El Martes de esta semana [18 de Enero 2011], fiscales federales de los Estados Unidos de América anunciaron que existen dos personas con cargos por hackear el sitio de AT&T y por haber recolectado cerca de 120 mil direcciones de correo electrónico de personas que poseen un iPad. Las dos personas que presentan cargos son [ambos fueron puestos bajo custodia por parte del FBI]:
- Andrew Auernheimer de 25 años de Fayetteville, Ark.
- Daniel Spitler de 26 años de San Francisco
El ataque se produjo en Junio del 2010, cuando AT&T publicó la reparación de un hoyo de seguridad que permitía a personas no autorizadas a acceder a las direcciones de correo electrónico de los usuarios. Esto provocó que se tuviera una lista de los usuarios que habían sido los primeros en comprar o acceder al producto de Apple, iPad 3G. Entre sus usuarios destacaban figuras políticas y militares, incluyendo al presidente de los Estados Unidos de América, según rumores en Gawker.
El ataque se perpetró con un script de AT&T que solicitaba un identificador, al cual llamaron ICC-ID, y en base a ello regresaba una dirección de correo. Los hackers, de Goatse Security, realizaron un ataque de fuerza bruta que escogía de forma aleatoria un identificador, y de esta forma si existía, tenían como respuesta la dirección de correo electrónico del usuario. Esta petición se realizaba alterando el User_Agent de las cabeceras en las peticiones, por el User_Agent que utilizan los iPads, y así el servidor de AT&T respondía.
Goatse Security acusó en su página a AT&T de no implementar su seguridad de forma correcta, pues no la toman seriamente, y que lo que obtuvieron fue en un ataque perpetrado en no más de una hora. A su vez, afirmaron no haber realizado la acción con fines lucrativos ni por afectar a la empresa, aclarando que lo hicieron como un servicio a su nación, y que lo hicieron con fines de interés público.
Spliter actualmente no tiene derecho a acceder a Internet, sólo en su trabajo. Se le retiró su pasaporte y sólo puede viajar a California y Nueva Jersey hasta que la corte dicte su veredicto.
Apple dijo no tener comentarios, mientras AT&T a través de su vocero hizo saber que "toman muy en serio la privacidad de sus clientes, y apoyan la fuerza de la ley por protegerla".
Es claro que trás el gran éxito del iPad en el mercado, los hackers estén volteando a mirar con más detenimiento lo que hace Apple. La cantidad de personas con un dispositivo o equipo de Apple es mayor comparado incluso con la cantidad de usuarios del 2009. Apple se verá sometida a una prueba de fuego, de la que debe salir con paso firme si es que no quiere dañar su reputación perder el mercado que ha ganado.
Comentario
Hay que recordar, "Las Apple|Mac no tienen virus...", es algo completamente falso. Apenas dos semanas atrás, escuché a un vendedor intentando convencer al cliente con esa frase. El usuario promedio lo creerá, y los hackers con esos usuarios podrán navegar plácidamente por Internet con usuarios así, imaginen la botnet con equipos de Apple vulnerados por un sólo hoyo de seguridad porque "no hay virus para la Mac", nos llevaría a decir Mac OS = Vulnerabilidad. La parte más vulnerable de una computadora, es el usuario.
CNN Money
Goatse Security
CNN Money: iPad attacked
CNN Money: Apple Security
CNN Money: iPad breack
Gawker
No comments:
Post a Comment