VivaLinux!

El año pasado el estudio indú Wolfire Games liberó el código de su juego multiplataforma Lugaru como Open Source aún a pesar de ser víctimas de una alebosa piratería, pero alentados por éxito del Humble Indie Bundle (5 juegos por el precio que tú les ponías) y la convicción de que debían hacer más juegos para Linux y Mac OS X.

A principios de este año Apple lanzó su plataforma de distribución digital de aplicaciones para Mac OS X conocida como Mac App Store y rápidamente se populó de software pago y gratuito. Wolfire Games también se apresuró a lanzar Lugaru HD por U$S 9,99. Pero así también lo hicieron los oportunistas de siempre, que lograron publicar en el App Store la versión Open Source de Lugaru cobrando US$ 0,99 por ella.

Recordemos que Lugaru Open Source está disponible bajo la licencia GPLv2 en este repositorio, pero su arte audiovisual explícitamente no estaba cubierto por ella.

Lo más lamentable del acontecimiento no es sólo el hecho de la criminalidad de la acción, sino que haya sido posible sorteando los estrictos controles de aprobación de Apple, que por ejemplo impidieron a Sony publicar en el mismo App Store su software para lectura de e-books (probablemente gratuito).

El artículo off-topic del Domingo tiene que ver con una noticia que venimos siguiendo desde el año pasado, cuando advertimos que se venía Skynet: Primero fué la fuerza aérea de los EE.UU. la que presentó sus "cyber-alas" para proyectar su cyber-poder en todo el mundo; ahora es el turno del ejército de esa superpotencia para preparse para el armagedón digital, dejando sólo a la armada y a la NSA para que hagan lo propio.

El comunicado oficial dice que el flamante ARCYBER (U.S. Army Cyber Command) tendrá una fuerza de 21.000 soldados y civiles "ubicados alrededor del mundo" y que es un componente del U.S. Cyber Command, a su vez parte del U.S. Strategic Command.

La misión del ARCYBER es planear, coordinar, integrar, sincronizar, dirigir y conducir operaciones en la red y defender todas las redes del ejército. El nuevo comandante de esta unidad, Maj. Gen. Rhett A. Hernandez, dijo en el evento de su asunción de mando (fotografía) que:

"Hoy, el Army Cyber Command asume la cyber-misión y trae una unidad sin precedentes al esfuerzo y sincronización de todas las fuerzas del ejército operando dentro del cyberespacio".

"Ch Russo", un hacker argentino de 23 años, publicó en su sitio una demostración de cómo explotar múltiples vulnerabilidades en el popularísimo sitio de The Pirate Bay usando la técnica de Inyección SQL para acceder a los datos de algunos de sus 4 millones de usuarios (incluyendo administradores y moderadores).

El "componente" vulnerable del sitio (que parece estar desarrollado en PHP) que facilitaba el acceso a la base de datos de los usuarios ya fué eliminado sin ninguna explicación más, pero no antes de que nuestro compatriota publicara este video documentando todo el relativamente sencillo el proceso.

En su sitio, Russo también agrega estas palabras:

"Lo que hemos hecho, no lo hicimos con odio, o por su valor comercial. Como siempre, vimos el cambio, el momento y decidimos aprovecharlo. El protocolo o procedimiento realizado para conseguir esto no fué nada extraordinario".

Lo habíamos comentando cuando alertamos que se venía Skynet. Ahora la Fuerza Aérea de los EE.UU. presentó las "cyber-alas" que lucirán en sus pechos sus soldados digitales. El simbolismo del nuevo distintivo supuestamente quiere representar la "proyección del cyber poder en todo el mundo", la "dimensión del dominio del cyberespacio" y el "poder de ataque desde el aire, el espacio y el cyberespacio" (!).

Aparentemente también habrán variaciones del distintivo para distinguir los rangos Básico, Senior y Master Cyberspace Officer, todos los que serán tan difíciles de conseguir como cualquier otra distinción en la milicia de los EE.UU. Por el momento sólo los oficiales con por lo menos un año de experiencia en el cyberespacio desde el 2006 que aprueben un secreto "curso-X" podrán ganar estas alas digitales; requisitos que se actualizarán pronto para abarcar al resto del personal enlistado.

El general Michael Basla, a cargo de la rama cyberespacial de la fuerza aérea agregó en el comunicado que:

"La misión de la Fuerza Aérea -volar, pelear y ganar en el aire, espacio y cyberespacio- reconoce la significancia y la inter-relación de nuestros tres dominios operacionales en la efectiva conducción de la guerra.

El establecimiento del Distintivo Cyberespacial de la Fuerza Aérea resalta la crucial naturaleza de la misión del cyberespacio".

Este video How-To explica en 4 minutos cómo hackear la seguridad WEP (Wired Equivalent Privacy) de una red inalámbrica usando el LiveDVD de la distribución especializada en la seguridad BackTrack 4.

Básicamente, el método descripto hace uso de la suite de seguridad Aircrack-ng, que a propósito tiene una activa comunidad en español, para romper la clave WEP. Sin embargo, debemos notar que para ello es necesario intercambiar antes una gran cantidad de paquetes con la red en cuestión, un proceso que puede durar alrededor de una hora.

La moraleja de este tutorial es que la mayoría de las conexiones WEP pueden hackearse en menos de dos horas, y que siempre debemos optar por una encriptación más fuerte, como WPA o WPA2, que aunque tampoco con infalibles, por lo menos es más difícil irrumpir en ellas.

Justicieros anóminos hackearon hace unas horas el sitio del proveedor de Internet de banda ancha argentino Speedy (ahora reestablecido), propiedad del multinacional Grupo Telefónica, dejando un mensaje de frustración y reclamo contra su mesa de soporte técnico. ¿Les suena familiar?

Primero reportado en los Ubuntu Forums se descubrió que un protector de pantalla publicado originalmente en el popular sitio de GNOME-Look.org contenía un malware escondido diseñado para obtener los privilegios necesarios para realizar un ataque de DDoS (denegación de servicio) e incluso para mantenerse a sí mismo actualizado por descargar automatizadas (!).

El protector de pantalla ofensivo, del tipo cascada de agua (waterfall), de distribuía en un paquete .deb que ya fué eliminado de GNOME-Look, pero quienes hayan sido lo suficientemente desafortunados como para instalarlo antes pueden quitarlo siguiendo estas instrucciones.

La historia sin embargo no termina aquí, porque por lo menos otro sitio más ya está reportando que hay otro malware en un tema llamado "Ninja Black".

El consultor de seguridad Sérgio Freitas da Silva fue el ganador del "concurso" patrocinado por el Tribunal Superior Electoral (TSE) de Brasil para hackear las urnas electrónicas a utilizarse durante las elecciones presidenciales del año que viene en el país carioca.

El especialista no logró realmente alterar el funcionamiento de las urnas ni manipular los votos, pero sí consiguió romper el secreto del sufragio con técnicas de lectura de radiofrecuencia y equipamiento muy económico. Según da Silva, logró violar el secreto de las urnas con equipamiento que cuesta 10 Reales (U$S 5,75), que le permitieron grabar las emisiones de los botones de la urna, y luego decodificar las señales para descubrir qué candidato está eligiendo cada votante a través de la técnica denominada Van Eck Phreaking.

Para realizar el experimento, el investigador tuvo que estar a 20 centímetros de la urna, pero según indicó, esta distancia se puede ampliar notablemente usando antenas de mayor potencia, tal como demostaron los investigadores Martín Vaugnoux y Sylvain Pasini, quienes lograron leer las emisiones de un teclado desde unos 20 metros de distancia.

El pasado 13 de Noviembre el sitio del la provincia de La Rioja fué hackeado y su página principal reemplazada por otra conteniendo mensajes ofensivos contra el gobierno provincial y nacional. Peor aún fué el hecho de que no hubo ninguna aclaración oficial a pesar de una buena investigación publicada en el sitio de la Agencia Federal de Noticias.

Y sólo para hacer más colorida esta noticia, el día 25 de Noviembre el mismo gobierno de La Rioja organiza el seminario "Seguridad Informática y Software Libre" en el marco del 2º Encuentro Informático para la Modernización del Estado. El seminario estará a cargo de Fernando Pisani, personalidad local en el medio del Software Libre, quien irónicamente tendrá el poco envidiable objetivo de "indagar sobre riesgos asociados al uso de las tecnologías de la comunicación".

Entre otros temas se abordará la seguridad informática en la actualidad; defensas y debilidades jurídicas, tecnológicas y culturales; la seguridad en y con GNU/Linux y beneficios del software libre en la seguridad.

Y como bien lo dice la fuente original de esta noticia: esperemos que a éste seminario concurran los responsables de la seguridad informática del sitio hackeado.

Se publicó una acusación bastante seria contra Mauro Torres (foto), proclamado líder del proyecto de la ditribución GNU/Linux argentina Tuquito y supuesto experto en seguridad informática.

En las mismísimas 4tas. Jornadas de Software Libre en Catamarca aparentemente se demostró en la charla "Ventajas de Tecnologías Libres en Seguridad Informática" de Lisandro Lazaeta que los sitios de UniversoMSN.com y MSNsinAdmision.com propiedad de Torres son usados para realizar prácticas de phishing (robo de datos personales con intenciones fraudulentas). Peor aún, los sitios estarían hospedados en los mismos servidores donados para el proyecto Tuquito y por lo menos uno ya es bloqueado por OpenDNS como una reconocida fuente de phishing.

¿Y cómo lograron los acusadores develar todo esto? Pues simplemente, hackeando los servidores de los sitios sospechosos (ver video), los que además: no tenían password de root configurado para para MySQL, corrían Apache con suid y tenían scripts de PHP para su administración sin contraseña y con nombres evidentes como cmd.php o shell.php.

Mauro Torres todavía tiene programada la charla "Tuquito 3 y Garfio" el próximo Sábado 7 de Noviembre en las 4tas. Jornadas de Software Libre en Salta. ¿Aprovechará esa oportunidad para realizar un descargo público?