Seguridad informática

[wfogg]

A saber si esto es verdad, pero os lo dejo aquí por si esta gente es seria.

 

[Insidius]

Esto es. La cadena de suministros no solo se refiere a al proveedor externo. Como dice Andrej:

Supply chain attacks like this are basically the scariest thing imaginable in modern software. Every time you install any depedency you could be pulling in a poisoned package anywhere deep inside its entire depedency tree. This is especially risky with large projects that might have lots and lots of dependencies. The credentials that do get stolen in each attack can then be used to take over more accounts and compromise more packages.

Software que utilizan las empresas (obteniendo beneficios) pero que no se hacen responsables de la securización de nada.

 

[Lennoniano]

Me sale esta cosa rara al intentar entrar en Youtube:



Tiene pinta de ser el UBlock, pero ¿qué os parece?

 

[Lennoniano]

Ahora se ha ido, ah, ni idea.

 

[Miguel_Angel]

Lo pongo por aqui:

Meta and YouTube Found Negligent, 'Dangerous' to Minors. Jury Awards $3 Million

A Los Angeles jury awarded $3 million to a woman who said she was hooked on Meta’s Instagram and Google’s YouTube as a child, suffering serious harm.

www.rollingstone.com

 

[Insidius]

The trackers hidden in Ed Tech and online learning | Proton

Roughly 90% of Ed Tech apps and websites were found to have trackers. See how you can protect your child’s privacy from this surveillance.

proton.me

 

[Tiberiuz]

Es que estos no han visto los Simpson?

 

[Seaker]

John Deere llevaba años impidiendo a los agricultores reparar sus tractores. Ahora tendrá que pagarles 99 millones de dólares

Un tractor moderno es un ordenador sobre ruedas: GPS, sensores, telemetría y software propietario. Comprarlo cuesta muchísimo más dinero que un coche normal,...

www.xataka.com

Enviado desde mi PTP-N49 mediante Tapatalk

 

[Seaker]

Enviado desde mi PTP-N49 mediante Tapatalk

 

[Miguel_Angel]

Madre mia, que desastre.
Habran hecho la aplicacion en un par de dias con "vibe coding" y ni le habran pedido a la IA que haga la app lo mas segura posible

 

[King Conan]

El canal veritasium denuncia y demuestra la vulnerabilidad de la combinación de VISA y IPhone que permite por contacto robar dinero sin desbloquear el teléfono y sin autorizar nada por parte del propietario. Esperemos que lo resuelvan aunque también dicen que se sabe del problema desde 2021.

 

[DeBilbao]

El canal veritasium denuncia y demuestra la vulnerabilidad de la combinación de VISA y IPhone que permite por contacto robar dinero sin desbloquear el teléfono y sin autorizar nada por parte del propietario. Esperemos que lo resuelvan aunque también dicen que se sabe del problema desde 2021.

Here's How Researchers Stole $10,000 From MKBHD's Locked iPhone

An iPhone exploit that involves a linked Visa card can allow attackers to steal money from a locked device using NFC, but the process is complex, requiring physical access and specialized hardware. The exploit was highlighted by popular YouTube channel Veritasium, and it involves tricking an...

www.macrumors.com

Cybersecurity researchers from the University of Surrey and the University of Birmingham developed the attack to bypass an iPhone's locked status and steal funds from a mobile wallet. The exploit was first publicized in 2021, and it bypasses traditional limits on transaction size. Veritasium demonstrated the attack by collecting $10,000 from YouTuber Marques Brownlee's locked iPhone.

The attack works using an NFC card reader that intercepts the communication between an iPhone and a tap-to-pay terminal when a payment is made. The card reader is connected to a laptop that collects payment data and sends it to a separate burner phone, which is then tapped on a legitimate card reader. The NFC device has to be tuned to the same transit terminal identifier as a legitimate transit reader.

The process requires the victim to have Express Transit Mode enabled for payments, and a Visa card linked for those payments, among other steps. As it turns out, it's a Visa-related security loophole rather than an iPhone issue, and it doesn't work with a Mastercard or an American Express card because other cards use different security methods. It also doesn't work with Samsung Pay on Samsung devices, and it requires the specific combination of a Visa card and an iPhone. Apple told Veritasium that it's an issue with the Visa system, but something unlikely to occur in the real world.

This is a concern with the Visa system, but Visa does not believe this kind of fraud is likely to take place in the real world. Visa has made it clear that their cardholders are protected by Visa's zero liability policy.

Visa also told Veritasium that the exploit was very unlikely from a scaled real world setting, and any such transactions can be disputed. The researchers who shared the exploit said users can protect themselves by not using a Visa card on the iPhone for transit purposes.

 

[Miguel_Angel]

Para la gente que trabaja en cyber o seguridad.. que estais usando para hacer los informes de SOC Tipo 2? Alguna aplicacion en especial o los haceis a mano / excel?

Un saludo.

 

[JJLS]

En el foro casi todo se hace con la propia mano. No nos tocan ni con un palo.

 

[TheReeler]

Para la gente que trabaja en cyber o seguridad.. que estais usando para hacer los informes de SOC Tipo 2? Alguna aplicacion en especial o los haceis a mano / excel?

Un saludo.

Pero... un SOC Tipo 2 lo hace el que audita, no el auditado. ¿no? ¿O tú auditas a otros?

 

[Lovekraft]

Pero... un SOC Tipo 2 lo hace el que audita, no el auditado. ¿no? ¿O tú auditas a otros?

el auditado que mejor audite, mejor auditado estará.

 

[Manu1001]

Yo audito desde shequetito...

 

[Miguel_Angel]

Pero... un SOC Tipo 2 lo hace el que audita, no el auditado. ¿no? ¿O tú auditas a otros?

Correcto! Igual me he explicado mal.
Cuando tu empresa quiere alinearse con las guias de SOC, como agrupas las tareas, lo que se necesita, los analisis de tu infraestructura, etc? En un excel, con alguna aplicacion de GRC?

 

[Seaker]

Unified Attestation

Unified Attestation is a free, open-source alternative to Google Play Integrity with offline verification and simple app + server integration.

uattest.net

 

[Tim]

Me “encanta” que se echa balones fuera por parte de Apple porque es un problema de VISA. Pero… en Android, no sé si solamente algunos fabricantes, implementan un sistema de seguridad complementario para apañarlo. Por lo que sí, el problema es de VISA pero algunos se han molestado en parchearlo.

También hay que decir es más probable que te toque la lotería a que te roben con este método.

 

[Miguel_Angel]

Entiendo que no lo hayan solucionado todavia (aunque siendo Visa, con la cantidad de recursos que tienen ya podrian haberselo mirado).

Tiene pinta de ser ese tipico "Riesgo" que tienes en el registro pero con una puntuacion super baja porque tienen que hacer una combinacion de cosas que son bastante improbables que pasen para que se materialice.

Pero si, podrian remediarlo.

 

[Seaker]

Está ya abierto el NFC de Apple? Lo digo por el pago con Bizum de próxima implantación en España.

Enviado desde mi PTP-N49 mediante Tapatalk

 

[Lennoniano]

El Defender me ha descubierto un troyano y parece que está pasando a la vez a múltiples usuarios:

 

[Insidius]

En principio, es un falso positivo.

 

[Lennoniano]

He actualizado Windows con el nuevo parche preliminar y ya no me detecta el troyano.

De todas maneras ha quedado en cuarentena.

Edito: Borrado.