SEGURIDAD Y AUDITORIA DE SISTEMAS

Parece que hay un nuevo significado para "Internet abierta". En un sitio web llamado VNC Roulette se han recopilado miles de imágenes tomadas de PC compartidas a través del popular software VNC, que permite a los usuarios acceder de forma remota al equipo. Si VNC está configurado sin una contraseña, cualquier persona puede tener acceso al equipo. Un grupo de personas autodenominados "Revolver" quiso saber cuantos ordenadores estaban configurados de esta manera. "Hemos tenido acceso a administradores de miles de máquinas con datos sensibles. No hay ninguna seguridad en absoluto." Revolver creó un script que busca direcciones IP con el puerto 5900/5901 (VNC) habilitado y trata de conectarse a través de un visor VNC. Si el script encuentra una conexión disponible sin ninguna autenticación, se conecta y toma una captura de pantalla. Después de miles de conexiones exitosas, ahora tiene unos 60 gigas de imágenes guardadas . Revolver rápidamente

Hace unos días, un usuario de nuestro blog, se puso en contacto con nosotros para contarnos algo que le sucedió luego de que le robaran su iPhone. Al recuperar su número telefónico, comenzó a recibir supuestos SMS de Apple que contenían un enlace que le permitiría rastrear y recuperar su dispositivo perdido.   Como puede verse en la imagen, el enlace lleva a http://security.[ELIMINADO]-apple.com/ , el cual nada tiene que ver con la empresa Apple. El dominio fue registrado el pasado 2 de marzo con un correo de GMail y a nombre de una persona, seguramente con nombre falso, que dice vivir en Tegucigalpa, Guatemala. Parecido a lo que sucede con un phishing de Appple ID tradicional , este SMS se trata de un engaño enviado al dueño del iPhone robado para que, si el mismo cae en la trampa, se pueda recuperar su AppleID y así acceder a toda la información sensible que contenía el teléfono, incluido las copias de seguridad de iCloud. El sitio falso para robar el Appple

La respuesta de Apple a las nuevas peticiones del Departamento de Justicia estadounidense deja en evidencia una falta de conocimientos, de preparación y de aptitudes de los fiscales. La última respuesta de Apple en el caso de las peticiones reiteradas del FBI solicitando al juez que les obligue a crear una versión de iOS para, específicamente, inhabilitar varias medidas de protección de un iPhone 5c, aunque luego el FBI y otras fuerzas de seguridad admitieron velada y no tan veladamente que quieren que se extienda a muchos más dispositivos. El FBI quiere sentar precedente, y no ha dudado en aumentar la presión retórica amenazando incluso de obligar a Apple a darles el código fuente de iOS. Lo cual sería una violación terrible de la privacidad, ya que iOS es una plataforma conectada, y esto requeriría que el gobierno de Estados Unidos controlase también los servidores que Apple utiliza para los servicios de iCloud, notificaciones push, etc. El FBI y el Dep

Solo seis países de América Latina y el Caribe tienen estrategias de seguridad informática, mientras que la mayoría no están preparados ante las nuevas amenazas, según un informe del Banco Interamericano de Desarrollo (BID) y la Organización de Estados Americanos (OEA) . Solo Brasil, Colombia, Jamaica, Panamá, Trinidad y Tobago y Uruguay adoptaron este tipo de medidas, mientras que Argentina, Antigua y Barbuda, Bahamas, Costa Rica, Dominica, El Salvador, Haití, México, Paraguay, Perú y Surinam, están en proceso de articular una estrategia. "La mayoría de los países no están preparados, solo uno de cada cinco lo está, mientras que en 30 de los 32 países estudiados los ciudadanos no están suficientemente informados de los riesgos de privacidad y seguridad en el ciberespacio" , explicó el presidente del BID, Luis Alberto Moreno, en la presentación del estudio. "Esto es una llamada de alerta para nuestra región, esperamos que el estudio anime a tomar medidas,

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android. Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps – DIVA , el cual usa como base la aplicación anteriormente mencionada. El curso esta compuesto por 13 vídeos disponibles de forma gratuita: Getting Started and Insecure Logging Hardcoding Vulnerabilities Insecure Data Storage 1 Insecure Data Storage 2 Insecure Data Storage 3 Insecure Data Storage 4 Input Validation Vulnerability 1 Input Validation Vulnerability 2 Access Control Vulnerability 1 Access Control Vulnerability 2 Access Control Vulnerability 3 Conclusion Si lo prefieres por escrito, en InfoSec Institute también tienen una serie de artículos (5 por el momento) explicando como aprovecharse de las vulnerabilidades en DIVA. Estos son

Los usuarios activos de aplicaciones de   banca móvil   deben saber que hay una nueva campaña de malware dirigida a clientes de los bancos más importantes en Australia, Nueva Zelanda y Turquía. El troyano bancario para Android, detectado por los productos de seguridad de ESET como Android/Spy.Agent.SI ,   roba las credenciales de inicio de sesión   de 20 aplicaciones de banca móvil. La lista de bancos afectados incluye los más importantes de estos tres países objetivo (en la sección final del artículo se detalla la lista de bancos completa). Gracias a su capacidad de interceptar las comunicaciones SMS , el malware también es capaz de eludir la autenticación en dos fases basada en SMS. Análisis El malware se hace pasar por   Flash Player , y su ícono tiene un aspecto legítimo. Estaba alojado en varios servidores (y lo sigue estando). Los servidores se registraron a fines de enero y en febrero de 2016. Cabe notar que las rutas URL a los archivos APK maliciosos se regeneran

Un juez federal en Washington ha confirmado recientemente que investigadores de seguridad de la Carnegie Mellon University (CMU) fueron contratados por funcionarios federales para descubrir técnicas que   podrían ayudar al FBI a desenmascarar usuarios de TOR   y revelar sus direcciones IP. Según un   documento de la corte [PDF] presentado el martes, informáticos del CMU Software Engineering Institute (SEI) estuvieron detrás de un hack contra el proyecto TOR en 2014. En noviembre de 2015, el Director de TOR Project,   Roger Dingledine acusó al FBI de pagar el CMU , al menos, U$S1 millón por brindar información que llevó a la identificación de presuntos delincuentes en la deep web. El FBI negó las afirmaciones, diciendo:   "la afirmación de que pagamos a CMU U$S1 millón para hackear TOR es inexacta" . Mientras tanto,   CMU publicó un comunicado de prensa , diciendo que la Universidad había sido citada para realizar investigaciones. La revelación salió como parte de la causa con

¿Habrá llegado bien al lugar al que iba? ¿Se habrá perdido? ¿Y si lo asaltaron? Las preguntas le dan vueltas en la cabeza a   Marina , mamá de Rocío , una adolescente de 13 años que empezó a moverse sola para realizar sus actividades: ir al club y juntarse con sus amigas, por ejemplo. “Le compré el teléfono y la llamo todo el tiempo; la mitad de las veces no me atiende. No le gusta que la vigile. Y yo vivo con miedo de que le pase algo”, confiesa. Hasta ella misma se sorprende de su actitud: “tengo 40 años y recuerdo que mis padres nunca sabían dónde estaba. En mi época no había celulares ni nada, pero creo que no existía la inseguridad de ahora”.  Marina, que es odontóloga y trabaja una buena parte del día en su consultorio en el centro, estuvo buscando información acerca de un reloj con GPS que sirve para saber dónde están los chicos y si se encuentran bien, ya que tienen un botón de pánico que puede activarse cuando alguien está en peligro. También estuvo analizando la posibil