Mostrando las entradas con la etiqueta ethical hacking. Mostrar todas las entradas
Mostrando las entradas con la etiqueta ethical hacking. Mostrar todas las entradas
martes, 7 de diciembre de 2021
Guía del FBI revela qué datos pueden obtener de Apps de mensajería (WhatsApp, iMessage, WeChat, Line, Viber, etc.).
Un documento interno del FBI fue publicado recientemente por "Rolling Stone" en donde se señala qué datos puede recolectar legalmente esta agencia de aplicaciones de mensajería instantánea como WhatsApp o iMessage.
Facebook y Apple se han convertido en dos de las empresas más poderosas del mundo gracias, en parte, a la popularidad de WhatsApp y iMessage, aplicaciones de mensajería que se venden como "privadas". Sin embargo, no lo son tanto. Documentos internos publicados por la revista "Rolling Stone" demuestran que el FBI puede acceder fácilmente a datos privados de sus usuarios, incluso a conversaciones en tiempo real.
Más concretamente, el informe señala que, siempre que cuente con una orden judicial o con una citación, la agencia de investigación criminal de los Estados Unidos puede obtener la ubicación y los metadatos —información sobre documentos, imágenes, archivos o páginas webs— de WhatsApp y iMessage. Aunque estos servicios de mensajería están cifrados, las fuerzas del orden pueden usar un requerimiento judicial para obligar legalmente a sus propietarias a descifrarlos. "Las aplicaciones de mensajería encriptada más populares son también las más permisivas", ha explicado Mallory Knodel, Directora de Tecnología del Centro para la Democracia y la Tecnología, a "Rolling Stone".
En el documento filtrado del FBI se desvelan qué datos personales puede sacar legalmente de aplicaciones como: WhatsApp, iMessage, Telegram, Signal, WeChat o Line. Siendo lo más alarmante que en las dos primeras (WhatsApp y iMessage), incluso pueden obtener nuestros mensajes en tiempo real. Mientras que Telegram sigue siendo el canal más privado.
En el caso de WhatsApp y iMessage, el FBI puede tener acceso a información sobre el usuario, sus contactos, mensajes, copias de seguridad y otros datos como los de fecha, hora y registro. El documento —que no había sido publicado hasta la fecha— se va en contra de la narrativa de respeto a la privacidad que los directores ejecutivos de Meta (empresa matriz de Facebook) y Apple, Mark Zuckerberg y Tim Cook, repiten desde hace años.
Este documento nos ofrece una visión de las capacidades que tienen la agencia para obtener legalmente grandes cantidades de datos de las aplicaciones de mensajería más usadas, y muchas de las cuales usan la «privacidad» como una bandera a la hora de diferenciarse.
Sin privacidad
La guía del FBI, fechada en el 7 de enero de 2021, deja claro las vías legales que tanto la agencia como policías estatales y federales tienen para extraer datos confidenciales de los usuarios de los servicios de chat más populares del mundo, entre las que también figuran Telegram, Signal, WeChat, Line, Wicker, Viber y Threema, eso sí obteniendo menos información de estas últimas.
Aunque todas ellas se venden como baluartes de la privacidad de los usuarios la realidad es otra, pues la ley les obliga a entregar esa información confidencial a las autoridades. Telegram es la aplicación más privada de todas ellas y se especifica que solo puede ceder algunos datos al FBI si se comprueba que es por casos de terrorismo.
Tras los atentados del 11 de septiembre de 2001, EE.UU. aprobó la Ley Patriota, que ampliaba el poder de las autoridades para impulsar una vigilancia masiva de los ciudadanos sin orden judicial. Todo en nombre de la seguridad ante la amenaza yihadista. Sin embargo, no fue hasta el 2013 cuando conocimos el alcance de ese sistema de espionaje. El ex-analista de la CIA Edward Snowden desveló entonces cómo los gigantes tecnológicos —Google, Microsoft, Facebook, Apple, Yahoo o Youtube, entre otras— habían colaborado con la Agencia de Seguridad Nacional (NSA) para proporcionarles la comunicación e información privada de usuarios de todo el mundo. Esa simbiosis sigue existiendo.
Fuente: Informacion.es
miércoles, 1 de diciembre de 2021
Project Zero de Google reporta graves vulnerabilidades en Zoom
Los fallos de seguridad fueron descubiertos e informados por la experta Natalie Silvanovich perteneciente al Proyecto de Google conocido como " Project Zero", estas vulnerabilidades afectan al cliente Zoom en todas las plataformas principales ( Windows, macOS, Linux, iOS y Android ) y podrían explotarse para ataques de ejecución de código (RCE).
lunes, 20 de septiembre de 2021
Conferencia: Explotación de Vulnerabilidades en Aplicaciones Web - Galoget Latorre (OSCP)
A todo nuestro estimado público, les queremos extender la cordial invitación a la charla que estará dictando nuestro representante Ing. Galoget Latorre (OSCP, OSWP) con la temática: "Explotación de Vulnerabilidades en Aplicaciones Web (from zero to root)", evento organizado en conjunto con el Equipo de Ciberseguridad del Club de Software de la Escuela Politécnica Nacional (EPN), los detalles completos a continuación junto con su afiche promocional:
- - Expositor: Ing. Galoget Latorre - Penetration Tester | Ethical Hacker | OSCP | OSWP
- - Tema: Explotación de Vulnerabilidades en Aplicaciones Web (from zero to root)
- - Fecha: Jueves, 23 de Septiembre 2021
- - Hora: 21h00 PM
- - Costo: Acceso Libre, Evento Gratuito
- - Plataforma: Facebook Live
PD: Si por cualquier razón no pudiste estar presente en el evento en vivo, la grabación de la charla será subida a nuestro canal de YouTube, te invitamos a suscribirte al mismo haciendo click aquí, donde podrás encontrar mucho contenido relacionado con Ciberseguridad.
¡Los esperamos!
viernes, 30 de julio de 2021
Reflexiones sobre los últimos Ciberataques en Ecuador
Durante las últimas semanas en Ecuador distintas Instituciones públicas y privadas han sido el centro de atención gracias a que cibercriminales publicaron en la Dark Web supuesta información de estas empresas, lo que abrió la posibilidad de considerar si estas instituciones (o a su vez empresas terceras que trabajan y comparten información con las entidades afectadas) quizás hayan sido víctimas de ciberataques, este post te contamos brevemente algunas reflexiones sobre el tema.
domingo, 30 de septiembre de 2018
Un ciberataque a Facebook deja expuestas casi 50 millones de cuentas
Casi 50 millones de cuentas de Facebook quedaron expuestas a una intrusión ilegal ocurrida el pasado 25 de septiembre, informó la compañía este viernes.
La investigación de Facebook indica que el ciberataque ocurrió a través del código (token) que usa la red social en la función "Ver como".
viernes, 10 de agosto de 2018
7 señales de que tu teléfono móvil fue hackeado (y qué hacer al respecto)
Hay varios indicios que te pueden resultar muy útiles para saber si tu teléfono cayó en manos de los hackers. Tu teléfono móvil contiene información sensible sobre ti, desde mensajes privados hasta datos personales, contactos, emails, números bancarios...la lista puede llegar a ser interminable.
Por eso, si hackean tu celular, lo mejor es que tomes medidas cuanto antes. El problema es que muchas veces no somos capaces de identificar las señales a tiempo.
miércoles, 13 de septiembre de 2017
BlueBorne, así es la vulnerabilidad de Bluetooth que afecta a 5.000 millones de dispositivos
La empresa de seguridad Armis ha descubierto un conjunto de ocho exploits que permiten vulnerar las conexiones de prácticamente cualquier dispositivo Bluetooth. A este nuevo vector de ataque le han llamado BlueBorne, y puede afectar a cualquier dispositivo que utilices, tanto smartphones como portátiles o dispositivos IoT.
El ataque no requiere que la víctima interactúe con el dispositivo atacante. Esto quiere decir que pueden tomar el control de tu dispositivo sin necesidad de que te conectes a ningún sitio concreto con él. Los investigadores que han descubierto este fallo ya se han puesto en contacto con los fabricantes afectados, por lo que aunque se calcule que haya alrededor de 5.000 millones de dispositivos vulnerables las soluciones para la mayoría de ellos no deberían tardar en llegar.
¿Cómo funciona el Ataque?
Como se ve en este vídeo publicado por Armis, para explicar el vector de ataque, la gran diferencia con respecto a la gran mayoría de exploits es que no es necesario que la víctima se conecte a ninguna web, que descargue ningún archivo con el que infectarse, ni que se empareje a ningún dispositivo concreto.
Simplemente vale con que tengas activado el Bluetooth para que un atacante pueda conectarse a tu dispositivo sin que te des cuenta a infectarlo con el malware que desee. Esto quiere decir que un dispositivo infectado con BlueBorne puede infectar a cualquier otro que tenga habilitado el Bluetooth a su alrededor, y que incluso una vez infectados estos dispositivos pueden propagar a su vez y sin querer el malware.
El ataque parece sacado de una película o de series como Mr. Robot, ya que con este exploit se puede infectar cualquier dispositivo con un ransomware o cualquier otro malware sólo con estar cerca de él. Algo bastante preocupante en unos tiempos en los que dispositivos como los auriculares inalámbricos nos hacen llevar el Bluetooth casi siempre conectado.
En este otro vídeo podemos ver cómo un atacante necesita poco más de un minuto para conectarse a un móvil Android que tiene a su lado. Una vez conectado puede tomar el control del dispositivo, abrir aplicaciones como la cámara de fotos y llevarse las fotos que saque, o instalar cualquier aplicación o malware que quiera sin que el dueño del móvil se de cuenta.
El proceso es el siguiente. El vector de ataque empieza encontrando los dispositivos que tiene a su alrededor, obligándoles a ceder información sobre ellos, e incluso a mostrar sus contraseñas. A continuación sólo tiene que conectarse al dispositivo, y una vez lo hace ya tiene total control para hacer ataques "man-in-the-middle" o todo lo que quiera.
Tal y como han explicado los investigadores, el ataque es posible debido a vulnerabilidades en el Bluetooth Network Encapsulation Protocol (BNEP), que es el que permite compartir Internet a través de una conexión Bluetooth (conexión). Este fallo permite desencadenar una corrupción de la memoria y ejecutar código en el dispositivo otorgándole un control total
Vulnerables prácticamente todos los sistemas
En las pruebas internas realizadas por el grupo de investigación que descubrió la vulnerabilidad consiguieron tomar el control de dispositivos Android como los Google Pixel, Samsung Galaxy, Galaxy Tab, LG Watch Sport o el sistema Pumpkin de audio en el coche. También en otros dispositivos Linux como los Samsung Gear 3 o Smart TV de Samsung, todos los iPhone, iPad e iPod Touch con iOS 9.3.5 en adelante y dispositivos AppleTV con su versión 7.2.2.
También lo han probado con éxito en ordenadores con versiones de Windows a partir de Windows Vista, y con todos los dispositivos GNU/Linux a partir de la versión 3.3-rc1 del Kernel lanzada en octubre del 2011. Vamos, que en este caso no hay debate sobre qué sistema operativo es más seguro porque todos son vulnerables.
Los investigadores de Armis avisaron a Google y Microsoft el pasado 19 de abril, a Apple y el equipo de Linux en agosto, y a Samsung en repetidas ocasiones en abril, mayo y junio. Google, Microsoft y el equipo de seguridad del Kernel de Linux ya han respondido divulgando el problema de forma coordinada entre sus desarrolladores. Samsung por su parte todavía no ha respondido.
En cuanto a Apple, desde la empresa de Cupertino han asegurado que la vulnerabilidad no afecta a las últimas versiones de sus sistemas. Esto quiere decir que si tienes tu iPhone actualizado no deberías tener problemas, aunque si tienes un dispositivo que ya no recibe actualizaciones de software deberías extremar las precauciones.
Las soluciones están al llegar
Habiendo notificado a todas las empresas responsable del software de nuestros dispositivos móviles es sólo cuestión de tiempo que empiecen a llegar actualizaciones para solucionar el problema. De hecho, Armis no ha publicado la información sobre BlueBorne hasta que no se ha confirmado que ya están trabajando en ello para minimizar el riesgo de que alguien se aproveche del exploit.
Por lo tanto que no cunda el pánico. Eso sí, mientras te llega la inminente próxima actualización de seguridad deberías extremar las precauciones y estar atento a tu dispositivo. El lado positivo es que tu móvil se "despertará" si se conectan a él con este exploit, por lo que con un poco de atención puedes saber que algo raro está pasando y apagar el Bluetooth.
Esta vulnerabilidad es un claro ejemplo de los retos de seguridad a los que se enfrentan las nuevas tecnologías. Estamos en los tiempos del "todo conectado", una tendencia que seguirá con el Internet de las Cosas, por lo que vulnerabilidades como BlueBorne pueden afectar a millones de dispositivos.
Fuente: Xataka
martes, 11 de agosto de 2015
Kali Linux 2.0, distro Linux especializada en seguridad y test de penetración
Kali Linux 2.0 es la última versión disponible de una de las distribuciones GNU/Linux especializadas en seguridad y test de penetración, más potentes del mercado, lanzada este martes 11 de agosto de 2015, la misma que será presentada en un Dojo en la BlackHat & DEF CON en Las Vegas en este mismo año.
lunes, 6 de abril de 2015
La Comunidad Hackem y OWASP organizan el 1er OWASP Day 2015 (Hacking Ético y Seguridad Web)
La Comunidad de Software Libre y
Seguridad Informática Hackem y el OWASP Ecuador Student Chapter,
ambas entidades dirigidas por Galoget Latorre, estudiante destacado de la EPN y
coordinador del evento, invitan al público en general a participar en el
Primer OWASP Day
2015, EVENTO GRATUITO para todos los interesados en temas de Hacking Ético,
Privacidad y Seguridad de la Información donde el objetivo es informar y educar
a la comunidad a la vez que contribuir al crecimiento profesional de los
futuros especialistas, cabe destacar que NO NECESITAS SER INFORMÁTICO PARA
ASISTIR.
miércoles, 28 de mayo de 2014
El guión de Watch Dogs fue acreditado por Kaspersky Labs para que fuera lo más real posible
La empresa desarrolladora del videojuego Watch Dogs (Ubisoft), que salió a la venta el pasado 27 de Mayo quería evitar escenas fuera de lugar en su juego por lo que consulto a expertos de la compañía de seguridad informática Kaspersky Lab con el fin de que la trama del juego y sus personajes fueran lo más auténtico posibles. Los expertos de Kaspersky explicaron con gran detalle y cuidado los escenarios cibernéticos de los hackers, con la finalidad de evitar una mala interpretación del dominio cibernético del juego.
lunes, 17 de febrero de 2014
Kali Linux: El linux del Hacker
Desde hace mucho tiempo es conocido que los sistemas operativos más seguros, son los sistemas que utilizan Linux. Pero ¿y si necesitamos poner a prueba la seguridad de un sistema? ¿qué distribución de Linux es la mejor para probar la seguridad de un sitio web o de toda la red de un negocio o institución? La respuesta a estas preguntas es: Kali Linux.
lunes, 16 de diciembre de 2013
Snowden se ganó el acceso a los archivos clasificados por su talento, según colega de la NSA
No robó contraseñas de sus compañeros ni hizo trampas como se ha sugerido.
Un colega de Edward Snowden en la NSA conversó con Forbes bajo anonimato, rechazando algunas historias que han aparecido sobre el ex contratista respecto a cómo obtuvo acceso a los documentos clasificados que filtró. Según el informante, Snowden no engañó a sus colegas para conseguir sus contraseñas, ni creó claves para obtener acceso no autorizado. Simplemente obtuvo acceso de parte de sus superiores.
martes, 19 de noviembre de 2013
Primer BarcampSE a celebrarse en Quito, organizado por la Comunidad Hackem
El día sábado 30 de noviembre del
presente año se llevará a cabo el Primer Barcamp Security Edition
2013 en la Escuela Politécnica Nacional (Quito, Ecuador) organizado
por la Comunidad de Software Libre y Seguridad Informática Hackem,
Galoget Latorre, Líder de esta Comunidad nos comentó que tanto él como otros
miembros estarán participando en el evento con conferencias sobre el
Proyecto Mundial OWASP Top 10 (Open Web Application SecurityProject).
lunes, 7 de octubre de 2013
Japón se prepara para la ciberguerra reclutando a ‘hackers’ jóvenes
Las autoridades japonesas promueven programas especiales para entrenar a más piratas informáticos, ya que el país calcula que necesita alrededor de 80.000 ‘ingenieros de seguridad de la información’ para hacer frente a la guerra cibernética.
Según publicó el diario japonés ’The Mainichi’, citando a un grupo gubernamental de expertos en seguridad de la información, además de aumentar el número de ‘hackers’ profesionales, las autoridades planean contratar solo a aquellos que disponen de “habilidades excepcionales” en este campo.
miércoles, 21 de agosto de 2013
El 'hacker' que mostró el fallo de Facebook en el muro de Zuckerberg recibe recompensa
El palestino Khalil Shreateh descubrió e informó sobre el fallo pero fue rechazado por el equipo de seguridad de Facebook. Facebook emitió una disculpa por haber sido "demasiado apresurado y desdeñoso" con el informe de Shreateh pero no le pagó la recompensa.
Un encargado de tecnología de una firma de ciberseguridad BeyondTrust intenta recaudar 10.000 dólares (7.454 euros) para Shreateh.
sábado, 9 de febrero de 2013
CyberSecurity for the Next Generation South American Round 2013 Winners [Kaspersky] - Hackem
En febrero de 2013, en Quito, se llevó a cabo las Conferencias sobre Ciberseguridad (seguridad informática) organizadas por Kaspersky Lab, con el soporte de la Comunidad de Software Libre y Seguridad Informática - Hackem en la Escuela Politécnica Nacional.
Este evento internacional realizado por primera vez en el Ecuador y en Sudamérica, cuyo objetivo fue captar nuevos proyectos y propuestas que permitan reforzar los niveles de seguridad en el manejo de la información en el ciberespacio, contó con la participación de algunos exponentes internacionales.
Varios trabajos de estudiantes de pregrado, posgrado, doctorado y expertos en el tema, fueron presentados con el fin de participar en la selección de los mejores proyectos. Las bases para la evaluación de los proyectos se centraron en: Importancia de la investigación o nivel científico, aporte social o comunitario, criterios innovadores y aplicaciones prácticas.
En el evento, cada participante contó con diez minutos para exponer en inglés su proyecto ante el jurado y público presente.
sábado, 5 de enero de 2013
CyberSecurity for the Next Generation South American Round 2013 Finalists [Kaspersky] - Hackem
Conferencia de Ciberseguridad para Jóvenes Profesionales
Objetivos:
- Juntar a estudiantes, expertos, científicos e investigadores en un ambiente colaborativo para presentar y discutir problemas relacionados con la ciberseguridad.
- Proveer una plataforma para que las nuevas generaciones puedan compartir sus conocimientos y experiencias para desarrollar nuevas áreas que mejoren el nivel de seguridad en las tecnologías de la información.
Fechas: 31 enero al 2 febrero de 2013.
Organizan: Kaspersky Labs y los miembros de la Comunidad de Software Libre y Seguridad Informática — Hackem de la Facultad de Ingeniería de Sistemas Informáticos y de Computación de la Escuela Politécnica Nacional.
sábado, 28 de julio de 2012
Vuelve The Hacking Day’s Weekend a Ecuador — Talleres de Seguridad Informática Hackem - EPN
The Hacking Day’s Weekend es una serie de talleres prácticos dictados por expertos en el ámbito de la seguridad informática.
Pretende llevar el conocimiento de primera mano de una manera práctica sobre técnicas de hacking, aseguramiento de servidores y utilización de herramientas de software y/o hardware.
Los asistentes a estos talleres tendrán la oportunidad no solo de ver las demostraciones por si mismos; sino también de emplear las técnicas explicadas, todo esto será posible gracias a la asesoría constante y la supervisión dedicada del experto, quien será el encargado de responder a todas sus inquietudes.
Los asistentes a estos talleres tendrán la oportunidad no solo de ver las demostraciones por si mismos; sino también de emplear las técnicas explicadas, todo esto será posible gracias a la asesoría constante y la supervisión dedicada del experto, quien será el encargado de responder a todas sus inquietudes.
Suscribirse a:
Entradas (Atom)
Entradas
