03/10/06 11:08:28
"PODEMOS ROBAR UNA BASE DE DATOS EN 5 SEGUNDOS"
Los "hackers blancos" españoles comparten descubrimientos en Palma de Mallorca
Mercè Molist
Un centenar de expertos en seguridad informática, la
mayoría empleados en las principales consultoras independientes
españolas, se reunieron la semana pasada en Palma de Mallorca
para contarse historias que ponen los pelos de punta. Como el juego de
niños que es robar miles de datos personales o asaltar las redes
bancarias, militares y corporativas del mundo.
La sexta edición de las jornadas No Con Name contó con
una nutrida representación internacional, como el italiano Raoul
Chiesa, quien demostró lo fácil que es entrar ilegalmente
en la red Iberpac de Telefónica y las empresas conectadas a
ella. También enseñó pruebas de sus paseos por
sistemas de satélites como Brasilsat o Inmarsat.
Chiesa es un experto en redes X25, usadas por grandes empresas,
operadoras y gobiernos cuando no existía Internet: "Todo el
mundo se ha olvidado de sus viejos accesos a estas redes y no les
dedican ninguna seguridad, son puertas traseras totalmente abiertas,
que permiten entrar en las redes principales".
Según el italiano, hay un centenar de redes X25 funcionando
aún en el mundo, transportando información
"fácilmente interceptable y con pocas posibilidades de que te
descubran", como transferencias bancarias, información
aeronáutica, datos corporativos o gubernamentales.
Los argentinos César Cerrudo y Esteban Martínez afirmaron
en su charla: "Podemos robar una base de datos en cinco segundos. Es
sencillo porque la mayoría no están bien aseguradas". En
el último año, 53 millones de personas han visto sus
datos comprometidos en el mundo, la mayoría almacenados en
grandes compañías. Una cifra pequeña, aseguraron:
"Hay más casos, pero no se conocen porque sólo las
empresas de EEUU tienen la obligación legal de denunciarlo".
Los argentinos afirmaron haber descubierto más de cien agujeros
para los que no existe solución en las populares bases de datos
Oracle: "Esto significa que, aunque tengas tu servidor bien configurado
y parcheado, sigue siendo vulnerable a través de muchas
técnicas, que permiten robar una base de datos completa en
cuestión de minutos y a distancia, sin tener que meterte
dentro", explicaron y demostraron.
La No Con Name contó con otras conferencias sobre cómo
robar códigos de acceso, ataques a aplicaciones, virus,
ingeniería inversa. Puso la guinda el tejano Shawn Merdinger,
quien diseccionó la oferta de teléfonos para VozIP, donde
la seguridad brilla por su ausencia: puertos abiertos que permiten a un
atacante reconfigurar o bombardear el teléfono, espiar llamadas
y otras maravillas.
Merdinger afirmó: "Las empresas de VozIP están más
preocupadas por coger mercado que por la seguridad y sus aparatos
permiten todos los ataques clásicos. Si consiguen su objetivo de
meternos VozIP en neveras, coches, controles remotos, consolas,
aviones, será una locura". El tejano relató un reciente
fraude en Estados Unidos, donde dos delincuentes robaron servicio a un
proveedor de VozIP y lo revendieron por valor de más de un
millón de dólares.
En los corrillos, se confirmaban las afirmaciones hechas en las
conferencias y se añadían nuevos datos, como lo
fácil que resulta entrar en los sistemas de algunos bancos o
penetrar en las redes de la OTAN. Visto a través de los ojos de
los "hackers blancos" españoles, el mundo virtual no tiene
paredes.
SE ACABÓ MANCHARSE EL DEDO PARA CONSEGUIR EL DNI
Con el nuevo DNI electrónico, desaparecerá la tradicional
acción de mancharse el dedo en tinta para dejar la huella,
explicó Alejandro Ramos, que ha participado en el proyecto: "La
impresión dactilar se conseguirá mediante un sistema
biométrico y, en 8 minutos, tendremos nuestro nuevo DNI".
Ramos afirmó que ya se está expidiendo con normalidad en
una docena de ciudades, aunque quien no quiera activar la utilidad
informática no está obligado a hacerlo. Con ella,
explicó, se puede presentar a distancia la declaración de
la renta, participar en subastas públicas o acceder a servicios
de la Seguridad Social.
En caso de querer usarlo en Internet, hay que tener un aparato lector
de tarjetas, descargar un certificado de la web de la Dirección
General de Policía y activar el PIN, en uno de los quioscos
dispuestos en las comisarias. De momento sólo funciona con
Windows e Internet Explorer.
El experto desmintió que fuese difícil de usar: "Tampoco
es cierto que en él se guarden nuestro ADN, grupo
sanguíneo o historial de tráfico, sólo la
información normal sobre quién es el ciudadano y sus
certificados digitales".
Ramos destacó la robustez del sistema: "Para abrir el chip se
necesitaría una cantidad muy importante de desarrollo.
También se ha cuidado mucho que, cuando se meta el DNI en un
dispositivo, no se pueda leer la comunicación entre ambos. No
existen riesgos técnicos, excepto lo que venga de la picaresca".
No Con Name
http://www.noconname.org/congreso2006.php
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital medium, provided this notice is preserved.
<<