Informe de Ciberamenazas y Tendencias en Ciberseguridad del CCN-CERT

El informe IA-35/23 “CiberAmenazas y Tendencias en Ciberseguridad del CCN-CERT” es un documento elaborado por el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), que tiene como objetivo analizar la situación actual y futura de la ciberseguridad en España y en el mundo. El informe se estructura en cuatro partes principales: La primera parte ofrece una…

View On WordPress

INFORME DE BUENAS PRÁCTICAS (PDF, 56 páginas)

CCN-CERT (www.ccn-cert.cni.es)

La concienciación, el sentido común y las buenas prácticas son las mejores defensas para prevenir y detectar contratiempos en la utilización de sistemas de las Tecnologías de la Información y la Comunicación (TIC).

Se puede decir que no existe un Sistema que garantice al 100% la seguridad del servicio que presta y la información que maneja debido, en gran medida, a las vulnerabilidades que presentan las tecnologías y lo que es más importante, la imposibilidad de disponer de los suficientes recursos para hacerlas frente. Por tanto, siempre hay que aceptar un riesgo; el conocido como riesgo residual, asumiendo un compromiso entre el nivel de seguridad, los recursos disponibles y la funcionalidad deseada.

La implementación de seguridad supone planificar y tener en cuenta los elementos siguientes:

Análisis de Riesgos, Gestión de Riesgos, Gobernanza, Vigilancia y Planes de Contingencia.

Vía: https://twitter.com/dsn/status/1513107709176037376

Saverio Raimondo: Molestie Sessuali - CCN - Comedy Central

E’ passato più di un anno ma vedo che certe cose rimnagono sempre di attualità

Nueva Orleans declara "estado de emergencia" por ransomware

Nueva Orleans declara “estado de emergencia” por ransomware

Nueva Orleans declaró el estado de emergencia y apagó sus computadoras después de un evento de seguridad relacionado con ransomware, el último de una serie de estados atacados por delincuentes.

Se detectó actividad sospechosa alrededor de las 5 a.m.del viernes por la mañana. A las 8 a.m., hubo un aumento en esa actividad, que incluyó evidencia de intentos de phishing y ransomware, dijo Kim…

View On WordPress

What are Smart Contracts?

A smart contract is a type of computerized transaction protocol that, when specific criteria are satisfied, automatically carries out the terms of a contract. Stored within a blockchain such as Ethereum, smart contracts allow the contract to be executed without the need for intermediaries or human intervention.

Security flaws throughout the history of unaudited Smart Contracts

As we can read in the following CCN-CERT document, the market capitalization of the Ethereum network alone is more than 11 billion US dollars, so BSC blockchain networks and decentralized application systems, in which Smart Contracts are found, they are a very sweet target for criminal mafias who want their loot.

Examples of projects attacked by cybercriminals:

The DAO hack:

Initiative created by members of the Ethereum community

His motive was to provide a platform for financing startups without intermediaries.

Listed up to 250 million dollars

It was attacked taking advantage of a programming error in Smart Contracts

Impact:

Cost of the attack of 55 million dollars

Hard Fork to solve the loss of capital by investors

Investors lost confidence

Crypto Legions Bloodstone:

Game based on NFT tokens

Game logic resident in Smart Contracts

Security flaw in the Smart Contract logic (false randomness) caused cybercriminals to take advantage of the flaw to extract all the liquidity from the game

Impact:

Theft of market capitalization

Loss of player confidence

Loss of player investment

What is the audit of Smart Contracts?

The audit of Smart Contracts of the compatible Ethereum Virtual Machine (EVM) blockchain networks (Ethereum, BSC and POLYGON among others) consists of analyzing a smart contract at the code and dynamic level. That is, the auditor will first analyze the operation flow of the contracts exposed by the developer and, later, will carry out an analysis of the code to review possible failures that may occur in its use within the blockchain. Once possible vulnerabilities have been identified, the auditor will integrate these contracts into a private testnet with Ganache, Truffle and Remix, which will allow the auditor to analyze the dynamic behaviors of the contracts,

What type of Smart Contract do we audit?

We audit Smart Contracts based on EVM-type blockchains programmed in Solidity language, and these can be of the following types:

NFT tokens (ERC 721, 1155)

Fungible Tokens (ERC 20)

oracles

dApps logic Smart Contracts (games, generics, etc)

SAST software for assisted code analysis.

For code analysis (SAST) the auditor relies on tools supported by the Ethereum community.

Examples of vulnerabilities that we can identify

Reentrancy vulnerabilities

Integer arithmetic errors

Gas Limit Vulnerabilities

Lack of essential checks (parameters and/or transactions)

Front running

ETH send rejection

Integer Overflow

Logic bugs

Iberdrola sufre un ciberataque que expone los datos de 1,3 millones de clientes

https://ift.tt/LMOTWf5

Esta misma semana el Centro Criptológico Nacional – Computer Emergency Response Team (CCN-CERT), el departamento de ciberamenazas del Centro Nacional de Inteligencia (CNI), avisó de ataques inminentes a instituciones y empresas españolas, una alerta que llegó tarde para Iberdrola, que sufrió un ciberataque el pasado 15 de marzo. El asalto no ha trascendido hasta hoy, cuando la compañía de energía ha reconocido a El País que durante el ataque quedaron expuestos los datos personales de 1,3 millones de clientes. Los delincuentes lograron acceder a una base de datos con información de los… Leer noticia completa y comentarios » from ElOtroLado.net https://ift.tt/Vt4UO2n via IFTTT

España nuevamente epicentro de blockchain con “Las XIV Jornadas STIC CCN-CERT “

España nuevamente epicentro de blockchain con “Las XIV Jornadas STIC CCN-CERT “

Las XIV Jornadas STIC CCN-CERT, del Centro Criptológico Nacional, se llevarán a cabo del 30 de noviembre al 04 de diciembre de este año en Madrid. En el evento, se abordarán temas enmarcados sobre blockchain, y la ciberseguridad, entre otros, con el objetivo de crear una sociedad digital segura. Así lo reseñó el portal web del Centro Criptográfico de España, este 15 de octubre.

Bajo el lema…

View On WordPress

El CNI alerta de la amenaza que supone Siri: "Personal externo a Apple accede a las grabaciones"

El frágil equilibrio entre seguridad y funcionalidad está en entredicho en Siri, el asistente de voz de Apple. Personal ajeno a la compañía ha tenido acceso a las grabaciones sin que el usuario tenga conocimiento de ello. Al menos, esa es la conclusión a la que llega el Centro Criptológico Nacional (CCN-Cert), que forma parte del CNI. Su recomendación es clara: evitar el uso de esta función en la medida de lo posible. “A lo largo de la historia se han identificado numerosas vulnerabilidades”, afirma el CCN-Cert sobre Siri en un informe titulado Guía práctica de seguridad de servicios de Contenido Relacionado (adsbygoogle = window.adsbygoogle || []).push();

Leer el resto de la noticia: El CNI alerta de la amenaza que supone Siri: "Personal externo a Apple accede a las grabaciones"

via Twitter https://twitter.com/PatrickCMiller

Vulnerabilidad zero-day en Java Spring

Fecha de publicación: 31/03/2022 Nivel de peligrosidad: CRÍTICO

El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de dos vulnerabilidades, una de ellas de tipo zero-day, que afecta a Java Spring.

Se ha hecho pública una vulnerabilidad de tipo zero-day que afecta al framework Spring Core Java, plataforma de código abierto que proporciona soporte de infraestructura integral para desarrollar aplicaciones Java, muy popular entre los desarrolladores de software.

Esta vulnerabilidad, catalogada como crítica, a la que se le ha denominado Spring4Shell y asignado el CVE-2022-22965, fue notificada el pasado 29 de marzo por esta web de ciberseguridad china.

Nueva Orleans declara "estado de emergencia" por ransomware

Nueva Orleans declara “estado de emergencia” por ransomware

Nueva Orleans declaró el estado de emergencia y apagó sus computadoras después de un evento de seguridad relacionado con ransomware, el último de una serie de estados atacados por delincuentes.

Se detectó actividad sospechosa alrededor de las 5 a.m.del viernes por la mañana. A las 8 a.m., hubo un aumento en esa actividad, que incluyó evidencia de intentos de phishing y ransomware, dijo Kim…

View On WordPress

Major Indian Business School Issues Blockchain Certs to Combat Fake Degrees

India’s top ten business school, SP Jain School of Global Management, has issued 1,189 blockchain-based certificates to graduands who recently obtained degrees and professional certifications. The certificates which are now live on the Ethereum blockchain will allow prospective employers and other parties to verify the authenticity of a job seeker’s educational qualifications without having to

The post Major Indian Business School Issues Blockchain Certs to Combat Fake Degrees appeared first on CCN

source https://www.ccn.com/major-indian-business-school-issues-blockchain-certs-to-combat-fake-degrees/ READ MORE http://bit.ly/2riSJzp

Major Indian Business School Issues Blockchain Certs to Combat Fake Degrees

India’s top ten business school, SP Jain School of Global Management, has issued 1,189 blockchain-based certificates to graduands who recently obtained degrees and professional certifications. The certificates which are now live on the Ethereum blockchain will allow prospective employers and other parties to verify the authenticity of a job seeker’s educational qualifications without having to … Continued

The post Major Indian Business School Issues Blockchain Certs to Combat Fake Degrees appeared first on CCN

from Cryptocracken WP https://ift.tt/2E9VsDX via IFTTT