Buscar dentro de este blog

jueves, 17 de diciembre de 2009

Wii Hacking - Episodio 0


Desde hoy voy a empezar con una serie de capítulos sobre el hacking en wii. Vamos a hablar de los "que" de los "porque" y mas específicamente de los "como".

En este primer "episodio" vamos a hablar de cosas generales, de los "que" de el hacking de consolas. Que es la Wii, que es homebrew y que es scene. La idea es empezar con la Wii y seguir con PSP, XBOX360 y (cuando sea una realizad) PS3.


¿Scene? ¿WTF?

Hoy en día entendemos a la “scene”, como la posibilidad de utilizar las videoconsolas para más cosas de las que han sido ideadas. A grandes rasgos, una consola es equivalente a una computadora, pero el fabricante impone una serie de limitaciones para que el usuario sólo pueda hacer con ella lo que el fabricante quiera. Sin embargo, nosotros como usuarios tenemos una serie de derechos, y como propietarios podemos hacer con nuestra máquina lo que queramos, siempre y cuando respetemos la ley.

El porque de que los fabricantes impongan estas limitaciones se debe a que, teóricamente, pierden dinero con cada consola que venden, y donde realmente tienen el negocio es en la venta de juegos, con los que se llevan una comisión en forma de licencia. Evidentemente, si los usuarios utilizan las consolas para otras cosas en vez de comprar juegos no están haciendo negocio.

Principalmente, son tres las limitaciones que impone el fabricante, las cuales podemos saltarnos bien con una modificación del hardware o del software, bien con algún accesorio no licenciado que venden terceras empresas:

* El uso de copias

* El uso de juegos de importación

* El uso de software casero


¿Homebrew? ¿Que es eso?

El significado estricto de homebrew es “hecho en casa, artesanal”. La aplicación de este término al mundo de la scene de videoconsolas se refiere al hecho de crear o ejecutar programas no oficiales, realizados por programadores no profesionales que no utilizan los métodos de desarrollo oficiales.

A veces el homebrew está permitido e incluso promovido (como puede ser el caso de PlayStation 3, y en parte Xbox 360), mientras que en otros casos la compañía fabricante hace todo lo posible por evitarlo (como con PSP) o depende completamente de él (como con la GP2X).



¿Que se Wii y con que se come?

Wii es la quinta consola de sobremesa de la compañía nipona Nintendo, sucesora de la GameCube. La consola fue conocida hasta antes del E3 del 2006 como Revolution, siendo una actualización hardware de su antecesora.

El sello distintivo de esta máquina es sin duda su mando inalámbrico, el Wiimote, el cual detecta tanto movimiento como rotación en tres dimensiones, además de tener función de puntero gracias a la barra sensora para colocar encima o debajo del televisor.
La Scene de Wii apareció muy pronto tras la salida de la consola. Aproximadamente, 2 meses después del lanzamiento de esta en Europa ya se disponía de modchips que permiten cargar backups y Homebrew de GameCube (que ya estaba explorado desde la Gamecube). Hoy en día ya es posible cargar aplicaciones que usen el mando Wiimote, cargar backups de la propia región y de otras, añadir canales no homologados al menú de Wii y mucho mas. Todo esto es posible básicamente porque:

* Existen chips que permiten cargar backups y homebrew.

* La Wii carga aplicaciones caseras de GameCube.

* Mediante el Twilight hack es posible la carga de homebrew nativo.

* La aplicación Trucha Signer que permite la edición y reempaquetado de software licenciado.


Proximo Capitulo: Corriendo Homebrew en una Wii (Juegos y otros...)

miércoles, 16 de diciembre de 2009

Los softs más vulnerables del 2009

La revista Forbes presentó los programas que sufrieron más ataques informáticos en 2009.

1. Adobe Acrobat Reader
2. Internet Explorer
3. Mozilla Firefox
4. Flash
5. Quicktime
6. Microsoft Office
7. Window$

 
Adobe Reader fue el blanco más vulnerable, dejando a Internet Explorer y Firefox en segundo y tercer lugar, respectivamente.


El Adobe Acrobat Reader fue víctima de errores explotables, que alcanzaron alrededor de 45 amenazas a lo largo del año. Un aumento considerable respecto de las 14 identificadas en 2008.

Según Forbes, el programa es un foco interesante porque casi todos los usuarios lo tienen instalado en su PC, su código fuente base es muy complejo y tiene el suficiente acceso a la computadora del usuario para dar a los crackers una buena puerta de ingreso. Ante esta situación, la compañía lanzó en mayo una serie de parches que casi le hizo detener el desarrollo del producto y concentrarse en la reparación de las fallas.

Además de la vulnerabilidad de Adobe Reader, la revista ubicó en el segundo puesto del ranking a Internet Explorer de Microsoft, que contabilizó 30 agujeros de seguridad, la misma cantidad detectada en 2008 pero inferior a los 49 de 2007.

Los navegadores no tuvieron suerte este año. Ante el crecimiento que experimentó el Mozilla Firefox, que ocupa el 25% del market share, los creadores de malware lo vieron como otro blanco atractivo. Los analistas encontraron 102 bugs.

El cuarto lugar fue para otra aplicación de Adobe. En esta ocasión, a la tecnología Flash se le detectaron 11 vulnerabilidades. El año anterior tuvo 19. Seguido, Quicktime, software propiedad de Apple, se vio afectado por 26 errores.

La lista de Forbes continúa con el Microsoft Office, al que se le detectaron 41 errores con posibilidad de ser explotados. 


En último lugar, el Window$....

Vale la pena destacar que estos software vulnerables son los explotados últimamente por los atacantes para ownear redes empresariales (son los ataques conocidos como "Client Side Attacks")...

lunes, 14 de diciembre de 2009

Publicado (y parcheado) el primer exploit de PSP Go


Esta bien... ya se... es una noticia vieja pero igual quiero comentarlo. Hace algo asi como 18 dias atras se publico el ultimo firmware para PSP Go. Entre las novedades no mencionadas en esta última actualización (v6.20) para PSP estaba el parcheo de un importante fallo de seguridad. Este fallo se utilizo en su momento para desarrollar el primer exploit para PSP Go, el cual no llego a ser publicado y aun así Sony ha logrado identificarlo y bloquearlo.



Para poder sacar probecho de este fallo, es necesario el firmware anterior (el v6.10) y el juego Mercury, cuya versión disponible en la red PSN (PlayStation Network) ha sido también actualizada convenientemente para requerir el nuevo firmware (v6.20). Aun así aquellos usuarios que que cumplan los requisitos y quieran probar este exploit ya pueden hacerlo dado que Freeplay (el exploitwritter que lo desarrollo) ya lo ha publicado. Por razones obvias, no voy a publicar el link, pero creanme que no es dificil encontrarlo :).

A las claras esta que este nuevo modelo de negocio realmente se las trae. Si nos ponemos a pensar, los beneficios de utilizar una política de venta y descarga online es beneficiosa para todos.

El usuario final puede comprar su contenido legalmente. No tiene que modificar su consola y por lo tanto no pierde la garantia. Ademas, de poder aprobechar las ventajas que estan ofreciendo en este momento los vendors (demos, contenido exclusivo, avances de cine y juegos, y hasta peliculas completas!). Otra obvia ventaja es la eliminacion del soporte fisico, el cual muchas veces terminan por quedar archivados o simplemente descontinuados (Cartuchos de Snes/N64/Sega - UMDs, GDROM).

Respecto al vendor, esta visto que puede tener un control mas minucioso del contenido que esta vendiendo y puede reaccionar mas rapidamente ante una faya de seguridad criticas (sino, preguntenle a Nintendo y sus Twightlight Prices / Twightlight hack)


Les dejo un videito del exploit en funcionamiento :)...



Nexus One, el celular de Google

"El teléfono es ligeramente más delgado que el iPhone, utiliza como sistema operativo Android 2.1 y será fabricado por HTC..."

Google da el salto definitivo al mercado de la telefonía móvil con el lanzamiento del que será su primer celular: Nexus One

El primer teléfono de Google funcionará, por supuesto, con Android y, según The Wall Street Journal, se lanzará en la segunda semana de Enero de 2010.

HTC será la encargada de la fabricación de este terminal que, según apuntan los especialistas, tendrá un diseño parecido al HTC Dragon.Funciona sobre un chip Snapdragon, cuenta con una pantalla OLED de alta resolución y una rueda scroll, no incluye teclado físico y dispone de dos micrófonos, uno de ellos situado en la parte posterior para reducir el ruido.

Obviamente el sistema operativo que utiliza es Android 2.1. el cual posee más escritorios y la posibilidad, con un botón habilitado para ello, de ver en miniatura a los mismos. También veremos un aspecto más tridimensional en los elementos e iconos en pantalla y los ya comentados fondos de escritorio animados.

Se comenta que el reconocimiento de voz está mucho más integrado en todo el sistema...
Las informaciones apuntan también a que será libre, es decir, que se podrá utilizar con cualquier operadora.

Actualmente el Nexus One por ahora sólo está disponible para sus empleados, quienes lo están probando para colaborar en desarrollo y mejora del mismo...

El Nexus One tiene unas líneas muy interesantes, destacando su delgadez y la disminución en el número de botones físicos por una superficie sensible al tacto.

jueves, 3 de diciembre de 2009

Avast! enloqueció

Los usuarios del antivirus Avast! vieron como el mismo enloqueció luego de que instaló la actualización VPS 091203-0 del día de hoy a las 12:15 AM.
Esta actualización provocaba que el AV detectara varios archivos infectados en programas legítimos como por ejemplo: “TuneUp Utilities”, “SpyBot S&D”, “Deep Freeze”, “Ares”, “Skype” y un largo etc. de programas detectados erróneamente por Avast como el Troyano Win32:Delf-MZG y aparte generaba un problema en el Boot de Windows si este era reiniciado.

Cabe aclarar que Avast! ya publicó la actualización urgente VPS 91203-1 la cual ya corrige estos “Falsos Positivos” detectados por Avast, pero no repara los errores que hayan podido quedar en el sistema por el haber borrado algún archivo legitimo.

Hasta ahora no hay ningún comunicado oficial de parte de la gente de Avast sobre lo sucedido...

Solución real al problema ... usar Linux :P