CyberSecurity Pulse 2016-09-29

CyberSecurity Pulse 2016-09-29

“No man is good enough to govern another man without the other’s consent.”
Abraham Lincoln

Visión del analista

Brian Krebs, un experto en apuros

Brian Krebs, uno de los más famosos periodistas en seguridad y autor del blog KrebsOnSecurity, ha sido silenciado por medio de ataques de denegación de servicio tras una de sus últimas revelaciones. Los ataques comenzaron poco después de que el propio Krebs publicara información sobre el servicio DDoS conocido como vDOS en el que revelaba que los dirigentes podrían haberse embolsado unos 600 000 dólares.CyberSecurity Pulse 2016-09-29El pasado jueves por la mañana, exactamente dos semanas después de que publicara su primer post, informó de que un ataque de 620 gigabits por segundo estaba bombardeando su página, en lo que constituye uno de los mayores ataques registrados. El periodista fue capaz de mantenerse en línea gracias al proveedor Akamai, pero horas después incluso este dejó de asumir dicho coste de protección por lo que consideró la opción de cerrar la web para evitar daños mayores.

Por tener una referencia de la magnitud del incidente, la organización de los Juegos Olímpicos de Río 2016 habría recibido ataques sistemáticos que habrían alcanzado un orden de decenas de gigabits por segundo superando puntualmente los cientos de gigabits por segundo según Arbor. La existencia de plataformas dedicadas al ofrecimiento de servicios como el de la ejecución de ataques de denegación de servicio (cuyo importe muchas veces es abonado usando criptodivisas como Bitcoin o más recientemente Monero) constituye la materialización de una tendencia que no es exclusivamente reciente hacia el concepto de crimen como servicio o CaaS por sus siglas en inglés. En este caso, Brian Krebs, ha sido una víctima más de la profesionalización de un fenómeno que, previsiblemente y por desgracia, irá a más.

» Más información en Ars Technica UK


Noticias destacadas

500 millones de correos de Yahoo han sido expuestos

CyberSecurity Pulse 2016-09-29 El CISO de Yahoo, Bob Lord, anunciaba este martes que cerca de 500 millones de registros pertenecientes a sus usuarios habrían podido verse expuestos en un incidente recientemente identificado por la compañia. La información presuntamente accedida incluiría nombres, direcciones de correo, números de teléfono, fechas de nacimiento, contraseñas hasheadas y preguntas de seguridad para la recuperación de contraseñas. La brecha de seguridad, que se habría producido en 2014, sería una de las mayores registradas por un único sitio web muy por encima de las más de 360 millones de credenciales expuestas en la fuga de Myspace o los cerca de 160 millones de registros sustraídos de sitios como Linkedin o Adobe.

» Más información en Ars Technica UK

Facebook ya no puede compartir los datos de los usuarios alemanes de WhatsApp

CyberSecurity Pulse 2016-09-29 Facebook ha sido excluido de la recogida y del almacenamiento de los datos de los usuarios alemanes de su aplicación de mensajería, WhatsApp. De acuerdo con el comisionado de Hamburgo para la protección de datos y libertad de información, Facebook no ha obtenido la aprobación efectiva de 35 millones de usuarios alemanes de WhatsApp. Es por ello que Facebook ha comunicado que «trabajarán con el DPA de Hamburgo para responder a sus preguntas y resolver cualquier preocupación». Reguladores de la UE y de Estados Unidos dicen que la actualización debe ser investigada, así como el comisionado de información del Reino Unido que está investigando dichos cambios.

» Más información en SC Magazine UK


Noticias del resto de la semana

Microsoft lanza fuzzing-as-a-service para ayudar a los desarrolladores a encontrar bugs

Microsoft ha anunciado la disponibilidad de un nuevo servicio para desarrolladores que les permitirá testear las aplicaciones antes de que sean desplegadas. Se llama Project Springfield cuyo servicio realiza pruebas de cajas blanca para identificar los típicos bugs usados por potenciales atacantes para la explotación de sistemas.

» Más información en Ars Technica UK

Goope busca remodelar las defensas web con políticas de seguridad de contenidos

Los cross-site scripting han sido una de las principales vulnerabilidades de seguridad web identificadas durante más de una década. Para ayudar a los desarrolladores a proteger de manera significativa sus aplicaciones, Google ha lanzado CSP Evaluator, una herramienta para visualizar el efecto de establecer una política y detectar errores de configuración.

» Más información en SC Magazine UK

Facebook lanza la herramienta de seguridad Osquery para Windows

OSquery, un framework open source creado por Facebook permite a las organizaciones la identificación de malware o actividad maliciosa en su red. Esta herramienta de seguridad se ha convertido en uno de los proyectos de seguridad más populares en Github desde su lanzamiento a mediados de 2014.

» Más información en The Hacker News


Otras noticias

Rusia, en el punto de mira por el ataque a diputados alemanes

» Más información en Telegraph News

Fuga de credenciales en texto plano de una página social para adolescentes

» Más información en Arstechnica

Fancy Bear usa un nuevo troyano para Mac contra la indrustria aeroespacial

» Más información en Security Affairs


facebooktwitterlinkedinmail