viernes, 20 de junio de 2014

Imitadores de hackers

La imitación con la voz es algo que siempre nos maravilla, quien sabe si porque permite exhibir los límites de unas cuerdas vocales que la mayoría de los humanos no explotamos al máximo. Es algo más que cantar. Es llevar la voz a lugares insospechados. Dicho de otra forma, es hacer con la voz lo que un hacker (entendido como desarrollador) hace con el código.



Si la imitación de voces maravilla, la imitación de ruidos como los de los coches tiene el plus de lograr reproducir con recursos propios el sonido fruto de años de investigación en aerodinámica, mecánica y engranajes. Con sus propios recursos, un equipo liderado por Michael Ossmann está haciendo su propia imitación de los dispositivos de espionaje de la NSA revelados hace un año por Edward Snowden. Mediante técnicas de ingeniería inversa, están logrando desarrollar hardware y software que podría ser accesible para cualquiera, con un único propósito declarado: mostrar las debilidades de cualquier compañía para forzar mayores y mejores inversiones en seguridad.
El propósito del equipo de Ossmann cobra especial relevancia esta semana, en la que el servicio de inteligencia británico "ha tirado la toalla" en cuanto a la batalla por la credibilidad. No solo reconoce espiar de forma abierta a sus ciudadanos, sino que además afirma que son acciones legales, incluida la lectura de servicios de webmail. Lo hace por boca de Charles Farr, director general de la Oficina de Seguridad y Contraterrorismo del GCHQ (la agencia de inteligencia británica), que estima que tanto las redes sociales como el correo electrónico son "comunicaciones externas", y por tanto pueden ser interceptadas sin ningún tipo de garantía previa.

Tampoco es para escandalizarse, si tenemos en cuenta que nuestros datos corren a la velocidad del click de empresa en empresa, sin tener muy claro casi nunca cuál es el eslabón más débil de la cadena. Y huelga recordar que los criminales atacan precisamente ahí, en el eslabón más débil. De poco te sirve que la empresa en la que te registras contemple las mayores medidas de seguridad si en su cesión legal a terceros para su explotación comercial, o de otro tipo, estas terceras partes tienen más agujeros que un queso gruyere. Más aún: podemos tener confianza máxima en los proveedores de mayor tamaño, que en ocasiones harán caso omiso de las advertencias de seguridad que se les haga llegar, como se acaba de conocer respecto a LinkedIn: seis avisos de secuestro de identidad, relacionados con la vulnerabilidad de moda, el SSL y el man-in-the-middle (MITM).

¿Y qué es un MITM sino un magnífico ejemplo de "imitación", de hacerse pasar por quien uno no es en doble dirección hacia el proveedor de servicios y hacia el usuario–? Pues esa es precisamente la bondad de instalar software antimalware en tu dispositivo Android. No es por las aplicaciones maliciosas, que tienen que vérselas con la precisión de la maquinaria de Google, sino por los Zero-Day que afecten a tus aplicaciones legítimas y los ataques de ingeniería social. Un ataque bien dirigido te puede llevar a un enlace no deseado, una descarga no prevista y un smartphone o tablet secuestrado y encriptado. Y buena parte del proceso se habrá hecho, sin que lo sepas, mediante el uso de la red TOR, la preferida de los cibercriminales para acometer sus operaciones.


0 comentarios:

Publicar un comentario