Home

Criptografia

Agosto 16, 2010, 7:51PM

Las pantallas táctiles pueden ser un riesgo a la seguridad en equipos móviles

De acuerdo a un reporte de investigadores de la Universidad de Pensilvania, las pantallas táctiles en los dispositivos, tales como smartphones pueden presentar un riesgo para nuestra seguridad (archivo en PDF). El grupo se presentó en el USENIX Security Symposium en Washington, D.C. esta semana y dice que las huellas digitales dejadas en un dispositivo pueden ser fácilmente “captadas” y analizadas para atacantes potenciales.
“En primer lugar, las manchas son sorprendentemente resistentes con el tiempo. Segundo, es muy difícil que incidentalmente se oscurezcan o borren las manchas limpiando o colocando el dispositivo en un bolsillo. Tercero y último, recolectar y analizar manchas oleaginosas de residuos puede realizarse con equipo fácilmente disponible, como puede ser una cámara y una computadora” afirmó el grupo.
“La práctica de introducir información sensible via pantallas táctiles necesita un cuidadoso análisis con motivo de nuestros resultados”, dijo un miembro del grupo.
El equipo específicamente encontró que las huellas digitales que quedan en los equipos con Android pueden ser usadas para identificar el código de seguridad usado en los patrones de contraseña del teléfono, de acuerdo a eweek.
Por lo visto sus sujetos de prueba fueron un Nexus One (que pueden ver arriba, con esas hermosas manchas para tratar de capturar el patrón de movimientos) y un HTC G1, y sus declaraciones parecen ciertas. ¡Así que nada de comprar cosas por Paypal en el celular! o al menos no en público ;)

De acuerdo a un reporte generado por investigadores de la Universidad de Pensilvania, las pantallas táctiles en los dispositivos, tales como teléfonos inteligentes pueden presentar un riesgo para nuestra seguridad. Read more »


Julio 27, 2010, 11:24AM Threatpost Original

Los cambios en DMCA protegen el Jailbreak y a algunos investigadores de seguridad

Un nuevo cambio a la tan denostada Digital Millennium Copyright Act (DMCA) libera a los usuarios que aplicaron Jailbreaker a sus iPhones y a otros dispositivos móviles de las preocupaciones acerca de enjuiciamiento en virtud de las disposiciones de la DMCA que previenen sobre la elusión de las tecnologías de protección, debido un inesperado cambio anunciado el lunes, y que también ofrece a los investigadores de seguridad algunas protecciones nuevas. 

 Read more »


Julio 26, 2010, 4:06PM Threatpost Original

Investigador demostrará técnica para ataques a la red GSM

Dentro de la conferencia Defcon que se realizará a finales de esta semana, Chris Paget, un reconocido investigador de seguridad que se centra en problemas de conexión inalámbrica y RFID, realizará la demostración de una técnica que le permite interceptar las llamadas realizadas en teléfonos GSM de forma inalámbrica y sin ninguna interacción con el teléfono del usuario.

 

 Read more »


Julio 8, 2010, 2:27PM

Vulneran a Pirate Bay y exponen los datos de 4 millones de usuarios

Debilidades en la seguridad del popular sitio de intercambio de archivos, thepiratebay.org, han expuesto los nombres de usuario, correo electrónico y direcciones de Internet de más de 4 millones de usuarios del sitio, de acuerdo con información obtenida por KrebsOnSecurity.com.

 Read more »


Junio 18, 2010, 12:11PM Threatpost Original

EFF y Tor lanzan la extensión HTTPS Everywhere para Firefox

Dos importantes organizaciones especializadas en los derechos de la privacidad, Tor Project y  Electronic Frontier Foundation, lanzaron una nueva extensión para Firefox que cifra todas las comunicaciones del navegador en algunos sitios Web.

 Read more »


Mayo 27, 2010, 5:23PM

Investigadores encontraron una falla que da acceso a los datos del iPhone

Los expertos de seguridad Bernd Marienfeldt y Jim Herbeck descubrieron algo realmente interesante cuando engancharon a un iPhone 3GS completamente actualizado (y no liberado) a una PC con Lucid Lynx ... Descubrí una vulnerabilidad en la protección de datos [9], que pude reproducir en otros 3 iPhones 3GS sin liberar (non jail broken) 
(MC 131B, MC132B) con diferentes versiones de SO iPhone instalado (3.1.3-7E18 modem firmware 05.12.01 y versión 3.1.2 -7D11, modem 05.11.07), todos protegidos con código de PIN lo que significa que la vulnerabilidad elude la autenticación de varios datos en donde la gente más probablemente depende de la protección de la información mediante el cifrado y no espera que haya establecida una autenticación. 
Esto que lo que uno consigue con un auto montado son ningún pedido de PIN:
Esta falla de protección de datos expone música, fotos, videos, podcast, grabaciones de voz, la base de datos de navegación segura google. contenidos de juegos... en mi opinión la forma más rápida de comprometer acceso de lectura/escritura descubierta hasta ahora, y sin dejar ningún rastro del atacante. Imagínese cuantas empresas (Fortune 100) actualmente cuentan con la expectativa que el contenido completo de sus iPhones 3GSs está protegido por cifrado con una autenticación basada en PIN para poder abrila. Esto, honestamente, es una falla asombrosa. Básicamente permite que cualquiera capaz de llevar una PC con Linux copie la información de un iPhone sin que el propietario del teléfono tenga idea siquiera de que sucedió esto. Lo que es más preocupante es que Marienfeldt and Herbeck piensan que el acceso de escritura al iPhone está a solo tras [superar] un buffer overflow, lo que significa una falla seria de acceso.

 

Los expertos de seguridad Bernd Marienfeldt y Jim Herbeck descubrieron algo realmente interesante cuando conectaron un iPhone 3GS completamente actualizado (y no liberado) a una PC con Ubuntu "Lucid Lynx" 10.04

 Read more »


Mayo 24, 2010, 9:30AM

Google cifrará sus búsquedas

Google anunció el uso de cifrado SSL en su famoso buscador. La opción se encuentra aún en fase beta pero permitirá generar un canal seguro entre la computadora del usuario y los resultados generados por Google, evitando de esta manera que sean interceptados por terceros.

Para usar esta nueva característica se tiene que vistar el sitio https://www.google.com cada vez que se desee realizar una búsqueda. Read more »


Abril 22, 2010, 4:22PM

¿Qué es la fuga de información? (parte II)

Por Sebastián Bortnik

El otro día les comentaba qué es la fuga de información. Una de los mitos alrededor de este incidente es que sólo afecta a las grandes empresas. Por el contrario, la fuga de información puede ocurrir en todo tipo de organizaciones. Read more »


Abril 21, 2010, 1:44PM Threatpost Original

Los investigadores secuestran los datos de localización de los celulares GSM

Un par de investigadores de seguridad descubrieron una serie de nuevos vectores de ataque que les otorga la habilidad de no sólo encontrar cualquier teléfono móvil GSM en cualquier parte del mundo, también es posible localizar el nombre del suscriptor asociado con casi cualquier número de teléfono celular, lo que eleva gravemente los riesgos a la privacidad y seguridad de los clientes de todos los principales proveedores de servicios de telefonía móvil. 

 Read more »


Abril 19, 2010, 4:01PM

OWASP emite una lista de los 10 mayores riesgos en aplicaciones web

Desde el 2003, investigadores de seguridad de aplicaciones y expertos de todo el mundo en el Open Web Application Security Project (OWASP) han vigilado cuidadosamente el estado de la seguridad en aplicaciones Web y emite un documento de toma de conciencia que se reconoce y se basa en todas las organizaciones de todo el mundo incluyendo el consejo PCI, DoD, FTC y otros.
Hoy, OWASP ha publicado un reporte actualizado donde enlista los 10 mayores riesgos asociados con el uso de aplicaciones web en una empresa. Estas 22 páginas coloridas reportan paquetes con ejemplos y detalles que explican esos riesgos para desarrolladores de software, administradores y cualquier interesado en el futuro de la seguridad Web.
Dave Wichers miembro de OWASP y de la COO de aspectos de seguridad, ha dirigido el proyecto desde su comienzo. "Este año hemos renovado el top 10 para dejar claro que estamos hablando acerca de los riesgos, no sólo de las vulnerabilidades. Los intentos de establecer prioridades a las vulnerabilidades sin contexto, simplemente no tienen sentido. No puedes tomar decisiones comerciales correctas sin entender la amenaza e impacto para tu negocio". Este nuevo enfoque sobre riesgos tienen por objeto impulsar a las organizaciones líderes, a madurar más la comprensión y gestión de aplicaciones de seguridad a través de su organización.
La OWASP indica que el Top 10 para el 2010 es:
 Inyección
 Cross-Site Scripting (XSS)
 Interrupción de la autenticación y administración de sesiones
 Referencias de Objetos Directos Inseguros
 Solicitud de Cross-Site Falsificación (CSRF)
 La configuración errónea de Seguridad
 Cifrado de Almacenamiento Inseguro
 Falla al restringir el acceso URL
 Insuficiente protección de la capa de Transporte
 Redirecciones sin validar y hacia adelante.

Desde el 2003, investigadores de seguridad de aplicaciones y expertos de todo el mundo en el Open Web Application Security Project (OWASP) han vigilado cuidadosamente el estado de la seguridad en aplicaciones Web y emite un documento de toma de conciencia que se reconoce y se basa en todas las organizaciones de todo el mundo incluyendo el consejo PCI, DoD, FTC y otros.

 Read more »


Syndicate content

 

Copyright © 2010 threatpost.com | Términos del Servicio | Privacidad