miércoles, 21 de octubre de 2015

¿Cómo falsificar una tarjeta con chip? Poniendo otro encima

Pueden llamarlo el "truco del almendruco" o un "hack" como una casa. La cuestión es que muchos investigadores de seguridad se han quedado maravillados al saber cómo unos delincuentes franceses consiguieron robar casi 700.000 euros usando tarjetas con chip robadas, de las cuales desconocían el PIN. Lo contaremos a continuación, así como graves errores descubiertos en discos duros de cifrado, los pasos adelante de la certificación más popular y un interesante reportaje sobre el mundo de las vulnerabilidades 0day.


Mientras a nuestro alrededor sentimos ya saturación de bromas, noticias y demás sobre el día en que Marty McFly regresó al futuro (hoy), nosotros viajamos hasta 2010, cuando investigadores de la Universidad de Cambridge descubrieron un fallo que permitía a los ladrones usar tarjetas con chip sin conocer el PIN, mediante un ataque de hombre-en-el-medio. En los años siguientes se detectó a una banda que usaba este truco con tarjetas robadas en Francia y "vaciadas" en Bélgica. El truco consiste en poner un chip justo encima del legítimo. El segundo chip aceptará cualquier PIN que se le introduzca. Por cierto, por si alguien pensaba en aprovechar el fallo: ya ha sido reparado.



Defectos en discos de cifrado

Otro importante fallo ha sido detectado en los discos duros auto-cifrables My Passport, de Western Digital. Un equipo de investigadores decidieron analizar si estos discos eran realmente tan seguros como anunciaba la publicidad y ha resultado ser que no. Es más: los investigadores aseguran que están repletos de vulnerabilidades y que no es nada difícil para un atacante acceder a la información que guardan. Mejor dejar esta marca en cuarentena hasta que lo arreglen...

Let's Encrypt sigue adelante

Y vamos con la noticia positiva del día: la iniciativa Let's Encrypt, que ofrece certificados gratuitos y herramientas de código abierto para securizar webs, ha conseguido el apoyo de los más importantes navegadores, que le han dado oficial y públicamente su confianza. Let's Encrypt es una autoridad de certificación creada por la Electronic Frontier Foundation, Mozilla, Cisco Systemas y Akamai, con la intención de que cualquiera que tenga un nombre de dominio pueda tener un certificado gratuito, como forma de ayudar a la expansión del protocolo seguro HTTPS en la web.

Leyes contra 0days

Acabamos con un texto para leer con calma, no por su complejidad sino porque es un reportaje bastante completo sobre el mundo de las vulnerabilidades 0days. Ahora mismo en Estados Unidos y Europa se debaten leyes que, entre otros temas, quieren poner orden en el mercado de los 0days: desde la legalidad de las herramientas de hacking que llevan a descubrir un 0day hasta las normas para su exportación. Reportaje que vale la pena para hacerse una idea clara sobre este peliguado tema, donde los haya.

Y acabamos de esta forma el día en que más artículos se han escrito sobre la película "Regreso al futuro". Por nuestra parte hemos intentado seguir el "meme" pero sin hipotecar la calidad de nuestra información. Esperamos haberlo logrado.

0 comentarios:

Publicar un comentario