Enlaces Seguridad - doc.segulupa.com
432 shaares
32 results
tagged
seguridad-de-la-información
Authors:
Julian Fietkau, Starbug, and Jean-Pierre Seifert, Technische Universität Berlin
Abstract:
Biometric authentication is a trending topic in securing modern devices. Examples of this can be found in many widely deployed systems such as Apple's Touch ID or Microsoft's Windows Hello face recognition. Miniaturization and increased processing power are thereby leading to new applications not imaginable a couple of years ago. Such a solution is the new fingerprint smart card built by a Norwegian company that must not be named. Their biometric match-on-card platform is designed to provide a convenient solution for access, identity, and payment applications and aims to replace PIN authentication for the next generation of payment cards by VISA and Mastercard. In this paper, we are going to analyze how this company has implemented their already available demo kit for access control in hardware and software. We will point out critical weaknesses in its architecture and algorithm and show how these could be misused for payment, access and identity fraud by attackers able to steal or clone the device. Thereby, we combine software and hardware hacking techniques as well as extraction methods, to acquire fingerprints from photos and latent prints, to successfully spoof the system in various ways. This works in particular without the error-prone creation of physical dummies due to the exploitation of the insecure on-device communication. The attacks presented require little effort and low-cost equipment that can be already refinanced by abusing a single card at all. Finally, we will discuss countermeasures and ideas to improve the security of this and future implementations for match-on-card fingerprint authentication.
Julian Fietkau, Starbug, and Jean-Pierre Seifert, Technische Universität Berlin
Abstract:
Biometric authentication is a trending topic in securing modern devices. Examples of this can be found in many widely deployed systems such as Apple's Touch ID or Microsoft's Windows Hello face recognition. Miniaturization and increased processing power are thereby leading to new applications not imaginable a couple of years ago. Such a solution is the new fingerprint smart card built by a Norwegian company that must not be named. Their biometric match-on-card platform is designed to provide a convenient solution for access, identity, and payment applications and aims to replace PIN authentication for the next generation of payment cards by VISA and Mastercard. In this paper, we are going to analyze how this company has implemented their already available demo kit for access control in hardware and software. We will point out critical weaknesses in its architecture and algorithm and show how these could be misused for payment, access and identity fraud by attackers able to steal or clone the device. Thereby, we combine software and hardware hacking techniques as well as extraction methods, to acquire fingerprints from photos and latent prints, to successfully spoof the system in various ways. This works in particular without the error-prone creation of physical dummies due to the exploitation of the insecure on-device communication. The attacks presented require little effort and low-cost equipment that can be already refinanced by abusing a single card at all. Finally, we will discuss countermeasures and ideas to improve the security of this and future implementations for match-on-card fingerprint authentication.
En el Episodio 10, conversamos sobre el estado actual de la Seguridad Web, APIs, Web 2.0, defensa en profundidad, arquitectura y penetration testing sobre Web Apps. Tuvimos como invitados a Walter Cuestas y Diego Chavez.
En este episodio tuvimos como invitada especial a Nora Alzua, quien una tiene amplia experiencia en infraestructuras críticas. Nora se desempeño durante más de 17 años como Jefe de Seguridad de la Información en EDESUR Argentina. Actualmente es la representante del Centro Ciberseguridad Industrial, en nuestro país. CCI tiene el objetivo de difundir el estado del arte de la Ciberseguridad en Sistemas Industriales, mediante el intercambio de información y eventos en las distintas geografías.
Definición de Infraestructuras Críticas. ¿Cómo se diferencian de otros servicios?
Fallas en controles de seguridad ¿Por qué seguimos cometiendo los mismos errores pasados?
Amenazas en contra este tipo de infraestructuras ¿Son reales las guerras cibernéticas?
Localización mediante herramientas tipo Shodan ¿Qué está fallando?
Evaluación de vulnerabilidades en ICC ¿Qué estándares o framework podemos seguir?
Atención a la Gestión de Incidentes.
Definición de Infraestructuras Críticas. ¿Cómo se diferencian de otros servicios?
Fallas en controles de seguridad ¿Por qué seguimos cometiendo los mismos errores pasados?
Amenazas en contra este tipo de infraestructuras ¿Son reales las guerras cibernéticas?
Localización mediante herramientas tipo Shodan ¿Qué está fallando?
Evaluación de vulnerabilidades en ICC ¿Qué estándares o framework podemos seguir?
Atención a la Gestión de Incidentes.
Estuvimos conversando de varios temas, entre ellos:
La diferencia entre tener un marco regulatorio y no tenerlo (Banca vs Seguros).
Que debería contemplar un CISO que recién arranca.
Problemática que aún hoy arrastran las entidades financieras en materia de seguridad.
El marco normativo como punto de partida mínimo, y la ciberseguridad?
Los desafíos que se vienen con las tecnologías emergentes en el mundo financiero (Blockchain, Ciberpólizas, IoT, Inteligencia Artificial, etc.)
Invitado especial Juan Pablo Pochettino (Responsable de Seguridad de la información de Galicia Seguros)
La diferencia entre tener un marco regulatorio y no tenerlo (Banca vs Seguros).
Que debería contemplar un CISO que recién arranca.
Problemática que aún hoy arrastran las entidades financieras en materia de seguridad.
El marco normativo como punto de partida mínimo, y la ciberseguridad?
Los desafíos que se vienen con las tecnologías emergentes en el mundo financiero (Blockchain, Ciberpólizas, IoT, Inteligencia Artificial, etc.)
Invitado especial Juan Pablo Pochettino (Responsable de Seguridad de la información de Galicia Seguros)
Estuvimos en CharruaCon, una conferencia de seguridad informática, que se realiza en Montevideo, Uruguay. En el edificio de ANTEL. Celebró su 2da Edición el 24 y 25 de Mayo de 2018.
CharruaCon busca generar conciencia sobre temas de seguridad y acercar la filosofía hacker whitehat a las organizaciones.
De la organización de CharruaCon, nos acompañaron Héctor "Chiche" Pardiñas y Mauricio Campiglia, quienes nos contaron el desafío de realizar un evento, cómo se encuentra nuestro pais vecino en relación a SI general y algunos tips para futuras charlas. Como parte de los oradores estuvo Ezequiel Tavella, nos comentó acerca de su charla "Love is in the air - Reverse Engineering a shitty drone".
Gracias a la organización, speakers y en especial a la comunidad de .UY por recibirnos tan bien!
CharruaCon busca generar conciencia sobre temas de seguridad y acercar la filosofía hacker whitehat a las organizaciones.
De la organización de CharruaCon, nos acompañaron Héctor "Chiche" Pardiñas y Mauricio Campiglia, quienes nos contaron el desafío de realizar un evento, cómo se encuentra nuestro pais vecino en relación a SI general y algunos tips para futuras charlas. Como parte de los oradores estuvo Ezequiel Tavella, nos comentó acerca de su charla "Love is in the air - Reverse Engineering a shitty drone".
Gracias a la organización, speakers y en especial a la comunidad de .UY por recibirnos tan bien!
Google I/O es el evento de desarrollo y novedades organizado por Google, donde muestran las novedades que estarán próximamente en sus productos. En esta ocasión hablamos sobre los nuevos lanzamientos con una óptica de seguridad y privacidad.
La Edición N° 5, tuvo como invitado especial al famoso Gary McGraw, experto en seguridad de software, autor de 12 libros, entre ellos varios de los más conocidos como: Software Security, Exploiting Software, Building Secure Software, Java Security, Exploiting Online Games. Actualmente se desempeña como Vice President Security Technology, en Synopsys. Hablamos sobre el Reporte de CISOs y las 4 tribus que pudo identificar entre los CISOs y empresas encuestadas.
Con la idea exponer sobre el uso de Redes Sociales y la importancia de las Marcas Personales, Mariana Quesada, especialista en el asunto y en Marketing de Atracción, nos contó sobre qué es una marca personal, la importancia de tener una, cómo crearla de forma correcta, diferentes herramientas y formas de generar contenido de valor.
Con la idea exponer sobre el uso de Redes Sociales y la importancia de las Marcas Personales, Mariana Quesada, especialista en el asunto y en Marketing de Atracción, nos contó sobre qué es una marca personal, la importancia de tener una, cómo crearla de forma correcta, diferentes herramientas y formas de generar contenido de valor.
La Edición N° 4, tuvo como invitado a especial a Vicente Aguilera, creador de TinfoLeak una herramienta de OSINT de código abierto, desarrollada en Python, para realizar análisis de información en Twitter. Expuso sobre su experiencia en técnicas de OSINT, metodologías, acerca de la nueva versión 2.4 publicada hace pocos días y por último como sacarle el jugo en diferentes casos de uso.
Contamos además con la presencia en el estudio de Ignacio "Nacho" Pérez, Consultor de BASE4 Security, quien nos contó sobre su experiencia en Ransomware, cómo funciona, cuáles son los vectores de ataque, últimos casos y tips para protegerse.
Contamos además con la presencia en el estudio de Ignacio "Nacho" Pérez, Consultor de BASE4 Security, quien nos contó sobre su experiencia en Ransomware, cómo funciona, cuáles son los vectores de ataque, últimos casos y tips para protegerse.
La Edición N° 3, tuvo como invitado a especial a Sergio Appendino quien está a cargo del Gabinete Forense Digital del Ministerio Público de Salta, expuso la importancia de la modificación del artículo 128 del Código Penal, referido a pornografia infantil, de qué se trata, desde cuándo existe y cómo estamos a nivel internacional. También abordamos el tema de las Certificaciones de IT y Seguridad, para qué sirven, su importancia y cómo comenzar a estudiar.
En la Edición N° 2, relacionado al día que se estrenó nuestro Piloto, decidimos invitar a una colega, Sandra Zilla, para que nos contara desde su experiencia, más de 15 años en IT y ahora comenzando en Seguridad, cómo había sido su recorrido siendo mujer en este ámbito donde ellas también buscan ser más aceptadas.
También estuvimos hablando del famoso Attaque "memcached" de DDoS a GitHub el mes de Febrero 2018.
Por último, repasamos algunos de los ataques de Phishing tradicionales y otros menos frecuentes.
También estuvimos hablando del famoso Attaque "memcached" de DDoS a GitHub el mes de Febrero 2018.
Por último, repasamos algunos de los ataques de Phishing tradicionales y otros menos frecuentes.
En nuestro Piloto cubrimos: Presentacion de los participantes, por qué un Podcast, conferencias regionales y tendencias 2018.
El abogado en derecho informático Fernando Tomeo estuvo en Café de la tarde y habló de la posibilidad de borrar el historial personal en los buscadores de Internet y las diferencias que aplica Google en la Unión Europea y en América latina.
Solamente el 10% de la población de América Latina y el Caribe tiene acceso a banda ancha fija y el 30%, a banda ancha móvil. Los datos surgen de un estudio del Banco Interamericano de Desarrollo (BID), que además indica que la Argentina está por encima del promedio regional en el porcentaje de la población usuaria de Internet -cerca del 70%, muy similar a la media de los países de la OCDE- y que tiene una de las bandas anchas móviles más asequibles del continente: la segunda detrás de Uruguay.
La vigilancia que se nos impone hoy supera con creces la de la Unión Soviética. Por el bien de la libertad y la democracia, tenemos que eliminar la mayor parte de ella. Hay tantas maneras de utilizar los datos para hacer daño a las personas que la única base de datos segura es que nunca se recopie. Por lo tanto, en lugar del enfoque de la UE de regular principalmente cómo se pueden utilizar los datos personales (en su Reglamento General de Protección de Datos o GDPR), propongo una ley para impedir que los sistemas recopilen datos personales.
Radia Perlman, Tim Berners-Lee y más 70 madres y padres de la red temen que el filtro de contenidos que plantea la reforma de los derechos de autor de Bruselas dé más poder a las multinacionales digitales de EEUU
"Si hubiera estado vigente cuando se desarrollaron los protocolos principales de Internet, es poco probable que hoy existiera tal y como lo conocemos", recalcan
La Eurocámara vota esta semana su posición respecto a la reforma, que incluye otras medidas como un canon AEDE a nivel europeo
"Si hubiera estado vigente cuando se desarrollaron los protocolos principales de Internet, es poco probable que hoy existiera tal y como lo conocemos", recalcan
La Eurocámara vota esta semana su posición respecto a la reforma, que incluye otras medidas como un canon AEDE a nivel europeo
Para hacer frente a futuros casos de desinformación con objetivos desestabilizadores, el Gobierno barajó la creación de un organismo dedicado a detectarlos y contrarrestarlos, pero de momento ha optado por endosarle dicha responsabilidad al Consejo Nacional de Ciberseguridad. De este organismo, presidido por el director del Centro Nacional de Inteligencia (CNI), el general Félix Sanz, forman parte los responsables del Departamento de Seguridad Nacional, el Mando Conjunto de Ciberdefensa, el CCN (Centro Criptológico Nacional), el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas) o el INCIBE (Instituto Nacional de Ciberseguridad), así como la embajadora especial para las amenazas híbridas, Julia Olmo, entre otros.
Plataforma de Logueo y Monitoreo Dinámico
El columnista de tecnología de The New York Times rara vez usa la red social. Sin embargo, hasta los contactos completos de su iPhone estaban guardados en el archivo con su información, que ocupaba lo mismo que 160 horas de música
Un enviado de la empresa había hablado con los principales hospitales e instituciones como el Colegio Nacional de Cardiología y la Facultad de Medicina de la Universidad de Stanford. El escándalo de Cambridge Analytica hizo que el plan fuera inviable
El abogado y profesor Daniel Monastersky, experto en ciberdelito, habló con Infobae sobre el peligro de los perfiles falsos en las redes sociales, las difamaciones mediante esas plataformas y cómo actuar ante la Justicia