Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
noviembre
(Total:
29
)
- El CNI detecta un aumento "cuantitativo y cualitat...
- Una nueva funcionalidad de Microsoft 365 es el "ma...
- Segunda actualización de emergencia para el CMS Dr...
- Nuevas víctimas de REvil ransomware: Vialidad Arge...
- Un empleado sube un Excel a GitHub con datos perso...
- Configurar correo electrónico seguro con SPF, DMAR...
- Vulnerabilidad crítica en MobileIron RCE de junio ...
- Zero Day: vulnerabilidad 2FA bypass en cPanel y WHM
- Investigador descubre accidentalmente 0-day en Win...
- Expuestas más de 300K+ cuentas de usuarios Spotify
- La Generalitat Catalunya sufre un fallo de segurid...
- TikTok corrige errores que permitían tomar el cont...
- Periodista holandés se filtra en una reunión "secr...
- La lista de las peores contraseñas de 2020
- Ransomware Ragnar Locker hackea la empresa multina...
- Fallo en Facebook Messenger permitía escuchar audi...
- Graves vulnerabilidades en VMWare y publican lista...
- Disponibles Kali Linux 2020.4 y Tails 4.13
- Ataque de ransomware hace que las impresoras impri...
- Datos de 3.2 millones de cuentas de Pluto TV han s...
- Defendiendo a los desarrolladores: youtube-dl está...
- Usuarios de Android demandan a Google por consumir...
- El envenenamiento de la caché de DNS, el ataque de...
- Problemas privacidad con GateKeeper de macOS 11 Bi...
- Activar medidas privacidad Navegador Firefox, Chro...
- Google Fotos dice adiós al espacio ilimitado; deja...
- Activar Windows 10-11 mediante Licencia Digital (H...
- Ransomware REvil afirma en una entrevista haber ga...
- Google descubre grave 0-day en el Kernel de Window...
- ► septiembre (Total: 21 )
-
▼
noviembre
(Total:
29
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Periodista holandés se filtra en una reunión "secreta" de ministros Defensa Europeos
Gracias a una foto publicada en Twitter, el periodista pudo ver la URL de la reunión que contenia cinco de los seis dígitos del código PIN y pudo adivinar el que faltaba. La reunión de alto secreto de ministros Europeos. Los ministros Europeos utilizan el sistema de videoconferencia Zoom, famoso en el mundo entero por seguridad, imaginamos para que directamente los chinos puedan escuchar sus conversaciones "secretas" en riguroso directo. Así es la seguridad de Zoom.
- Un periodista holandés se cuela en una reunión virtual secreta de ministros de Defensa de la UE
- Lo verdaderamente preocupante es que en la URL aparezcan usuario y contraseña, no que se publique una foto de una videoconferencia en twitter, pero eso no parece preocuparle a nadie...
El periodista ingenioso logró hackear la videoconferencia cerrada en Zoom tras captar el perfil y mayor parte de la contraseña para la reunión virtual en una foto que había publicado en su cuenta de Twitter la ministra de Defensa de los Países Bajos, Ank Bijleveld.
"¿Sabe que está entrando en una conferencia secreta?", le dijo Josep Borrell, responsable de política exterior de la Unión Europea a Daniël Verlaan, periodista holandés de RTL Nieuws. "¿Sabes que es una ofensa criminal? Mejor desconéctate rápido antes que llegue la policía". La amenaza vino por la inesperada aparición del periodista en una videollamada entre los ministros de defensa de la Unión Europea.
Ank Bijleveld, ministra holandesa de Defensa publicó una imagen en su cuenta de Twitter donde aparecían algunos de los dígitos necesarios para la reunión. Desde el ministerio de Defensa holandés explican a RTL que un miembro del equipo publicó accidentalmente la imagen.
Tras varios intentos, RTL logró adivinar el código PIN de la videollamada secreta. No resultó tan difícil, pues cinco de los seis dígitos del código PIN eran visibles en una foto publicada por la ministra de Defensa holandesa en Twitter.
"Esto demuestra una vez más que los ministros deben darse cuenta del cuidado que hay que tener con Twitter", explicaba el propio Primer Ministro holandés, Mark Rutte.
La aparición del periodista tiene su punto cómico, pero pone en evidencia las serias dudas sobre la seguridad de estas reuniones al más alto nivel de la Unión Europea.
El error se produjo cuando la ministra o bien alguien de su equipo cercano publicó en Twitter una captura de imagen en la que se podían ver cinco de los seis dígitos de la clave para poder entrar en la videoconferencia de ministros de Defensa europeos. La foto fue eliminada rápidamente, pero a Daniël Verlan, un periodista especializado en tecnología para la holandesa RTL News, ya los había anotado y no tuvo ningún problema para entrar en la videoconferencia.
Seguridad en Zoom
Por ejemplo, Google ha prohibido a sus empleados usar este sistema de conexión por videollamada. Esto es lógico, porque Google tiene su propio sistema y es un poco absurdo usar una aplicación de la competencia que usa servidores en China. Pero cuando otras compañías como SpaceX, y la NASA han hecho lo mismo, da que pensar. Apple sólo permite a sus empleados usar Slack, Cisco WebEx / Jabber, a parte de la suya propia FaceTime, claro. El FBI, CNI y Los Mossos d'Esquadra, entre muchos otros, han advertido de su uso (básicamente utilizar últimas versiones). Pero también prohibición de su uso en escuelas de la ciudad de Nueva York y de Singapur. También el veto por parte del Gobierno de Taiwan, ya que han vetado su uso en todas las agencias gubernamentales o el senado de Estados Unidos. El ministerio de Exteriores Alemán ha restringido la utilización de la plataforma a los ordenadores con conexión fija, según informa Reuters. El Senado de Estados Unidos ha pedido a sus miembros y a su personal que no usen sus servicios, según adelantó Financial Times. También el departamento de Educación de la ciudad de Nueva York comunicó esta semana a los colegios que deben dejar de emplear Zoom cuanto antes.
Esta crisis llevó a Zoom a desarrollar un plan urgente de 90 días para reforzar sus protocolos de seguridad y privacidad. Como parte de este plan, la compañía ha creado un comité de asesores del que forman parte expertos de Netflix, Uber, HSBC y NTT Data, entre otros. También ha fichado como asesor externo al ex director de seguridad de Facebook, Alex Stamos, para que le ayude a resolver los problemas a los que se enfrentan.
Actualmente no es posible habilitar la encriptación E2E (de extremo a extremo) para las reuniones de vídeo de Zoom. Las videoconferencias de Zoom utilizan una combinación de TCP y UDP. Las conexiones TCP se hacen usando TLS y las conexiones UDP se encriptan con AES usando una clave negociada sobre una conexión TLS.
- Zoom no cifraba de extremo a extremo sus videollamadas (solucionado a medias)
- Zoom dice de que no cifrará de extremo a extremo las videollamadas para los usuarios suscriptos al servicio gratuito y que sólo lo hará en el caso de usuarios suscriptos a planes pagos.
- Para acabar de arreglar lo de arriba, Zoom utiliza servidores ubicados en China, incluso en una videollamada de Bostón a los Angeles acaba pasando por Pekin, según un estudio Citizen Lab de la Universidad de Toronto. (Zoom dice que es un error)
- Zoom dice que usan cifrado "AES-256” pero en realidad usan "AES-128" en modo ECB
- La aplicación de Zoom para iOS compartía la ubicación y otros datos con Facebook sin permiso (solucionado)
- Exploit zero-day para el cliente Zoom en Windows con RCE incluído (ya solucionado)
- ZoomBombing o Zoom Raid —mediante el cual un actor malintencionado se cuela en las videoconferencias grupales utilizando el ID de la reunión virtual o un enlace que se haya hecho público para acceder a la misma (ya solucionado)
- Cuentas Zoom vendidas en DarkWeb
- Zoom estaba filtrando direcciones de correo y fotografías de miles de usuarios, permitiendo que desconocidos puedan llamarlos a través de la herramienta. El problema radica en la función “Directorio de la compañía”,
- Zoom era vulnerable a un fallo denominado “UNC path injection". Al hacer click por el chat, enviase al atacante el hash NTLM de su contraseña Windows. (arreglado)
- Zoom permitía vincular participantes son perfiles de LinkedIn, minería de datos que recolectaba nombres de usuario y direcciones de correo para vincular a los participantes con sus perfiles de LinkedIn. (función ya deshabilitada)
- Falsos instaladores de Zoom contenían malware (eso es prácticamente normal al ser una aplicación muy popular).
Fuente:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.