Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
954
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
febrero
(Total:
36
)
- Quitando a los usuarios de Windows los derechos de...
- Un fallo en CloudFlare expone datos privados de su...
- AMD presenta oficialmente Ryzen R7 y alcanza en re...
- Un fan de NVIDIA asesina en Rusia un fan de AMD
- Google anuncia la primera colisión de SHA1
- RootedCON 2017 se celebra durante los días 2, 3 y ...
- Microsoft retrasa sus actualizaciones de seguridad...
- Con sólo 15 años hackeó ordenadores de la NASA
- Presentan como prodigio en informática a joven que...
- DEFT Zero presenta su edición 2017 para el análisi...
- El 0-Day de WordPress permite el hackeo de 1,5 mil...
- 8 tarjetas gráficas GTX 1080 conectadas para crack...
- Un nuevo fallo grave provoca DoS al software BIND DNS
- Universidad sufre un ataque DDoS de sus propios di...
- El 75% de todo el Ransomware es desarrollado por r...
- WhatsApp incorpora verificación en dos pasos
- Vulnerabilidades en las cerraduras inteligentes Bl...
- Solucionada vulnerabilidad XSS en Steam de Valve
- La Policía interviene en Málaga una operadora por ...
- Un sofisticado malware en memoria está infectando ...
- De nuevo hackean impresoras vulnerables imprimiend...
- El vendedor de Smart TV Vizio multado con 2.2$ mil...
- Un hacker tumba más de 10 mil páginas de la dark w...
- Ransomware Charger secuestra tu teléfono a cambio ...
- Una multa de tráfico falsa de la DGT infecta tu or...
- Cómo Google manejó el mayor ataque DDoS de la Botn...
- Documental: Big Data, conviviendo con el algoritmo
- Rusia detiene a varios expertos en ciberseguridad ...
- Nuevas vulnerabilidades críticas en routers Netgear
- Dos arrestados en Londres por infectar la red CCTV...
- 0-day en SMB afecta a múltipes versiones de Window...
- Windows Defender ATP te protegerá del Ransomware
- Gobierno holandés contará todas las papeletas a ma...
- Backblaze publica su ranking de fiabilidad de disc...
- Apple elimina iCloud Activation Lock Page por un f...
- Nueva actualización de seguridad para WordPress
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
346
)
ransomware
(
337
)
vulnerabilidad
(
293
)
Malware
(
259
)
Windows
(
239
)
android
(
239
)
tutorial
(
232
)
cve
(
231
)
manual
(
217
)
software
(
201
)
hardware
(
189
)
linux
(
123
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
84
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
50
)
adobe
(
43
)
firmware
(
41
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Loki es un sistema de agregación de logs creado por GrafanaLabs, es escalable horizontalmente, puede contar con alta disponibilidad y está i...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
Vulnerabilidades en las cerraduras inteligentes Bluetooth
viernes, 10 de febrero de 2017
|
Publicado por
el-brujo
|
Editar entrada
Las cerraduras Bluetooth están aumentando en popularidad, pero un análisis de 16 cerraduras digitales arroja un dato desalentador: 12 de ellas se hackean fácilmente con un sencillo y barato kit, y además se pueden abrir a 400 metros de distancia.
En una presentación en DEF CON 2016 –la conferencia anual en Las Vegas donde se reúnen hackers, y que es referencia mundial en seguridad digital, el investigador en seguridad Anthony Rose expuso el resultado de su investigación.
Rose explicó cómo consiguió hackear estas supuestas “cerraduras inteligentes” con un kit de equipamiento sencillo al alcance de cualquier persona, y que tan solo cuesta unos 190€. Sigue leyendo para entender en qué fallan estas cerraduras.
Por otro lado, hay otros fabricantes como Kevo, que tienen un software criptográfico convincente, pero en la práctica fallan en la seguridad física: la calidad de fabricación es tan decepcionante que se pueden abrir con un sencillo destornillador en unos pocos segundos.
Cuando un ladrón ataca una cerradura tradicional, normalmente deja rastro y evidencia de ese ataque (excepto en casos donde se utiliza el bumping), pero una cerradura digital se abre remotamente sin tocarla, y por tanto se puede obtener acceso ilegítimo sin dejar evidencia de ningún tipo. Ello dificulta justificar que se ha sufrido un robo ante, por ejemplo, la Policía o nuestro seguro del hogar.
Anthony es tan solo un investigador realizando un único estudio, pero a medida que el público instale más cerraduras “inteligentes” en sus hogares y negocios, mayores serán los incentivos que tendrán los ladrones y delincuentes digitales para investigar vulnerabilidades y diseñar ataques que las exploten.
Fuente:
https://securite.es/seguridad-digital/cerraduras-inteligentes-bluetooth-lo-que-no-te-cuentan/
El 75% de las cerraduras inteligentes Bluetooth pueden ser hackeadas
En una presentación en DEF CON 2016 –la conferencia anual en Las Vegas donde se reúnen hackers, y que es referencia mundial en seguridad digital, el investigador en seguridad Anthony Rose expuso el resultado de su investigación.
Rose explicó cómo consiguió hackear estas supuestas “cerraduras inteligentes” con un kit de equipamiento sencillo al alcance de cualquier persona, y que tan solo cuesta unos 190€. Sigue leyendo para entender en qué fallan estas cerraduras.
Cualquiera diría que las cerraduras inteligentes las fabrican personas tontas
Detalle del equipamiento utilizado
“Cualquiera
diría que las cerraduras inteligentes las fabrican personas tontas”,
afirmaba contundentemente Rose. “A la hora de escoger entre conveniencia
y seguridad, muchos fabricantes se decantan por la conveniencia; y, a
la hora de la verdad, ni siquiera se responsabilizan de subsanar las
vulnerabilidades de su hardware”.
Una vez el ladrón tiene la contraseña, puede utilizar la misma aplicación del fabricante para abrir la cerradura sin sospecha alguna.
Una vez grabada la señal, se puede utilizar el mismo dispositivo para reproducirla y ganar acceso a la vivienda o comercio. Lamentablemente, estos productos no utilizan protocolos de handshake para negociar una clave aleatoria para encriptar la clave de apertura antes de comenzar la tranmisión de la misma.
Vulnerabilidades detectadas
Vulnerabilidad 1: Captura de contraseña
Algunos de los productos que testeó Rose transmiten sus contraseñas en texto plano –sin encriptar– a través del aire, por lo que resulta verdaderamente sencillo capturar estas contraseñas mediante sniffing en el momento en que se están transmitiendo para abrir la cerradura.Una vez el ladrón tiene la contraseña, puede utilizar la misma aplicación del fabricante para abrir la cerradura sin sospecha alguna.
- Productos afectados: Quicklock (candado y cerradura), candado IBluLock, y cerradura Phantomlock.
Vulnerabilidad 2: Ataques de reproducción
Otros cinco productos fueron vulnerables al ataque de reproducción. Aunque estos productos no transmiten sus contraseñas en texto plano, un hacker puede capturar la señal de radio en bruto, almacenarla, y luego utilizarla de nuevo para abrir la cerradura tantas veces como quiera. Basta con dejar el kit de sniffing escondido en un lugar cercano a la cerradura (detrás de una planta, en un rellano, etc.) y esperar a que alguien entre.Una vez grabada la señal, se puede utilizar el mismo dispositivo para reproducirla y ganar acceso a la vivienda o comercio. Lamentablemente, estos productos no utilizan protocolos de handshake para negociar una clave aleatoria para encriptar la clave de apertura antes de comenzar la tranmisión de la misma.
- Productos afectados: cerradura inteligente Ceomate Bluetooth, cerradura inteligente Lagute Sciener Smart, cerradura inteligente Vians Bluetooth Smart, y los candados Elecycle EL797 and EL797G.
Otras vulnerabilidades
- Fuerza bruta (brute force). Algunos sistemas utilizan contraseñas númericas de tan solo 6 cifras, lo cual facilita desplegar un ataque de fuerza bruta, el cual consiste en probar automática y en batería todas las combinaciones posibles (en concreto 999999, en este caso) hasta dar con la acertada.
- Contaseña de administrador. Otro fabricante fija una contraseña de administrador por defecto (‘thisisthesecret’) en el firmware de todas sus unidades, por lo que Anthony fue capaz de descubrirla y explotarla para ganar acceso.
- Paquetes malformados. El dispositivo de apertura se comunica con la cerradura transmitiendo paquetes de datos a través del aire mediante Bluetooth o radio. Investigando el código fuente de un producto, Anthony descubrió que si enviaba un paquete malformado, se producía un error en la cerradura y el comportamiento por defecto era abrirse (¡increíble!).
¿Cómo reaccionaron los fabricantes?
Quizá ésta fue la parte más desesperanzadora del estudio de Anthony. Cuando se puso en contacto con los 12 fabricantes para exponer sus vulnerabilidades, la respuesta fue inesperada:- Un fabricante de origen chino reaccionó cerrando su página web, pero aún comercializa sus productos vía Amazon.
- Otras 10 compañías hicieron oídos sordos y lo ignoraron completamente.
- La última empresa sí le respondió. Reconocieron el fallo pero confesaron que no tenían previsto resolverlo.
¿Y el resto de productos?
Entre los fabricantes que sí pasaron el test de Anthony se encuentran Noke Locks y Masterlock, pero eso no quiere decir que sean seguras, sino que sencillamente el investigador no fue capaz de vulnerarlas con los recursos y el tiempo de los que disponía en ese momento.Por otro lado, hay otros fabricantes como Kevo, que tienen un software criptográfico convincente, pero en la práctica fallan en la seguridad física: la calidad de fabricación es tan decepcionante que se pueden abrir con un sencillo destornillador en unos pocos segundos.
Cuando un ladrón ataca una cerradura tradicional, normalmente deja rastro y evidencia de ese ataque (excepto en casos donde se utiliza el bumping), pero una cerradura digital se abre remotamente sin tocarla, y por tanto se puede obtener acceso ilegítimo sin dejar evidencia de ningún tipo. Ello dificulta justificar que se ha sufrido un robo ante, por ejemplo, la Policía o nuestro seguro del hogar.
Anthony es tan solo un investigador realizando un único estudio, pero a medida que el público instale más cerraduras “inteligentes” en sus hogares y negocios, mayores serán los incentivos que tendrán los ladrones y delincuentes digitales para investigar vulnerabilidades y diseñar ataques que las exploten.
Fuente:
https://securite.es/seguridad-digital/cerraduras-inteligentes-bluetooth-lo-que-no-te-cuentan/
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.