Archivo mensual: junio 2012

Jon Turrillas Blog sobre TIC y Derecho: Diligencia y Concienciación sobre nuestro Derecho a la Intimidad y a la Protección de Datos

http://jonturrillas.blogspot.com.es/2012/06/diligencia-y-concienciacion-sobre.html?m=1


El blog de García Larragan y Cía: PRIBATUA organizará la 2ª edición de Euskal SecuriTIConference

http://mikelgarcialarragan.blogspot.com.es/2012/06/pribatua-organizara-la-2-edicion-de.html?m=1


Un nuevo troyano para Android genera costes extra a las víctimas – CSO

http://www.csospain.es/Un-nuevo-troyano-para-Android-genera-costes-extra/seccion-Actualidad/noticia-123548


XII Reunión Española sobre Criptología y Seguridad de la Información (RECSI 2012)

Del 4 al 7 de septiembre en Donostia-San Sebastián se celebrará la XII Reunión Española sobre Criptología y Seguridad de la Información (RECSI 2012).

La Reunión Española sobre Criptología y Seguridad de la Información (RECSI) es el congreso científico referente español en el tema de la Seguridad en las Tecnologías de la Información, donde se dan cita de forma bianual los principales investigadores españoles en el tema, así como invitados extranjeros de reconocido prestigio.
RECSI acercará los últimos avances científicos en materia de Seguridad a los principales agentes de la Sociedad de la Información, con el objetivo de proveer un foro para el intercambio de ideas, aumentar el conocimiento y compartir experiencias en el ámbito de la Seguridad. Para ello, la RECSI, organizada por Mondragon Unibertsitatea, reunirá a la mayoría de grupos de investigación y a las principales empresas que se dedican a diseñar métodos para la protección de la información (Criptografía), a analizar estos métodos para descubrir vulnerabilidades (Criptoanálisis), al igual que los métodos para la protección de los sistemas informáticos y las redes de comunicación (Seguridad de la Información).
Áreas de interés
Criptología y criptoanálisis, Autenticación y firma digital, Aplicaciones de la criptografía, Privacidad y anonimato, Marcas de agua y esteganografía, Control de accesos, Detección de intrusiones y máquinas trampa, Análisis de malware, Detección de spam, Seguridad en redes sociales, Seguridad en sistemas embebidos, Informática forense,…
Conferenciantes invitados:
  • Matt Bishop (University of California, Davis)
Matt Bishop recibió su doctorado en Informática por la Universidad de Purdue, donde se especializó en seguridad informática, en 1984. Actualmente es catedrático en el Departamento de Ciencias de la Computación en la Universidad de California en Davis. Su principal área de investigación es el análisis de las vulnerabilidades en los sistemas informáticos, incluyendo el modelado, la construcción de herramientas para la detección de vulnerabilidades, y la mejora o la eliminación de las mismas. En la actualidad, tiene proyectos de investigación relacionados con la desinfección de datos, modelado de procesos electorales, y la atribución en los grandes bancos de pruebas, tales como GENI.
Matt hablará sobre el mundo académico y la enseñanza en seguridad informática, y nos mostrará su percepción sobre cómo se está haciendo en España.
  • Fausto Montoya (CSIC)
Fausto Montoya Vitini es doctor ingeniero en Telecomunicación por la Universidad Politécnica de Madrid. Ha sido profesor agregado honorífico del grupo de Cátedra XXII en la ETSI de Telecomunicación de la UPM; director técnico del proyecto de Construcción del Centro Nacional de Ingeniería Genética y Biotecnología del Consejo Superior de Investigaciones Científicas; coordinador del Área de Física y Tecnologías Físicas; director en funciones de la Unidad de I+D TAGS; presidente de la Comisión de Coordinación y Asesoramiento Informático de la Presidencia del CSIC; y miembro del Consejo Científico del Centre de Supercomputació de Catalunya.
Fausto compartirá con los asistentes su testimonio sobre su extensa experiencia en la investigación en criptología y seguridad.
La inscripción temprana debe darse antes del 15 de junio, 2012, la regular antes del 15 de julio, 2012 y se considerará tardía la realizara después del 15 de julio, 2012
Información via: Hsspasec Sistemas.

Comprometidos datos de usuarios de la aplicación Tweetgif

Las cuentas de más de 10.000 usuarios, de la red de microblogging Twitter, han sido comprometidas por la aplicación de terceros Tweetgif. Se trata de unan aplicación que facilita el intercambio de imágenes gif pero que, para ser usada, el usuario tienen que conectar previamente con su cuenta de Twitter.

Datos, de cuentas de usuario de Twitter, han sido robadas a través de la aplicación de terceros Tweetgif, utilizada para compartir imágenes gif, y que para ser usada es necesario que el usuario utilice las credenciales de Twitter.

El grupo LulzSec Reborn ha reivindicado esta acción, publicando los datos robados en la web de Pastebin. Entre los datos sustraídos, se encuentran el nombre real, la contraseña, la imagen y la biografía del perfil.

Es importante saber que utilizar aplicaciones de terceros conllevan algunos riesgos, ya que la seguridad de las cuentas de usuarios o los datos, no sólo dependen de la seguridad de la empresa/servicio, sino también de las aplicaciones que acceden a dicho servicio.

Antes de conectar, tu cuenta de usuario de una red social con aplicaciones de terceros, hay que asegurarse de las medidas de seguridad que ofrece, a qué datos de nuestra cuenta accede, que políticas de privacidad exige, etc.

Solución:

Se recomienda a todos los usuarios, que utilizasen la aplicación Tweetgif, cambiar lo antes posible la contraseña de su cuenta de Twitter. Los pasos a seguir son los siguientes:

  • Iniciar sesión en Twitter
  • Acceder a la «Configuración»
  • Seleccionar la opción «Contraseña» del menú

En el caso de que se estuviese utilizando la misma contraseña de Twitter, para acceder a otros servicios ?Facebook, Twitter, Hotmail, Gmail, etc.- se recomienda modificar también la contraseña en estos servicios. En nuestro vídeo formativo: «Contraseñas / Passwords / Pass code» te decimos como gestionar las contraseñas de los diferentes servicios que utilices en Internet.

Hay que estar más pendientes durante estos días, ya que es posible que los delincuentes aprovechen esta situación para engañar a los usuarios con trucos de ingeniería social o phishing, para conseguir sus contraseñas de acceso a estos servicios.

Fuente CERT-INTECO


Cuentas del juego League of Legends han sido comprometidas por hackers

Cuentas de usuarios del famoso juego online League of Legends, perteneciente a la compañía Riot Games, han sido comprometidas por hackers. Así lo confirmaba la propia empresa a través de su página web.

Solución

Se recomienda a todos los usuarios cambiar la contraseña de su cuenta lo antes posible. Los pasos a seguir son los siguientes:

Muy importante, la contraseña debe cumplir unos requisitos mínimos para que sea segura. En el contenido «Contraseñas seguras» se explica cómo crear contraseñas seguras.

En el caso de que se estuviese utilizando la misma contraseña de League of Legends para acceder a otros servicios ?Facebook, Twitter, Hotmail, Gmail, etc.- se recomienda modificar también la contraseña en estos servicios.

Hay que estar pendientes durante estos días, es posible que los delincuentes aprovechen esta situación para engañar a los usuarios con trucos de ingeniería social, phishing, etc.

 

 


Cómo podemos defendernos de los Google Hackers

qué es Google Hacking: 

Google hacking es una técnica de hacking que utiliza Google Search y otras aplicaciones de Google para encontrar brechas de seguridad en la configuración y en el código que utilizan los sitios web. –Wikipedia.
Google es un motor de búsqueda muy potente y es capaz de hacer muchas cosas que son muy útiles para un hacker. Utilizando simples dorks de Google, es posible hackear un sitio web y muchos desarrolladores web no logran protegerse a sí mismos o a la información de sus clientes de tales ataques. Por ejemplo, usando Google dorks, el atacante puede extraer información diversa, tal como detalles de configuración de una base de datos, nombres de usuario, contraseñas, listados de directorios, mensajes de error, etc. Por ejemplo:
intitle:index.of.config 
Estos directorios pueden dar información sobre la configuración de un servidor web. Esta información no está destinada a ser pública ya que contiene archivos con contraseñas dependiendo del nivel de seguridad. También puede contener información sobre los distintos puertos y permisos de seguridad.
La razón principal de estas fugas de información es una política de seguridad inadecuada en relación con la información que se publica en Internet.
Más información en HackNode