domingo, 3 de enero de 2016

El Top 10 de la Seguridad en 2015 (Capitulo I)

Damos la bienvenida al nuevo año pero no queríamos despedirnos de los doce meses tan vibrantes que nos ha dejado 2015 sin hacer un repaso a lo que ha dado de sí. Y para ello hemos elegido los 10 posts del CIGTR que crearon más expectación a lo largo de un año tan intenso (a partir de los clics recibidos). Te contaremos cuál fue la temática principal de aquel día y otros asuntos sobre los que llamamos la atención aquel día. Este es nuestro particular Top 10 de la Seguridad de la Información en el año 2015.

En esta primera entrega veremos los puestos 6 a 10, y dentro de siete días iremos con nuestro verdadero top 5: los 5 posts más leídos de 2015 en el CIGTR. En este primer capítulo tenemos posts que combinan lo más "FREAK" con "cositas" que saben de ti lo que ni te imaginas, tenemos teléfonos tan hackeables que lo mismo debes cambiarlos por completo, y tenemos incluso errores de los malos, de esos que hay que celebrar: los errores que harían sonrojarse al cibercriminal más pintao. Abróchate los cinturones.


10. Los FREAKs de la Seguridad http://kcy.me/1qnpe 

04 de marzo
Desde hace unos días, FREAK sirve también como nombre para referirse a una nueva vulnerabilidad en el protocolo de cifrado utilizado para comunicaciones seguras en Safari y el navegador por defecto de Android. FREAK (Factoring attack on RSA-EXPORT Keys) permite a un cibercriminal forzar el uso de llaves de cifrado 512-bits, frente a los 2048-bits que dicta la normativa, simplificando la lectura de todo el contenido albergado tras esta llave.

Otros temas del día
El gimnasio colombiano lleva a un fake de PayPal
El sistema de control de tráfico aéreo ES vulnerable a ataques
Freak... como antesala de los APTs


9. Esta cosita sabe tu número de tarjeta http://kcy.me/29a6d

25 de noviembre
Samy Kamkar avisó a American Express de su increíble descubrimiento pero la entidad no le dió importancia porque, aunque predice el número de la próxima tarjeta que nos "tocará", no puede hacer lo mismo con los 4 dígitos de control, eliminando así la posibilidad de hacer compras en sitios donde nos los piden como medida de seguridad. Ni corto ni perezoso, Kamkar decidió demostrarles que el peligro es real, creando un dispositivo que emula una tarjeta y permite hacer compras en tiendas o restaurantes, sin tener que poner el PIN. Ahora sí American Express le ha hecho caso y asegura que pronto lo subsanará.

Otros temas del día


8. Tendrás que cambiar de teléfono, si pillas este virus http://kcy.me/28rad

5 de noviembre
Investigadores de la empresa Lookout han descubierto este adware en más de 20.000 apps falsas que simulan ser aplicaciones conocidas como Twitter, Facebook e incluso el servicio de autenticación de doble factor, Okta. El troyano se instala como una aplicación del sistema, adjudicándose así privilegios de administrador para poder instalar lo que quiera. Según los investigadores, es imposible eliminar una aplicación del sistema, así que la única solución para quien se infecte es cambiar de teléfono.

Otros temas del día


7. Pueden hackear tu teléfono si tienes Siri o Google Now http://kcy.me/286ac

15 de octubre
Los investigadores de ANSSI han descubierto cómo usar ondas de radio para hackear Siri en Iphone y Google Now en Android, siempre y cuando haya unos auriculares enchufados al teléfono. Es buen momento para recordar que Siri está activado por defecto en iPhone. A partir de aquí, los atacantes pueden hacer lo que quieran con el teléfono: llamadas, mandar mensajes, navegar, escribir en Twitter... Los investigadores han grabado un vídeo de demostración que pone los pelos bastante de punta.

Otros temas del día


6. Un craso error permite descifrar el ransomware de Linux http://kcy.me/28voh 

10 de noviembre
Desde ayer se han descubierto ya bastantes sitios infectados por el ransomware Linux.Encoder1, que aprovecha un agujero en la plataforma de comercio electrónico Magento para entrar en servidores Linux, cifrar su contenido, backups incluídos, y pedir un rescate de 1 Bitcoin. Por suerte, la firma Bitdefender ha descubierto un grave error en el cifrado que permite inferir la clave de descifrado. Han creado una herramienta que lo hace de forma automática y que ofrecen gratuitamente.

Otros temas del día


No te pierdas el Capítulo II de este recopilatorio, con los 5 posts más leídos de CIGTR en 2015, el próximo domingo 10 de enero.

0 comentarios:

Publicar un comentario