Notices tagged with seguridad, page 29

"Memes maliciosos", cómo un nuevo tipo de malware está aprovechándose de código oculto en las imágenes de Twitter

Investigadores de seguridad de Trend Micro han identificado una nueva amenaza que han llamado "memes maliciosos". Básicamente, es un nuevo tipo de malware que recibe sus instrucciones de código escondido en memes publicados en Twitter.

Los cibercriminales explotando esto usan una vieja técnica (la estenografía) para esconder código malicioso en imágenes y evadir la seguridad, lo novedoso aquí es que están usando la técnica en imágenes que se comparten en la red social.

https://www.genbeta.com/actualidad/memes-maliciosos-como-nuevo-tipo-malware-esta-aprovechandose-codigo-oculto-imagenes-twitter
#Ñ #seguridad #malware

Hackers iraníes superan con phishing la verificación de doble factor por SMS de Gmail y Yahoo: hora de buscar alternativas

Uno de los consejos más comunes en lo que respecta a la seguridad en Internet cuando hablamos de autenticación en webs y servicios es el uso de la verificación en dos pasos, que suele utilizar el smartphone con elemento verificador, con los SMS como principal medio para recibir una segunda clave única que dé acceso al servicio.

Sin embargo, como ya se ha demostrado en alguna otra ocasión, las medidas de seguridad "clásicas" cada vez son menos infalibles, y en este caso ocurre lo mismo. Un grupo de investigadores de Certfa Lab ha publicado un estudio en el que se explica cómo hackers iraníes, supuestamente a cargo del ejecutivo del país oriental, han atacado a funcionarios estadounidenses, periodistas y activistas.

En el ataque ha tenido mucho protagonismo, como casi siempre, el correo electrónico. Pero la parte habilitan de los hackeos, según los investigadores, está en la autenticación de doble factor, que en algunos casos puede ser muy segura, pero en otros ya no ofrece el nivel de antaño.

https://www.genbeta.com/actualidad/hackers-iranies-rompen-verificacion-doble-factor-sms-gmail-yahoo-hora-buscar-alternativas
#Ñ #seguridad

BBS h4ckseed: WiFi Alliance WPA3 https://h4ckseed.wordpress.com/2018/08/28/bbs-h4ckseed-wifi-alliance-wpa3/ #Networking #Seguridad #hardware

Un bug en #Firefox reportado hace más de 11 años está siendo abusado por sitios web maliciosos

Fue reportado por primera vez en abril de 2007, pero hasta ahora Mozilla no lo ha solucionado. La forma en la que es explotado tampoco es nada nuevo, son trampas usuales de sitios web fraudulentos, pero que gracias al bug en Firefox que navegadores como Chrome y Edge sí han solucionado, el usuario puede quedar atrapado en la web maliciosa.

El bug en cuestión puede ser explotado si un sitio web malicioso inserta un iframe o marco incorporado dentro de su código fuente que se presenta como una petición de autenticación HTTP en otro dominio. Es decir, cuando el usuario entra en el sitio puede ver mensajes emergentes de autenticación falsos y además no los puede cerrar.

https://www.genbeta.com/navegadores/bug-firefox-reportado-hace-11-anos-esta-siendo-abusado-sitios-web-maliciosos
#Ñ #seguridad

BBS h4ckseed: WiFi Alliance WPA3 https://h4ckseed.wordpress.com/2018/08/28/bbs-h4ckseed-wifi-alliance-wpa3/ #Networking #Seguridad #hardware

Información que pueden revelar los metadatos de una fotografía

Año tras año crece de forma exponencial el número de fotos que tiran las personas. A modo de ejemplo en el año 2017 se tiraron más de 1,2 billones de fotos. Esto es así porque hoy en día hay millones de adolescentes y adultos con teléfonos en sus bolsillos que inconscientemente envían y suben fotografías a la red sin ningún tipo de temor. Lo que no saben la mayoría de personas es que las fotos pueden revelar información personal de sus vidas. Mediante estándares como por ejemplo el Exif (Exchangeable image file format), la totalidad de fotografías tomadas con un dispositivo digital llevan información incrustada conocida como metadatos. Cualquier archivo de imagen con el formato .jpg, .tiff, .raw, .png, etc es susceptible de contener metadatos. Por lo tanto vayan con cuidado con los metadatos de una fotografía.
Nota: Exif es solo uno de los estándares existentes para incrustar información en las fotos. Existen otros estándares como XMP. IPTC, etc.

https://geekland.eu/informacion-revelar-metadatos-fotografia/
#Ñ #seguridad #privacidad

Es liberada la version 4.19.7 del Kernel de Linux y no solucionan el error de corrupción de datos

Después del lanzamiento del kernel de Linux 4.19, durante varias semanas las quejas sobre los sistemas de archivos destruidos en varios usuarios se hicieron más frecuentes, por lo que los desarrolladores en un principio no tomaban esto en cuenta.

Al ver que estas quejas fueron en aumento, fue cuando surgió la preocupación y los desarrolladores del Kernel de Linux ahora han encontrado y corregido el error correspondiente.

Al principio, los desarrolladores habían asumido que era un problema con los sistemas de archivos Ext4.

Por lo cual no habían prestado atención a ello, pero cuando los desarrolladores decidieron afrontar el problema des cubrieron que la causa se encuentra en el marco denominado Mecanismo de colas de E / S de bloques de cola múltiple (“blk-mq” para abreviar) y, por lo tanto, otros sistemas de archivos se ven afectados.

Afortunadamente, el error solo ocurre bajo ciertas circunstancias, pero puede reproducirse

https://blog.desdelinux.net/es-liberada-la-version-4-19-7-del-kernel-de-linux-y-no-solucionan-el-error-de-corrupcion-de-datos/
#Ñ #gnu #linux #gnulinux #seguridad

Australia legisla para rebajar o eliminar el cifrado en comunicaciones: la tendencia se abre paso

El Gobierno de Australia y el principal grupo de la oposición han llegado a un acuerdo para aprobar en el parlamento la posibilidad de que la policía y las agencias de inteligencia puedan obtener acceso a mensajes cifrados en WhatsApp y otras aplicaciones similares, según informa Bloomberg.

Compañías como Google o Facebook han intentado frenar el acuerdo desde su participación en The Digital Industry Group, una asociación a la que se han unido Amnistía Internacional y el Centro de Derecho de los Derechos Humanos.

Sin embargo, la presión del lobby no ha sido suficiente para que la legislación no vaya a aprobar esta semana. Por una parte, la postura de ambos gigantes de Internet tiene mucho sentido, porque tendrían que comprometer la privacidad de sus usuarios por orden política o judicial. Pese a esta supuesta preocupación, en el caso de Facebook, tal y como ha comentado Jan Koum, uno de los fundadores de WhatsApp, es algo que ya se estaba planteando internamente, aunque con otro objetivo: monetizar mejor.

https://www.genbeta.com/actualidad/australia-legisla-para-rebajar-eliminar-cifrado-comunicaciones-tendencia-se-abre-paso
#Ñ #privacidad #seguridad

BBS h4ckseed: WiFi Alliance WPA3 https://h4ckseed.wordpress.com/2018/08/28/bbs-h4ckseed-wifi-alliance-wpa3/ #Networking #Seguridad #hardware

El malware para AutoCAD está en el centro de una campaña de espionaje industrial para robar planos que valen oro

AutoCAD es sin duda uno de los programas de modelado y diseño asistido por ordenador más conocidos y usados desde hace más de 30 años. Si bien es un software especializado usado principalmente por ingenieros y arquitectos, el valor de lo que se produce con él es bastante importante y se ha convertido en un gran objetivo del espionaje industrial.

Explotando una característica en el programa de Autodesk, los cibercriminales están intentando robar diseños para puentes, edificios de fábricas y otros proyectos, ya sea con propósitos de espionaje industrial o para vender en el mercado negro por altas sumas de dinero.

https://www.genbeta.com/seguridad/malware-para-autocad-esta-centro-campana-espionaje-industrial-para-robar-planos-que-valen-oro
#Ñ #seguridad

Una página HTTPS puede ser insegura: explicamos los motivos

Siempre que naveguemos por Internet podemos toparnos con muchas páginas inseguras. Son muchos los riesgos que podemos encontrar al navegar. También podemos contar con muchos programas y herramientas que nos protejan. Sin embargo, siempre que hablamos de páginas seguras o inseguras, solemos mirar si es HTTPS. Hoy en día, navegadores como Google Chrome informan de que una página no es segura cuando no utiliza este protocolo. Sin embargo, ¿es esto suficiente? La realidad es que una Web puede ser insegura aun siendo HTTPS. En este artículo vamos a hablar de ello.

https://www.redeszone.net/2018/12/02/pagina-https-insegura-razones/
#Ñ #seguridad

Alguien ha hackeado miles de impresoras y pedido a las víctimas que se suscriban a PewDiePie

Una de las mayores guerras de Internet se está dando en la arena de YouTube, y es que el youtuber con más seguidores, PewDiePie, está a punto de ser superado por T-Series, un canal de música indio. Los fans de la estrella sueca están haciendo todo lo posible para que siga siendo el número uno, pero un hacker ha ido más lejos de lo esperado y ha pasado a "dar órdenes" a miles de usuarios de impresoras, tras hackearlas.

https://www.genbeta.com/actualidad/alguien-ha-hackeado-miles-impresoras-pedido-a-victimas-que-se-suscriban-a-pewdiepie
#Ñ #seguridad

La agencia de espionaje británica detalla cómo quiere infiltrarse en conversaciones sin romper el cifrado

Uno de los debates más antiguos en relación a la privacidad y la seguridad, antes incluso de Internet, versa sobre la necesidad de sacrificar la privacidad de la ciudadanía en favor de vigilancia que garantice la seguridad. En la era de Internet ha sido una constante que se repite desde casos de mucha gravedad institucional como el de PRISM en la NSA hasta declaraciones apuntando en esa dirección cada vez que hay un atentado.

Bajo esa misma justificación, la de la seguridad, dos de los mayores cargos del espionaje británico han detallado cómo pretenden proponer modificar la ley para que la vigilancia de conversaciones privadas sea posible manteniendo el cifrado, pues los servicios se niegan a rebajarlo. Hay que recordar que la extinta fortaleza de BlackBerry Messenger, por ejemplo, fue la que permitió los disturbios de Londres en 2011.

https://www.genbeta.com/seguridad/agencia-espionaje-britanica-detalla-como-quiere-infiltrarse-conversaciones-romper-cifrado
#Ñ #privacidad #seguridad

DNS-over-HTTPS llega a Firefox: así puedes activarlo

DNS-over-HTTPS, también conocido como DoH, es un protocolo diseñado para permitirnos realizar las resoluciones DNS desde nuestro navegador a través del protocolo HTTPS, aumentando considerablemente la privacidad de nuestra navegación y protegiéndonos de algunas técnicas muy utilizadas para atacar las peticiones DNS y poner en peligro nuestra navegación. Google Chrome ya soporta esta característica desde marzo de este mismo año, y a partir de ahora, los usuarios de Firefox también van a poder navegar por Internet con este extra de privacidad.

https://www.redeszone.net/2018/11/30/activar-dns-over-https-firefox/
#Ñ #seguridad

BBS h4ckseed: WiFi Alliance WPA3 https://h4ckseed.wordpress.com/2018/08/28/bbs-h4ckseed-wifi-alliance-wpa3/ #Networking #Seguridad #hardware

:underheart: NUEVO artículo en mi blog

¡Enseñame el canario! ¿Qué es un “warrant canary”?
https://victorhckinthefreeworld.com/2018/11/28/ensename-el-canario-que-es-un-warrant-canary/

#...detodounpoco #privacidad #seguridad

¡Enseñame el canario! ¿Qué es un “warrant canary”? https://victorhckinthefreeworld.com/2018/11/28/ensename-el-canario-que-es-un-warrant-canary/ #...detodounpoco #privacidad #seguridad

Nueva Ley alamana de routers: prohibido admin-1234 y contraseñas WiFi débiles

El router es, posiblemente, el dispositivo más importante que tenemos en casa y, al mismo tiempo, al que le prestamos menos atención. Al comprar un móvil o una televisión, evaluamos miles de características y aspectos, mientras que con el router nos conformamos con el que nos proporciona la operadora sin preguntas. El problema es que el punto de entrada de Internet en casa y con ello, clave para la seguridad. Por eso, creemos que es necesaria en España esta ley alemana para evitar routers inseguros y contraseñas WiFi débiles.

Nuestros compañeros de RedesZone se hacen eco de la interesante noticia de la legislación alemana para controlar los routers. No tener el router adecuado o contar con una configuración errónea puede provocarnos muchos problemas y dolores de cabeza. Por desgracia, pocos se han preocupado de esta cuestión hasta que ha tenido que venir Alemania a ponernos los dientes largos con una regulación sobre la materia.

https://www.adslzone.net/2018/11/26/ley-seguridad-routers-alemania/
#Ñ #seguridad

[ #ebook gratuito ] "Practical Cryptography for Developers" : hackplayers

Criptografía practica para Desarrolladores, en inglés 'Practical Cryptography for Developers', es un libro práctico y moderno con ejemplos de código, que abarca conceptos básicos como: hashes (como SHA-3 y BLAKE2), códigos MAC (HMAC y GMAC), funciones de derivación de clave (Scrypt, Argon2), protocolos de acuerdo de clave (DHKE, ECDH), cifrados simétricos (AES y ChaCha20, modos de bloque de cifrado, cifrado autenticado, AEAD, AES-GCM, ChaCha20-Poly1305), cifrados asimétricos y criptografía de clave pública (ECC, secp256k1, curve25519), firmas digitales (ECDSA y EdDSA), números aleatorios seguros (PRNG, CSRNG) y criptografía de seguridad cuántica, junto con bibliotecas criptográficas y herramientas de desarrollo, con muchos ejemplos de código en Python y otros lenguajes.

https://www.hackplayers.com/2018/11/ebook-gratuito-practical-cryptography.html
#Ñ #seguridad #privacidad

TLS 1.3 dificulta en gran medida el trabajo de los hackers

TLS 1.3 ya es el nuevo estándar de seguridad online que ha llegado para suceder a la versión actual, TLS 1.2 (y sustituir a todas las anteriores) ofreciendo una seguridad muy superior para cifrar las comunicaciones entre cliente y servidor y, además, reduce la latencia en las comunicaciones. Una de las mejoras de seguridad que llega con este nuevo estándar criptográfico es la obligación para usar PFS (Perfect Forward Secrecy) en todas las sesiones, algo que hasta ahora era opcional y que va a complicar mucho las cosas a los hackers.

A grandes rasgos, PFS obliga a usar claves diferentes en cada sesión que se establece. De esta manera, si un hacker, o un pirata informático, consigue hacerse con una de las claves (algo nada sencillo), todas las sesiones pasadas y futuras seguirán siendo seguras, ya que con dicha clave solo podría descifrar el tráfico de la sesión actual.

https://www.redeszone.net/2018/11/24/tls-1-3-dificulta-trabajo-hackers/
#Ñ #Seguridad