Portada
mis comunidades
otras secciones
#2:
Lo de Líbano no es una vulnerabilidad sino un acto de terrorismo. Cuando ETA ponía una bomba lapa en los bajos del coche de sus víctimas no era una "vulnerabilidad" del coche, sino que al coche se le había puesto una bomba, lo mismo con los dispositivos que Israel manipuló para ponerle explosivos y que distribuyó luego en Líbano.
Otra cosa es que te espíen tus comunicaciones porque los dispositivos que usamos dependen de lo que quieran los fabricantes, por ejemplo los teléfonos, pero estando en cualquier red social vas dejando huellas de todo lo que haces y de tus hábitos, porque están para eso.
Otra cosa es que te espíen tus comunicaciones porque los dispositivos que usamos dependen de lo que quieran los fabricantes, por ejemplo los teléfonos, pero estando en cualquier red social vas dejando huellas de todo lo que haces y de tus hábitos, porque están para eso.
#1:
Depende de cuánto se empuje. "Everything is a dildo if you're brave enough" pero informáticamente hablando
#17:
#2 Es que el 90% del hacking exitoso no depende de vulnerabilidades del dispositivo o software en cuestión si no de la ingeniera social. De gente que le hacen phising y facilita claves, de gente que abre adjuntos de correos o instala cosas que no debe, desarrolladores que meten backdoors, etc.
Cojamos un ejemplo de algo "teóricamente" inhackeable como es un RSA-256 ya que con la potencia computacional de hoy se tardaría, de tiempo medio, mas que la edad del universo. Ahora entra la ingeniería social y todo a la mierda, que si en la implementación te metieron un back door, que si al distribuir o generar la clave privada alguien hizo un in the middle por no tener cuidado, etc.
Que eso que se ve en las pelis de uno que ve un prompt de login y se pone a hackear aquello esta muy bien, pero para eso, para las películas. De hecho, muchas de la vulnerabilidades que se descubren hoy en día requieren un acceso físico al dispositivo, y para conseguir eso no queda otra, en el 99% de las ocasiones, que ingeniería social.
Cojamos un ejemplo de algo "teóricamente" inhackeable como es un RSA-256 ya que con la potencia computacional de hoy se tardaría, de tiempo medio, mas que la edad del universo. Ahora entra la ingeniería social y todo a la mierda, que si en la implementación te metieron un back door, que si al distribuir o generar la clave privada alguien hizo un in the middle por no tener cuidado, etc.
Que eso que se ve en las pelis de uno que ve un prompt de login y se pone a hackear aquello esta muy bien, pero para eso, para las películas. De hecho, muchas de la vulnerabilidades que se descubren hoy en día requieren un acceso físico al dispositivo, y para conseguir eso no queda otra, en el 99% de las ocasiones, que ingeniería social.
Comentarios
Lo de Líbano no es una vulnerabilidad sino un acto de terrorismo. Cuando ETA ponía una bomba lapa en los bajos del coche de sus víctimas no era una "vulnerabilidad" del coche, sino que al coche se le había puesto una bomba, lo mismo con los dispositivos que Israel manipuló para ponerle explosivos y que distribuyó luego en Líbano.
Otra cosa es que te espíen tus comunicaciones porque los dispositivos que usamos dependen de lo que quieran los fabricantes, por ejemplo los teléfonos, pero estando en cualquier red social vas dejando huellas de todo lo que haces y de tus hábitos, porque están para eso.
#2 Es que el 90% del hacking exitoso no depende de vulnerabilidades del dispositivo o software en cuestión si no de la ingeniera social. De gente que le hacen phising y facilita claves, de gente que abre adjuntos de correos o instala cosas que no debe, desarrolladores que meten backdoors, etc.
Cojamos un ejemplo de algo "teóricamente" inhackeable como es un RSA-256 ya que con la potencia computacional de hoy se tardaría, de tiempo medio, mas que la edad del universo. Ahora entra la ingeniería social y todo a la mierda, que si en la implementación te metieron un back door, que si al distribuir o generar la clave privada alguien hizo un in the middle por no tener cuidado, etc.
Que eso que se ve en las pelis de uno que ve un prompt de login y se pone a hackear aquello esta muy bien, pero para eso, para las películas. De hecho, muchas de la vulnerabilidades que se descubren hoy en día requieren un acceso físico al dispositivo, y para conseguir eso no queda otra, en el 99% de las ocasiones, que ingeniería social.
#17 Pues depende del objetivo, porque ya te digo que con ingeniería social a ti o a mi nos hackean pero no a un presidente de un gobierno o un ministro. Para eso necesitas software muy avanzado que haga uso de vulnerabilidades zero-day, capaces de infiltrar dispositivos de forma remota y sin requerir ningún tipo de interacción por parte del usuario (p.e Pegasus). El mercado de los zero-day es un mercado oscuro y alegal por el que se pagan millonadas especialmente por vulnerabilidades en dispositivos móviles. Para haceros una idea de las cantidades podéis observar el catálogo de la empresa francesa Zerodium que trabaja para los servicios de inteligencia de varios países (https://www.zerodium.com/program.html). Hay otras empresas como la italiana Hacking Team, la israelí NSO Group o Coseinc que es de Singapur y trabaja mucho para China.
#23 No, Pegasus (me refiero al que se descubrió, no lo que a día de hoy sea, que a saber ... ) si que requería interacción del usuario. Pegasus si que es cierto que precisaba de 3 vulnerabilidades zero-day de IOS. Pero para poder explotarlas necesitaba que se abriera un enlace en el móvil. Citizen Lab, que fueron los que lo encontraron, lo hicieron gracias a que se les enviaron enlaces sospechosos para que los analizaran.
#25 https://malwaretips.com/blogs/pegasus-spyware-exploited-two-actively-abused-zero-days-in-fully-patched-iphones/
According to research by Citizen Lab, the two vulnerabilities – CVE-2023-41064 and CVE-2023-41061 – were exploited via a zero-click attack chain dubbed BLASTPASS to deploy Pegasus onto iPhones running latest iOS 16.6.
#26 Gracias por la info, sabía que Pegasus iba por enlaces, con lo cual pensé que requería interacción.
#2 Es una explotacion del "protocolo de seguridad" que uses para hacerte un ataque terrorista. Si como Carrero vas con tu coche siempre por la misma ruta, es mas probable que te pongan una bomba en el camino. Si no revisas los bajos de tu coche, es mas probable que te pongan una bomba lapa y no la detectes.
https://getyarn.io/yarn-clip/f256fcad-2704-473f-bd81-4bf88868e9c3
Depende de cuánto se empuje. "Everything is a dildo if you're brave enough" pero informáticamente hablando
#1 Buena expresión. Yo me quedé en aquella de "con paciencia y con saliva, se folla el elefante a la hormiga". Creo que también es bastante aplicable aquí
#7 me sirve también
El canal del link, "El Robot de Platón", es un canal muy recomendable.
#6: Sí, aunque hay que acelerar los vídeos, porque va tan lento que sin querer te pones a pensar en otra cosa, te confías y... ¡ZAS! Justo ahí es cuando dice algo interesante.
Si aceleras el vídeo esto suele pasar menos.
#13 pero porque tiene que ir todo rápido hoy en día?
Esos botones en los reproductores, para acelerar el visionado, son un símbolo de nuestro tiempo: no tenemos paciencia para nada, ni para nadie, todo tiene que ser inmediato.
La películas cada vez tienen más cortes, con secuencias más cortas para que el cerebro no se aburra y se vaya a otra cosa.
Cuando lees un libro, que haces? Vas saltando cada dos parágrafos?
Aquí hablan de media hora:
https://www.xataka.com/otros/concentracion-esta-cayendo-barrena-estrategias-efectivas-para-sobrevivir-mundo-lleno-distracciones
https://www.lasexta.com/noticias/sociedad/cada-vez-tenemos-menos-capacidad-de-concentracion-apenas-mantenemos-cinco-segundos-la-atencion_201904135cb205af0cf2a388276d5fa7.html
https://www.infobae.com/salud/2024/01/21/por-que-escuchar-audios-o-ver-videos-acelerados-puede-afectar-la-salud-mental/
#27 se trata de que no te hagan perder el tiempo con cosas que no te aportan.
Los vídeos y los podcast por lo general son lentos de cojones. Una transcripción de un audio de media hora me la leo en pocos minutos. Y si voy directo a la cuestión que me lleva a visitar el vídeo mucho menos.
Cuando veo paja insustancial empiezo a leer en diagonal, por palabras clave. En cuanto hay chicha otra vez, vuelvo a leer normal
#31 #33 #36 #32 pues eso, me estáis dando l razón, cero paciencia, querer todo de la forma más fácil, de inmediato, para poder var más contenido de la misma forma.
Todo lo que estás relatando son síntomas de que ya no podemos prestar atención a nada por más de unos pocos minutos sin agobiarnos.
#38: La dificultad para mantener la concentración no es algo que se elija.
Yo no sé si algunos os pensáis que las personas que tienen ADHD o tienen síntomas que puedan ser más o menos próximos lo hacen para fastidiar. No, no es por los teléfonos móviles, a mí esto me ha pasado siempre.
Y de todas formas: si acelerando el vídeo se le entiende igual o incluso mejor... ¿Tanto cuesta admitir que habla despacio en comparación a otras personas? No lo decimos como ofensa, lo decimos porque a muchos nos cuesta atender cuando se habla tan despacio, porque te obliga a adaptar tu ritmo mental al suyo.
#38 O a lo mejor es que simple y llanamente habla muy despacio, excesivamente despacio y es algo que se puede corregir con el reproductor.
Porque atento al vídeo (al completo) he estado y lo he entendido a la perfección, no es una cuestión de agobio es una cuestión que este divulgador y no otros habla muy despacio.
#38 no te estamos dando la razón.
Lo que te decimos es que ese formato es una puta mierda porque es lento y tiene mucha paja que no aporta.
Lo que yo quiero es contenido de calidad con un lenguaje dirigido a adultos. Lo que no implica que sea fácil, todo lo contrario, que sea difícil, que te invite a razonar y que no me explique cosas básicas con paralelismos infantiles.
Yo no puedo mantener la atención en alguien que habla para niños de primaria y, por desgracia, la mayoría de divulgadores y tontubers se expresan así.
#27 Que habla muy despacio.
#27: Como te dije, si habla muy despacio, me pongo a pensar en otra cosa y al final acabo desconectando. No si esto será el caso general o si serán solo los que tienen ADHD y los que nos dedicamos a coleccionar los síntomas sin padecerlo (algún día le pondrán nombre a los que nos pasa eso para poder hacer documentos científicos y cobrarte por ellos).
Y luego está lo que comentan otras personas: si aceleras el vídeo, a lo mejor en lo que antes ves 4 vídeos, ahora puedes ver 5, con lo que das la oportunidad a otra persona de mostrarte su contenido. Míralo como los libros y la velocidad lectora, algo con lo que nos insistían mucho en primaria.
#13 Sí, 1,5 es necesario.
#6 También el de Colón :-).
¿Qué pasa con los Beeepeerrrss.
No hackees, ¡no seas basura!.
#19 Pues he entrado en su perfil y aún no lo ha subido
Cualquiera que se de una vuelta por DefCon sabe que no solo es todo es hackeable sino que además se puede comprar de todo para hackear sin tener ni puta idea. Pero de todo.
Si algo repite la gente que trabaja en seguridad es que sí, que la seguridad solo sirve para que lo tengan más difícil.
#11 Exacto. No se trata de ser invulnerable, sino solo menos vulnerable que el vecino. Es como aquello de que no necesitas correr más que el león para escapar de él, sino más que la persona que tienes a tu lado.
#29 Que un programa sea de código abierto no significa que no pueda tener vulnerabilidades ni que puedan intentar meterte puertas traseras.
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
#34
No dije lo contrario.
Es decir, estoy de acuerdo en lo que dices ... Y eso que dices NO contradice lo que dije yo.
AMBAS cosas son ciertas... con código abierto no estás 100% libre de "errores", ni vulnerabilidades, ni de que un "listillo" intente colar a propósito una puerta trasera.
Al mismo tiempo, también es cierto lo que dije yo: el que el código sea abierto facilita que sea "mirado", analizado, revisado... y dificulta (no imposibilita) tanto las puertas traseras a propósito, como también que tenga un fallo de seguridad no intencionado, por un despiste.
Nótese la palabra "intente" que resalté en negrita.
De tu enlace:
likely very close to seeing the backdoor update merged into Debian and Red Hat, the two biggest distributions of Linux, when an eagle-eyed software developer spotted something fishy.
Es decir, estuvo "cerca" o "probablemente muy cerca" de ser incluido en las distribuciones más grandes de Linux... a pocas semanas de conseguirlo, pero un importante matiz es que NO, no consiguió llegar tan tan lejos.
¿Alguno que se descargó voluntariamente esa versión fue vulnerable? Sí, pero no la gran mayoría.
Se podría hacer un símil o comparación.
Imagina que quieres una medicina para solucionar un "problema" (enfermedad, etc).
El código abierto sería darte todos los ingredientes de la receta, de forma que tú, con materias primas tuyas puedas elaborarla... Es cierto que esa receta "puede" ser de algo dañino, pero cualquiera puede ver de qué está hecho y hacer sus experimentos de una forma más fácil.
Por el contrario, algo no abierto sería venderte el producto elaborado. Teóricamente algo elaborado, sin tener la receta, se puede analizar químicamente, pero es más difícil...
Obviamente, en medicinas hay requisitos legales, ya que están en juego vidas humanas. En el software NO hay ningún comité que evalúe la seguridad de software comercial... así que Microsoft, Google o quien sea puede poner a la venta un producto dañino para tu seguridad y lo puede hacer a propósito con la excusa de que fue una vulnerabilidad no intencionada. Y con la dificultad de que para detectarlo hay que hacer ingeniería inversa, lo cual está expresamente prohibido por la licencia de software. Es decir, si descompilas el software de Windows o de otro software de Microsoft, te puede poner una demanda legal y sería prácticamente la única forma de probar en la práctica que eso tiene un fallo de seguridad...
Por el contrario, en código no solo es legal ver como está hecho sino que se facilita dándote el código fuente y animándote no solo a mirarlo sino a corregirlo, criticarlo y sacar tu versión modificada sin ese fallo.
Creo que la diferencia es bastante notable.
En medicinas es difícil colar algo fuertemente dañino, pero en alimentos aunque si metes un veneno te pillarían, es común meter cosas que sin matarte al instante son perjudiciales para la salud a la larga, como el aceite de palma, las grasas trans, etc.
Hay otros casos en otros productos, como los coches, el caso Volkswagen... un software malintencionado para aparentar que contaminaba menos, y por un puro interés hecho a propósito para engañar y sacar más dinero.
En Apple, propietario, cerrado, también estaba el software que hacía que el iPhone fuese más lento... con la supuesta excusa de gastar menos batería, pero que en la práctica hacía el iPhone menos usable y casi te obligaba a comprar uno nuevo.
Si un software propietario y cerrado tiene un fallo, aunque sea por despiste, no intencionado... NO tienes derecho legal a arreglarlo tú, sino que debes esperar a que el dueño legal de eso lo arregle.
Si un software libre tiene un fallo, no solamente se facilita arreglarlo, ya que tienes el código para ver por qué falla, sino que tienes todo el derecho legal para modificarlo, arreglarlo, y, mejor aún, distribuir la versión modificada.
En ningún momento dije que el software abierto sea perfecto ni la panacea... solo destaqué ventajas de cara a la seguridad, que es de lo que trata este meneo. Que tenga algunas o muchas ventajas en este sentido no implica ni que sea perfecto ni tampoco que no tenga alguna desventaja en algún caso.
Es decir, no lo planteo como un "fanboy" o una especie de fanático creyente que se niegue a mirar la realidad y solo mire un ángulo sesgado... sino que intento mirarlo de forma objetiva con sus ventajas e inconvenientes, de forma racional.
Les pido una reflexión sobre esto:
https://www.crowdsupply.com/interrupt-labs/ovrdrive-usb
#10: El problema es que como no te compres las obleas de silicio y te pongas a hacer los microchips, dependes mucho de terceras partes que podrían no ser amistosas. Otra opción es comprar varios y analizar algunos. No sé si habrá métodos de análisis no destructivos, si con rayos X se podrá hacer una tomografía computerizada (CT) y ver si todos los circuitos lógicos de un chip son lo que dicen ser o si hay algún detalle no documentado.
Que lo intenten, el mío es inhackeable
#3 Ahí te colocan un hilo entremedias con otro bote de yogurt al otro lado y te hacen un man in the middle de manual.
#3 #4 Un laser hacia la cuerda. Hace décadas que se pueden "leer" las vibraciones de los objetos.
Creo que la mejor defensa frente a ciertas organizaciones de ciertos partidos es revisar el código fuente de programas de código abierto en busca de puertas abiertas.
Y aún así está la parte del hardware.
#9: Se escribe "láser".
#12 ¿y?
#12 La cope
#12
¿Puertas abiertas en el código fuente de programas de código abierto???
¿Es una especie de "chiste" o juego de palabras con la palabra "abierto"??
¿No sabes que la mayoría de código abierto, como Linux, es precisamente lo más "seguro", lo más difícil de atacar, precisamente por ser abierto y haber sido sometido a la crítica, escrutinio, corrección... por parte de miles de ojos independientes de todos los países, a diferencia del típico programa privativo coordinado por un jefe que cuesta criticar porque se juegan el sueldo, o peor aún, manipulado por un gobierno que quiere espiar?
Aparte de eso, los sistemas tipo UNIX nacieron para grandes ordenadores, para compañías telefónicas, para banca, para sistemas gubernamentales y muchas veces vinculados a las universidades: Berkeley (BSD), Stanford (Sun), Tanenbaum... Parece obvio que en grandes ordenadores de bancos, donde se juegan mucho dinero, pongan más énfasis en la seguridad, igual que en las oficinas bancarias hay cajas fuertes, lunas antibalas, empleados de seguridad armados... Por el contrario, sistemas operativos como el de Microsoft comenzaron para ordenadores domésticos: baratos... inicialmente de un usuario, sin cifrado, sin seguridad, no dirigidos por estudiosos con intereses académicos sino con intereses comerciales: que sea usado por más personas individuales no expertas, y, por tanto, con menos requisitos de poner claves de seguridad, cifrados, permisos, etc.
Popular: que tenga colorines, sea fácil de usar, y barato... como unas chanclas, una camiseta, una minifalda...
sin importar que sea inseguro, que se rompa, etc ... No es como unas botas, un chaleco antibalas o un casco, mucho más seguro, pero más incómodo, menos atractivo a la vista, más caro... menos popular.
Es cierto que UNIX era originalmente propietario, cerrado y caro... Pero con Linux y BSD se hizo abierto, gratuito, internacional y destinado a máquinas baratas... manteniendo criterios de seguridad, solidez, etc. y mejorando su facilidad de uso, comodidad, atractivo a la vista, etc. Y al mismo tiempo sistemas como Windows acabaron siendo más seguros, con claves, cifrados, firewalls y otras medidas de seguridad... aunque cerrado (en gran parte) y con la sospecha de si el interés económico de Microsoft o el interés político de EEUU está observando y manipulando, tras esa oscuridad de código cerrado.
#4 un yogurt in the middle
#3 Si ves que el vaso de yogur chisporrotea, lo mismo es un cartucho de dinamita
#3 Ejemplo de actitud que favorece el hackeo: creerse no hackeable.
La vibración de la cuerda es fácilmente legible por un tercero.
Sé que tu comemtario es una tontería para hacer la broma, pero sirve para ejemplificar que nunca debemos dar por sentada la seguridad de un sistema
#3 Si le meten 20 gramos de explosivo a uno de los vasos de yogurt (que es lo que hicieron con los buscas) ya te digo que si te lo """"hackean"""". El problema es que te peguen un hachazo en el pecho y lo llamen "hackeo" porque usaron tu móvil como localizador GPS para saber donde tenían que ir a pegarte el hachazo (otros lo llamaríamos terrorismo de estado).
Pronto será posible leer el pensamiento mediante escaner cerebral.
Cualquier cosa no, cómo un pan con jamón.
#30: Deja a un #perro cerca, pestañea y verás cómo te hackea el #jamón en lo que has pestañeado.
No.
Un destornillador, por ejemplo.
#41 https://arstechnica.com/security/2024/01/network-connected-wrenches-used-in-factories-can-be-hacked-for-sabotage-or-ransomware/
#45 ¡Necesito uno de estos!
Teniendo en cuenta que el hacking se consigue normalmente engañando a una persona...