Análisis de Riesgos Tecnológico, en la vida cotidiana

Karsten Nohl y Jakob Lell hablarán en la Black Hat de BadUSB . No es "malware indetectable" ni nada por el estilo, como se está diciendo. Es el nombre "comercial" que le han puesto a una serie de herramientas o técnicas que permitirán realizar ataques más sofisticados a través de dispositivos USB (memorias flash, por ejemplo). Obviamente, esto ha sido acogido en los medios con sirenas, bombos y platillos. Veamos si en realidad es para tanto. Quiénes son Karsten Nohl es un viejo conocido en el panorama de la seguridad. En la Black Hat de 2013 demostró cómo se podía tener total acceso a una tarjeta SIM de varios operadores solamente enviando un mensaje SMS y aprovechando fallos de seguridad Java en la implementación del software de la tarjeta SIM. Jakob Lell por su parte en 2012, descubrió cómo se calculaba la contraseña predefinida en routers Belkin. Ahora han desarrollado una técnica con la que se podría infectar cualquier PC (no habla de sistema ope...

De acuerdo con el sitio web BGR, la actualización del sistema operacional de la Microsoft para smartphones, el Windows Phone 8.1, podrá ser lanzado en el mercado aún en el mes de junio. La actualización fue anunciada en abril, durante una conferencia anual para desarrolladores en San Francisco. La empresa americana debe insertar una asistente personal, Cortana, tal como ya existe el Siri, de Apple. Otras novedades son la inclusión de una central de notificaciones y opciones de personalización de la pantalla de bloqueo. La asistente Cortana fue pensada para contestar a los comandos de voz en celulares equipados con el Windows Phone, pero solamente comprende inglés, inicialmente. Otra habilidad de la asistente es registrar hábitos y preferencias del usuario para hacer recomendaciones precisas o emitir alertas. Además de la agenda y alertas de los compromisos, la asistente también podrá contestar a algunas dudas sobre el tiempo y la hora en otro país, los mejores...

Los directores de seguridad se sienten frustrados; ahora tienen la responsabilidad adicional de asegurar el cumplimiento normativo de TI y alternativamente se ven obligados a gastar el tiempo, esfuerzo y dinero en cumplir los requisitos de auditor con los cuales pueden no estar de acuerdo. Además, la dirección ejecutiva normalmente equivale a más presupuestos y gastos en cumplimiento de una mayor seguridad. Si bien esto puede ser cierto en algunos casos, este error puede darles una falsa sensación de seguridad. El cumplimiento regulatorio no siempre conduce a una mejor seguridad La verdad es que es posible tener una excelente seguridad y no tener cumplimiento, y es posible pasar una auditoría de cumplimiento con gran éxito y tener poca seguridad. La falsa idea de que el cumplimiento es igual a la seguridad ha llevado a las organizaciones a gastar en exceso en el cumplimiento, a veces en detrimento de la seguridad. Muchas industrias reguladas dedican ahora una parte importante de l...

Python se ha transformado sin dudas en el lenguaje base de cualquier profesional de seguridad debido a su formmato sencillo, potente y totalmente extendible. Python, un lenguaje multiplataforma, permite que trabajas rápidamente y eficientemente, permitiéndo concentrarse en el objetivo a lograr en lugar del lenguaje en sí mismo. A continuación una lista de más de 70 libros sobre diferentes formas de aprovecharlo al máximo 51 libros gratuitos sobre cómo programar en este lenguaje. 21 libros gratuitos hosteados en Google Docs Hacking Secret Ciphers with Python BlackHat Library The Hacker's Guide to Python Fuente: SeguInfo

Durante 2013 se produjeron  450.000 ataques de phishing  en todo el mundo que, en su conjunto, supusieron unas pérdidas de   5.900 millones de dólares , según informe de RSA. Otro estudio de Kaspersky, asegura  que el año pasado  39,6 millones de usuarios  se vieron afectados  por este tipo de ataques, con el phishing bancario como la técnica favorita de los  cibercriminales y ya supone el 31,45 por ciento del total.  Datos preocupantes de una amenaza cada vez más sofisticada que no para de crecer y es cada vez más sofisticada, como vimos la semana pasada con motivo de la Copa del Mundo de Fútbol 2014 .  Como todos los ataques de phishing , l os sitios falsos destinados a estafar a los internautas imitan dominios auténticos del evento, incluyendo a sus patrocinadores y socios -marcas conocidas – para tratar de atraer a los usuarios y que estos compartan sus datos privados  como nombres de usuario, contrase...

A la Agencia de Seguridad Nacional le está viniendo muy bien la casi infinita profusión de fotografías disponibles en Internet interceptándoas mediante sus sofisticados métodos de vigilancia durante los últimos cuatro años ha logrado extraerlas de correos electrónicos, mensajes privados, redes sociales y videoconferencias hasta lograr una técnica revolucionaria de reconocimiento facial capaz de rastrear a casi cualquier sujeto incluso si cambia de corte de pelo aunque las barbas aún le plantean alguna dificultad. "Cada día la NSA intercepta alrededor de 55.000 imágenes de alta calidad que le permiten afinar su método de reconocimiento facial" . Estas palabras se contienen en un documento fechado en 2011 y que se hizo público tras las revelaciones debidas a Edward Snowden. Las comunicaciones escritas y orales continúan teniendo importancia pero hace ya años que la agencia de seguridad estadounidense comenzó a emplear sus avanzados métodos para acceder a la val...

Este sitio mantenido por ako, J_L y MrBrian contiene una lista completa de programas gratuitos relacionados con seguridad y basados en Windows. Los pocos programas no-libres incluidos en esta lista están porque en opinión de sus creadores, tienen un alto mérito y/o se carece de alternativa libre comparables. Esta lista también incluye enlaces a sus páginas web y contienen información relacionada con la seguridad. La lista se divide en las siguientes categorías: Introduction / Keys / What's New Realtime Protection Scanners Malware Removal Tools Online Scanners Firewalls HIPS System Hardening & Protection Alternative Software & Services Sandboxing / Virtualization Vulnerability Scanning Browser Security IP-Blocking/Hardening Privacy System Monitoring Network Traffic Monitoring System Cleaning Data Rescue Encrypting Backup System Rescue Miscellaneous Tests & Analysis Tools Not Recommended Además, se ha realizado una categorización según...