lunes, 21 de abril de 2014

Logran hackear lector de huellas dactilares del Galaxy S5

El sensor biométrico del Samsung Galaxy S5 fue una de las características destacadas del smartphone de la compañía surcoreana durante el último Congreso Mundial de Móviles. Y a pocos días de su lanzamiento comercial, el lector fue hackeado, tras el anuncio de los analistas de la firma alemana de seguridad informática Security Research Labs, quienes lograron activar diversas funciones y servicios mediante una copia de una huella dactilar. La Verdad

El método empleado está basado en un molde elaborado con pegamento y un spray de grafito, y ya había sido utilizado por la misma empresa de seguridad para vulnerar la seguridad del iPhone 5S, que también está equipado con un sensor biométrico.

En el video publicado por la compañía, Security Research Labs, se muestra cómo es posible realizar una copia de una huella dactilar, un proceso algo complejo y rudimentario, que ya era conocido de forma previa.

“Este método se puede perfeccionar, y ante la latente posibilidad de una filtración de una base de datos de huellas dactilares, es un riesgo que no se puede ignorar”, dijo Ben Schlabs, de la firma de seguridad informática.


Link relacionados:





Las soluciones de la ciencia para no olvidar las contraseñas

El error informático Heartbleed replanteó el tema de las claves.


Los días de memorizar sus contraseñas están contados. En algunos años podrá acceder a su cuenta bancaria en internet usando un tatuaje electrónico en su brazo o con una pastilla que, una vez digerida, difunde la contraseña a través de las paredes del estómago. Ya existen prototipos.
El tatuaje tiene componentes elásticos como sensores y una antena que se internalizan en la piel. La antena transmite la contraseña a un lector electrónico cuando uno entra en contacto con un teléfono o computador.
Y el ácido estomacal -en vez del ácido de las baterías- activa la píldora.
Este pequeño artefacto ha sido diseñado para que pulse un código que sería recogido por un sensor en un computador portátil poco después de dejar el esófago.
La motivación para desarrollar tecnologías tan extrañas viene de un problema creciente y generalizado: los sistemas de autentificación existentes con los que se ingresa a servicios en línea se basan en contraseñas. Y estas no siempre están a la altura de las circunstancias.
El error Heartbleed ha dejado en evidencia el problema de la inseguridad de las claves de internet. Varias empresas de tecnología están instando a los usuarios a cambiar sus claves, sobre todo las del correo electrónico, almacenamiento de archivos y banca electrónica.
Cerca de 50.000 sitios únicos logran suplantar contraseñas cada mes, lo que lleva a robos en línea por un total estimado de US$ 1.500 millones cada año.


FACIL DE RECORDAR Y ROBAR
Las personas también tienden a elegir contraseñas fáciles de recordar. Es decir, fáciles de adivinar. De los 32 millones de contraseñas reveladas durante una violación de seguridad, más de 290.000 resultaron ser ‘123456’, de acuerdo con Imperva, una empresa de seguridad de California.
Una contraseña que contiene seis letras minúsculas puede ser interceptada en sólo una fracción de segundo. Pero una más larga y compleja, con 11 letras mayúsculas y minúsculas al azar, números y caracteres especiales, podría tomar cientos de años. La regla de las contraseñas es simple: cuanto más compleja, más segura. Pero esperar que la gente recuerde combinaciones largas y sin sentido, no es realista.
El problema es que las personas simplemente tienen demasiadas contraseñas que recordar, dice Michael Barrett, jefe de seguridad de la información de PayPal.
“Cuando hablé con los consumidores hace 10 años, me decían que tenían cuatro o cinco nombres de usuario y contraseñas para recordar. Ahora me dicen que tienen 35 de esas malditas claves”, dice Barrett.
Un adulto típico entre 25 y 34 años de edad tiene 40 cuentas en línea, según un estudio de 2012.
Algunas compañías están agregando datos biométricos como segundo factor de autenticación, aprovechando las cámaras y micrófonos en los teléfonos inteligentes para realizar un reconocimiento de cara o de voz, incluso exploraciones de iris.
Sin embargo, los datos biométricos tienen sus propios problemas. A diferencia de las contraseñas, que se pueden cambiar, las impresiones de rostro y voz no. Si los cibercriminales logran entrar a un sitio y robar información biométrica, esta podría ser usada para siempre para entrar en otras cuentas que dependen de la autenticación biométrica.
En todo caso, esto es poco probable, porque los datos de huellas dactilares se combinan típicamente con datos aleatorios para crear un biométrico basado en su huella digital. Así que un pirata informático que tuvo acceso a un análisis de su huella digital no necesariamente será capaz de entrar en un sitio biométricamente asegurado.
Pero hay un problema, incluso con la autenticación de dos factores. Mientras les hace la vida más difícil a los criminales, a los usuarios no les gusta la molestia adicional. “Los consumidores sólo quieren comprar cosas y esperan que la empresa se encargue de la seguridad”, dice Barrett.

por Paul Rubens/BBC Mundo - 20/04/2014 - 07:28


miércoles, 16 de abril de 2014

OWASP Latam Tour 2014





OWASP_Latam_Tour_Logo_2014.png

he OWASP Latam Tour objective is to raise awareness about application security in the Latin America region, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license.
We are proposing a chapters training driven model in which the courses are free for OWASP members and students, the contents are OWASP projects focused and the costs are supported by a mix of funding i.e. local chapter budget, external sponsorship, trainers sponsorship i.e. trip and/or accommodation paid by themselves and local chapter members’ sponsorship i.e. taking trainers in as guests.


Who Should Attend the Latam Tour?
  • Application Developers
  • Application Testers and Quality Assurance
  • Application Project Management and Staff
  • Chief Information Officers, Chief Information Security Officers, Chief Technology Officers, Deputies, Associates and Staff
  • Chief Financial Officers, Auditors, and Staff Responsible for IT Security Oversight and Compliance
  • Security Managers and Staff
  • Executives, Managers, and Staff Responsible for IT Security Governance
  • IT Professionals Interesting in Improving IT Security
  • Anyone interested in learning about or promoting Web Application Security

Registration is now open

  1. April, 22-23: Santiago, Chile
  2. April, 23-24: Quito, Ecuador
  3. April, 25: Guayaquil, Ecuador
  4. April, 25-26: Lima, Peru
  5. April, 29-30: Montevideo, Uruguay
  6. April, 28-29: Guatemala, Guatemala
  7. May, 6-7: Bogota, Colombia
  8. May, 8-9: Buenos Aires, Argentina

Reparar falla "Heartbleed" podría hacer más lento el funcionamiento de Internet

WASHINGTON, 15 Abr 2014 (AFP) - Reparar la falla "Heartbleed", descubierta la semana pasada, podrá perturbar y enlentecer el funcionamiento de Internet, informaron este martes expertos estadounidenses en seguridad informática.

La buena noticia es que ya actualizaron sus sistemas la mayoría de los grandes sitios web que eran vulnerables a la falla, que afecta ciertas versiones de OpenSSL, un programa libre usado para lograr conexiones seguras en Internet.   

El problema ahora es que los navegadores como Chrome, Firefox e Internet Explorer podrían verse recargados por la renovación necesaria de los certificados de seguridad, que podría generar el despliegue de mensajes de error y enlentecer el acceso a ciertos sitios, explicó a la AFP Johannes Ullrich, del SANS Internet Storm Center.

La solución de la falla pasa por la obtención de nuevos certificados de seguridad. Pero esto requiere que los navegadores actualicen su lista de claves o certificados no seguros, que desencadenan una alerta cuando un internauta pretende acceder a esos sitios.

Los navegadores habitualmente pueden actualizar algunas decenas de claves por día, pero a causa de "Heartbleed" la lista podría aumentar a varias decenas de miles. Si las verificaciones duran largo tiempo, los navegadores simplemente podrían declarar los sitios inválidos o desplegar mensajes de error.

Veo Zhang, especialista en seguridad informática en Trend Micro, explicó que los teléfonos inteligentes también son potencialmente vulnerables, porque se conectan a servidores afectados por la falla y porque esta también podría perjudicar a ciertas aplicaciones.

"Encontramos 273 (aplicaciones) en  Google   Play" que son vulnerables, escribió en su blog Zhang.

Fuente:nacion.com




martes, 15 de abril de 2014


What is OpenWISP?

OpenWISP is a software platform that can be used to implement a complete Wi-Fi service.
The OpenWISP software suite includes five main applications, derived from tools used in the Provinciawifi project that are currently powering the following Wi-Fi public and free connectivity projects.

 OpenWISP is a free and open source project.



OpenWISP Logo


HeatMapper - Free Wi-Fi Coverage and Mapping Tool

The World's Most Popular Wi-Fi Mapping Tool. For Free.

Map Wi-Fi coverage.
Discover and locate Wi-Fi radios.
Optimize your Wi-Fi.


Features

  • See Wi-Fi coverage on a map
  • Locate all access points
  • Detect security settings and finds open networks
  • Free of charge, one-minute install
  • Supports 802.11n, as well as a/b/g