Kwell – Blog de Seguridad

SMS Spoofing : No te fies de ningún SMS

septiembre 4th, 2011 | Posted by kwelladm in Noticias - (0 Comments)

El SMS Spoofing es una técnica que permite enviar un SMS falsificando el numero de origen. Asi un atacante puede hacerse pasar por alguien. Las posibilidades en la practica son ilimitadas, bromas, ex-novios/as celosos, phising de la banca, etc..

El envio de SMS se realiza en texto plano y al fin y al cabo son datos. Es posible tecnologicamente modificar la cabecera del dato sin que se nota, ya que no incluye firma alguna.

Voy a describiros algunos metodos de explotar la vulnerabilidad. No son los únicos, pero si quizás los mas sencillos e utilizados :
■Hay algunas utilidades web de envio de SMS como http://www.text4free.net/countries.php?c=es que permiten envios falsificando el numero de telefono.
■Al enviar SMS por Skype, aparece el numero con el que te registrastes.

Moraleja , no os fieis de los remitentes de los SMS, pueden ser falsificados e intentar induciros a engaño.

PD: Sin tener mucho que ver con el articulo, tener en cuenta que enviar mensajes a traves de webs, puede ser un problema ya que algunas pueden aprovecharlo para tener numeros de telefono validos y enviaros SPAM.

SMS

Facebook ofreció y cumplió, pagando 40 mil dólares por fallas descubiertas

septiembre 3rd, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Mark Zuckerberg y su equipo tiemblan ante la posibilidad de que las amenazas de un ataque inminente en contra de Facebook se vean hechas realidad. Y es que un grupo de “Hackers”, conocido como Anonymus, difundió un mensaje, hace casi un mes, aseverando que la popular red social sería cerrada el 5 de noviembre, y que nadie podría impedirlo; por lo que Zuckerberg y compañía ofrecieron pagar $ 500.00 dólares americanos a cualquiera que pudiera encontrar un fallo en su sistema de seguridad. (más…)

Facebook

Hackers invaden servicios de Google, Gmail y Mozilla al robar 200 certificados SSL

septiembre 2nd, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Hackers roban más de 200 certificados SSL, para suplantar por ejemplo a Google en diversos dominios de sus servicios, inclusos los de Gmail, por lo menos 10 días antes de ser detectados, informó este 31 de agosto Coputerworl.

Investigadores de diversas empresas de seguridad en el mundo acusan a la holandesa DigiNotar, adquirida por la estadounidense Vasco diciendo: “¿cómo es posible? ¿cómo es que no han realizado un registro de los certificados emitidos durante el ataque?. Al inicio de esta semana la empresa DigiNotar reconoció una eventual fuga de una docena de certificados, sin embargo el consultor de seguridad informática Hans Van Loby, fundador de la empresa holandesa de seguridad Madison Gunka, señaló que fueron informados por una fuente confidencial que cerca de 200 certificados fueron generados por los hackers. Según el investigador, los certificados permiten suplantar dominios de mozilla,com yahoo.com y torproyect.com. (más…)

cracker, SSL

Pakistán prohibe el cifrado de datos y anonimato en La Red

septiembre 1st, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Bajo una supuesta persecución del terrorismo, el gobierno de Pakistán ha ordenado a los proveedores de Internet de ese país, que informen a las autoridades de ese país asiático quienes son los usuarios que utilizan algún método de cifrado o anonimato cuando navegan por la red, lo cual les permite acceder a sitios bloqueados por el gobierno, como es el caso de Facebook, el cual fue prohibido por “contener material contrario a la fe islámica”. Otra “fuente de mal” que los pakistaníes tampoco puede ni oler es el conocido Youtube, censurado también desde hace tiempo, o la página web de la revista Rolling Stone, después de que publicara que gran parte del presupuesto del país se destina a gastos militares.

Actualmente todo la información de Internet es filtrada y bloqueada en Pakistán “al gusto” de sus gobernantes y unicamente mediante estos métodos, un ciudadano puede burlar esa seguridad y visitar sitios web de forma que escapen al control gubernamental. Por suerte, entidades como “callcenters” o bancos estarán excluidos de esta medida, pero sucesos como este, aunque sean lejanos para nosotros, evidencian que la lucha por la libertad de expresión en la red aun no está ganada y que queda un largo camino.

Fuente: Daboweb

Delitos, Gobierno - Legislación

Utilizar la nube (Amazon) para crackear contraseñas y hashes

agosto 29th, 2011 | Posted by kwelladm in Noticias - (0 Comments)

El investigador de seguridad alemán Thomas Roth (de Lanworks AG), que ha estado utilizando los servicios de Amazon EC2 para descifrar contraseñas cifradas con el algoritmo SHA1, dijo que la computación en nube ponen en mano de las masas las herramientas necesarias para romper contraseñas y datos cifrados.

Roth escribió sobre el resultado de un experimento en el que ha utilizado un una instancia del Cluster GPU (Unidades de Procesamiento Graphics) de Amazon para descifrar hashes generados utilizando el algoritmo SHA1. En dichas instancias instaló GPU Computing SDK de Nvidia y CUDA-Multiforcer v0.7.

Roth fue capaz de descifrar 14 contraseñas en 49 minutos, pagando sólo U$S 2,10 por una hora de tiempo de cómputo de 2 procesadores NVIDIA Tesla “Fermi” M2050 GPUs. (más…)

cracker, Delitos

Top 5 errores de seguridad en el mundo IT

agosto 28th, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Lo cierto es que ya estamos acostumbrados -y casi inmunizados- a los clásicos listados de errores típicos en materia de seguridad: No parchear sistemas, no realizar una buena monitorización etc etc …

Es difícil aportar algo nuevo a esta clase de ‘rankings’, no obstante he encontrado este artículo de Network World en el que se aborda la problemática desde un punto de vista de enfoque que me ha gustado bastante. Me tomo la licencia de transcribir el artículo con mi propia interpretación. (más…)

Informacion

Alemania crea un botón de seguridad para las compras online que podría extenderse al resto de Europa

agosto 26th, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Los modelos de negocio dudosos que a tantos usuarios de la red han engañado se han convertido en algo normal en la red. Pero una nueva medida supondrá el fin de este tipo de acciones.

El gobierno alemán ha decidido que de ahora en adelante todos los portales de tienda en línea deberá agregar un botón final, el cual será el último paso que los clientes deberán visitar antes de realizar un pago. Pero eso no es todo. Este botón mostrará la suma total del pago, dejando al descubierto cualquier cifra escondida o cláusula escrita en letra pequeña. (más…)

Fraude, Informacion

¡Esa foto es mía!

agosto 25th, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Las imágenes que subimos a internet gozan, en muchas ocasiones, de poca seguridad cuando se trata de saber quién las usa. Es fácil encontrar una fotografía nuestra en una web sin nuestro permiso. ¿Qué podemos hacer?

Imagínese por un momento que se hace una fotografía con su mujer, su hijo y su hija, menores ambos, y la utiliza como postal navideña. Para hacerla llegar a sus familiares, la cuelga en internet. Y al cabo de unas semanas se encuentra su rostro y la de sus allegados en una valla publicitaria. Es exactamente lo que le pasó a una familia norteamericana, cuyo padre, Jeff Smith, puso la imagen en cuestión en la red y, pasado un tiempo, un amigo suyo se la encontró en un anuncio de un supermercado en Praga. El dueño del establecimiento no sabía nada del asunto, pensaba que era una imagen tomada expresamente para la ocasión, pero se comprometió a retirarla.

Las fotografías que los usuarios suben a internet están, muy a menudo, al alcance de todos. Nada, o casi nada, impide que alguien use una imagen de una tercera persona. Es tan fácil como hacer clic con el botón derecho, seleccionar Guardar como y archivarla en una carpeta del ordenador. Pero ¿quién tiene derechos sobre ese material concreto? ¿Quién puede usarlo, aunque sea para motivos personales? Los derechos sobre la imagen en cuestión son, si no se da el consentimiento mediante acuerdo escrito, del autor. Tampoco se puede utilizar la fotografía para usos personales si no se tiene el permiso, dice Josep Jover, abogado especialista en propiedad intelectual y nuevas tecnologías, puesto que “lo que se autoriza es el uso, aunque no se obtengan beneficios”.

Pero cuando subimos fotografías a la red, aceptamos una serie de cuestiones. La mayoría de las empresas que ofrecen el servicio de almacenamiento de este tipo de archivos incluyen en sus cláusulas y términos de uso contratos que les proporcionan derechos sobre lo que albergan sus servidores, sea creado por ellas o no. Hablamos de aquellas redes sociales o servicios basados eminentemente en la red, como Facebook, Flickr, Google, Twitter, LinkedIn o Tumblr. Todas ellas se reservan una licencia mundial, no exclusiva, con la capacidad de vender dicha licencia a terceros para utilizar, copiar, reproducir, procesar, adaptar, modificar, publicar, transmitir, mostrar y distribuir el contenido en cuestión. En otras palabras, pueden hacer lo que quieran con las imágenes que los usuarios suben a sus servidores. A partir del momento en que una persona cuelga una fotografía en, por ejemplo, Facebook, este obtiene los derechos sobre la misma, aunque el autor los mantiene intactos. Y la empresa seguirá en posesión de los derechos hasta que el usuario elimine el material, excepto si otros usuarios lo han compartido. Sin embargo, hay compañías como Google que mantienen los derechos sobre el material… ¡de forma perpetua! (más…)

Facebook, Gobierno - Legislación, Google, Informacion, Twitter

Comex, el creador de JailbreakMe es contratado por Apple

agosto 24th, 2011 | Posted by kwelladm in Noticias - (0 Comments)

Últimamente hemos visto como las compañías de tecnología han dejado de atacar a los hackers de sus propias plataformas para contratarlos y que estos ayuden a mejorar sus productos. Tal ha sido el caso de GeoHot, quien tuvo rencillas con Sony. Facebook al ver el potencial de este muchacho, no tardo en contactarlo para engrosar sus filas y así adquirir una mente con una gran habilidad para la seguridad informática.Más recientemente vimos como Steve Kondik, uno de los creadores de CyanogenMod fue contratado por Samsung para aplicar sus conocimientos sobre Android y así mejorar la interfaz de productos Galaxy.

Por lo que ya no nos extraña que los de Cupertino se hayan hecho de @Comex, uno de los más famosos hackers de iOS, creador de JailbreakMe, Nicholas Allegra, estudiante de 19 años en la Universidad de Brown. (más…)

Apple, cracker

Facebook introduce cambios en su gestión de la privacidad, como la aprobación previa de etiquetas de fotos

agosto 23rd, 2011 | Posted by kwelladm in Noticias - (0 Comments)

En un verano intenso para Facebook, la red social acaba de anunciar nuevas mejoras que en breve se distribuirán a todos sus usuarios y que aportan novedades importantes en tres frentes: privacidad, configuración de los elementos compartidos y geolocalización.

Con esta nueva actualización, Facebook sigue su proceso de simplificar algunas de las tareas más demandadas por sus usarios e incorpora peticiones que tenía hace tiempo sobre la mesa, como la posibilidad de etiquetar en fotos a usuarios que no son tus amigos… pero siempre que haya aprobación previa en cada etiquetado. (más…)

Facebook

Buscar
KWELL miembro de la EFF
Fuiste atacado por un ransomware o piensas que puedes serlo

No lo sabés? ¡Podemos decírtelo muy rápido y con precisión! Nuestros External Penetration Test son excelentes y te permitirán mitigar tus riesgos sin demoras. Escribinos desde la sección "Preguntanos"
Categorías
Categorías
Archivo mensual
Archivo mensual
Sitios de interés

Comparte esto:

Comparte esto:

Comparte esto:

Comparte esto:

Comparte esto:

Comparte esto:

Comparte esto:

Comparte esto:

Comparte esto:

Comparte esto:

Buscar

KWELL miembro de la EFF

Fuiste atacado por un ransomware o piensas que puedes serlo

Categorías

Archivo mensual

Sitios de interés