Boletín semanal nº 30 Noticias Seguridad en Comunidad Movistar Empresas

Angeles_Telefonica Empresas
Moderador Senior Empresas
1.384 Visitas

Noticias Seguridad.jpg

 

 *   Una de cada 3 webs utiliza librerías JavaScript obsoletas y vulnerables

 

El ecosistema JavaScript es el más extendido en las webs modernas y sus repositorios pueden llegar a contener más de 100.000 librerías diferentes, aunque las más utilizadas son, principalmente, jQuery, Angular, Handlebars, Bootstrap, Modernizr, Moment y LoDash. Sin embargo, tanta variedad de librerías está poniendo en peligro la seguridad de los usuarios y de los servidores de páginas web, ya que más del 37% de las páginas web utilizan librerías obsoletas o desactualizadas que ponen en peligro la seguridad del servidor. Si quieres saber más accede a este enlace.

 

https://www.redeszone.net/2017/03/10/librerias-javascript-vulnerables/

 

*   Malware preinstalado en teléfonos

 

Al menos 36 modelos de teléfonos inteligentes de gama alta pertenecientes a empresas como Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, están siendo distribuidos con malware precargado. Estos dispositivos infectados se identificaron después de que CheckPoint realizó un análisis en estos en dispositivos Android. Se detectaron dos familias de malware en los dispositivos infectados: Loki y SLocker. 

 

http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/

 

*   Detenido el 'hacker' que filtró los 'papeles de la Castellana' sobre familiares del rey Juan Carlos

 

Agentes de la Policía Nacional han detenido en Tenerife a un hacker por atacar el servidor de una asesoría tributaria y hacerse con más de 40.000 documentos privados sobre familiares del rey Juan Carlos y otras grandes fortunas, los conocidos como los papeles de la Castellana que fueron publicados por varios medios en junio de 2016. Los agentes localizaron el origen de la intrusión informática y rastrearon la misma hasta llegar al domicilio del arrestado, en Tenerife. El detenido, quien presuntamente reveló información fiscal de importantes empresarios y grandes fortunas de España, se enfrenta a penas de prisión de hasta 5 años. Descargó de forma ilegal más de 40.000 documentos de importantes empresarios y grandes fortunas de España.

 

http://www.20minutos.es/noticia/2982193/0/hacker-filtro-papeles-castellana-detenido-policia-rey-juan...

 

*   ¿Qué hacer si publican una foto tuya en internet sin tu permiso?

 

  1. Busca al propietario del dominio y pídele que retire la imagen
  2. Denúncialo a la policía
  3. Conoce la ley

¿Deberían los niños tener derecho a vetar lo que sus padres publican de ellos en Facebook?

 

http://www.bbc.com/mundo/noticias-37896303

 

*   ¿Se equivoca Wikileaks? 14 cosas que hay que saber sobre el espionaje de la CIA

 

Casi 9.000 documentos secretos del departamento cibernético de la CIA han sido filtrados esta semana por Wikileaks, que ha publicado una nota de prensa. One Hacker ha preguntado a tres de los grandes expertos mundiales, David Barroso de Countercraft, Sergio de los Santos de Eleven Paths y Mikko Hypponen, de F-Secure para conocer qué ocultan y qué hay de verdad y mentira en ellos.

 

http://www.onemagazine.es/vault7-wikileaks-filtracion-espionaje-cia-analisis-de-hackers-y-expertos-ultima-h...

 

* Microsoft publica 18 boletines de seguridad y soluciona 135 vulnerabilidades

 

A pesar de las informaciones previas sobre la no publicación de boletines, este martes Microsoft ha publicado 18 boletines de seguridad (del MS17-006 al MS17-023) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve de los boletines presentan un nivel de gravedad "crítico" mientras que los nueve restantes son "importantes". En total se han solucionado 135 vulnerabilidades (algunas de ellas en varios productos). Además se han corregido otras siete vulnerabilidades adicionales en Flash Player.

  

http://unaaldia.hispasec.com/2017/03/microsoft-publica-18-boletines-de.html

  

*   Auditando la seguridad de los juguetes inteligentes

 

Cuando empezaron a salir las noticias por todos lados (hasta medios nacionales se hicieron eco) sobre los juguetes que ponían en riesgo la privacidad de los niños, recordé la muñeca y busqué la aplicación (para iOS y Android), la bajé y empecé a analizarla de forma estática (basado en el código fuente) y dinámica (analizando la aplicación en ejecución), aunque la aplicación solicitaba una gran cantidad de permisos en el teléfono (cámara, internet, micrófono, alarmas, entre otros) solo revisando el código fuente y detallando el anuncio del juguete me di cuenta de su verdadero funcionamiento. Lo primero que me pareció raro es que pedía permisos de Internet, pero no hacia conexiones a servidores propios, lo que me causo curiosidad, me puse a revisar un poco más y me di cuenta que el permiso de Internet se usaba para el modulo de publicidad (admob) y de estadísticas del framework de desarrollo (unity), lo que me generó la pregunta ¿qué hacen con los datos recolectados por estos sistemas?, encontraría la respuesta literalmente en la palma de mi mano, presionando el botón “privacy policy” de la misma aplicación, donde a grandes rasgos nos dicen que van a recolectar información de nuestros hijos de diferentes formas, la podrán compartir con terceros dentro y fuera de los estados unidos y que podrán cambiar las políticas de privacidad cuando quieran.

 

https://www.dragonjar.org/auditando-la-seguridad-de-los-juguetes-inteligentes.xhtml