Boletín semanal nº 31 Noticias Seguridad en Comunidad Movistar Empresas

Angeles_Telefonica Empresas
Moderador Senior Empresas
1.612 Visitas

Noticias Seguridad.jpg

 

 *   1 de cada 5 páginas web utiliza certificados vulnerables, según revela Venafi

 

Según la información del último estudio de la compañía de ciberseguridad Venafi, el 21% de todas las páginas web analizadas continúan empleando certificados como el SHA-1, que son vulnerables frente a ataques “man-in-the-middle”, de fuerza bruta o de colisión. Este tipo de ataques pueden implicar el acceso no autorizado a datos sensibles y de carácter personal de los usuarios. Nuevo ataque masivo infecta a servidores de bancos, gobiernos y multinacionales.

 

http://www.ticbeat.com/seguridad/1-de-cada-5-paginas-web-utiliza-certificados-vulnerables-segun-revela-v.../

 

*   Los nuevos retos en ciberseguridad contados por Chema Alonso

 

Es conocido por todos la importancia de la ciberseguridad para las empresas. Cada vez son más los negocios que sufren ataques informáticos de algún tipo dado el auge de esta tendencia, por lo que muchas empresas han decidido poner solución frente a estos posibles ataques a fin de evitar estas acciones.

Uno de los principales inconvenientes, es la falta de personal capacitado para proteger la información, aunque cada vez son más los profesionales especializados en seguridad.

 

Para más información os dejamos este vídeo de Chema Alonso.

 

 

http://cincodias.com/cincodias/2017/03/22/tecnologia/1490194082_115020.html

 

*   Es Posible hackear teléfonos mediante ondas sonoras

 

Un grupo de investigadores de seguridad en ordenadores de la Universidad de Michigan, en Carolina del Sur, ha descubierto una vulnerabilidad en los smartphones que permite que éstos sean hackeados haciendo uso de ondas sonoras. En una prueba realizada por los mismos investigadores, éstos fueron capaces de hacerse con el control del acelerómetro, un componente utilizado tanto en teléfonos móviles, como en pulseras de deporte o automóviles, mediante unos determinados archivos de audio que hicieron sonar.

 

http://blog.elhacker.net/2017/03/es-posible-hackear-telefonos-mediante-ondas-sonoras.html

 

 *  Telegram vs WhatsApp Web

 

Telegram afirma que no es vulnerable al ataque que sí afecta a WhatsApp Web. Quizás recuerdes nuestra noticia asegurando que las cuentas de WhatsApp y Telegram podrían estar en peligro, gracias al envío de una imagen maliciosa transmitida hacia la versión web de tu cuenta en las dos apps de mensajería más usadas en el mundo.

 

https://voltaico.lavozdegalicia.es/2017/03/telegram-no-vulnerable-ataque-whatsapp-web-confusion/

 

*   NoSQL INSecurity: Preview and Basic Attacks

 

Cuando hablamos de bases de datos NoSQL, lo primero que pensamos es en rendimiento, flexibilidad y escalabilidad, las características propias y necesarias de las bases de datos utilizadas por los gigantes de Internet como Adobe, Amazon, Ebay, Twitter, Google, Netflix. Pero analizando los features de bases de datos NoSQL como MongoDB, Cassandra, CouchDB, Hbase, Redis o Riak podemos darnos cuenta a primera vista que las medidas de seguridad que poseen son insuficientes o están pensadas para bases de datos utilizadas en ambientes "trusted", donde la posibilidad de ataques sea ínfima y existan otras medidas de protección por fuera del nivel de base de datos.  Ahora, ¿Cómo hacemos para detectar las debilidades de seguridad de una determinada instalación de base de datos NoSQL para poder explotarlas (o para poder remediarlas y hacer nuestra base de datos NoSQL mas segura)?

 

http://www.hacking4badpentesters.com/2017/03/nosql-insecurity-attacks-and-protection.html

  

*   Pwn2Own 2017 con exploits para Adobe, Apple, Microsoft, Mozilla, Ubuntu y VMware

 

El concurso anual de hackers patrocinado por Zero Day Initiative (ZDI) y Trend Micro, ha establecido un récord de exploits exitosos, registrando 17 intentos con 11 exitosos. El récord se produjo en el segundo día del evento, que este año celebra su décimo aniversario. En total, los concursantes recibieron U$S340.000 y 97 puntos de Master of Pwn por la investigación del día.

Según el blog de Trend Micro, Track A se centró en los productos de Adobe y Microsoft y dio como resultado el lanzamiento de exploits exitosos sobre Adobe Flash, Microsoft Edge y Microsoft Windows. ZDI otorgó U$S220.000 y 60 puntos de Master of Pwn a los concursantes de Track A. En el día 1, los concursantes recibieron U$S 233.000 y 45 puntos, con cinco intentos exitosos (y 20 errores), un éxito parcial, dos fracasos y dos entradas retiradas.

 

https://www.infosecurity-magazine.com/news/pwn2own-2017-sets-record-on-day-2

 

*   0-Day para más de 300 modelos de Switch Cisco IOS/IOS XE (Desactiva Telnet)

 

La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. La falla identificada como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo.

 

https://arstechnica.com/security/2017/03/a-simple-command-allows-the-cia-to-commandeer-318-models-of-cisc.../

 

*   Security Awareness según la ISO/IEC 27001:2013

 

Para aquellos que se preguntan si la norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, la respuesta es sí, vamos a encontrar que está mencionada en el propio cuerpo de la norma como requisito, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concientización sino también contar con un registro que lo evidencie.

 

http://blog.smartfense.com/2017/02/security-awareness-segun-iso-27001.html

 

*   EE UU acusa a espías rusos del robo masivo de datos sufrido por Yahoo

 

El Departamento de Justicia de Estados Unidos tiene ya montada la batería de cargos penales contra los responsables del asalto masivo informático que hace tres años puso al descubierto los datos personales de más de 500 millones de usuarios de Yahoo. Washington confirma que detrás de uno de los robos de datos más graves de la historia hay cuatro hackers, de los que dos pertenecen a los servicios de espionaje de Rusia. Actuaron para enriquecerse con esa información. Los cuatro acusados son Dmitry Aleksandrovich Dokuchaev, Igor Anatolyevich Sushchin, Alexsey Alexseyevich Belan y Karim Baratov. Los dos primeros son funcionarios de la FSB, el sucesor de la temida KGB. Los investigadores estadounidenses aseguran que actuaban en nombre de la agencia y explican que trabajan en la unidad de información conocida como Centro 18, que hace de enlace con el FBI en asuntos relacionados con la cibercriminalidad.

 

http://internacional.elpais.com/internacional/2017/03/15/actualidad/1489590898_242085.html

 

*   Wikileaks desclasifica el programa de hackeo global de la CIA

 

Wikileaks acaba de realizar una acusación bastante grave en la cual acusa a la CIA (Agencia Central de Inteligencia) de llevar a cabo un proyecto de hackeo a nivel global en el cual productos triviales como celulares y televisores se utilizaban como micrófonos ocultos. La situación es llamada Year Zero por parte de Wikileaks y en el comunicado de prensa indican que "la CIA perdió el control de la mayoría de su arsenal de hackeo que incluye malware, virus, troyanos, exploits tipo 'dia cero' convertidos en armas y la documentación asociada". Con "Year Zero", Wikileaks espera dar a conocer "el alcance y la dirección del programa de hackeo global de la CIA".

  

https://git.kernel.org/pub/scm/linux/kernel/git/gregkh/tty.git/commit/?h=tty-linus&id=82f2341c94d270421f383641b7cd670e474db56b