Análisis de Riesgos Tecnológico, en la vida cotidiana

Puede parecer un tópico que se repite cada vez que hay un periodo de vacaciones, como el que muchos estamos a punto de comenzar o algunos ya se encuentran disfrutando desde hace días. Desde los medios de comunicación, agentes de la Policía o de la Guardia Civil, no se cansan de recordarnos la importancia de no mencionar en las redes sociales que nos vamos de vacaciones y vamos a estar ausentes en nuestro domicilio para así evitar robos mientras nuestra vivienda se encuentre vacía. El mensaje es claro y la idea es buena, pero, admitámoslo, a todos nos gusta publicar los sitios en los que vamos a pasar unos merecidos días de descanso. Es más, una de las principales finalidades por las cuales la gente se crea un perfil en una red social es compartir las experiencias vividas con sus amigos y la inmediatez con la que se comparten también influye. Sí, podemos esperar a volver de vacaciones para subir todas las fotos que hemos tomado, pero entonces perdería ese “encanto” de ir actualizan

Se ha encontrado un método para, a través de las nuevas funcionalidades de HTML5, hacer que el disco duro se llene por completo con solo visitar una web. Esto podría considerarse una especie de denegación de servicio del sistema, que aprovecha la potencia que ofrece el lenguaje para otros fines. Feross Aboukhadijeh ha creado el "HTML5 Hard Disk Filler". En realidad no es más que una manera de eludir las restricciones de tamaño de la tecnología Web Storage de HTML5 y saturar así el disco duro de información. Web Storage está ya en todos los navegadores modernos, y permite almacenar datos en el contexto del navegador y que sean manipulados a través de JavaScript. Por ejemplo, con los comandos: localStorage.setItem("key", "value"), localStorage.getItem("key")... La diferencia con las cookies, es que permite almacenar mucha más información. Hasta 10 megas (en teoría) frente a los 4k de las cookies y que no son automáticamente enviados al servido

Al parecer y según Intel, cada minuto se hacen 227.000 logins en Facebook. En todo Internet, en un minuto, se transfieren 640.000 GB de información, se conectan por primera vez 1.300 móviles, se publican 6 artículos en la Wikipedia, se envían 204 millones de emails, se descargan 47.000 aplicaciones y se suben 30 horas de vídeo — entre otras cifras que se recogen en el gráfico What Happens In An Internet Minute? Y la cosa va a más: «para 2015 necesitarías 5 años para ver todo el video que se mueve por Internet cada segundo». Fuente: Microsiervos

Las redes sociales contienen un arsenal de información sensible de cada uno de nosotros, casi siempre sin que seamos conscientes de que la estamos facilitando, incluso aunque estemos convencidos de que la estamos ocultando. Ya se sabía que la lista de amigos de un usuario de Facebook revela muchos datos sobre él, y hoy le toca el turno a los inocentes me gusta que uno pincha aquí y allá en los ratos libres. Michal Kasinski y sus colegas del Centro de Psicometría de la Universidad de Cambridge han desarrollado un modelo matemático que permite deducir así la etnia, la orientación sexual, las tendencias políticas y las creencias religiosas de cualquier persona. El caso Facebookleaks está en marcha. El modelo de Kasinski y sus colegas es un verdadero lince: acierta si un hombre es homosexual o heterosexual en el 88% de los casos; si una persona es de origen africano o caucásico en el 95%; si es de izquierdas o de derechas en el 85%. Hay otros atributos que también se pueden deducir, per

Por Marc Rivero López Cuando se realiza un análisis sobre una investigación utilizamos herramientas que desarrolladores cuelgan en los github y los sourceforge correspondientes. Estas herramientas facilitan el día a día de los técnicos. Pero que pasaría si estas herramientas las usaran los cibercriminales? Por poner un ejemplo, TheHarvester, esta herramienta se usa para la parte de information gathering. ¿Que podemos hacer con esta herramienta? darkmac:theharvester-read-only marc$ python theHarvester.py ******************************************************************* * * * | |_| |__ ___ /\ /\__ _ _ ____ _____ ___| |_ ___ _ __ * * | __| ‘_ \ / _ \ / /_/ / _` | ‘__\ \ / / _ \/ __| __/ _ \ ‘__| * * | |_| | | | __/ / __ / (_| | | \ V / __/\__ \ || __/ | * * \__|_| |_|\___| \/ /_/ \__,_|_| \_/ \___||___/\__\___|_| * * * * TheHarvester Ver. 2.2a * * Coded by Christian Martorella * * Edge-Security Research * * cmartorella@edge-security.com * ***************

En las investigaciones y análisis de incidentes que realizamos durante el mes de Febrero hemos encontrado diversos sitios web donde se alojaba la botnet conocida como Pony. Esta botnet recibe esa denominación probablemente a causa de la utilización del icono del pony perteneciente al juego de Facebook “Farmville”. Se trata de una botnet claramente enfocada al robo de credenciales de servicios utilizados por los usuarios infectados por el malware que los añade a la red zombi. Entre las credenciales capturadas, aparecen las relacionadas con servicios de FTP, correo electrónico, ssh, sitios web, conexiones RDP y de certificados. Además, entre las funcionalidades descubiertas por INTECO-CERT, la botnet dispone de sistemas de descifrado de contraseñas almacenadas por los siguientes programas: El malware utilizado para infectar los sistemas de los usuarios afecta a todas las versiones de Windows, desde Windows 98 hasta Windows 8, incluyendo tanto versiones de 32 como de 64 bits Al te

Como todos los años, WhiteHat Security (la empresa fundada en 2001 por Jeremiah Grossman) lleva a cabo un concurso con las mejores técnicas de hacking web del año. Las votaciones a los nuevos y creativos métodos suelen ser en dos fases: la primera abierta a la Comunidad y la segunda en la que un (impresionante) jurado elige las mejores en base a los resultados de la primera. Este año, se han ido publicando las técnicas en el ranking 2012 una a una (por eso de darle emoción), pero ya por fin tenemos la lista completa: The Top Ten 1.CRIME (1, 2, 3 4) by Juliano Rizzo and Thai Duong 2.Pwning via SSRF (memcached, php-fastcgi, etc) (2, 3, 4) 3.Chrome addon hacking (2, 3, 4, 5) 4.Bruteforce of PHPSESSID 5.Blended Threats and JavaScript 6.Cross-Site Port Attacks 7.Permanent backdooring of HTML5 client-side application 8.CAPTCHA Re-Riding Attack 9.XSS: Gaining access to HttpOnly Cookie in 2012 10.Attacking OData: HTTP Verb Tunneling, Navigation Properties for Additiona

Considerando los problemas que tenemos los usuarios para generar y recordar contraseñas, Xato ha pensado que ya es hora de que nos sentemos a establecer nuevas reglas para definir exactamente lo que es una contraseña. Después de todo, gran parte de nuestra vida personal, las finanzas, y las identidades se basan en este oscuro revoltijo de letras, números y signos de puntuación. 1. Las palabras, "password", "1234", "letmein", y cualquier otra palabra que encuentre en este listado no son contraseñas validas. 2. Si buscas tu contraseña en Google y obtienes más de 10.000 resultados, no es una contraseña, seguramente estará en algún diccionario. 3. Si la contraseña es de 8 caracteres o menos, no es una contraseña. Una contraseña de 8 caracteres simplemente no son lo suficientemente fuerte en estos días para ser considerada una contraseña. La mayoría de contraseñas de 8 caracteres constan de una palabra que aparece en un diccionario o un nombre con un p

Feross Aboukhadijeh, desarrollador web de 22 años de edad, de Stanford ha descubierto un exploit de HTML5 que puede inundar el disco duro con datos aleatorios y que afecta a la mayoría de los navegadores: excepto Firefox, son vulnerables Chrome, Safari (iOS y desktop) e IE. Muchas veces un sitio web tiene que dejar un poco de información, es decir 5-10 KB en el PC como una cookie, pero HTML5 permite a los sitios web almacenar grandes cantidades de datos (como 5-10 MB). El joven desarrollador ha publicado el código del exploit y creado el sitio FillDisk.com para demostrar su funcionamiento. En la siguiente una prueba de concepto demuestra que es posible ocupar 1 GB de espacio en disco cada 16 segundos: Ver video Youtube Fuente: Hack Playres

ISACA, la asociación sin fines de lucro con 100,000 miembros profesionales de TI en 180 países, pone a disposición del público la versión en español del COBIT 5, el marco de referencia para el gobierno y la administración de TI en la empresa. La última versión de COBIT, lanzada en inglés en abril del 2012, promueve la continuidad entre el departamento de TI de una compañía y sus objetivos generales de negocio. La importancia de contar con la versión en español de COBIT 5 está relacionada con la relevancia que está tomando la región de Latinoamérica en los negocios globales. Firmas como Fitch consideran que esta región mantendrá una estabilidad macroeconómica y una dinámica de negocios sólida por lo que podría alcanzar un crecimiento del 3.7% para el 2013. El buen desempeño de los negocios en América Latina está directamente relacionado con un adecuado manejo de la información, la divisa más valiosa de los negocios de hoy. Las empresas buscan orientación sobre cómo administrar y gar

Este es un listado contraseñas que se ha filtrado o robados de sitios conocidos como Rockyou, Facebook, PHPbb, MySpace, Hotmail, etc. Skull Security las ha recolectado de distintos sitios y ha eliminado cualquier información sensible como nombres, direcciones de correo electrónico, etc. Si se suman todos los archivos comprimidos se tienen más de 200 MB y 50 millones de contraseñas que pueden ser utilizadas para análisis y Ethical Hacking que también se puede sumar a estos otros. Además también se pueden consultar las 10.000 contraseñas más comunes , recolectadas por Xato Fuente: SeguInfo

OWASP ha publicado su proyecto Top 10 correspondiente al año 2013 , donde han surgido algunas modificaciones en cuanto a los riesgos de seguridad más críticos de aplicaciones web. El top 10 de OWASP sobre vulnerabilidades en aplicaciones web se basa en información sobre riegos provenientes de 8 firmas especializadas en seguridad de aplicaciones. Se tienen en cuenta alrededor de 500,000 vulnerabilidades alrededor de cientos de organizaciones y miles de aplicaciones. Asimismo, estas vulnerabilidades son priorizadas de acuerdo al nivel de explotación, detección e impacto estimado. De acuerdo al ranking, el top 10 de este año quedó de la siguiente manera: A1 Injection : Corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes. A2 Broken Authentication and Session Management (anteriormente A3 ): Corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación. A3 Cross-Site Scripting (XSS) (anteriormente A2) : Ocurre cuan