* Cómo crackear una cuenta de Windows usando el Administrador de Tareas
¿Y si te dijésemos que hay una forma de crackear una cuenta de Windows en aproximadamente un minuto? Y todo ello usando sólo el Administrador de Tareas. Eso es lo que ha redescubierto el investigador en seguridad Alexander Korznikov. Que utilicemos la palabra "redescubierto" no es casual. El crackeo es posible gracias a un bug que ya tiene seis años de antigüedad pero que, al parecer, Microsoft todavía no ha solucionado.
https://www.genbeta.com/seguridad/como-crackear-una-cuenta-de-windows-usando-el-administrador-de-tareas
* Actualiza Firefox para protegerte del fallo descubierto en el Pwn2Own
Pwn2Own es una competición de hackers organizada por la empresa de seguridad Trend Micro en la que distintos grupos de hackers y expertos de seguridad intentan explotar distintos fallos de seguridad en aplicaciones y sistemas operativos muy utilizados a cambio de distintas recompensas económicas en función de la gravedad de los fallos.
https://www.redeszone.net/2017/03/21/firefox-vulnerabilidad-pwn2own/
* Tu cuenta anónima en Twitter no lo es tanto: cómo el FBI identifica a los usuarios investigándolas
A través de una cuenta anónima, se utilizó un tuit para provocar un ataque epiléptico a un usuario. El tuit fue denunciado y la policía de Dallas investigaría el caso con asistencia del FBI, logrando obtener la identidad del agresor sin que Twitter se la facilitase, tal y como el investigador de seguridad @X0rz ha publicado en su cuenta.
https://www.genbeta.com/a-fondo/tu-cuenta-anonima-en-twitter-no-es-tan-anonima-como-el-fbi-identifica-a-los-...
* "Vulnerabilidad" permite tomar control de los antivirus (FUD)
Application Verifier es la herramienta de Microsoft involucrada en este "problema de seguridad", con la cual los desarrolladores pueden cargar un archivo DLL en sus aplicaciones para detectar problemas. Específicamente esta es una herramienta que permite a los desarrolladores detectar y solucionar fallos en sus aplicaciones. De la misma manera, los atacantes pueden usar la utilidad para inyectar archivos DLL maliciosos en cualquier programa mediante el ataque DoubleAgent. Por diseño, este ataque es una técnica de inyección de código y también puede utilizarse como mecanismo de persistencia, ya que permite a un atacante inyectar una DLL malintencionada dentro de un proceso y, a través de la modificación del registro, volver a arrancar después de cada reinicio.
https://actualidad.rt.com/actualidad/233968-wikileaks-publicar-datos-software-atacar-apple
* Obtener credenciales HTTPS con Bettercap y SSLstrip
Hackpuntes ha publicado un tutorial sobre cómo obtener las credenciales de sitios web que tengan cifrado SSL/TLS (HTTPS) mediante una técnica llamada SSLstrip y el uso de un framework para realizar ataques MITM (ataque de hombre en el medio) llamado Bettercap, en Internet, existen multitud de tutoriales para realizar este ataque pero aquí os enseñaré cómo realizarlo de una manera muy simple. Muchas veces, nos damos cuenta cuando accedemos a alguna web, que aparece un candado verde en la parte izquierda de la barra de direcciones, esto quiere decirnos, que nuestra conexión con el servidor es segura, es decir, el tráfico entre los dos puntos viaja cifrado. Este tipo de páginas podemos encontrarlas en aquellas que requieran un nivel "extra" de seguridad debido a que en ellas se maneja información sensible como por ejemplo contraseñas, números de tarjeta de crédito o información confidencial.
https://0x1gab.com/2017/03/16/obtener-credenciales-enviadas-por-https-con-sslstrip-y-bettercap/
* Google bajará la confianza de los certificados EV de Symantec, Verisign y Thawte
En un severo golpe contra uno de los mayores proveedores de certificados digitales del mundo, los desarrolladores de Google Chrome anunciaron un plan para restringir drásticamente los certificados emitidos por Symantec tras el descubrimiento de que han emitido más de 30.000 certificados incorrectos.
"Con efecto inmediato, Chrome planea dejar de reconocer el estatus de Validación Extendida (EV) de todos los certificados emitidos por las autoridades de certificación de Symantec, incluidos Thawte, Verisign, y Equifax", dijo Ryan Sleevi, un ingeniero del equipo de Google Chrome.
https://arstechnica.com/security/2017/03/google-takes-symantec-to-the-woodshed-for-mis-issuing-30000-http.../
* Bug Bounty, ¿qué tan efectivos pueden ser para las organizaciones?
Hace 21 años, el desaparecido Netscape lanzó al público el primer bug bounty, sin imaginar que años más tarde revolucionaría la industria de la seguridad. La idea era sencilla, se hacía la invitación a que investigadores independientes buscasen fallos de seguridad en la última versión del navegador y los reportasen al equipo interno de seguridad; a cambio, Netscape ofrecía pagar por cada fallo reportado y confirmado.
http://searchdatacenter.techtarget.com/es/opinion/Los-programas-de-Bug-Bounty-que-tan-efectivos-pueden-ser-...
* Robo de identidad: el peligro de publicar el pasaje de avión en las redes sociales
Una persona está paseando por el aeropuerto. Está aburrida y ansiosa por el inminente viaje. Decide compartir en Instagram una foto de su pasaporte y, asomando, el ticket del vuelo. No se da cuenta de que revela el código de barras, y si se percata no le importa. ¿Qué podría pasar? ¿Quién se haría acaso esta pregunta? Este código, tan fácil de escanear con las herramientas necesarias, contiene datos personales del pasajero, desde su dirección hasta los datos de pago. Es una presa fácil.
https://voltaico.lavozdegalicia.es/2017/03/hackear-smartphones-ondas-sonido-investigadores/
* Qué es el blockchain y cómo se usa para combatir el fraude
El blockchain o cadena de bloques es una suerte de registro contable digital donde se almacenan diferentes movimientos o transacciones. Esa información se junta en bloques (de ahí el nombre) que se van uniendo, unos con otros, de forma encriptada y cronológica. Cada bloque recibe una firma digital única.
http://www.infobae.com/tecno/2017/03/22/que-es-el-blockchain-y-como-se-usa-para-combatir-el-fraude/
* SAVE, un estudio sobre la Ingeniería Social 2.0
Si hay una técnica de hacking que no tiene antídoto, esa es la Ingeniería Social. Por ello, ésta es seguramente la técnica más efectiva actualmente. El exponencial uso de las redes sociales y sobre todo el uso de internet como plataforma para buscar nuestro minuto de gloria, los usuarios descuidan la cantidad de información que publican. Esta información, aunque parezca inofensiva y “poco” personal, es crucial a la hora de ser usada para que alguien pueda impersonar nuestra identidad, o incluso sea usa en contra nuestra para ganar nuestra confianza y por consiguiente ser victima de un ataque de ingeniería social.
https://www.cyberhades.com/2017/03/22/save-estudio-ingenieria-social-20/
