03/10/06 11:08:28


"PODEMOS ROBAR UNA BASE DE DATOS EN 5 SEGUNDOS"

Los "hackers blancos" españoles comparten descubrimientos en Palma de Mallorca


Mercè Molist
Un centenar de expertos en seguridad informática, la mayoría empleados en las principales consultoras independientes españolas, se reunieron la semana pasada en Palma de Mallorca para contarse historias que ponen los pelos de punta. Como el juego de niños que es robar miles de datos personales o asaltar las redes bancarias, militares y corporativas del mundo.

La sexta edición de las jornadas No Con Name contó con una nutrida representación internacional, como el italiano Raoul Chiesa, quien demostró lo fácil que es entrar ilegalmente en la red Iberpac de Telefónica y las empresas conectadas a ella. También enseñó pruebas de sus paseos por sistemas de satélites como Brasilsat o Inmarsat.

Chiesa es un experto en redes X25, usadas por grandes empresas, operadoras y gobiernos cuando no existía Internet: "Todo el mundo se ha olvidado de sus viejos accesos a estas redes y no les dedican ninguna seguridad, son puertas traseras totalmente abiertas, que permiten entrar en las redes principales".

Según el italiano, hay un centenar de redes X25 funcionando aún en el mundo, transportando información "fácilmente interceptable y con pocas posibilidades de que te descubran", como transferencias bancarias, información aeronáutica, datos corporativos o gubernamentales.

Los argentinos César Cerrudo y Esteban Martínez afirmaron en su charla: "Podemos robar una base de datos en cinco segundos. Es sencillo porque la mayoría no están bien aseguradas". En el último año, 53 millones de personas han visto sus datos comprometidos en el mundo, la mayoría almacenados en grandes compañías. Una cifra pequeña, aseguraron: "Hay más casos, pero no se conocen porque sólo las empresas de EEUU tienen la obligación legal de denunciarlo".

Los argentinos afirmaron haber descubierto más de cien agujeros para los que no existe solución en las populares bases de datos Oracle: "Esto significa que, aunque tengas tu servidor bien configurado y parcheado, sigue siendo vulnerable a través de muchas técnicas, que permiten robar una base de datos completa en cuestión de minutos y a distancia, sin tener que meterte dentro", explicaron y demostraron.

La No Con Name contó con otras conferencias sobre cómo robar códigos de acceso, ataques a aplicaciones, virus, ingeniería inversa. Puso la guinda el tejano Shawn Merdinger, quien diseccionó la oferta de teléfonos para VozIP, donde la seguridad brilla por su ausencia: puertos abiertos que permiten a un atacante reconfigurar o bombardear el teléfono, espiar llamadas y otras maravillas.

Merdinger afirmó: "Las empresas de VozIP están más preocupadas por coger mercado que por la seguridad y sus aparatos permiten todos los ataques clásicos. Si consiguen su objetivo de meternos VozIP en neveras, coches, controles remotos, consolas, aviones, será una locura". El tejano relató un reciente fraude en Estados Unidos, donde dos delincuentes robaron servicio a un proveedor de VozIP y lo revendieron por valor de más de un millón de dólares.

En los corrillos, se confirmaban las afirmaciones hechas en las conferencias y se añadían nuevos datos, como lo fácil que resulta entrar en los sistemas de algunos bancos o penetrar en las redes de la OTAN. Visto a través de los ojos de los "hackers blancos" españoles, el mundo virtual no tiene paredes.



SE ACABÓ MANCHARSE EL DEDO PARA CONSEGUIR EL DNI
 

Con el nuevo DNI electrónico, desaparecerá la tradicional acción de mancharse el dedo en tinta para dejar la huella, explicó Alejandro Ramos, que ha participado en el proyecto: "La impresión dactilar se conseguirá mediante un sistema biométrico y, en 8 minutos, tendremos nuestro nuevo DNI".

Ramos afirmó que ya se está expidiendo con normalidad en una docena de ciudades, aunque quien no quiera activar la utilidad informática no está obligado a hacerlo. Con ella, explicó, se puede presentar a distancia la declaración de la renta, participar en subastas públicas o acceder a servicios de la Seguridad Social.

En caso de querer usarlo en Internet, hay que tener un aparato lector de tarjetas, descargar un certificado de la web de la Dirección General de Policía y activar el PIN, en uno de los quioscos dispuestos en las comisarias. De momento sólo funciona con Windows e Internet Explorer.

El experto desmintió que fuese difícil de usar: "Tampoco es cierto que en él se guarden nuestro ADN, grupo sanguíneo o historial de tráfico, sólo la información normal sobre quién es el ciudadano y sus certificados digitales".

Ramos destacó la robustez del sistema: "Para abrir el chip se necesitaría una cantidad muy importante de desarrollo. También se ha cuidado mucho que, cuando se meta el DNI en un dispositivo, no se pueda leer la comunicación entre ambos. No existen riesgos técnicos, excepto lo que venga de la picaresca".



No Con Name
http://www.noconname.org/congreso2006.php



 
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
 

<<