Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola
Política de cookies
barra de nivel de alerta

nivel de alerta

TIC News

  • · Click here to order by Category


  • Las amenazas en BIOS, piezas claves de cualquier sistema informático, nuevo informe del CCN-CERT

    Thursday, 12 March 2015 17:10
    • Los sistemas BIOS, incluidos los UEFI, controlan el arranque de los equipos, por lo que si llegan a ser comprometidos, un atacante podría tener el control total, siendo además muy difícil de detectar y de eliminar.
    • El Informe recoge el funcionamiento del Sistema BIOS, describe sus posibles vectores de ataque, así como las soluciones de seguridad que pueden aplicarse.

    El CCN-CERT ha hecho público su informe de amenazas CCN-CERT IA-08/14, en el que se explica, en primer lugar, cómo funciona el sistema BIOS, tanto el tradicional como el UEFI (evolución de los sistemas BIOS convencionales, que aportan una serie de ventajas respecto a los sistemas convencionales, como una mejora del rendimiento). Después, se describen los posibles vectores de ataque al sistema BIOS, así como las soluciones de seguridad que se pueden aplicar y las conclusiones sobre la seguridad de los sistemas BIOS que un administrador de sistemas de una Administración Pública, una empresa o un usuario particular debe de tener en cuenta para evitar que sea una potencial víctima de ataques a estos sistemas.

    El informe recuerda que los sistemas BIOS están encargados del arranque de un sistema informático, con lo que si éste se compromete, un atacante tendría control total del equipo, a una persistencia difícil de detectar y de eliminar. En este informe se han detallado los procesos de arranque de sistemas BIOS convencionales y sistemas BIOS UEFI, así como destacado sus principales diferencias. Del mismo modo, se han mostrado los posibles escenarios de ataque frente a estos sistemas, así como los mecanismos de seguridad que ofrece UEFI y que deben de configurarse para poder disponer de un sistema BIOS securizado frente a estos ataques.

    El sistema BIOS: tipos y funcionamiento; las posibles amenazas a sistemas BIOS (ataques iniciados por el usuario, por software dañino o basados en red); y los mecanismos de seguridad en BIOS UEFI son los tres principales epígrafes de este informe.

    CCN-CERT (12-03-2015)

    Más información

     

    Descubren Podec, un sofisticado troyano capaz de burlar CAPTCHA

    Wednesday, 11 March 2015 17:28
    Los analistas de seguridad de Kaspersky Lab han detectado un peligroso malware móvil, por cuanto es capaz de burlar con éxito el sistema de reconocimiento de imagen CAPTCHA. Se trata de Podec, un troyano SMS que ha desarrollado una técnica para convencer a CAPTCHA de que es una persona con el fin de suscribir a miles de usuarios de Android infectados a servicios de mensajería premium.

    Detectado a finales de 2014, la última versión de Podec reenvía automáticamente las solicitudes de CAPTCHA a un servicio de traducción humana online en tiempo real que convierte la imagen a texto. También puede saltar el sistema que notifica a los usuarios el precio de un servicio y requiere su autorización para realizar el pago. El objetivo del troyano es sustraer dinero a las víctimas a través de los servicios de tarificación adicional.

    CSO (11-03-2015)

    Más información

     

     

    La policia de Reino Unido arresta a 57 personas incluyendo a los presuntos hackers de Yahoo y el Departamento de Defensa americano

    Monday, 09 March 2015 23:46

    La National Crime Agency (NCA) acaba de completar una de las mayores redadas contra el cibercrimen que se han realizado en Reino Unido, arrestando a 57 personas de una larga lista, alegando que son culpables de varios actos de hackeo, phishing e incidentes DDoS, incluyendo los ataques a Yahoo y al Departamento de Defensa de EEUU. La operación ha durado cuatro días y se ha distribuido en 25 redadas en tres localidades diferentes, lo que dejado constancia pública de la verdadera dimensión que tiene el escenario del cibercrimen en Reino Unido. La operación ha cubierto Londres, Leeds, y la ciudad de Barry (en Gales).

    Con alguna excepción la mayoría de los arrestados son hombres veinteañeros, incluyendo un par de conocidos hackers como un joven de 21 años conectado con el grupo que robó y publicó 400.000 direcciones de correos y contraseñas de Yahoo en 2012. Por otro lado, un chico de 23 años ha sido detenido acusado de hackear en junio de 2014 los servicios del Departamento de Defensa de EEUU, lo que le permitió acceder a los datos de 800 empleados.

    Tres de los arrestados están relacionados con los ataques DDoS y presuntamente con otros 350 incidentes, mientras que otro individuo está acusado de atacar a una firma rival.

    Los otros detenidos estarían acusados de ataques de phishing, desarrollo del malware usado en esos ataques, fraude online, ataque a bancos online, etc.

    Por otro lado, varias personas han sido advertidas de habérselas detectado comprando troyanos de acceso directo (RATs) mientras que los servidores de 60 firmas de Reino Unido, Escocia e Irlanda del Norte podrían haberse visto comprometidas en estos ataques.

    Computer World (9-03-2015)

    Más información

     

    Nueva versión de la Guía de adecuación al ENI

    Sunday, 08 March 2015 16:35
    Se ha publicado una nueva versión de la Guía de adecuación al Esquema Nacional de Interoperabilidad, junto con una nueva versión del Manual de usuario de esquemas XML para intercambio de documentos electrónicos y expedientes electrónicos , igualmente disponible en formatos PDF y ePUB.

    En esta nueva versión, con el fin de evitar confusiones en la construcción de documentos electrónicos a partir de facturas u otros documentos XML con firma XAdES, en el apartado 3.5 se introduce una precisión sobre el uso del modo enveloping cuando se desea integrar estructuras XML que incluyen firma XAdES apuntando a la raíz del documento a través del elemento , con el atributo URI vacío y se elimina el apartado 3.5.1. También se han introducido algunas precisiones adicionales en el apartado 4.1.1. Contenido del índice de expediente relativas a los algoritmos de hash y de canonicalización empleados en las funciones resumen de los documentos electrónicos.

    Así mismo, es de reciente publicación una nueva versión de la Guía de aplicación de la norma técnica de interoperabilidad de Relación de modelos de datos en la que principalmente, entre otras mejoras, se han revisado los aspectos relativos a la interacción con el Centro de Interoperabilidad Semántica.

    Portal de Administración (5-03-2015)

    Más información

     

    Curso sobre criptografía

    Thursday, 05 March 2015 17:24

    El Instituto norteamericano Infosec ha puesto a disposición del público en general un curso online de Criptografía en donde se analizan diversos aspectos de esta ciencia. La necesidad de su utilización, varios tipos de criptografía, PKI, su uso práctico, cifrado, hashing y certificados de autenticación son algunos de los apartados de este curso.

    Infosec Institute

    Más información

     

     

    Page 4 of 386
    Legal Warning - Contact - Web map - Accesibility Statement - Política de cookies
    © 2015 Centro Criptológico Nacional - C/Argentona 20, 28023 MADRID