Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
2014
(Total:
185
)
-
▼
septiembre
(Total:
18
)
- Router neutro Asus RT-AC68U con Adamo Internet
- Conferencia de Seguridad en Chile 8.8
- Telegram sufre un ataque DDoS de 150 Gb/s
- La ekoparty Security Conference cumple 10 años
- Así funcionan los servidores The Pirate Bay por de...
- Un bug en Bash llamado Shellshock vulnera la segur...
- X Premios Bitácoras Edición 2014
- Se filtran por tercera vez más fotos de estrellas ...
- Empresa de Girona ofrece 10.000 a quien crackee su...
- [EHN-Dev 2014] Concurso de desarrollo de aplicaciones
- Seguridad de dispositivos móviles: iPhone (iOS 7.x)
- Servicio Antibotnet de INTECO (Comprueba si una ip...
- ¿El hacker que filtró las fotos de famosas de Holl...
- Velocidad media de internet en Europa por países
- Hackstory, el libro sobre la historia de los hackers
- Filtradas fotos de famosas desnudas tras un supues...
- ¿Se acerca la muerte de las contraseñas?
- Google elimina definitivamente el autor de sus res...
-
▼
septiembre
(Total:
18
)
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
¿El hacker que filtró las fotos de famosas de Hollywood amenaza con publicar más al ser perseguido por el FBI ?
jueves, 4 de septiembre de 2014
|
Publicado por
el-brujo
|
Editar entrada
Un momento crítico para la seguridad en la nube. Estos días todo Internet se convulsionó por la filtración de fotografías íntimas de celebridades de la talla de Jennifer Lawrence, Kaley Cuoco o Kirsten Dunst.
Internet arde con un sorprendente filtrado de imágenes muy comprometidas que afecta a decenas de famosas y reabre el debate sobre la privacidad en la Red.
La pesadilla en Hollywood continúa. El "hacker de las estrellas" filtró más imágenes íntimas de Jennifer Lawrence, Kate Upton, Rihanna, Ariana Grande, Teresa Palmer y Ali Michael
El hacker, a quien otros usuarios se refieren como “Original Guy”, afirman que ha comenzado su huida tras conocer que la justicia internacional le pisa los talones. No se le ha ocurrido otra cosa mejor que contraatacar amenazado con filtrar más fotografías si no dejan de perseguirle, algo que no suena muy inteligente.
"Sé que nadie me creerá, pero tengo un video corto de Lawrence. Es muy corto, de apenas un poco más de dos minutos, y sólo se ven los pechos. En fin, si alguien lo quiere, que me haga saber cómo subirlo anónimamente (no quiero al FBI sobre mí y no quieren saber cómo conseguí el video)", escribió el hacker no identificado, que pidió donaciones por la filmación.
Es la filtración simultánea de imágenes privadas de celebridades más grande de la que se tenga registro. Se suponía que el cibercriminal había atacado las cuentas iCoud de las estrellas gracias a una falla en el servicio, pero Apple salió a negar que sea responsable del Celebgate, como se ha popularizado el escándalo.
El usuario anónimo poseedor de este archivo de imágenes amenaza con tener muchas más fotos y vídeos, alguno de ellos todavía más comprometedor, y ha facilitado una cuenta de PayPal en la que acepta donaciones para seguir publicando estas imágenes que han revolucionado el inicio de septiembre en todo el mundo.
A raíz de la liberación de las fotos íntimas de famosas este fin de semana pasado en el foro /b/ de 4chan, el sitio ha añadido a sus normas la DMCA o Digital Millennium Copyright Act. Anteriormente se gestionaba por su rápida caducidad de contenido. Bajo esta política, 4chan ahora eliminará el contenido cuando sea notificada una "infracción de buena fe" por la ley.
A pesar de lo que muchos medios generalistas anunciaron, nadie penetró en los sistemas de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema se encontraba en la API de "FindMyPhone" de Apple. Concretamente esta llamada REST (hay un supuesto script que parece haber sido usado para el ataque - https://github.com/hackappcom/ibrute):
Internet arde con un sorprendente filtrado de imágenes muy comprometidas que afecta a decenas de famosas y reabre el debate sobre la privacidad en la Red.
La pesadilla en Hollywood continúa. El "hacker de las estrellas" filtró más imágenes íntimas de Jennifer Lawrence, Kate Upton, Rihanna, Ariana Grande, Teresa Palmer y Ali Michael
El hacker, a quien otros usuarios se refieren como “Original Guy”, afirman que ha comenzado su huida tras conocer que la justicia internacional le pisa los talones. No se le ha ocurrido otra cosa mejor que contraatacar amenazado con filtrar más fotografías si no dejan de perseguirle, algo que no suena muy inteligente.
"Sé que nadie me creerá, pero tengo un video corto de Lawrence. Es muy corto, de apenas un poco más de dos minutos, y sólo se ven los pechos. En fin, si alguien lo quiere, que me haga saber cómo subirlo anónimamente (no quiero al FBI sobre mí y no quieren saber cómo conseguí el video)", escribió el hacker no identificado, que pidió donaciones por la filmación.
En las últimas horas se publicaron dos videos de la actriz Jessica Brown Findlay, conocida por interpretar a Lady Sybil en Downton Abbey, y se filtraron más fotografías al desnudo de estrellas como Rihanna, Aubrey Plaza de la serie Parks and Recreation, Ariana Grande, Teresa Palmer, Kate Upton y Jennifer Lawrence.
La mayor cantidad de imágenes disponilbles pertenecen a Kate Upton
Ali Michael, la actriz Lori Ann Heuring y la cantante Cassandra Elizabeth Ventura, conocida como Cassie, también se agregan a la lista de las 100 personalidades afectadas, entre la que solo hay un varón, Dave Franco.
Kirsten Dunst, una de las involucradas en el paquete de reveladoras
imágenes, ha usado su cuenta de Twitter para declarar su descontento con
la situación y con iCloud.
Es la filtración simultánea de imágenes privadas de celebridades más grande de la que se tenga registro. Se suponía que el cibercriminal había atacado las cuentas iCoud de las estrellas gracias a una falla en el servicio, pero Apple salió a negar que sea responsable del Celebgate, como se ha popularizado el escándalo.
El usuario anónimo poseedor de este archivo de imágenes amenaza con tener muchas más fotos y vídeos, alguno de ellos todavía más comprometedor, y ha facilitado una cuenta de PayPal en la que acepta donaciones para seguir publicando estas imágenes que han revolucionado el inicio de septiembre en todo el mundo.
Fuente:
A raíz de la liberación de las fotos íntimas de famosas este fin de semana pasado en el foro /b/ de 4chan, el sitio ha añadido a sus normas la DMCA o Digital Millennium Copyright Act. Anteriormente se gestionaba por su rápida caducidad de contenido. Bajo esta política, 4chan ahora eliminará el contenido cuando sea notificada una "infracción de buena fe" por la ley.
Casi todas las famosas afectadas usaban iPhone, así que rápidamente las miradas apuntaron hacia Apple y su popular sistema iCloud.
En primer lugar, cuando Apple introdujo iCloud, lo uso inicialmente como forma de hacer backup del contenido de iPhone & iPad, lo que hacía que fotos, vídeos, notas, marcadores de navegación, datos de apps, etcétera, se copiaran a los servidores de Apple. Una mala idea para la privacidad personal, pero al final, para la gente que ha dejado de utilizar PCs en su vida cotidiana, el contar con un backup en la nube podría ser muy útil.
El protocolo de acceso a Apple iCloud está analizado y re-analizado, y en una conferencia no hace mucho tiempo se publicó un estudio y unas librerías en Python para todo aquel que quisiera hacerse su propia herramienta, así que si las famosas tenían activado Apple iCloud - que parece que está más que confirmado - es de donde se sacó el material.
En primer lugar, cuando Apple introdujo iCloud, lo uso inicialmente como forma de hacer backup del contenido de iPhone & iPad, lo que hacía que fotos, vídeos, notas, marcadores de navegación, datos de apps, etcétera, se copiaran a los servidores de Apple. Una mala idea para la privacidad personal, pero al final, para la gente que ha dejado de utilizar PCs en su vida cotidiana, el contar con un backup en la nube podría ser muy útil.
El protocolo de acceso a Apple iCloud está analizado y re-analizado, y en una conferencia no hace mucho tiempo se publicó un estudio y unas librerías en Python para todo aquel que quisiera hacerse su propia herramienta, así que si las famosas tenían activado Apple iCloud - que parece que está más que confirmado - es de donde se sacó el material.
A pesar de lo que muchos medios generalistas anunciaron, nadie penetró en los sistemas de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema se encontraba en la API de "FindMyPhone" de Apple. Concretamente esta llamada REST (hay un supuesto script que parece haber sido usado para el ataque - https://github.com/hackappcom/ibrute):
"https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"
Donde el 'apple_id' se debe introducir el correo de la víctima. Exacto, el
atacante debe saber de antemano el correo de la cuenta asociada a iCloud a la
que quiere acceder. ¿Cómo era posible saber el correo de una famosa? Existen
muchas teorías, alguno sería sencillo de averiguar o quizás pululaba por ahí,
el caso es que obteniendo la agenda de contactos de una famosa el resto era ir
tirando de la caña.
El ataque se hacía de manera
combinada, con listas de correos y listas de contraseñas por lo que se trataba
de un ataque de longitud cuadrática. "Por
cada correo prueba estas 500 contraseñas…". Esto genera un ruido
impresionante en los registros de eventos que ni a un IPS de segunda división
se le pasa por alto, en el supuesto claro de que hubiera alguno… ¿Lo habría?
Observamos como el User-agent y
otros valores son fijos. Y vemos algo que llama mucho la atención: El UDID del
dispositivo origen de las peticiones es pseudoaleatorio, falso como el cartón
piedra y cuando la combinación
usuario/contraseña es correcta Apple no hace una comprobación adicional de ese
UDID rechazando, a pesar de la validez de la contraseña, la petición.
Tarjeta amarilla.
Lo segundo y que es lo que ha
llegado a las rotativas, es la falta de límite de intentos de acceso a una
cuenta determinada. Como dijimos un par de párrafos arriba los servidores de Apple se tragaban cualquier número de peticiones con
resultado erróneo. ¿Os imagináis a Jennifer metiendo 500 contraseñas en 60
segundos en el set de rodaje mientras la esperan para la siguiente toma?
Tarjeta roja.
Otro asunto es que la
autenticación se hacía a través de la autenticación básica implementada por el
protocolo HTTP. Concatenación de usuario y contraseña, símbolo ':' mediante y
eso lo pasamos por un codificador en base64. Eso no es un hash, es simplemente
una cadena codificada. La lista de passwords, supuestamente usada, no son
hashes MD5 o SHA1 o lo que sea. Son contraseñas en texto claro que van a ser codificadas
y enviadas para su comprobación al servidor de "FindMyIphone". Luego si no nos equivocamos, en algún momento
esas contraseñas podrían estar almacenadas con un simple base64.
Fuente:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.