Boletín semanal nº 27 Noticias Seguridad en Comunidad Movistar Empresas

Angeles_Telefonica Empresas
Moderador Senior Empresas
1.225 Visitas

Noticias Seguridad.jpg

 

 *   Alemania prohíbe la muñeca “CAYLA” por sus capacidades para el espionaje

 

La Agencia Federal de Redes de Alemania ha prohibido en el país la muñeca “Cayla”, al considerar que el micrófono y la conexión de bluetooth integrados en el juguete lo convierten en un posible instrumento de espionaje no permitido por la ley. “Objetos que ocultan cámaras o micrófonos y que pueden transmitir datos de forma inadvertida amenazan la esfera privada de las personas”, manifestó en un comunicado el presidente de la Agencia, Jochen Homann. La entidad ha pedido a los comercios que retiren la muñeca, pero ha dejado claro que no actuará contra los padres aunque la ley alemana de telecomunicaciones prohíbe la posesión de ese tipo de dispositivos, además de su fabricación y distribución.

 

http://nanduti.com.py/2017/02/17/alemania-prohibe-la-muneca-cayla-por-sus-capacidades-para-el-espionaje/

 

 *   Google anuncia el primer ataque de colisión a SHA1

 

La función de digesto criptográfica SHA1 (Secure Hash Algorithm 1) ya está oficialmente muerta. Google anunciará hoy el primer ataque de colisión exitoso. SHA1 es una función de digesto criptográfica usada para generar un resumen de datos digitales (hash), hash que, en teoría, deberían ser únicos para cada conjunto de datos digitales, y usado para firmar y autenticar la autenticidad e identidad de un archivo. La función SHA1 fue diseñada por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y su algoritmo fue publicado por primera vez en 1995. El algoritmo empezó a mostrar su edad en 2005 cuando criptoanalistas encontraron fallas teóricas que podrían ser usadas para quebrar SHA1 mediante ataques de colisión, un término utilizado para describir cuando un atacante determinado genera un archivo que tiene el mismo hash SHA1 que otro archivo legítimo.

  

https://www.bleepingcomputer.com/news/security/google-announces-first-ever-sha1-collision-attack/

 

*  USB Killer 3.0 ahora destruye móviles con USB C y Lightning, además de ordenadores

 

Ya hemos hablado hablado en otras ocasiones de USB Killer. Este pendrive es capaz de destruir cualquier ordenador al que sea conectado a través del puerto USB. Después de una actualización que recibió a finales de 2015, ahora la nueva versión llega más completa que nunca y capaz de destrozar cualquier móvil, incluidos los iPhone.

 

https://www.adslzone.net/2017/02/17/usb-killer-3-0-ahora-destruye-moviles-usb-c-lightning-ademas-ordenado.../

  

*   Nueva técnica para identificar navegadores web y usuarios en línea

 

Ahora, un equipo de investigadores ha desarrollado recientemente una nueva técnica de "huellas dactilares de navegadores". Dicen que es la primera técnica confiable para rastrear con precisión a los usuarios de varios navegadores, basándose en información de las extensiones, los complementos, zonas horarias e incluso en los bloqueadores de anuncios. Esto hace que el método sea particularmente útil para los anunciantes, lo que les permite seguir publicando anuncios dirigidos a usuarios en línea.

 

http://blog.segu-info.com.ar/2017/02/nueva-tecnica-para-identificar.html

 

*   El Proyecto Linux soluciona fallo de seguridad de 11 años de antigüedad que da al atacante privilegios root

 

El equipo de desarrollo de Linux ha corregido una falla de seguridad en el kernel de Linux que puede ser explotada para conseguir privilegios de ejecución de código nivel root, desde un proceso de bajo privilegio. La falla de seguridad descrita con el identificador CVE-2017-6074, fue descubierta por el pasante de Google Andrey Konovalov utilizando syzkaller, una herramienta de auditoría de seguridad desarrollada por Google. Afecta todos los kernel liberados en los últimos 11 años. De acuerdo a Konovalov, la falla de seguridad afecta a todos los kernel Linux, desde la versión 2.6.14, liberada en octubre de 2005, si bien solo la probó y confirmó en versiones desde la 2.6.18 publicada en septiembre de 2006. El pasante de Google dice que el problema fue introducido en el kernel cuando el equipo de Linux añadió soporte para el Protocolo de Control de Congestión de Datagramas (DCCP) en la versión 2.6.14.

 

https://www.bleepingcomputer.com/news/security/linux-project-patches-11-year-old-security-flaw-that-gives.../

 

*   La plataforma Change.org se llena de descargas piratas

 

Google mantiene el equipo de seguridad Project Zero que se dedica a analizar aplicaciones y programas en busca de vulnerabilidades. Hace una semana, el investigador de Project Zero, Tavis Ormandy alertó a Cloudflare de un problema que habría afectado a los datos de empresas como Uber, OKCupid, Fitbit, 1Password, entre muchas otras. Concretamente, se refiere a datos sobre las sesiones que estas compañías almacenan en sus servidores y se utilizan para validar a los usuarios ante estas aplicaciones. En un comunicado público, que debería ser tomado como ejemplo de transparencia, ha sido la propia Cloudflare la que ha reconocido el problema y ha brindado todos los detalles técnicos.

 

http://blog.segu-info.com.ar/2017/02/cloudbleed-algunas-ensenanzas-de-lo-que.html