Noticias y Alertas
Header

Certificando las nubes

junio 4th, 2012 | Posted by kwelladm in Noticias - (0 Comments)

Esta semana hemos podido leer en prensa que Google ha certificado el SGSI de Google Apps, lo que abarca entre otros los siguientes servicios: GMail, Google Talk, Google Calendar, Google Docs/Drive (documentos, hojas de calculo y presentaciones), Google Sites, Control Panel (CPanel), Google Contacts, Google Video y Google Groups.

La verdad es que la lista de servicios incluidos en el alcance impresiona ya que nos aleja de la clásica práctica de muchas empresas (algunas grandes) de tener un alcance pequeñito, utilizar el correspondiente sello en todos los materiales comerciales y decir que la compañía está certificada. (más…)

Yo sólo quería alquilar un piso

mayo 31st, 2012 | Posted by kwelladm in Noticias - (0 Comments)

Hace un año decidí alquilar una vivienda y como el resto de gente de a pie, decidí publicarlo en una web de venta y alquiler de inmuebles. Para ello procedí a registrarme introduciendo información básica como nombre, DNI, dirección, teléfono, etc. Adicionalmente tuve que emplear mis datos bancarios para pagar mejoras como “siempre visible / destacado”, publicar vídeos, imágenes de mayor resolución, primero en la búsqueda, etc.

Después de estar un buen rato entre subir fotos, ordenarlas y redactar la descripción de la vivienda me di cuenta que me habían enviado un correo de la web en donde había dado de alta el inmueble. Era el típico correo de bienvenida donde se me indicaba entre otra información mi usuario y mi contraseña, en texto “plano” por supuesto. (más…)

, ,

La cuarta enmienda y los servicios en la nube…

mayo 30th, 2012 | Posted by kwelladm in Noticias - (0 Comments)

The Fourth Amendment:

In the United States, where most of the cloud storage providers are located, the personal information of individuals is protected by the Fourth Amendment:

“The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.”

Once personal documents are shared with others, they are not protected any more by the Fourth Amendment and can be accessed by the government without the need for a warrant or demonstrating probable cause. This is called the “third party doctrine”. The application of the Fourth Amendment to email or cloud computing has not yet been addressed by the Supreme Court. Without any legal guidelines, uploading files to a cloud storage provider can be considered sharing, the uploaded data then is not considered private anymore:

“However, when the object of a search | tangible or not | is voluntarily turned over to a third party, the Supreme Court has held that a person loses their reasonable expectation of privacy in that object.” [Cou09]

For users storing their files inside the United States (e.g. because they are using Dropbox), the only way to guarantee the privacy of the uploaded data is to encrypt it locally with a personal key before uploading it. The providers can not be trusted to keep the data confidential, since they can be ordered by law enforcement to cooperate with ongoing investigations. As an example, in 2007 the secure email provider Hushmail34

“…modified their product to capture the passwords of the three suspects, which it then used to decrypt the 12 CDs worth of email that it provided to US law enforcement agents.” [Sog09]

Lo barato sale caro…

mayo 29th, 2012 | Posted by kwelladm in Noticias - (0 Comments)

Esaú vendió a Jacob su primogenitura por un plato de lentejas. Cuando, de pequeño, me contaron esta historia, siempre me pareció que la había vendido barata y eso que no tenía muy claro qué cosa era una primogenitura ni por qué alguien podría querer comprarla. La justificación de Esaú es que tenía mucha hambre y poca paciencia.

Nosotros, hoy en día, estamos vendiendo nuestra privacidad por un plato de funcionalidades que nos proporcionan cocineros como Google, Apple, Dropbox, Microsoft, Sony y muchos otros. Nos tientan con posibilidades de usar nuevas aplicaciones muy atractivas, absolutamente imprescindibles — ¿Cómo no voy a proclamar a los cuatro vientos dónde me encuentro en cada momento o lo que estoy haciendo? — y a cambio de algo que apenas tiene valor — ¿Para qué querrán saber quiénes son mis amigos o a qué contactos les envío emails? — ¿o sí lo tiene? (más…)

EEUU construye en secreto la mayor base de espionaje mundial

mayo 25th, 2012 | Posted by kwelladm in Noticias - (0 Comments)

La Agencia Nacional de Seguridad (NSA) de los Estados Unidos alista un gigantesco centro de datos en Utah, donde instalará sofisticada tecnología para vigilar internet y otros medios.

En una pequeña y somnolienta comunidad del oeste de Estados Unidos, donde la mayoría de sus casi 7 mil habitantes son mormones, la comunidad de inteligencia está levantando el centro de espionaje más grande que el mundo haya conocido hasta ahora.

La ciudad se llama Bluffdale y se encuentra en el estado desértico y montañoso de Utah, cuya población mira con asombro el gigante que está construyendo el cuerpo de ingenieros del Ejército. (más…)

Anonymous carga contra el Departamento de Justicia de EE.UU.

mayo 24th, 2012 | Posted by kwelladm in Noticias - (0 Comments)

El grupo de ‘hackers’ obtuvo acceso a los mecanismos internos de un sitio web administrado por el Departamento de Justicia de EE. UU., informó una portavoz del departamento después de que el grupo reconociera estar detrás del incidente.

Los piratas informáticos lograron acceder a un servidor que opera el sitio web de la Oficina de Estadísticas de Justicia, responsable de recopilar y analizar datos sobre crímenes, incluyendo incidentes de seguridad informática de todo el país. (más…)

,

Vulnerabilidad en Linkedin permite obtencion de contraseñas

mayo 23rd, 2012 | Posted by kwelladm in Noticias - (0 Comments)

El proceso para iniciar sesión de LinkedIn es vulnerable a ataques de fuerza bruta y es posible, mediante un diccionario, descubrir la password de usuarios. Este ataque es factible debido a un error en la validación del token de seguridad (Csrf token) que permite enviar tantos request remotos como queramos, probando distintos usuarios y usando el mismo token.
 
La única protección que existe, es que luego de decenas de intentos, nos muestra un Captcha, sin embargo, luego de esperar un tiempo y con un nuevo Token, es posible continuar con el ataque.
Para obtener un Token y poder probar el ataque, debemos atrapar el POST que se hace en el formulario de login y obtener el “sourceAlias” y “csrfToken”.

 

 

.

 

 

 

 

 

 

Cuando realizamos el ataque, no es necesario enviarle estos valores metiante POST, ya que no discrimina el métido por el cual se le entregan los valores, pudiendo generar un simple script que haga consultas mediante GET pasandole las variables por URL.

Más info: http://blog.zerial.org/seguridad/vulnerabilidad-en-linkedin-permite-obtencion-de-contrasenas/

,

Conoce cómo proteger tu información online con Está bien saberlo (Fuente: Google España)

mayo 22nd, 2012 | Posted by kwelladm in Noticias - (0 Comments)

En los últimos meses hemos realizado una campaña de educación del consumidor llamada Good to Know en Alemania, Estados Unidos y el Reino Unido donde compartimos consejos sencillos y prácticos para enseñar al usuario a proteger su información en la red y comprender mejor cómo funciona.
 
Hoy presentamos la plataforma Good to Know (Está bien saberlo) en español y en otra docena de lenguas (30 ahora y 30 en las próximas semanas) a la que hemos incorporado, además, el Centro de seguridad familiar de Google que, desde 2010, ofrece consejos sobre seguridad online. (más…)

Informe de seguridad en sistemas de almacenamiento en la nube

mayo 21st, 2012 | Posted by kwelladm in Noticias - (0 Comments)

El instituto Fraunhofer para la tecnología de la seguridad de la información, ha realizado un informe sobre varios servicios de almacenamiento en la nube comparándo los de servicios y la seguridad, obteniendo datos y conclusiones interesantes.
El estudio se ha basado en siete servicios a los que se puede acceder mediante un cliente instalado en el ordenador del usuario. Estos servicios son CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One y Wuala. (más…)

Los mensajes de Whatsapp en Android, al descubierto…

mayo 17th, 2012 | Posted by kwelladm in Noticias - (0 Comments)

Teniendo en cuenta el creciente flujo de datos de la aplicación de mensajería instantánea Whatsapp, en las últimas horas ha crecido la polémica en torno al hecho de que, como todos esos contenidos no se encuentran encriptados, y por lo siguiente, tampoco, protegidos, cada uno de los mensajes, fotos o ubicaciones enviados a través de una red Wi-Fi pueden ser interceptados gracias a una nueva aplicación para Android. (más…)