Español | English
rss facebook linkedin Twitter

Feliz año 2009

Apenas quedan dos horitas para que abandonemos el año 2008, y me gustaría recapitular con vosotros las principales noticias reflejadas en nuestro Blog. Dado que un año da para mucho, me centraré en la entrada de cada mes que, a mi juicio, resulta más destacable:

  • Enero: Se anuncia que el sistema RFID Mifare ha sido comprometido. Esto implica que millones de tarjetas emitidas para el pago de tarifas en transporte público, así como en controles de acceso, tienen un nivel de seguridad efectivo equivalente a las antiguas tarjetas de baja frecuencia. Parece que el fabricante ha aprendido de su error (confiar en la seguridad por la oscuridad) y lo enmienda sacando las tarjetas Mifare Plus con algoritmo de cifrado AES-128. Ahora bien, el parque actual de lectores con soporte Mifare no es compatible con estas tarjetas.

  • Febrero: Se crea un exploit para la consola Wii de Nintendo, accediendo por primera vez al 100% de los recursos de esta consola (hasta entonces sólo era posible acceder al hardware con capacidades reducidas, con el que se que ejecuta el software de la anterior generación, la GameCube). Esto abre un sinfin de posibilidades, como por ejemplo la carga del kernel Linux. Actualmente, dado el caracter online de las consolas de nueva generación, así como el uso de memoria flash, el fabricante intenta corregir la vulnerabilidad que permite ejecutar el exploit.

  • Marzo: Tiene lugar la sexta edición del e-crime Congress en Londres. S21sec crea la unidad de inteligencia, vigilancia y lucha contra el fraude online. Es posible descargarse el informe sobre fraude online desde la portada de la página de S21sec.

  • Abril: Se amplía la representación de S21sec en la geografía nacional abriendo oficina en León con INTECO.

  • Mayo: Se descubre una gravísima vulnerabilidad en el paquete OpenSSL de las distribuciones Debian y derivadas, en la que el generador de números seudoaleatorios tiene un comportamiento muy predecible. Este fallo tiene graves repercusiones, ya que multitud de servicios dependen de estas librerías. Inmediatamente se procedió a corregir el problema pero, ¿cuántas máquinas habrán quedado expuestas por no haberse actualizado y regenerado certificados? Lo más preocupante es la ventana de tiempo transcurrido desde que se introdujo el error hasta que fue subsanado (bastantes meses).


  • Julio: Se anuncia una vulnerabilidad que afecta a la mayoría de los servidores DNS, y que a diferencia de a lo que estamos acostumbrados, se debe a las especificaciones del protocolo y no a su implementación.

  • Agosto: Anunciada vulnerabilidad en el protocolo BGP, con un cierto paralelismo con el de los DNS: un protocolo diseñado hace años y sin tener en cuenta ciertas medidas de seguridad que hoy en día se hacen imprescindibles.

  • Septiembre: Un grupo de hackers griegos burla el sistema de seguridad de la infraestructura informática del CERN para acceder a parte de los sistemas de información del LHC. Aunque no tiene mayor repercusión, sí que tiene una moraleja: no dejar de lado la seguridad digital en el desarrollo y explotación de proyectos de gran envergadura. Y no solo en complejos laboratorios, sino en entornos en los que haya tecnología SCADA involucrada.

  • Octubre: Se trata una nueva forma de malware en la que se infecta el MBR del equipo informático con el fin de hacer dificil su detección. El troyano Sinowal tiene como finalidad el robo de la información bancaria introducida en el ordenador de la víctima. ¿Será el momento de empezar a pensar en una capa hypervisor de bajo nivel como la de la PlayStation 3 o la de los mainframes?.

  • Noviembre: Se hace público un paper en el que se demuestra una debilidad del protocolo WPA con cifrado TKIP. Existen implementaciones prácticas que explotan esto, aunque conviene indicar que no se trata de algo grave.

  • Diciembre: El CCC lleva a cabo una demostración en la que forjan en cuestión de horas un certificado SSL en el que se emplea la función resumen MD5, con la ayuda de una granja de 200 PlayStation 3. No es ninguna novedad que este algoritmo de hash está seriamente comprometido, quizá lo que haga falta para su destierro definitivo sean pruebas de concepto como esta.

Y llegados a este punto, y pidiendo disculpas a mis compañeros por haber dejado sin citar otros artículos del Blog igualmente interesantes, deseo a todos los lectores una feliz entrada de año.


Álvaro Ramón
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login