Hace poco me regalaron una cámara para vigilar a mi bebé. Leí el manual y no contenía ninguna indicación de seguridad, a pesar de que todos los dispositivos que se conectan a la Red son vulnerables: una lavadora con wifi, un reloj inteligente, una pulsera para contar los pasos…», advierte Sara Nieves Matheu. «Esto es peligroso. Se trata de aparatos con un software básico muy sencillos de hackear». Matheu, que estudió Matemáticas e Informática en la Universidad de Murcia, ha diseñado un sistema para evaluar y etiquetar la seguridad de todos...
|
etiquetas: informática , seguridad , delincuencia , red , vulnerabilidad
Llaman al portero.
-¿Quien es?
-Yo
Abren la puerta...
Llaman al portero.
-¿Quien es?
-Yo
Abren la puerta...
Soy ingeniera informática y estoy hasta el culo de oir referido a estos temas 'pero si eso es superfácil, es copy-pega o bajar el código de Internet y está hecho'... en informática nada es fácil
Me hubiera gustado que esto estuviera mas desarollado, ahora me quedo con la duda de como funciona ese ataque.
Es una frase hecha para vender periodicos. No se que coladero puede haber en eso.
La cuñada ejperta del día
"Coladero" Wowww que lenguaje más técnico.
Lo que es un coladero es la ingenuidad de la gente creyendo que alguien que se autodenomina ejperto en algo lo sea.
Y para tranquilidad de todos, indicar que las centrales nucleares no tienen absolutamente nada que sea crítico conectado a Internet.
PD: Igual quiere decir que si esa farola pertenece a un sistema más complejo, puede ser el vector de entrada para otros ataques a otros dispositivos. Por lo demás, me parece una afirmación sensacionalista si no la desarrolla... siempre que una afirmación lleva un "puede" hay que añadir al final "o no".
dice lo mismo con los contadores inteligentes, que es otra red del estilo, y lo culmina insinuando que puede tomar el control de una central nuclear, que están bajo un airgap ( desconectadas de redes)
vamos, puro sensacionalismo para meter la promoción de BBVA.
cc #15
No si ya. A ver que podria pasar que tengas luces de esas en una empresa que a su vez te de acceso a la red e la empresa y de ahi conseguir acceso a datos. Pero vamos...
Estas mierdas las dicen lo de siempre, que si "el algoritmo" que si la "IA"
El problema es que con tanto aparato conectado y tantas cuentas en sitios ahora tenemos decenas de puertas a la vez y mucha gente llamando a las mismas de forma continua.
Tarde o temprano se pueden acabar colando.
Yo siempre contesto yo. Si contestara otra cosa no sabrían que soy yo.
Pos fale
Periolisto: Para la foto, una cosas que se vea que eres informática, un PC no que de esos tiene todo el mundo y pareces secretaria, algo mas técnico....un "armario" de esos llenos de cables y lucecitas chulo....
Informática: Pero...pero....es que ya no tenemos de eso aquí, esta todo en la nube....
Solo nos quedan los restos de la sala de servidores que usamos de trastero.
Periolisto: Eso...ahí...perfecto......
Sin ir más lejos, el bobo de mi vecino, al que le he dicho varias veces que cualquier día le voy a cambiar de sitio el coche. Tiene un OBDII bluetooth conectado siempre para usar Torque con su móvil, y éste no se apaga tras quitar el contacto. ¿Te parece poco agujero de seguridad? ¿Te parece difícil que un mecánico tenga acceso a un software de reprogramación de vehículos que pueda acceder por bluetooth a su canbus y haga lo que quiera , como por ejemplo anular el gps, abrir las puertas y arrancarlo?
El problema es que hay otros vectores, el ejemplo clásico es Stuxnet.
Aunque la realidad es que en situaciones de guerra es mucho fácil tirar de insiders ( internos, proveedores, etc, etc.)
Con llevar un dispositivo de vigilancia pegado a nosotros todo el día no teníamos bastante, por lo que veo.
Primer paso, acceder a la red informática municipal desde cualquier lugar del pueblo, check.
Ahora puedes, por ejemplo, ver si tienes acceso a las cámaras de vigilancia del municipio, y a través de ellas al lugar donde dejan los ficheros de video. Una vez en el servidor de ficheros, ver si hay más carpetas compartidas. Y pasito a pasito, según lo que se hayan currado la seguridad, acceder a los servidores del ayuntamiento, a los ordenadores personales, o a los teléfonos conectados a la wifi...
El ataque no tiene porqué ser destructivo, puede ser simplemente robar documentación o espiar a alguien.
Entras en la app del móvil y conectas los ventiladores.
Has salido un sábado pensando en volver pronto pero te lías y la casa está vacía. Decides encender un par de luces para que los cacos no se confíen.
Sales de casa y dejas la Roomba en marcha y ves que ha terminado y ya se ha cargado del todo y te quedan 3 horas hasta llegar a casa. Le vuelves a dar marcha.
Si hace calor me aguanto un rato hasta que la temperatura baje. No me preocupan los cacos, mi casa no es tan interesante, y la puerta es razonablemente fuerte. Ni aunque me paguen meto una Roomba en casa
y #5 lo que decía arriba, alguien con esos conocimientos sabe que hay mejores nichos donde obtener beneficios que vender sus conocimientos a ladrones de casa, muuucho mejores (ejemplo, el phishing) sin tener que entrar en contacto con gente chunga ni moverse de casa
Informarnos del precio que puede tener 1 sw tan específico como este, algo así lleva muchos meses (puede que 1 o 2 años) su desarrollo y a tiempo completo, al menos 1 decenas de personas trabajando 8h diarias... todo suena bonito hasta que te pones a picar la primera línea.
Sí, que un fenómeno de la programación quizás en 6 meses te lo haga, pero alguien así no se dedica a estas cosas, gana muuucho más dedicando su tiempo a otras
Nota: tengo 12 años de experiencia en proyecto de desarrollo sw diriguiendo equipos con gente de distintos países (no consultoría), y participé en 7 proyectos de sw de distinto tipo, ahora estoy con el 8, algo sé del tema
¿Que cuánto se tarda en desarrollar exploits? Tu me dirás. Como si no hubiese bases de datos de exploits para qué según software y version y a la carta, pues es otros más en la base de datos.
A ver que casa de Manolo el carpintero no van a querer entrar, pero ya te digo que un paseito por unas zonas como Marbella si que le darían un buen repaso, de la misma manera que levantan coches de lujo.
Y mas de un caso se ha visto también de 'cámara para vigilar a los niños a la que puedes acceder via la app del móvil' y que resulte que TODAS las cámaras tenían la misma password por defecto (a su vez harcodeada en la app del fabricante) y cualquiera podia acceder por internet a la cámara con esa password.
Para el caso de contadores inteligentes y alumbrado, no son redes IP, ya que requieren mas energía y no son redes malladas (mesh) que permiten conectar a través de otros dispositivos de la red, por lo que se necesita al final una red de comunicaciones paralela mas cara.
Por ejemplo, una chorrada tan grande como que para que funcionase ese sw de hackeo q el móvil desde donde lanzas el ataque tuviese que estar rooteado(no sé si es el caso, pero supongamos que sí), recuerdo una app industrial que necesitaba estar rooteado y nos llevó varios meses hacer que el propio programa al instalarlo rootease automaticamente los modelos Android más vendidos porque las empresas a quienes se lo vendiamos ni tenian personal en sus departamento IT que supiese hacerlo (durante esos meses estuvimos rootenadolos a mano, menos mal q era un sw caro)
Resumen, siempre, siempre aparecen 'detalles' que retrasan todo y no suelen estar relacionados con el núcleo/funcionalidades principales del sw
Y melafo. Y Adiós
Jo, ya me veía metiendo un delfinazo con el #Flipper_Zero a una farola y con ello conseguir colapsar el tráfico de la ciudad al poner todos los semáforos en rojo.