Nuevamente se han descubierto vulnerabilidades en la manera en que Android procesa archivos multimedia. Estas vulnerabilidades pueden permitir a los atacantes comprometer los dispositivos al engañar a los usuarios a visitar ciertas páginas web maliciosas. A esta nueva vulnerabilidad la han llamado Stagefright 2.
Expertos en seguridad informática advierten que miles de equipos médicos conectados a la red son vulnerables. El Internet de las Cosas puede ser maravilloso. Así es como nos lo pintan en cada presentación de productos capaces de conectarse a Internet para realizar acciones automáticas y comunicarse con otros aparatos.
Sin embargo, la verdadera realidad es que mucho tiene que mejorar la seguridad en este terreno para que todas esas conexiones sean cifradas y no puedan comprometer nuestra privacidad. (más…)
Thales, líder en sistemas de información crítica y la ciberseguridad, anuncia la publicación de su 2015 Global PKI Tendencias Estudio . El informe, basado en una investigación independiente por el Instituto Ponemon y patrocinado por Thales, revela una mayor dependencia de las infraestructuras de clave pública (PKI) en el entorno empresarial de hoy en día, el apoyo a un número creciente de aplicaciones. Al mismo tiempo, sin embargo, hay una falta general de propiedad clara PKI, así como la falta de recursos y habilidades para apoyar adecuadamente. Los enfoques actuales a PKI están fragmentados y no siempre incorporan las mejores prácticas, lo que indica una necesidad de muchas organizaciones para aplicar un mayor esfuerzo para asegurar su PKI como una parte importante de la creación de una base de confianza.
Mas que 1.500 TI y profesionales de la seguridad fueron encuestados en diez países: Estados Unidos, Reino Unido, Alemania, Francia, Australia, Japón, Brasil, Rusia, India y México, con el objetivo de comprender mejor el uso de la PKI en las organizaciones.
Hechos noticiosos:
En la conferencia de seguridad Black Hat de Las Vegas, los investigadores Trammell Hudson and Xeno Kovah presentaran una prueba de concepto para infectar equipos Mac. Según los investigadores, lo más importante es que a priori es casi indetectable ya que funciona directamente en el firmware.
Bautizado como Thunderstrike 2, este nuevo ataque está inspirado en una prueba de concepto previamente desarrollada por Trammell Hudson llamado Thunderstrike. (más…)
La mayoría de los profesionales de seguridad de TI creen que habrá una importante violación a Autoridades Certificadoras (CA por sus siglas en inglés) dentro de los próximos 24 meses, a pesar de eso, no están preparados para responder a tal compromiso, según una nueva investigación de la empresa Venafi en Black Hat.
La firma de seguridad de certificados digitales entrevistó a los asistentes de este año en Black Hat y en RSA Conference para recopilar datos para su informe: IT Security Professionals Know the Risk of Untrusted Certificates and Issuers, but Do Nothing. (más…)
En dos artículos que adjuntamos The Hacker News describen lo que según ellos fueron hasta ahora “super”ataques y que confirman o prueban que ninguno de nosotros es inmune a ser hackeado. Casi todos los ítems han sido publicado oportunamente por nuestro Blog en forma individual, pero vale como recopilación.
#1 “Hacking Team” Data Breach
#2 Ashley Madison Data Breach
#3 The Sony Pictures Hack
#4 ‘Fappening’ and ‘Snappening’
#5 Car Hacking
#6 Data Breach at US Government Office of Personnel Management
#7 Anthem Data Breach (más…)
Mientras el tráfico SSL crece 20% anualmente, más del 50% de los ataques por parte de ciberdelincuentes utilizará SSL cifrado para 2017. Aunque el 25% del tráfico saliente es SSL, el 80% de los sistemas de seguridad no previenen las amenazas dentro de éste.
El cifrado SSL es crucial para proteger los datos durante su tránsito en transacciones en la web, comunicaciones de e-mail y el uso de aplicaciones móviles. A pesar de ello, esta modalidad de transmisión de datos es cada vez aprovechado por el ciberdelincuente para ocultar transferencias de datos sensibles y para ofuscar sus comunicaciones de comando y control, destaca Blue Coat Systems en un nuevo informe. (más…)
Además de contraseñas almacenadas en texto plano, entre los datos robados a Ashley Madison había 36 millones de hashes y si bien no son legibles directamente, se pueden crackear. Un investigador ha logrado descifrar 4.000 contraseñas de los usuarios de Ashley Madison, lo que demuestra lo importante que es elegir una contraseña segura.
Los hashes terminaron en la “máquina de crackear” de Dean Pierce, un ingeniero de seguridad de Linux que trabaja en Intel. El invento de Pierce consta de 4 tarjetas de vídeo ATI R 9290.
El procedimiento es sencillo:
gunzip member_login.dump.gz tr , '\n' < member_login.dump > tmp.txt # switching commas for newlines grep "\$2a" tmp.txt > tmp2.txt # grepping out hashes tr -d "\'" < tmp2.txt > am.txt # removing single quotes uniq am.txt > am2.txt # removing duplicates ./oclHashcat32.bin -m3200 -a0 am2.txt rockyou.txt --force --weak-hash-threshold 0
Según se ha publicado, hay una base de datos con información y detalles de 220.000 cuentas de Apple iCloud de terminales iPhone & iPad que tienen realizado el jailbreak. Según parece, estos datos pueden haber sido robados por tweaks maliciosos que vendrían con backdoors.
El martes, los atacantes detrás Ashley Madison, filtraron 10GB de datos privados de sus clientes y el jueves otros 20GB de datos internos de la compañía y correos electrónicos del CEO de la compañía Noel Biderman. La fuga incluye:
Ayer, los atacantes finalmente rompieron su silencio y en una entrevista con Motherboard, afirmaron que tienen otros 300GB datos que incluyen fotografías de desnudos explícitos y chats privados entre los miembros del sitio. El equipo dice que aún no quiere soltar estos datos de los clientes de Ashley Madison, pero no descarta hacerlos públicas si la empresa Avid Media no cierra el sitio definitivamente. (más…)
