Clicky

Protocolo PPP

El software pppd afectado es una implementación del Protocolo punto a punto (PPP)

El US-CERT emitió ayer una advertencia a los usuarios de una nueva y peligrosa vulnerabilidad de ejecución remota de código de 17 años que afecta el software PPP daemon (pppd) que viene instalado en casi todos los sistemas operativos basados en Linux, y también alimenta el firmware de muchos otros dispositivos de red.

El software pppd afectado es una implementación del Protocolo punto a punto (PPP) que permite la comunicación y la transferencia de datos entre nodos, que se utiliza principalmente para establecer enlaces de Internet como los que se obtienen mediante módems de acceso telefónico, conexiones de banda ancha DSL y redes privadas virtuales.

certificados Let's Encrypt

Los certificados afectados deberán renovarse manualmente

La más popular autoridad de firma de certificados gratuita, Let's Encrypt, ha revocado más de 3 millones de certificados TLS en las últimas 24 horas que pueden haber sido emitidos erróneamente debido a un error en su software de Autoridad de Certificación.

El error, que Let's Encrypt confirmó el 29 de febrero y se corrigió dos horas después del descubrimiento, afectaba la forma en que verifica la propiedad del nombre de dominio antes de emitir nuevos certificados TLS.

Como resultado, el error abrió un escenario en el que se podía emitir un certificado incluso sin validar adecuadamente el control del titular de un nombre de dominio.

Google Authenticator

Cerberus es un troyano bancario particularmente formidable

Una nueva investigación indica que la aplicación Google Authenticator en dispositivos Android es vulnerable a una forma de malware conocido como Cerberus. Según el especialista en seguridad cibernética financiera ThreatFabric, este troyano bancario puede robar códigos de acceso únicos generados por la aplicación y potencialmente permitir a los piratas informáticos acceder a las cuentas bancarias.

Google Authenticator proporciona una capa de autenticación de dos factores (2FA) para proteger las cuentas en línea. Accesible a través de teléfonos inteligentes, se concibió como una alternativa preferible a las contraseñas basadas en SMS que se envían a través de redes móviles con niveles de seguridad variables (y dudosos).

certificado Let's Encrypt

HTTPS es el medio predeterminado de comunicación segura en Internet

Let's Encrypt, una autoridad de firma de certificados (CA) gratuita, automatizada y abierta del grupo sin fines de lucro Internet Security Research Group (ISRG), ha dicho que ha emitido mil millones de certificados desde su lanzamiento en 2015.

La CA emitió su primer certificado en septiembre de 2015, antes de llegar a los 100 millones en junio de 2017. Desde finales del año pasado, Let's Encrypt ha emitido al menos 1,2 millones de certificados por día.

vulnerabilidad de cifrado Wi-Fi

La falla de Kr00k está algo relacionada con el ataque KRACK y afecta a varias marcas de teléfonos móviles

Investigadores de seguridad cibernética descubrieron el miércoles una nueva vulnerabilidad de hardware de alta gravedad que reside en los chips Wi-Fi ampliamente utilizados fabricados por Broadcom y Cypress, aparentemente alimentando más de mil millones de dispositivos, incluidos teléfonos inteligentes, tabletas, computadoras portátiles, enrutadores y dispositivos IoT.

Denominada 'Kr00k' y rastreada como CVE-2019-15126, la falla podría permitir que atacantes remotos cercanos intercepten y descifren algunos paquetes de red inalámbrica transmitidos por el aire por un dispositivo vulnerable.

Herramienta antihacker

El método, llamado DEEP-Dig, introduce a los intrusos en un sitio señuelo

En lugar de bloquear a los piratas informáticos, un nuevo enfoque de defensa de ciberseguridad desarrollado por científicos informáticos de la Universidad de Texas en Dallas en realidad les da la bienvenida.

El método, llamado DEEP-Dig (DEcEPtion DIGging), introduce a los intrusos en un sitio señuelo para que la computadora pueda aprender de las tácticas de los hackers. La información se usa luego para entrenar a la computadora a reconocer y detener futuros ataques.