[HACK] Cronica NoConName

[merce]

03/10/06 11:08:28


"PODEMOS ROBAR UNA BASE DE DATOS EN 5 SEGUNDOS"

Los "hackers blancos" españoles comparten descubrimientos en Palma
de Mallorca


Mercè Molist
Un centenar de expertos en seguridad informática, la mayoría
empleados en las principales consultoras independientes españolas,
se reunieron la semana pasada en Palma de Mallorca para contarse
historias que ponen los pelos de punta. Como el juego de niños que
es robar miles de datos personales o asaltar las redes bancarias,
militares y corporativas del mundo.

La sexta edición de las jornadas No Con Name contó con una nutrida
representación internacional, como el italiano Raoul Chiesa, quien
demostró lo fácil que es entrar ilegalmente en la red Iberpac de
Telefónica y las empresas conectadas a ella. También enseñó pruebas
de sus paseos por sistemas de satélites como Brasilsat o Inmarsat.

Chiesa es un experto en redes X25, usadas por grandes empresas,
operadoras y gobiernos cuando no existía Internet: "Todo el mundo se
ha olvidado de sus viejos accesos a estas redes y no les dedican
ninguna seguridad, son puertas traseras totalmente abiertas, que
permiten entrar en las redes principales".

Según el italiano, hay un centenar de redes X25 funcionando aún en
el mundo, transportando información "fácilmente interceptable y con
pocas posibilidades de que te descubran", como transferencias
bancarias, información aeronáutica, datos corporativos o
gubernamentales.

Los argentinos César Cerrudo y Esteban Martínez afirmaron en su
charla: "Podemos robar una base de datos en cinco segundos. Es
sencillo porque la mayoría no están bien aseguradas". En el último
año, 53 millones de personas han visto sus datos comprometidos en el
mundo, la mayoría almacenados en grandes compañías. Una cifra
pequeña, aseguraron: "Hay más casos, pero no se conocen porque sólo
las empresas de EEUU tienen la obligación legal de denunciarlo".

Los argentinos afirmaron haber descubierto más de cien agujeros para
los que no existe solución en las populares bases de datos Oracle:
"Esto significa que, aunque tengas tu servidor bien configurado y
parcheado, sigue siendo vulnerable a través de muchas técnicas, que
permiten robar una base de datos completa en cuestión de minutos y a
distancia, sin tener que meterte dentro", explicaron y demostraron.

La No Con Name contó con otras conferencias sobre cómo robar códigos
de acceso, ataques a aplicaciones, virus, ingeniería inversa. Puso
la guinda el tejano Shawn Merdinger, quien diseccionó la oferta de
teléfonos para VozIP, donde la seguridad brilla por su ausencia:
puertos abiertos que permiten a un atacante reconfigurar o
bombardear el teléfono, espiar llamadas y otras maravillas.

Merdinger afirmó: "Las empresas de VozIP están más preocupadas por
coger mercado que por la seguridad y sus aparatos permiten todos los
ataques clásicos. Si consiguen su objetivo de meternos VozIP en
neveras, coches, controles remotos, consolas, aviones, será una
locura". El tejano relató un reciente fraude en Estados Unidos,
donde dos delincuentes robaron servicio a un proveedor de VozIP y lo
revendieron por valor de más de un millón de dólares.

En los corrillos, se confirmaban las afirmaciones hechas en las
conferencias y se añadían nuevos datos, como lo fácil que resulta
entrar en los sistemas de algunos bancos o penetrar en las redes de
la OTAN. Visto a través de los ojos de los "hackers blancos"
españoles, el mundo virtual no tiene paredes.



SE ACABÓ MANCHARSE EL DEDO PARA CONSEGUIR EL DNI


Con el nuevo DNI electrónico, desaparecerá la tradicional acción de
mancharse el dedo en tinta para dejar la huella, explicó Alejandro
Ramos, que ha participado en el proyecto: "La impresión dactilar se
conseguirá mediante un sistema biométrico y, en 8 minutos, tendremos
nuestro nuevo DNI".

Ramos afirmó que ya se está expidiendo con normalidad en una docena
de ciudades, aunque quien no quiera activar la utilidad informática
no está obligado a hacerlo. Con ella, explicó, se puede presentar a
distancia la declaración de la renta, participar en subastas
públicas o acceder a servicios de la Seguridad Social.

En caso de querer usarlo en Internet, hay que tener un aparato
lector de tarjetas, descargar un certificado de la web de la
Dirección General de Policía y activar el PIN, en uno de los
quioscos dispuestos en las comisarias. De momento sólo funciona con
Windows e Internet Explorer.

El experto desmintió que fuese difícil de usar: "Tampoco es cierto
que en él se guarden nuestro ADN, grupo sanguíneo o historial de
tráfico, sólo la información normal sobre quién es el ciudadano y
sus certificados digitales".

Ramos destacó la robustez del sistema: "Para abrir el chip se
necesitaría una cantidad muy importante de desarrollo. También se ha
cuidado mucho que, cuando se meta el DNI en un dispositivo, no se
pueda leer la comunicación entre ambos. No existen riesgos técnicos,
excepto lo que venga de la picaresca".



No Con Name
http://www.noconname.org/congreso2006.php




Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.


http://ww2.grn.es/merce/2006/noconname.html