Archive for agosto, 2011


¿Tiene Facebook los días contados?

Lo han anunciado según su ‘modus operandi’ habitual. El grupo de ’hacktivistas’ acusan a Facebook de vender información personal a agencias gubernamentales.

El grupo ciberactivista Anonymous ha anunciado que llevaran a cabo un ataque contra la red social Facebook el próximo 5 de noviembre, según han hecho público a través de un vídeo difundido en Youtube.

En el vídeo se bautiza el futuro ataque como ‘Operación Facebook’, y se advierte de que no se tratará de un robo de datos personales, sino de una acción pensada para “destruir” la red social.

Las razones en las que se basa el ataque informático contra Facebook está en la política de privacidad de la red social. Anonymous afirma en el video que Facebook vende información privada a agencias gubernamentales y ofrece datos personales de forma clandestina.

También señalan que es imposible eliminar la información de la red social permanentemente, y que la empresa de Mark Zuckerberg siempre tiene acceso a la información personal aunque el usuario la haya borrado.

Los ‘hacktivistas’ han creado una cuenta en Twitter y un hashtag (#opfacebook), tema de conversación en esta red social para coordinar el ataque, donde ya se pueden leer comentarios como “piénselo y preparense para un día que permanecerá en la historia”, escrito por @MotiloverS

Además también se ha creado una página en Facebook en el que advierten a la red social que “se prepare para la batalla”. En esta página señalan que Facebook ha comenzado a cerrar sus cuentas sin ninguna razón, lo que esgrimen como causa para el ataque.

La fecha del ataque no es casual. El 5 de noviembre es el aniversario del ‘complot de la pólvora’, la noche en la que Guy Fawkes intentó hacer volar el Parlamento Británico en 1605.

El cómic ‘V de Vendetta’, de gran influencia en Anonymous gracias en parte a su versión cinematográfica de 2006, recuperó la figura de Fawkes, debido a la máscara que usa su protagonista, que representa al propio Fawkes y que los miembros de Anonymous han utilizado en sus actos y comunicados.

En la novela gráfica la escena final transcurre en la noche del 5 de noviembre, en la que incitados por V, el protagonista, una multitud de ciudadanos anónimos ocultos bajo la máscara de Fawkes ayudan a destruir el Parlamento Británico, símbolo del poder.

> La operación Facebook divide a Anonymus

Los últimos datos de Anonymous desvelan que la anunciada acción contra Facebook el próximo 5 de noviembre no tiene el apoyo de todo el grupo.

El llamamiento hecho a través de YouTube en la lucha contra Facebookpor parte del conocido grupo de hackers Anonymous pudo basarse en un bulo, ya que se ha demostrado que a pesar de que los planes eran reales, no son compatibles con el grupo en su conjunto. Esta falta de apoyo ha vuelto a quedar confirmada tras una reunión celebrada entre los miembros veteranos de Anonymous.

En un tweet publicado, el grupo de hackers aseguran estar“absolutamente” en contra de la Operación Facebook,afirmando que luchan por los usuarios “no contra ellos”, por lo que no debe violarse la privacidad de los usuarios.

La postura contraria de una parte del grupo no significa que el ataque programado para el próximo 5 de noviembre no salga adelante, como reconoce el grupo en otros Twetet. “La Operación Anonymous está siendo organizada por algunos Anonymous, Esto no significa necesariamente que todos los Anonymous estén de acuerdo con ella”, puede leerse en el tweet.

De acuerdo con Anonymous, o al menos gran parte de ellos,Facebook es sólo el mensajero, y a diferencia de otros objetivos,no está maduro para un ataque.

Fuente

Hacktivistas

En fechas recientes se ha popularizado el término hacktivismo, en parte debido al apoyo que grupos como Anonymous y LulzSec han brindado a las revueltas populares de los países árabes o las protestas estudiantiles en Chile, pero también por los ataques perpetrados contra empresas como PayPal o Mastercard –en respuesta a la ofensiva legal contra WikiLeaks–  o, más recientemente,  el anuncio de un próximo ataque a la red social Facebook.

El hacktivismo se define como “las acciones en línea que realiza un individuo o un grupo de personas para, aparentemente, demostrar o apoyar una causa”, asegura David Ramírez Joya, Senior Sales Engineer de Fortinet México. Por su parte, Gabriel Takami Ortega, director general de  Soluciones de Seguridad Informática, apunta que el hacktivismo es “el uso de herramientas para conseguir un fin político”.

Anonymous es sin duda la organización más famosa de este tipo. Como su nombre lo indica, la identidad de todos sus miembros se mantiene en el anonimato, pero se les puede reconocer en diversos mítines políticos por el uso de una máscara de Guy Fawkes –en referencia a la novela gráfica V de Venganza, escrita por Alan Moore–.

Afirman no tener portavoces ni líderes oficiales, ni formar parte de algún movimiento político y entre sus ataques más conocidos se encuentran el Proyecto Chanology (contra la Iglesia de la Cienciologia), el YouTube Porn Day (videos de contenido pornográfico fueron etiquetados como contenido infantil), o el referido ataque a Facebook programado para el 5 de noviembre (por estar en desacuerdo con el uso que le dan a la información de sus usuarios, “motivo por el cual merece ser destruido”).

Lulzsec, a diferencia de Anonymous, es un grupo de hacktivistas que se dedica a burlar sistemas de seguridad para hacer bromas, de ahí que la raíz de su nombre sea LOL (laughing out loud, riendo en voz alta), una abreviatura utilizada para remarcar un momento hilarante. Son responsables de ataques a Sony Pictures, Nintendo y la Agencia Central de Inteligencia (CIA) de EU. Algunos de los asociados de este colectivo han participado en ataques de Anonymous, como su presunto líder Sabu, según información de The Economist.

¿HACKERS IGUAL A HACKTIVISTAS? Tanto Ramírez Joya como  Takami Ortega sostienen que hay que diferenciar entre los diferentes tipos de hackers.

Existen los llamados “white hats” que se dedican a actividades positivas y que generalmente trabajan en conjunto con las empresas para encontrar fallas de seguridad y los “black hats” que son usuarios que acceden sin autorización y vulneran los sistemas con fines maliciosos.

Takami añade otra categoría que denomina “grey hats” que son hackers de dudosa procedencia y por lo tanto no pueden ser acomodados en alguna de las anteriores.

Ambos expertos especifican que un hacker no es necesariamente un hacktivista. Ramírez Joya añade que inclusive un hacktivista puede ser aquel que “esté de acuerdo con una causa y ofrece su equipo de cómputo para apoyarla” y por tanto no necesita ser hacker.

Difícilmente el hacktivismo podría ser considerado benéfico para aquellos que no formen parte de los grupos como Lulzsec o Anonymous, aunque para Ramírez Joya sería complicado determinar qué actividades de las desarrolladas por estas organizaciones son beneficiosas para la sociedad en general.

Además, “el término hacktivismo como tal no existe, al menos en el código penal establecido en los Estados Unidos Mexicanos” explica el senior sales engineer de Fortinet, por lo tanto, ejercerlo no es un delito en sí. Pero algunas de las actividades desarrolladas por los hackers podrían ser sancionadas con penas de dos a ocho años de prisión y con multas de 300 a 900 días de salario mínimo según establece el artículo 211 bis 3 del “Título Noveno,  Revelación de Secretos y Acceso Ilícito a Sistemas y Equipos de Informática” del Código Penal Federal, dichas sanciones se incrementarían en caso de que el responsable sea, o haya sido, funcionario público.

Fuente

La seguridad en las aplicaciones se torna cada vez más compleja, con la presencia de técnicas que van desde la ingeniería social hasta ataques DoS, pasando por la sencilla inyección de código SQL.

No se pueden imaginar la cantidad de aplicaciones que día a día crean los programadores con este fallo crítico ¿En qué consiste la inyección SQL? Es una técnica de hackeo con un funcionamiento bastante simple. Se basa en atacar aplicaciones cuyo formulario de inicio de sesión o cuadros de texto no se encuentran validados completamente o de la manera adecuada.

Paso a ilustrar un ejemplo, se necesita que se tengan nociones de SQL.

Supongamos que tenemos una aplicación construida en PHP y MySQL, pueden instalarlo localmente si tienen WampServer, la cual tiene una página de inicio de sesión: login.php.

Ahora bien, login.php tiene dos campos de texto, uno para el usuario y otro para la clave. El del usuario tendrá name user y el de la clave tendrá name pass.

Los name son campos que sirven para identificar los inputs y recuperarlos desde la página a la cual es enviada la acción. Supongamos que al iniciar sesión aqui seremos redirigidos a una página de tipo index.php. Aquí es donde suelen haber errores. Comúnmente lo que hacen las aplicaciones aquí es recuperar el código de ésta manera:

$usua = $_POST['user'];
$clav = $_POST['pass'];

Lo cual no tiene gran relevancia, si estamos usando un método POST en el formulario de login.php, pero lo que ocasiona el problema es el código que le sigue … éste:

$sql="SELECT * FROM usuarios WHERE user = '$usua' AND password='$clav'";

Lo que hace esa sentencia es verificar que existe el usuario mediante la devolución de un registro completo (y único en teoría). Por ejemplo, suponiendo que nuestro nombre de usuario sea Pepe y nuestra clave sea pepito123, entonces la cadena sql quedaría de ésta forma:

$sql="SELECT * FROM usuarios WHERE user = 'Pepe' AND password='pepito123'";

Aquí es donde entra la inyección SQL. No nos complicaremos mucho y comenzaremos con el clásico usuario vacío que valida todo y omitiremos la validación de clave. ¿Cómo? De la siguiente manera:

Usuario: ' or 1=1 --'
Clave: dsadsadas
 (da igual, escriban lo que sea, luego veremos por qué)

Al pasar estos valores por la cadena de validación SQL tendremos lo siguiente:

$sql="SELECT * FROM usuarios WHERE user = '' or 1=1 --'' AND password='dsadsadas'";

En MySQL un — es el inicio de un comentario, por lo que todo lo que se encuentra luego de éste par de caracteres no se ejecutará, por lo que solo nos quedará:

$sql="SELECT * FROM usuarios WHERE user = '' or 1=1 ";

Obviamente es improbable que se cumpla que exista nuestro usuario de login con nombre vacío (user = ''), sin embargo la segunda condición (1=1) siempre se cumple, por lo que podemos acceder a sistemas con bastante facilidad.

Evidentemente se exhiben cambios entre versiones de bases de datos y lenguajes de programación, por eso me tomé el trabajo de referirlos a un material bastante interesante que encontré en la web (enlace al final del post).

Esta hoja de referencia para inyección en SQL contiene códigos de guía para bases de dato Oracle, MySQL, SQL Server, PostgreSQL y lenguajes de programación como PHP, ASP, ASP.NET y Java, además de las diferentes combinaciones.

Se sorprenderán de la cantidad de aplicaciones que tienen vulnerabilidades que permiten inyección SQL en su formulario de login o inicio de sesión, ustedes no comentan los mismos errores.

El artículo que os mencionaba se encuentra en el siguiente enlace. ¡Espero que os sirva!

Fuente

A %d blogueros les gusta esto: