta a un muchacho especializado en seguridad informática quien lo ayuda a salvar el país.
• Firewall:  Sobre un experto en seguridad informática a quien le secuestran su familia para poder acceder a varios sistemas de bancos y cometer un gran robo. Buena película de acción y con muchas referencias a plataformas de Microsoft.
• Swordfish: Un grupo terrorista contrata a un Cracker para robar dinero del gobierno de USA, es buena pelicula de acción y muy mentirosa (como pedirle a alguien que hackeé el sistema en 1 minutos o menos) pero es bueno verla.

Bueno, esta es mi lista. Yo les recomendaría ver todas, sobre todo,  las de la primera lista. Si alguien quiere recomendar alguna parecida dejen su comentario y digan a cual lista debería pertenecer.

Gracias a esto, se pudo observar una de las ventajas del software de código abierto, pues empezaron a salir alternativas para realizar el hack sin depender de esta memoria USB y como PsFreedom que permite ejecutarlo desde el teléfono Nokia N900, desde el teléfono Nexus One usando Android, e incluso estan haciendo un port para el Nintendo Wii.  Es interesante ver como gracias a la disponibilidad del código, cada quien ha adaptado el mismo para funcionar en los dispositivos que posee, además la mayoría de las personas está mas interesadas en ejecutar aplicaciones en el PS3 (como clientes de Twitter, Facebok) que jugar juegos ilegalmente.

Sin embargo, Sony ya actuó rápidamente obligando a actualizar los Playstation 3 al firmware 3.42 que corrige la falla aprovechada por PsGroove para ejecutar software no firmado, por ahora, la única solución es no actualizar mientras descubren como contraatacar. No estoy seguro, pero al parecer una vez saltado este algoritmo de seguridad, es posible seguirlo saltando, ya que Sony no puede cambiar el algoritmo sino dejaría sin posibilidad de ejecución a todo los juegos existentes.

Ahora falta ver que sucede con el mundo Homebrew del Playstation 3, ojalá avance mucho como lo han hecho con el PSP: juegos personalizados, mejor navegador web, aplicaciones para redes sociales, transformar el Playstation en un servidor de renderezido o incluso, volver a ejecutar GNU/Linux.

Con esto, se demuestra que no existe un producto inviolable. Simplemente hace falta años de estudio de su seguridad.

A continuación los videos donde se prueba el hack:

Habrá que esperar a ver como reacciona Sony ante esto, espero que en el próximo firmware no eliminen el soporte USB de la consola, ejejejeje.

Pues hace uno días se presentó en el famoso evento de seguridad llamado Night da Hack, que se celebró en París, donde explico sobre el esquema de seguridad del Playstation 3, para que el mundo comprenda el funcionamiento y sirva de impulso a futuros hackers y/o crackers a realizar modificaciones sobre el firmware para ejecutar homebrew. A continuación les dejo la presentación divida en dos vídeos:

Simplemente rellena los datos con los de tu web y luego de 2-3 días obtendrás los resultados del mismo, allí veras como se comporta tu sitio ante: ataques de inyección de comandos SQL, ataques XSS,  archivos ocultos, vulnerabilidades 0-day, ofuscamiento de información delicada, entre otros. El reporte viene en un bonito documento PDF fácil de leer y solamente disponible en inglés.

Lo único malo es sorprenderte de la cantidad de vulnerabilidades que puede tener tu sitio y el posible riesgo de ser atacado por una de ellos, pero vale la pena conocer para evitar ser atacado.

Web: http://www.zerodayscan.com