Cómo comenzar a estudiar seguridad


CriticalWatch a publicado una serie de sitios y artículos ideales para aquellos que deseen comenzar a estudiar CiberSeguridad y muy útil también para repasar algunos conocimientos:

Personalidad

  • Ser curioso
  • Pensar "Out-the-Box"
  • Ser un Caballero
  • Imposible = Desafío

 

Socialización

  • Socializar con profesionales de Seguridad de la Información y aprender de ellos
  • Asistir a reuniones de seguridad
  • Asistir a Security/Hacker conference/competitions
  • Obtener Free passes para conferencias pagas caras
  • Crear un perfil de LinkedIn que haga referencia a tu experiencia
  • Unirse a grupos de Linkedin

 

Comienza el hacking LEGALMENTE

 

Jugar con herramientas with some Great tools


Publicado por en 14:07 0 comentarios

Cómo saber desde tu movil en un minuto quién se conecta a tu wifi


Te presentamos a Fing, simplemente lo descargas en tu móvil, lo abres y pinchas en su icono, eso es todo, sólo tres sencillos pasos, o lo que es lo mismo, un minuto de tu tiempo, para saber si algún intruso se ha metido en la red de tu casa.

Fing es una aplicación gratuita para iOS y Android exageradamente simple y fácil de usar que averigua en cuestión de uno o dos segundos qué dispositivos están conectados a una red wifi.

Tan sólo hay que abrirla y directamente muestra todos los aparatos que están conectados a la red (incluso el propio), junto con sus direcciones MAC, fabricante, modelo y nombre propio del propietario (en el caso de que se lo haya puesto).

Es decir, que si un usuario tiene en casa, pongamos por caso, un smartphone marca Sony y un ordenador de mesa Macbook Air y en la lista, además de estos aparecen otros aparatos como un iPad o un ordenador HP, significa que alguien de fuera está utilizando su wifi.

Hay que tener cuidado porque en ocasiones pueden aparecer aparatos que la gente no recuerde que están conectados al wifi, como por ejemplo una impresora o el terminal de una visita.

Simplemente dirígete a tu tienda Apps y busca Fing, instálalo y listo!

Así es como se ve en acción:


Recuerda que si estas buscando alguna aplicación similar para saber si alguien se ha colgado de tu wifi o si alguien te esta robando wifi pero que funcione en el PC, lo que estas buscando es Wireless Network Watcher y puedes encontrarlo completamente en español en el siguiente enlace
Publicado por en 15:12 0 comentarios

Comic Sans cumple 20 años de vida


La tipografía Comic Sans, querida por algunos y odiada por muchos, cumple 20 años este 2014. Este tipo de letra,diseñada por Vincent Connare en 1994 para la compañía Microsoft, ha sido siempre un buen tema de conversación por las polémicas que es capaz de suscitar.

Hace dos años llegó a revolucionar Twitter convirtiéndose en tema del momento (TT) con una enorme cantidad de tuits de usuarios.

Saltaba una de las noticias del día, el anuncio del descubrimiento de una partícula que coincidía con la descripción del Bosón de Higgs, y la conferencia sobre el hallazgo se estaba siguiendo a través de Internet. La revolución de los tuiteros llegó cuando se vio que la presentación en Power Point de los científicos estaba escrita conComic Sans.

Unos indignados, otros demostrando su amor por esta tipografía, pero al fin todos revolucionados. Y es que la Comics Sans de Connare no ha dejado de dar guerra desde que fuera incluida por primera vez en Windows 95. El mundo del diseño nunca volvió a ser el mismo desde entonces.

Publicado por en 14:53 0 comentarios

Microsoft espía a los usuarios de Windows y vende su información al FBI


El grupo de piratas informáticos Syrian Electronic Army, también conocidos como SEA, han estado atacando insistentemente los servidores de Microsoft, y han logrado obtener una filtración bastante reveladora que no le hará gracia a muchos y que confirma que Microsoft espía a los usuarios de Windows y vende su información al FBI.
 
Según las últimas filtraciones del grupo de piratas informáticos, Microsoft está vendiendo información personal y privada de los usuarios al FBI. El grupo de piratas ha conseguido encontrar una serie de documentos con sus correspondientes facturas legales en las que se muestran diferentes peticiones de información de usuarios por parte del FBI a Microsoft y lo que la compañía de software cobra a la organización por dicha información. 


Lo que sí se sabe es que en 2012 han facturado al FBI un total de 145.100 dólares en función de 100 dólares por cada solicitud de datos. En 2013, el precio por las solicitudes aumentó y facturaron 281.000 dólares en función de 200 dólares por petición.


Microsoft aún no ha hecho ninguna declaración al respecto, y probablemente nunca la haga. Sin embargo, estas pruebas son más que suficientes como para saber que las empresas colaboran y llevan colaborando con las diferentes entidades gubernamentales desde hace bastante tiempo. 
 
No se sabe con certeza el tipo de información que Microsoft está vendiendo, pero puede ser cualquiera, desde programas instalados, lista de software pirata, historiales y datos de conexión a internet, hábitos y actividad de los usuarios en Windows, etc. 
 
Este es uno de los principales problemas del software privativo. Un sistema operativo libre como Linux, por ejemplo, no tiene este problema ya que el código está analizado en profundidad por la comunidad y se puede saber con certeza que no se establecen conexiones sospechosas entre nuestros ordenadores y otros servidores de otras empresas. 
 
Sin embargo, los usuarios no pueden obtener el código fuente de los sistemas privativos como Windows y Mac, por lo que no se sabe qué tipo de control tienen estas empresas sobre los ordenadores de los usuarios, qué información se envía y qué uso se da a los datos personales de los usuarios (a parte de venderlos).
 
Una cosa está clara y es que Microsoft no va a ser la única empresa que saca provecho del gobierno y de organizaciones como el FBI vendiendo datos privados de los usuarios a estas. Habrá que esperar para ver quién es la próxima empresa descubierta.
 
Publicado por en 15:20 0 comentarios

Un fallo en Windows XP permite sacar dinero de los cajeros con un simple SMS

Ya todo el mundo sabe que el soporte para Windows XP finalizará el 8 de abril, y que una vez haya pasado esta fecha, el sistema operativo de Microsoft dejará de recibir actualizaciones, lo que puede poner en peligro la seguridad del ordenador.

Se da la casualidad de que el 95% de los cajeros automáticos en todo el mundo tienen Windows XP instalado, y antes incluso de que llegue esta fecha, ya hay hackers aprovechándose de estas vulnerabilidades.

Un grupo de hackers ha encontrado un método para sacar dinero de los cajeros mandando un simple SMS.

La culpa de que se puede realizar una extracción de dinero de un cajero automático es de un agujero de seguridad que Microsoft tendrá que solucionar cuanto a antes.

Los hackers lo han encontrado y ya se han dado casos en México de su utilización. El ataque se ha producido gracias a un malware llamado Ploutus.

La técnica es la siguiente:
  1. Se debe tener acceso al USB o a la unidad de CD-ROM del cajero.
  2. Luego conectan un móvil a este USB y consiguen instalar el malware en el cajero. 
  3. El ultimo paso es enviar las las órdenes desde otro móvil mediante SMS para que el cajero dispense dinero. 
Además, el móvil que se encuentra dentro del cajero puede seguir cargándose por lo que la duración de la batería no es un problema.

Vulnerabilidad de XP en un cajero

 

El Gran Windows XP


El sistema operativo que lleva el 95% de los cajeros de todo el mundo es Windows XP, un sistema operativo que tienen más de 10 años y que sobrevive, como todos, gracias a las actualizaciones que proporciona Microsoft.

Pero el 8 de abril va a dejar de recibirlas, y por tanto los bancos se pueden enfrentar a graves problemas de seguridad. De hecho, como hemos visto, ya hay gente que ha aprovechado un agujero de seguridad que, aunque será tapado por Microsoft, ya ha causado algún robo.

Por tanto, los bancos del mundo deberían pensar seriamente en actualizar sus cajeros, si no quieren convertirlos en fábricas de hacer dinero para los hackers.

La principal sugerencia seria que todos los cajeros del mundo migren a un sistema operativo basado en Linux.

Publicado por en 12:29 0 comentarios

Microsoft entra en la cuenta de correo de un blogger para identificar al responsable de una filtración

Microsoft ha tenido problemas con algunas filtraciones internas, que han terminado en lanzamientos prematuros y que han provocado que en Redmond se pongan manos a la obra para localizar al responsable. Y éste ha resultado ser

Alex Kibkalo, un exempleado de la compañía. Hasta aquí no hay nada excepcional en la noticia, aunque más recientemente se ha sabido que para localizar a Kibkalo Microsoft entró en la cuenta de correo Hotmail de un blogger francés.

Ese blogger era el que recibía las filtraciones de Kibkalo (código fuente de Windows 8 RT), cuando todavía estaba trabajando en Microsoft. Microsoft, tras verificar que ese código filtrado era auténtico, decidió a nivel interno entrar en su cuenta de correo para así poder identificar al empleado que lo estaba filtrando.

¿Ha hecho lo correcto Microsoft entrando en esa cuenta de correo?  

El debate de la privacidad es inevitable, con una compañía revisando los correos privados de un usuario, aunque en Arstechnica han recibido un comunicado de Microsoft donde se defienden señalando que en los términos de uso de su correo especifica que Microsoft se reserva el derecho de acceder a las comunicaciones de sus servicios para proteger sus derechos y propiedades. Además, todo el proceso fue comprobado por un equipo legal de terceros.

Que en los términos de uso de un servicio de correo haya este punto no es nada raro (mejor no miremos los términos de los correos de Apple o Google, que no quiero asustarme), aunque este caso despierta las preocupaciones acerca de lo vulnerables que son nuestros correos ante estas cosas.

Ya sabéis: si no queréis que vuestros proveedores de correo electrónico os espíen, mejor será que no filtréis código fuente oficial de sus aplicaciones y sistemas. El debate está servido.

Publicado por en 12:15 0 comentarios

Firefox 28 ya se encuentra disponible para descargar


Con el fin de seguir mejorando la rama de sus productos, Mozilla ha publicado ya la versión estable de Firefox 28 con el fin de seguir mejorando su navegador web y poder seguir así ganando cuota de mercado de cara a sus principales rivales Internet Explorer y Google Chrome.

Esta versión soluciona todos los errores detectados durante los meses que esta versión lleva en fase alpha y beta, también mejora el rendimiento y la estabilidad del navegador web.

Firefox 28, respecto a la versión 27, tendrá las siguientes novedades:
  • La API del GamePad está finalizada y activada por defecto
  • Control de volumen en audio y vídeo en HTML5
  • Soporte para vídeo VP9
  • Soporte para WebVVT
  • Más cambios en el desarrollo interno

Firefox 28 iba a ser la versión que, finalmente, traería la completa adaptación para Modern UI aunque, como os contamos ayer, Mozilla ha decidido abandonar el desarrollo de esta versión, por lo que Firefox 28 viene, al igual que las versiones anteriores, adaptado única y completamente para trabajar en un escritorio convencional.

Pese a ello, el código fuente seguirá guardado y no descartan la posibilidad de que si Modern UI gana usuarios y mejora su usabilidad, retomar el proyecto.

Según anuncia Mozilla, en los próximos meses la compañía incorporará interesantes novedades a Firefox para escritorio. 

Uno de los proyectos en los que la compañía lleva bastante tiempo trabajando es Australis, la nueva interfaz de Firefox que simplifica notablemente su uso, consume menos recursos y permite disponer de una interfaz mucho más sencilla y ordenada. Australis tiene prevista su llegada en los próximos meses, aunque de momento no hay muchos más datos al respecto.


Publicado por en 16:01 0 comentarios

Liberada la versión final de Wifislax 4.8


Hoy en día es siempre necesario andar con un Linux live cd por cualquier tipo de inconveniente, y si necesitas hacer una auditoría wireless rápida nada mejor que tener a mano Wifislax.

Wifislax es un live CD que, basado en el sistema operativo Linux, puede ser ejecutado sin necesidad de instalación directamente desde el CDROM o también desde el disco duro como LiveHD, además de poderse instalar en memorias USB o en disco duro. 

El kernel es el 3.13 , parcheado para la auditoria wireless y evitar los dichosos "channel -1"

Se han actualizado un montón de aplicaciones y se han añadido un buen puñado de nuevas. 

Kde 4.10.5 y xfce 4.10 con paquetería oficial de Slackware.
 
Publicado por en 15:52 0 comentarios

Line para Android ya permite llamar a fijos y móviles en España


Lo anunciaron a finales de febrero y desde hoy ya está disponible en la versión para Android. La app de mensajería instantánea Line ya permite realizar llamadas a móviles y fijos en España, a nueve y dos céntimos el minuto, respectivamente.

España se une a una lista que incluye un total de ocho países y que supone el segundo paso de Line en el sector de las telecomunicaciones. Primero fueron los mensajes y ahora le toca el turno a los servicios de voz.

Los usuarios tendrán varias formas para pagar este tipo de llamadas. ‘Call Credit’ es la opción prepago, sujeta a las tarifas por minuto mencionadas. Los planes de 30 días ofrecen 60 minutos de llamadas a fijos por 60 céntimos (un céntimo el minuto) o 60 minutos a fijos y móviles por 3,33 céntimos el minuto.  

Las llamadas entre usuarios de Line son, obviamente, gratuitas.

Line tiene 340 millones de usuarios registrados y gracias a las pegatinas y otros servicios ingresó 338 millones de dólares en 2013.

La compañía japonesa nunca se ha pronunciado sobre el número de usuarios activos que tiene la app, pero los rumores apuntan a que está lejos de los 465 millones de usuarios activos mensuales que tiene WhatsApp.

El líder del mercado que también ofrecerá la posibilidad de realizar llamadas de voz en los próximos meses.
Publicado por en 10:39 0 comentarios

Los usuarios piden a Microsoft un Windows XP Segunda Edición

El soporte técnico oficial de Microsoft XP finaliza el próximo 8 de abril de este mismo año. Mientras la compañía está llevando a cabo una campaña para animar a los usuarios a actualizar su sistema operativo y a abandonar a Windows XP, los usuarios siguen defendiendo el viejo sistema operativo por encima de otros como Windows 7 o el nuevo Windows 8.1.

Microsoft actualmente únicamente tiene en mente publicar el día 8 la actualización a Windows 8.1 Update, lo que será la segunda actualización mayor de su sistema operativo Windows 8.

Una vez se publique, la compañía tiene previsto seguir mirando hacia el futuro y comenzará a desarrollar un nuevo sistema operativo completo, lo que creemos que se denominará como Winodws 9.

Sin embargo, Windows XP ha sido el sistema operativo más utilizado de la compañía y, actualmente, aún dispone de un 30% de cuota de mercado, los cuales, quedarán expuestos a vulnerabilidades a partir del próximo día 8 de abril.

Los usuarios afirman que el desarrollo de un Windows XP Second Edition, de forma similar a como ocurrió con Windows 98, sería una idea más que acertada por parte de la compañía.

Un Windows XP Second Edition que respetara las características y funciones del actual XP beneficiaría tanto a la compañía como a los usuarios. El sistema podría ejecutarse sin problemas en equipos viejos, como los que actualmente ejecutan Windows XP y, a la vez, sería un sistema operativo moderno y seguro al cual los usuarios estarían acostumbrados y no requeriría demasiada formación adicional.

Desde Microsoft no tienen previsto llevar esto a cabo. Su anterior CEO, Steve Ballmer, afirmó en una conferencia que la única forma de vender su sistema operativo es a través de hardware nuevo ya que, las licencias individuales, únicamente representan una mínima parte del total.

Windows XP Segunda edición sería una idea más que acertada pero que, por desgracia, no se va a llevar a cabo, por lo que a partir del próximo 8 de abril los usuarios con hardware más o menos viejo deberían optar por probar sistemas operativos más ligeros, por ejemplo, Linux.

Publicado por en 10:35 0 comentarios

Valve libera un conversor de Direct3D a OpenGL


En Valve son discretos, pero eso no quiere decir que se hayan dormido en los laureles tras anunciar SteamOS. Su último avance ha sido abrir su conversor de Direct3D a OpenGL a toda la comunidad de desarrolladores, para que cualquiera que se lo proponga pueda crear juegos con el motor source que funcionen más allá de Windows.

Y eso, para un Gabe Newell que se puso de espaldas al sistema operativo de Microsoft, significa más compatibilidad con Linux y OS X. Y con SteamOS, claro está.

Hay que ir animando a todos los desarrolladores a unirse al carro del nuevo sistema para poder tener un buen repertorio de títulos nada más aparecer en el mercado.

Los programadores podrán utilizar el conversor como quieran, sin miedo a sufrir represalias legales aunque lo sometan a modificaciones dentro de plataformas como Github.

Lo peor de esto se lo lleva Windows, que ve como una gran plataforma de ocio que hasta ahora siempre le ha sido fiel abraza ahora también a sus rivales. Lo mejor de todo nos lo llevaremos nosotros, con un catálogo de Steam abierto a todas las plataformas.

Publicado por en 10:17 0 comentarios

Microsoft publica los parches de seguridad mensuales de marzo

Como es habitual, el segundo martes de cada mes Microsoft publica parches de seguridad para sus productos en los que soluciona las vulnerabilidades detectadas y no solucionadas desde el segundo martes del mes anterior, fecha en la que se publicaron los anteriores parches de seguridad.

En esta ocasión, Microsoft ha publicado 5 boletines de seguridad para sus productos correspondientes a los nombrados desde MS14-012 hasta MS14-016.
De las vulnerabilidades de Microsoft, 2 de ellas han sido consideradas como críticas y permiten ejecución de código remoto en los sistemas Windows y en Internet Explorer.

La actualización correspondiente a Internet Explorer soluciona, finalmente, la vulnerabilidad que descubrió la empresa de seguridad FireEye hace varias semanas y que, hasta ahora, seguía estando disponible.

Las 3 vulnerabilidades restantes han sido consideradas como importantes, y se centran en solucionar varias vulnerabilidades menores del sistema que pueden permitir, por ejemplo, elevación de privilegios y saltos de restricciones de seguridad. Estas vulnerabilidades afectan a los sistemas operativos Windows y a Microsoft Silverlight.

Microsoft también actualizará su herramienta de eliminación de software no deseado como es habitual con las actualizaciones de cada mes para analizar y eliminar cualquier software malicioso que pueda estar presente en nuestro sistema.

Esperamos que estos boletines se distribuyan entre los usuarios sin problemas ni inconvenientes ya que recordamos que hace varios meses, varios boletines de seguridad de Microsoft causaron multitud de problemas entre los usuarios por motivos aún desconocidos.

Estas actualizaciones llegarán a todos los usuarios en las próximas horas a través de Windows Update y de forma totalmente gratuita, por lo que es altamente recomendable que todos los usuarios las instalen para evitar ser víctimas de ataques dirigidos contra estas vulnerabilidades que, como es habitual, suelen aparecer ataques tras la publicación de la información técnica de los agujeros de seguridad.
Publicado por en 16:07 0 comentarios

Linux da una lección de seguridad a Microsoft y Apple


Uno de los principales puntos fuertes de Linux es la seguridad. Sin embargo, no hay software seguro al 100% e incluso el que mayor seguridad tenga puede terminar siendo vulnerable con una correcta investigación y explotación.

Esto es lo que ha ocurrido varios días atrás con Linux que una vulnerabilidad en GnuTLS comprometió la seguridad de todos sus usuarios.

Esta vulnerabilidad es una de las más graves que han amenazado el sistema operativo libre. En resumen, esta vulnerabilidad permitía realizar ataques man-in-the-middle con certificados falsos para autenticarse en sistemas.

Aunque esta vulnerabilidad puede estar a la altura de otras que se descubren en los sistemas de Microsoft y Apple, la naturaleza de software libre ha permitido que, en poco más de una hora, ya hubiera una solución a esta vulnerabilidad y que, pocas horas más tarde, las principales distribuciones comenzaran a distribuir esta actualización a través de su canal de actualizaciones.

Una vulnerabilidad así puede tardar varios días o semanas en llegar a otros sistemas como Windows que únicamente publica actualizaciones los segundos martes de cada mes.

Linux, por el contrario, publica actualizaciones generalmente una vez a la semana con parches y correcciones a no ser que ocurra algo similar a lo de GnuTLS que, en ese caso, se publica una actualización de inmediato tan pronto como esté lista.

Apple y Microsoft deberían tomar ejemplo en cuanto a temas de seguridad. Por ejemplo, aunque Microsoft publique el parte temporal a través de su herramienta Fixit, esta no es utilizada por todos los usuarios y, generalmente, los usuarios suelen ser vulnerables hasta que las actualizaciones correspondientes se publican en Windows Update.

Esta vulnerabilidad es similar al bug “goto” que Apple tardó más de una semana en solucionar y publicar el correspondiente parche. Ubuntu, por ejemplo, el mismo día publicó otros parches de seguridad que, junto al fallo de GnuTLS solucionaba otras vulnerabilidades en PHP, Python y OpenJDK.

Linux no es perfecto pero está claro que la comunidad ayuda a que día a día vaya mejorando este sistema operativo. Este aspecto es una de las principales ventajas del software libre que, aunque se descubra una fallo, rápidamente aparecerá una solución.

¿Qué te parece la respuesta de los sistemas operativos libres frente a este tipo de vulnerabilidades? ¿Crees que los sistemas operativos privativos tienen mejor soporte técnico y responden mejor frente a las vulnerabilidades que el software libre?

Publicado por en 16:05 0 comentarios
Suscribirse a: Entradas (Atom)