La firma Mitsubishi Heavy Industries (MHI), el mayor fabricante armamentístico de Japón, reconoce que parte de la información que almacenaban en sus sistemas ha sido robada por medio de un ataque informático lanzado contra sus servidores.
Los portavoces de MHI han reconocido que 80 de sus servidores están infectados con varios virus informáticos, además han explicado que en algunos de estos servidores se almacenaba información sensible sobre submarinos, misiles y centrales nucleares.… Leer mas....

Casi todos los sitios web que requieren datos del usuario usan un protocolo de seguridad llamado Secure Sockets Layer (SSL), que permite que la interacción que realizas con un sitio web no sea infiltrada por un tercero (por ejemplo, cuando ingresas tu contraseña a tu servicio de correo o haces una transacción bancaria).
Ahora, los investigadores Thai Duong y Juliano Rizzo dicen haber logrado vulnerar este sistema, lo que les permitiría desencriptar los datos que se transfieren entre un servidor y el navegador que está usando el usuario. Los investigadores harán público su descubrimiento esta semana, lo que podría tener graves consecuencias.… Leer mas....

Patrick Dunstan, experto en Seguridad de la Información, afirma que el sistema operativo Mac OS X Lion permite a usuarios estándar sin privilegios de “root” acceder a las “contraseñas hash” de otros usuarios.
Según parece, en Mac OS X las “contraseñas hash” de los usuarios se almacenan en archivos que sólo pueden ver los “usuarios root”, mientras que en la nueva versión Lion se ha modificado el método de autenticación, y presenta un agujero de seguridad que permite a los hackers acceder a esos datos a través de archivos ocultos del sistema.… Leer mas....

A principios de esta semana se hicieron públicas múltiples vulnerabilidades en software SCADA descubiertas por el reputado investigador Luigi Auriemma, con decenas de alertas de seguridad destapadas por durante los últimos dos años. Incluimos una curiosa prueba de concepto. Los sistemas SCADA son sistemas de “adquisición de datos y control de supervisión”, muy utilizados en infraestructuras críticas, industrias, laboratorios y almacenes. Son especialmente relevantes porque, un problema de seguridad en su software, implica un problema traducido a sistemas físicos críticos de control de funciones. Pueden usarse para controlar desde la temperatura de neveras industriales, hasta el suministro eléctrico de una central nuclear.… Leer mas....

No cON Name es la asociación con más antigüedad en España dedicada a la congregación anual de expertos en seguridad informática en el campo de la investigación

Día 1:

• Show me your Kung Fuzz: Iñaki Rodríguez expuso de una forma muy muy divertida qué es el fuzzing así como diferentes herramientas y entornos a utilizar para lograr fuzzear diferentes aplicaciones, dependiendo del tipo que éstas sean. “La frase” que caló hondo entre todo el público fue: “Cuando los padres de las compañeras de mi hija me preguntan qué es eso del fuzzing al qué me dedico les contesto: Hacer fuzzing es meterle mierda a una aplicación hasta que revienta“.

Los ataque de Denegación de Servicio Distribuidos (DDoS por sus siglas en inglés) siempre han sido una pesadilla para los administradores de IT y seguridad y desde la popularización de este tipo de ataques por parte del grupo Anonymous, utilizado como su principal herramienta de “protesta”, miles de organizaciones públicas y privadas de todo el mundo han tenido que comenzar a pensar seriamente en alternativas para
detectar, mitigar y/o bloquear la tormenta de tráfico desatada por estos ataques.

Algunos ejemplos de estos ataques recientes se pueden encontrar en el Blog de Segu-Info:

http://blog.segu-info.com.ar/search/?q=anonymous
http://blog.segu-info.com.ar/search/?q=DDoS

Estamos en la era de la guerra entre navegadores. El concepto de “la nube” pasa por una huida del disco duro hacia Internet, y esto hace que los navegadores cobren especial importancia. Leemos titulares sobre cuál es más seguro, pero pocos informes completos o información sobre la metodología empleada. ¿Cómo valorar realmente la seguridad de un navegador?

Las empresas bolivianas todavía tienen cierta susceptibilidad cuando escuchan la palabra “hacking”, o “hacker”, el concepto esta desvirtuado gracias a los medios de comunicación que a cualquier maleante común de la calle lo llaman hacker por el hecho de que suplantó clientes para sacar dinero de su cuentas bancarias o se hizo una página web similar a la de banco, o tienen un amigo dentro la entidad financiera que le pasó los datos de clientes, o cualquiera que se robe claves de acceso con el cuento del tío.  Pero no toda la culpa es de los periodistas, sino de las películas donde los hackers son los chicos malos, traviesos, nerds, etc. Sin embargo el Hacking es la base del Test de Penetración, quizá el mejor control para medir la seguridad informática de una empresa.… Leer mas.... | 2 Comments

Con bastante frecuencia realizo compra de software para mi Smartphone Android. El poder de estos dispositivos para análisis de seguridad es bastante impresionante, convirtiéndose en una herramienta indispensable para labores de hacking ético.

Para realizar las compras, tengo que utilizar el servicio Google Checkout, porque resulta la única alternativa viable (hace algunos años tuve una experiencia espantosa con PayPal, lo que me hace desconfiar bastante de su servicio).… Leer mas....

La Policía surcoreana investiga la posible filtración de datos de unos 800.000 clientes de Samsung Card, una de las primeras compañías surcoreanas de tarjetas de crédito, por un fallo de seguridad, informó hoy la agencia surcoreana Yonhap.… Leer mas....