JaCkNews

Trusteer descubrió dos formas de estafa actual, en la que el estafador logra apoderarse del OTP o one-time-password que viaja vía SMS a los celulares de los usuarios de la banca en línea para confirmar operaciones financieras de gran monto. En cambos esquemas, el estafador requiere haber hurtado previamente las credenciales (# cuenta y # pin) del usuarios vía MiTB (man in the browser). Lo siguiente sólo consiste en hacer creer (bajo dos formas posibles) a la compañía de telecomunicaciones que el celular ha sido robado, para así hacer que el telco redirija los nuevos SMS/llamadas/etc hacia el nuevo equipo celular con el nuevo chip. El truco está en el hacerse del IMEI (international mobile equipment identity) bajo ingeniería social a la policía o al usuario de la banca.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

Debido a la sospecha de que alguien intente hackear a Chrome a través de un exploit hecho en Flash, en el concurso Pwn2Own realizado este año, los desarrolladores del navegador decidieron restringir el tamaño máximo permitido de páginas Flash JIT (Just-in-time). Esto ocasionó que algunos productos basadas en Flash como ciertos juegos y aplicaciones para algunos usuarios sean bloqueados o interrumpidos.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

La compañia SecuSmart ha desarrollado una solución móvil que por sus dimensiones puede caber en una tarjeta micro-SD y puede ser utilizada en dispositivos móviles para garantizar cifrado en tiempo real entre los puntos de una comunicación. Daniel Fuhrmann, director de operaciones de SecuSMART,indicó que el móvil deberá tener instalado la tarjeta micro-SD SecuVOICE y una aplicación adecuada. Actualmente las compañia brinda este soprote a BlackBerry, Android y teléfonos Nokia con Symbian (por ahora no en Windows Phone 7). Anteriormente, esta empresa ha sido proveedora de dispositivos de seguridad de voz para la Unión Europea y OTAN.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

Ayer, Apple puso a disposición de los usuarios la versión 5.1.4 de Safari. Esta actualización corrige 83 vulnerabilidades e incrementa el rendimiento de JavaScript en OS X Lion. La cantidad de correcciones es considerada récord para Safari 5. De las 83 vulnerabilidades, 72 son consideradas críticas, sin embargo, ninguna de las vulnerabilidades ha sido utilizada en ataques recientes.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

Por segunda ocasión, el grupo Anonymous lanzó un nuevo ataque el día lunes contra el site del Vaticano y apuntó esta vez a la emisora oficial de la Santa Sede. En el blog italiano del grupo precisaron que los motivos del ataque tenían que ver con el uso de repetidores con potencia de transmisión ampliamente fuera de los límites de la ley.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

¿Vale la pena exponer la vida por una insignia en Foursquare?, esta pregunta fue planteada por Brittany Brown, Social Media Manager del ejercito de los Estados Unidos. Steve Warren, diputado del G2 para el MCoE (Manuver Center of Excellence) menciono : ” Si un soldado carga una foto tomada con su smartphone a Facebook, podría transmitir la localización exacta de su unidad…..Alguien con el software adecuado y una motivación equivocada podría descarga la foto y extraer las coordenadas proporcionadas por los metadatos”.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

La solicitud de extensión de plazo hasta el mes de julio para dar de baja la infraestructura de DNSChanger (custodiada por el FBI) ha sido aprobada por la corte federal de los Estados Unidos. Estos significa que los equipos afectados por el troyano, aún podrán utilizar la infraestrcutura DNS hasta el 9 de julio.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

El domingo se reportó que ciberespías habían creado cuentas falsas en Facebook del Comandante Supremo Aliado en Europa (SACEUR) almirante James Stavridis, con el objetivo de obtener información de colegas, amigos y familiares. Aunque la propia OTAN dijo que aún no se había establecido la responsabilidad del intento de espionaje, el diario británico The Observer informó que sin lugar a duda se trata de China, basándose en “fuentes de confianza”.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

Muchos directores TI han comenzado a notar que han perdido el acceso a los datos almacenados en aplicaciones de tipo SaaS adquiridas por otros departamentos. Jackie Gilbert, vicepresidente de SailPoint, mencionó que debido a que esto se realiza en dominios ajenos al departamento de TI, el tipo de las mejores practicas de disciplina y control de acceso no son llevadas a cabo adecuadamente. A continuación se presentan algunos signos de que su solución para la administración de identidad y acceso no trabaja en lo que respecta al crecimiento de aplicaciones en la nube:

1. Los usuarios finales comienza a pegar notas sobre sus computadoras que revelan el nombre de usuario y contraseña para el acceso de aplicaciones en la nube. Como una forma de solución a este problema, podría utilizar un sistema single sign-on que brinde soporte al acceso de aplicaciones en la nube como al sistema de directorios.

2. Los empleados dejan las empresas, pero sus accesos a las aplicaciones basadas en la nube no es eliminado, lo que origina “cuentas huérfanas”. Como medida de solución, puede implementar un sistema que elimine el acceso a las aplicaciones en la nube al mismo tiempo que a las aplicaciones y recursos tradicionales.

3. Los administradores no tienen control sobre los privilegios asignados a las cuentas de los nuevos empleados.

4. Nadie supervisa las aplicaciones basadas en la nube, para determinar que el acceso se posea los privilegios actualizados.
Así como las funciones de los trabajadores de la compañía cambian, el acceso a la información también debe cambiar.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.

Adobe ha liberado una actualización (no planificada) del plugin Flash Player, la cuál se encarga de corregir dos vulnerabilidades en el conocido software. La actualización se encuentra disponible para los usuario de Windows, Mac OS X, Linux y sistemas Solaris. Las vulnerabilidades encontradas involucran corrupción de memoria en el componente Matrix3D, lo que puede llevar a la ejecución de código malicioso.

Noticia original

Disclaimer: The brief and opinions expressed in the posted here do not necessarily reflect the views of JaCkSecurity.

Regístrese para recibir estas noticias en su buzón.