Llegó Kali Linux 2.0, ¿Qué novedades trae?

“Aerial Assault” es un Drone que puede ayudar a hackers y ciberdelincuentes a vulnerar redes con solo flotar por encima de estas.

Como ya lo decía, este nuevo “juguete” puede ser usado tanto por “buenos” como por “malos” para infiltrarse en redes que están fuera de su alcance. 

El drone “Aerial Assault” tiene un precio de $2.500 dólares y tiene la capacidad de flotar sobre una red, sniffear las vulnerabilidades en los ordenadores e informar a su propietario.

image

Aerial Assault está construido con  raspberry Pi y utiliza Kali Linux como sistema operativo.  Una vez que este está en el aire puede sniffear dispositivos y redes inseguras para posteriormente almacenar esa información a nivel local.

Este Drone fue  presentado por David Jordan el domingo en la conferencia de Hacking Defcon, según él lo describe está equipado con una serie de herramientas de software capaz de realizar “pentesting”, según lo menciona el mismo, nunca antes se había visto algo similar.

El Aerial Assault está desarrollado con tecnologías open source, lo que significa que cualquiera podrá personalizarlo a su gusto. Estará a la venta en los próximos días en Wall of Sheep.
Mas información
http://1000tipsinformaticos.blogspot.com

Nos vemos después “Monpirris”

Anuncios

El cibercrimen redibuja la curva de los pagos móviles

BY VICTOR VALLES ON AGOSTO 27, 2015 CIBERSEGURIDAD

La generalizada aceptación de los pagos móviles por parte de ciudadanos y empresas hace que se haya generado incertidumbre de los usuarios hacia este sistema de pagos, que ven los dispositivos móviles como un canal inseguro en comparación con los demás sistemas de pago disponibles.

Sin duda, el mundo se ha convertido en móvil, según las predicciones generadas por Gartner, que estiman un mercado con un valor de 721.000 millones de dólares y más de 450 millones de usuarios en el año 2017. Omlis, empresa especializada en proveer seguridad a todas sus comunicaciones realizadas por dispositivo móvil, cree que la curva dibujada por los consumidores, debido a su creciente interés en los pagos móviles, presenta unos desafíos complejos tanto para los proveedores de servicios como para los usuarios por igual. La oportunidad que ofrecen las tecnologías móviles, con servicios innovadores, fáciles de utilizar y en tiempo real ha creado un ecosistema cada vez más exigente con los actores de los mismos, que deben esforzarse por ganarse a los clientes que se encuentran en este mercado.

“La curva ascendente”

La adopción masiva de los smartphones como compañeros inseparables de los usuarios, ha sido, en gran parte, fomentada por la aparición de nuevas empresas tecnológicas que ofrecen teléfonos inteligentes a un precio más reducido y con unas características que hacen competir con las marcas existentes. La competencia generada ha beneficiado sustancialmente al usuario, que ha visto cómo los precios de los dispositivos se han reducido considerablemente, haciéndose completamente asequible para el usuario medio.

El precio reducido de los smartphones ha hecho que lleguen a todo el mundo, convirtiéndose en un liberador social y económico en muchos países en vías de desarrollo, dando la posibilidad a sus ciudadanos de disponer de internet y acceder a distintos servicios financieros que en el pasado les era imposible.

La generalizada adopción de los dispositivos móviles por parte de los ciudadanos de las economías más desarrolladas, unido a la práctica inclusión de los servicios financieros en sus vidas, ha conllevado una aceptación de los pagos móviles. La práctica totalidad de los usuarios europeos dispone de una cuenta de banco y la alta penetración de la banca online allana el camino de los servicios móviles, impulsados en gran medida por la migración escritorio-móvil por parte del ciudadano, colocando al smartphone como método predilecto para acceder a los servicios financieros en el día a día.

Las facilidades que ofrecen los pagos móviles unidos a la posibilidad de realizar transacciones instantáneas, han creado un mercado sumamente competitivo, en donde todas las empresas compiten por llevarse la mayor tajada en un ecosistema que cada vez es más complejo. La complejidad cada vez mayor derivada de una industria completamente fragmentada por servicios muy distintos entre unos y otros métodos de pago ofrecidos sólo delimitan la gran cantidad de oportunidades que el mercado de los pagos móviles pueden ofrecernos, y hacen aún más visibles los riesgos que acarrean.  Al entrar marcas clave en la industria de los pagos móviles, trajeron consigo un nicho de mercado leal a sus marcas, estimulando el relanzamiento de un mercado que muchos consideraban sin fuelle.

 

La inseguridad de La Curva

Aunque el impulso de los pagos móviles continúa imparable, el malware móvil sigue siendo una amenaza significativa en la seguridad del usuario, en el que el 1, 12% de los dispositivos móviles se encuentra infectado por malware activo en el primer semestre de 2015, según el programa de monitorización IBM Trusteer. Esta tasa de infección es la misma que las de los PC, lo que significa que los cibercriminales están cambiando sus recursos y migrando a los dispositivos móviles.

En otra investigación realizada por IOActive, encontraron que el 90% de las aplicaciones de banca móvil probadas son vulnerables a ataques de malware. Testando 40 apps de banca móvil de los 60 principales del mundo, el 50% eran vulnerables a los ataques de JavaScript, malware que permite a los hackers tomar el control del dispositivo y el 70% de ellas ni tenían copia de seguridad de los controles de autentificación utilizados.

El malware financiero desarrollado es la forma más prevalente de malware móvil, en el que un 30% está diseñado específicamente a robar información procedente de la banca. Este método de robo de información se ha convertido en algo tan generalizado y fácil de usar que los ciberdelincuentes están vendiendo paquetes de robo de información por 5.000 dólares.

El hecho de que numerosas organizaciones como las instituciones financieras se basen en protocolos SSL y TLS para asegurar el canal móvil, hacen que los dispositivos móviles sean aún más fáciles de robar por cibercriminales que conocen de sobra que los actuales protocolos utilizados no están actualizados para los dispositivos móviles,  por lo que la vulneración de datos es aún más fácil para los piratas informáticos. Sin embargo, las instituciones financieras prefieren parchear los errores existentes que buscar verdaderas tecnologías destinadas a asegurar los dispositivos móviles, dañando la imagen de la banca y dejando los datos y finanzas de los usuarios completamente desprotegidos a ataques externos.

La tecnología de Omlis está diseñada específicamente para atajar las debilidades de los protocolos actuales, creando una solución móvil específicamente centrada en ofrecer una seguridad absoluta y 100% fiable para el usuario, sin los problemas de mantenimiento asociados a las infraestructuras PKI actuales. En palabras de Markus Milsted, CEO y fundador de Omlis: “Omlis ha desarrollado una tecnología de encriptación con una fiabilidad sin precedentes impulsando el intercambio de claves, crypto-algoritmos y efectivos métodos de cifrado de datos diseñados específicamente para el dispositivo móvil”.

Nos vemos después “Monpirris”

¿Qué hacer si el caso Ashley Madison impacta en su compañía?

Quisiera el día de hoy con partir les un articulo de http://www.welivesecurity.com que me parece interesante ya que podríamos ser objetivos de de extorsión por fugas de información
Escrito por 
STEPHEN COBB 

Cualquiera sea su opinión respecto al sitio AshleyMadison.com, la brecha de datos que sufrió hace unas semanas ha aumentado el nivel de las amenazas a la ciberseguridad para todas las organizaciones. Eso es porque una gran cantidad de información robada fue publicada en Internet la semana pasada, y podemos asumir que se trataba de datos sensibles, dado el infame eslogan del servicio de citas extramatrimoniales: “La vida es corta. Ten una aventura”.

image

En términos de seguridad IT, debería estar adoptando medidas en varios frentes. En este artículo sugiero cuatro acciones que toda organización debería considerar, pero primero explicaré por qué es necesario un plan de respuesta a incidentes.

Lo que las compañías deben saber

Ahora mismo, cerca de 30 millones de personas, en su mayoría hombres de Norteamérica, podrían estar lidiando con el hecho de que su información personal y sensible puede haber sido publicada en Internet la semana pasada, cuando Impact Team publicó los datos robados de Ashley Madison.

Los archivos se hicieron públicos a manos del criminal o los criminales que los robaron de la compañía canadiense Avid Life Media, que opera varios sitios de citas online, entre los que se encuentra AshleyMadison.com. Algunos de los usuarios listados en esos archivos incluso podrían trabajar en su empresa, pero ese es solo un aspecto de cómo la situación podría impactar en su seguridad.

Aquí están las principales amenazas que yo veo por el momento, aunque podrían aparecer otras:

Phishing

El marcado interés en el caso convierte a los datos robados de Ashley Madison en un cebo ideal para campañas de phishing por correo electrónico o incluso SMS, diseñadas para engañar a las personas para que hagan clic en enlaces a sitios o adjuntos, revelando potencialmente su identidad o credenciales. Además, podrían infectar sistemas con códigos maliciosos.

Las víctimas van más allá de personas que realmente visitaron el sitio y se registraron; incluyen a cualquier persona interesada en saber quién lo hizo – pensemos en parejas, amigos, familiares, empleadores y autoridades que tengan sospechas.

image

Extorsión

Ya se han hecho amenazas de revelar la conexión de una persona con Ashley Madison y ya afloran los pagos a cambio de silencio. Según mis cálculos, uno de cada cinco hombres estadounidenses de entre 20 y 74 años podrían tener alguna conexión con el sitio* (recordemos que Avid Life Media no borró información cuando las personas cancelaron sus cuentas).

Después de todo, los usuarios de Ashley Madison son “blancos fáciles para la extorsión” y ya han recibido mensajes de criminales pidiendo bitcoins a cambio de proteger su identidad y resguardar sus datos.

Scams

Muchos emprendedores éticamente reprochables tratarán de aprovechar la situación, por ejemplo, ofreciendo remover la información de una persona de los archivos de Ashley Madison. Para ser claro, eso es imposible de hacer.

Departamentos de Recursos Humanos (RRHH) deberán prestar atención porque probablemente sean blanco de ofertas de “listas de infieles”. También serían esperables otras formas de acceso a los datos robados a cambio de una tarifa, por supuesto fraudulentas.

Retiros

Algunas personas podrían sentirse obligadas arenunciar a sus trabajos si su conexión con Ashley Madison es revelada. Dependiendo de su rol en la organización, esto podría tener un serio impacto en la productividad, la moral, el conocomiento y cultura corporativa y demás.

Aún más preocupante es la posibilidad de suicidios, con varios posibles casos asociados actualmente bajo investigación.

¿Qué fue revelado?

Antes de llegar a las medidas, es importante tener en claro la situación actual. La información robada de Ashley Madison ahora está disponible para cualquiera que se sienta cómodo en MySQL y Excel que quiera encontrarla y descargarla – aunque hacerlo es en sí misma una actividad riesgosa: se puede asumir que habrá muchas falsas ofertas y paquetes infectados que simularán contener los datos.

Lo cierto es que entre ellosse encuentran registros de cuentas creadas en el sitio y transacciones con tarjetas de crédito para pagar por varias funcionalidades. Al desarrollar el plan de respuesta, es importante que todos los involucrados entiendan lo siguiente:

Con solo saber que el nombre o dirección de correo electrónico de una persona está entre los datos robados de Ashley Madison no dice nada sobre ella o su integridad moralSe crearon muchas cuentas falsas con nombres reales de personas ajenasMuchas cuentas falsas fueron creadas por la propia compañía para incentivar la participación y el registro, principalmente, de mujeresMuchas personas solo mostraron un interés pasajero u ocasional en el sitio, y aún así sus datos fueron retenidosAlgunos sentían curiosidad y se registraron, pero se arrepintieron o lo consideraron un error y solicitaron que su información sea removida; sin embargo, parece ser que Avid ignoró las peticiones y retuvo los datosAunque nombres falsos de cuentas y direcciones de correo electrónico no obvias fueron ampliamente usadas por los visitantes, muchos nombres reales aparecen en los detalles de tarjetas de crédito que ingresaron en el sitio. Además, parece que la compañía empezó a pedir direcciones de mail para transacciones con tarjetas de crédito después de 2010.Muchas personas entraron al sitio sin intención de tener una aventuraMuchas personas entraron al sitio sin intención de hacer algo poco ético o inmoral (piense en solteros, divorciados, viudos, matrimonios abiertos y demás).

Sin importar sus creencias personales o la cultura corporativa de su organización, la forma más pragmática de abordar esta situación es probablemente a través de la empatía y entendiendo, no juzgando. Esto solo derivaría en falsas acusaciones y un clima de miedo que no conduce a una resolución eficiente y efectiva de los problemas.

Ítems de un plan de respuesta de incidentes

Estos ítems de un plan de respuesta de incidentes son paralelos a las amenazas descritas arriba. Cómo implementar los ítems, obviamente, dependerá del tamaño, estructura y cultura de su compañía. De todas maneras, lo invitamos a que no los ignore tan solo por encontrar desagradable toda la situación.

1. Phishing

Envíe un mensaje a todos los empleados para hacerles saber que se deben mantener alertas por cualquier correo electrónico o mensaje relacionado con Ashley Madison. Adviértales que no deben abrir dichos mensajes, y explíqueles que hacer clic en esos enlaces o archivos adjuntos es una mala idea.

Por supuesto, debería tener un software de detección y filtrado en varios puntos de sus sistemas, y tendría que asegurarse de que estén actualizados y funcionales. De todos modos, no dependa únicamente de ellos. Alertar a sus empleados también es importante, también por el hecho de que quizás sus sistemas hogareños pueden no estar debidamente protegidos, dejando abierta la posibilidad de que haya infecciones desde cuentas personales a sistemas de trabajo.

2. Extorsión

Déjele saber a los empleados que hay alguien dentro de la organización a quien acudir en caso de recibir un intento de extorsión, alguien en quien confiar y que no los juzgará. Además, comparta los contactos publicados por las agencias de la fuerzas de seguridad canadienses que se encuentran investigando la situación:

3. Scams

Una comunicación a toda la empresa sobre cómo evitar las estafas relacionadas a Ashley Madison, tanto en el hogar como en el trabajo, es una medida preventiva de bajo costo que podría ahorrarle mucho dinero y problemas a mucha gente. Incluso una declaración simple podría ayudar:

Tengan cuidado con una variedad de estafas relacionadas a la fuga de información de Ashley Madison que seguramente se desarrollarán online y posiblemente también a través de los teléfonos. Todas las ofertas de borrar la información personal de los archivos filtrados son una mentira.

Algunas compañías están ofreciendo servicios de “búsqueda de e-mail” como una manera de ganar direcciones de correo para el envío de spam. Las ofertas de “listas de infieles” y otros accesos a la información filtrada probablemente también sean fraudulentas, además de ser ilegales. Si tienen alguna pregunta sobre esto o asuntos relacionados, pueden tratarlas en confianza con [insertar nombre del responsable aquí].

4. Retiros

Un buen departamento de Recursos Humanos seguramente tenga procesos y recursos destinados a la prevención de suicidios. Esta es una buena ocasión para refrescarlos y dejarles saber a los empleados que hay ayuda disponible para ellos. Además, es bueno considerar una comunicación a directores y supervisores, alertándoles sobre la situación y pidiéndoles que estén alertas ante cualquier signo de un empleado que pudiera estar pasando por una situación angustiante.

Un recordatorio de manejar sensiblemente cualquier aspecto relacionado a Ashley Madison también es una buena idea. En caso de necesitarlo, aquí hay un listado de números telefónicos de prevención (gracias a Graham Cluley por enviarlo).

Estos cuatro ítems son los que yo considero más importantes en este momento, pero seguramente ustedes han pensado en más. Por favor, utilicen los comentarios para compartirlos. Tengan en mente que, a pesar de lo que piensen sobre el sitio Ashley Madison y su modelo de negocios, las acciones irresponsables de la persona o personas que distribuyeron ilegalmente la información robada han creado amenazas reales para el bien de las empresas y las personas, y por las cuales deberán responder.

Nos vemos después “Monpirris”

¡Hola Monpirris!

Que alegría ciento al cer participe de esta nueva faceta y de poder empezar a publicar entradas sobre este gran mundo de las tecnologías
image
La seguridad de las tecnologías a medida que pasa el mundo se ponen mucho mas robustas en cuestión de seguridad.
Y pocos son los fallos que se van arreglando por el camino.
Como el de android y la descarga automática de los mensajes MMS que pueden ejecutar código malicioso camuflado y enviado por un atacante a través de un mensaje MMS.

Es un gran fallo de seguridad que afecta al 90% de los dispositivos pasando por android 2.3.6 Gingerbread incluyendo su ultima versión lollipop 5.1