|
"Podemos robar una base de datos en 5 segundos"
|
|
VSantivirus No 2271 Año 10, martes 17 de octubre de 2006
"Podemos robar una base de datos en 5 segundos"
http://www.vsantivirus.com/mm-noconname-2006.htm
Por Mercè Molist (*)
colaboradores@videosoft.net.uy
Los "hackers blancos" españoles comparten descubrimientos en Palma de Mallorca
Un centenar de expertos en seguridad informática, la mayoría empleados en las principales consultoras independientes españolas, se reunieron hace unas semanas en Palma de Mallorca para contarse historias que ponen los pelos de punta. Como el juego de niños que es robar miles de datos personales o asaltar las redes bancarias, militares y corporativas del mundo.
La sexta edición de las jornadas No cON Name contó con una nutrida representación internacional, como el italiano Raoul Chiesa, quien demostró lo fácil que es entrar ilegalmente en la red Iberpac de Telefónica y las empresas conectadas a ella. También enseñó pruebas de sus paseos por sistemas de satélites como Brasilsat o Inmarsat.
Chiesa es un experto en redes X25, usadas por grandes empresas, operadoras y gobiernos cuando no existía Internet: "Todo el mundo se ha olvidado de sus viejos accesos a estas redes y no les dedican ninguna seguridad, son puertas traseras totalmente abiertas, que permiten entrar en las redes principales".
Según el italiano, hay un centenar de redes X25 funcionando aún en el mundo, transportando información "fácilmente interceptable y con pocas posibilidades de que te descubran", como transferencias bancarias, información aeronáutica, datos corporativos o gubernamentales.
Los argentinos César Cerrudo y Esteban Martínez afirmaron en su charla: "Podemos robar una base de datos en cinco segundos. Es sencillo porque la mayoría no están bien aseguradas". En el último año, 53 millones de personas han visto sus datos comprometidos en el mundo, la mayoría almacenados en grandes compañías. Una cifra pequeña, aseguraron: "Hay más casos, pero no se conocen porque sólo las empresas de EEUU tienen la obligación legal de denunciarlo".
Los argentinos afirmaron haber descubierto más de cien agujeros para los que no existe solución en las populares bases de datos Oracle: "Esto significa que, aunque tengas tu servidor bien configurado y parcheado, sigue siendo vulnerable a través de muchas técnicas, que permiten robar una base de datos completa en cuestión de minutos y a distancia, sin tener que meterte dentro", explicaron y demostraron.
La No cON Name contó con otras conferencias sobre cómo robar códigos de acceso, ataques a aplicaciones, virus, ingeniería inversa. Puso la guinda el tejano Shawn Merdinger, quien diseccionó la oferta de teléfonos para VozIP, donde la seguridad brilla por su ausencia: puertos abiertos que permiten a un atacante reconfigurar o bombardear el teléfono, espiar llamadas y otras maravillas.
Merdinger afirmó: "Las empresas de VozIP están más preocupadas por obtener mercado que por la seguridad y sus aparatos permiten todos los ataques clásicos. Si consiguen su objetivo de meternos VozIP en neveras, coches, controles remotos, consolas, aviones, será una locura". El tejano relató un reciente fraude en Estados Unidos, donde dos delincuentes robaron servicio a un proveedor de VozIP y lo revendieron por valor de más de un millón de dólares.
En los corrillos, se confirmaban las afirmaciones hechas en las conferencias y se añadían nuevos datos, como lo fácil que resulta entrar en los sistemas de algunos bancos o penetrar en las redes de la OTAN. Visto a través de los ojos de los "hackers blancos" españoles, el mundo virtual no tiene paredes.
Referencias:
No cON Name (NcN)
http://www.noconname.org/congreso2006.php
[NOTA VSA: NcN son las siglas de No cON Name (congreso sin nombre)]
(*) Copyleft 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|