Offensive Security por fin ha lanzado la esperada versión de Kali Linux 2.0 ('Kali Sana'), una nueva distribución Linux basada en Debian de código abierto y con cientos de herramientas para realizar Penetration Test, análisis forense, hacking e ingeniería inversa.

Kali Linux 2.0 ofrece una interfaz de usuario rediseñada que permite una mejor experiencia de trabajo junto con nuevos menús y categorías de herramientas, además de permitir un mayor dinamismo en las actualizaciones del sistema.

Características de Kali Linux 2.0:

• Kernel de Linux 4.0,
• Escritorio de Gnome 3
• Mejor cobertura de hardware y controladores
• Mayor soporte para más variedad de entornos de escritorio
• Nuevas herramientas pentesting de redes inalámbricas
• Soporte de Ruby 2.0 con lo cual Metasploit cargará mucho más rápido,
• Incorpora screencast que permite grabar el escritorio

Actualizar a Kali 2.0

Los ... Continuar leyendo

A principios de esta semana, investigadores de seguridad en Zimperium revelaron Stagefright, una vulnerabilidad crítica en Android que permite que mediante un mensaje de texto multimedia MMS atacar a 950 millones de dispositivos.
El defecto fundamentalmente reside en un componente del Kernerl de Android llamado "Stagefright", una biblioteca de reproducción multimedia utilizada por Android para procesar, grabar y reproducir archivos multimedia. La vulnerabilidad se ha confirmado desde la versión 2.2 a la 5.1.1.

Stagefright está siendo explotada activamente y el atacante sólo necesita del número de teléfono de la víctima para enviar un mensaje MMS malicioso y comprometer el dispositivo, sin ninguna acción por parte del usuario.

Nuevas formas de explotar Stagefright

En el escenario anterior un atacante puede aprovechar Stagefright solo contra sus números conocidos. Pero ahora, según la ... Continuar leyendo

Los propietarios de Chrysler Fiat deben actualizar el software de sus vehículos después de un par de investigadores de seguridad fueran capaces de explotar una vulnerabilidad 0-Day que permite controlar remotamente el motor, la transmisión, las ruedas y los frenos del vehículo.

Según Wired, los investigadores Chris Valasek y Charlie Miller, miembros de la empresa IOActive, dijeron que la vulnerabilidad fue encontrada en los modelos de 2013 a 2015 y que tienen la característica de Uconnect.
Alguien que conocer la dirección IP del coche puede tener acceso al vehículo vulnerable a través de su conexión celular. Los atacantes pueden dirigirse entonces a un chip en la unidad de hardware de entretenimiento del... Continuar leyendo

El escandalo de los documentos filtrados del Hacking Team está poniendo en evidencia la seguridad de muchos sistemas y aplicaciones. Esta empresa conocía los agujeros de seguridad de cientos de aplicaciones, lo que le permitía acceder sin problemas a los ordenadores y móviles de los usuarios.

El Hacking Team habría desarrollado una aplicación que podría ejecutar malware en Android y se habría colado en la tienda de aplicaciones Google Play en forma de aplicación de noticias, según los especialistas de seguridad de Trend Micro. La aplicación denominada BeNews sólo requiere tres permisos por parte del usuario cuando era instalada y consiguió pasar todos los controles de seguridad de Google ya que "no contenía código malicioso detectable".

 Finalmente llego el día, los almanaques de muchos administradores de sistemas Windows tenían marcado en rojo el 14 de Julio de 2015 porque ese es el día en que Microsoft deja de dar soporte extendido a Windows Server 2003 en todas sus versiones.

Windows Server 2003 fue una de las versiones más populares cuando reemplazo a Windows 2000 Server y fue rápidamente adoptado. Aun hoy, en muchas empresas Pequeñas y Medianas siguen funcionando servidores que corren Windows Server 2003 y tal vez aun lo sigan haciendo por un tiempo más, a pesar de la pérdida del soporte ya que una migración implica además de la compra de licencias y casi con seguridad la renovación tecnológica de servidores que soporten la nueva versión.

Para quienes esten pensando en migrar a Windows Server 2012, aquí tienen un asistente para la planificacion de la migración donde se ... Continuar leyendo

Desde esta semana, la Agencia de Seguridad Nacional de Estados Unidos (NSA) está ofrecido públicamente una de sus herramientas de seguridad para departamentos gubernamentales.

La Systems Integrity Management Platform -SIMP- está publicada en el repositorio de código GitHub y está enfocado en la "defensa en profundidad", tan necesario en las organizaciones.

NSA dijo que "libera la herramienta para evitar la duplicación de esfuerzos después de que algunos departamentos del gobierno de Estados Unidos comenzaran a intentar replicar el producto con el fin de cumplir con los requisitos establecidos por los organismos de inteligencia".

Actualmente Red Hat Enterprise Linux versiones 6.6 y 7.1 y CentOS 6.6 y 7.1-1503-01 son que los únicos sistemas operativos compatibles para SIMP.

En estos días la Cámara Nacional Electoral (CNE) ha publicado el nuevo padrón electoral, donde nuevamente (como en el 2013) se insiste con la publicación de la imagen de los ciudadanos argentinos, al momento de realizar una consulta sobre el lugar donde corresponde votar. Esto le ocurre a cada ciudadano que haya actualizado su documento y haya sido ingresado en el sistema con su fotografía.

La pregunta clave: ¿Es necesario? ¿Es indispensable a los fines del padrón? La respuesta en principio aparece como negativa, toda vez que la imagen no es dato necesario para poder ejercer el derecho el sufragio. Prueba de esto es quien no haya actualizado su DNI, puede votar sin necesidad de que su foto haya sido cargada en el sistema.

En términos de la Ley 25.325 de Protección de Datos Personales (art. 4 LPDP - Calidad... Continuar leyendo

El movimiento en contra del uso de Adobe Flash Player gana impulso.

Ya todos están más o menos enterados que en el ataque y posterior publicación de 400Gb de material de la empresa italiana Hacking Team, salieron a la luz diversas vulnerabilidades no descubiertas aún (los denominados 0-Day) de Adobe Flash Player, y también el código necesario para saber como explotarlas.

A poco de esta divulgación se empezaron a conocer diversos tipo de ataques en Internet que se aprovechan de explotar estas vulnerabilidades.

Incluso ya se sabe que estas vulnerabilidades están siendo incluidas en diversos Kits de Explotación, que al ser instalados por un atacante en un sitio web, permiten... Continuar leyendo