When Security Takes a Backseat to Productivity

Posted on June 17, 2020 by Frank Cisco

“We must care as much about securing our systems as we care about running them if we are to make the necessary revolutionary change.” -CIA’s Wikileaks Task Force.

So ends a key section of a report the U.S. Central Intelligence Agency produced in the wake of a mammoth data breach in 2016 that led to Wikileaks publishing thousands of classified documents stolen from the agency’s offensive cyber operations division. The analysis highlights a shocking series of security failures at one of the world’s most secretive organizations, but the underlying weaknesses that gave rise to the breach also unfortunately are all too common in many organizations today.

The CIA produced the report in October 2017, roughly seven months after Wikileaks began publishing Vault 7 — reams of classified data detailing the CIA’s capabilities to perform electronic surveillance and cyber warfare. But the report’s contents remained shrouded from public view until earlier this week, when heavily redacted portions of it were included in a letter by Sen. Ron Wyden (D-Ore.) to the Director of National Intelligence.

The CIA acknowledged its security processes were so “woefully lax” that the agency probably would never have known about the data theft had Wikileaks not published the stolen documents online. What kind of security failures created an environment that allegedly allowed a former CIA employee to exfiltrate so much sensitive data? Here are a few, in no particular order:

Failing to rapidly detect security incidents.
Failing to act on warning signs about potentially risky employees.
Moving too slowly to enact key security safeguards.
A lack of user activity monitoring or robust server audit capability.
No effective removable media controls.
No single person empowered to ensure IT systems are built and maintained securely throughout their lifecycle.
Historical data available to all users indefinitely.

Substitute the phrase “cyber weapons” with “productivity” or just “IT systems” in the CIA’s report and you might be reading the post-mortem produced by a security firm hired to help a company recover from a highly damaging data breach.

A redacted portion of the CIA’s report on the Wikileaks breach.

DIVIDED WE STAND, UNITED WE FALL

A key phrase in the CIA’s report references deficiencies in “compartmentalizing” cybersecurity risk. At a high level (not necessarily specific to the CIA), compartmentalizing IT environments involves important concepts such as:

Segmenting one’s network so that malware infections or breaches in one part of the network can’t spill over into other areas.
Not allowing multiple users to share administrative-level passwords
Developing baselines for user and network activity so that deviations from the norm stand out more prominently.
Continuously inventorying, auditing, logging and monitoring all devices and user accounts connected to the organization’s IT network.

“The Agency for years has developed and operated IT mission systems outside the purview and governance of enterprise IT, citing the need for mission functionality and speed,” the CIA observed. “While often fulfilling a valid purpose, this ‘shadow IT’ exemplifies a broader cultural issue that separates enterprise IT from mission IT, has allowed mission system owners to determine how or if they will police themselves.”

All organizations experience intrusions, security failures and oversights of key weaknesses. In large enough enterprises, these failures likely happen multiple times each day. But by far the biggest factor that allows small intrusions to morph into a full-on data breach is a lack of ability to quickly detect and respond to security incidents.

Also, because employees tend to be the most abundant security weakness in any organization, instituting some kind of continuing security awareness training for all employees is a good idea. Some security experts I know and respect dismiss security awareness programs as a waste of time and money, observing that no matter how much training a company does, there will always be some percentage of users who will click on anything.

That may or may not be accurate, but even if it is, at least the organization then has a much better idea which employees probably need more granular security controls (i.e. more compartmentalizing) to keep them from becoming a serious security liability.

Sen. Wyden’s letter (PDF), first reported on by The Washington Post, is worth reading because it points to a series of continuing security weaknesses at the CIA, many of which have already been addressed by other federal agencies, including multi-factor authentication for domain names and access to classified/sensitive systems, and anti-spam protections like DMARC.

from Krebs on Security https://ift.tt/2Y91CwL
via IFTTT

7 Tips for Employers Navigating Remote Recruitment

Posted on June 17, 2020 by Frank Cisco

Hiring experts explain how companies should approach recruitment when employers and candidates are working remotely.

from Dark Reading: https://ift.tt/2ClwYbb
via IFTTT

Zoom Changes Course on End-to-End Encryption

Posted on June 17, 2020 by Frank Cisco

The videoconferencing company now says it will offer end-to-end encryption to all users beginning in July.

from Dark Reading: https://ift.tt/2UTNLsi
via IFTTT

Secure Your Home Wi-Fi Router

Posted on June 17, 2020 by Frank Cisco

The most effective steps you can take to secure your wireless network at home is to change the default admin password, enable encryption and use a strong password for your wireless network.

from SANS Institute Security Awareness Tip of the Day https://ift.tt/314imav
via IFTTT

Lazarus Group May Have Been Behind 2019 Attacks on European Targets

Posted on June 17, 2020 by Frank Cisco

Telemetry hints that the North Korean actor was behind major cyber-espionage campaign focused on military and aerospace companies, ESET says.

from Dark Reading: https://ift.tt/2Yfirq1
via IFTTT

What’s Anonymous Up to Now?

Posted on June 17, 2020 by Frank Cisco

The hacker group recently took credit for two high-profile incidents — but its actions aren’t quite the same as they once were, some say.

from Dark Reading: https://ift.tt/3149ZM7
via IFTTT

[webapps] OpenCTI 3.3.1 – Directory Traversal

Posted on June 17, 2020 by Frank Cisco

OpenCTI 3.3.1 – Directory Traversal

from Exploit-DB.com RSS Feed https://ift.tt/3fyoQCd
via IFTTT

[local] Code Blocks 17.12 – ‘File Name’ Local Buffer Overflow (Unicode) (SEH) (PoC)

Posted on June 17, 2020 by Frank Cisco

Code Blocks 17.12 – ‘File Name’ Local Buffer Overflow (Unicode) (SEH) (PoC)

from Exploit-DB.com RSS Feed https://ift.tt/3e6YcQF
via IFTTT

Kubermatic, anteriormente Loodse, abre el código fuente de su tecnología principal

Posted on June 17, 2020 by Frank Cisco

Loodse GmbH, un startup de Kubernetes con un papel notable en el ecosistema de código abierto, cambió su nombre a Kubermatic y lanzó una nueva versión de su plataforma de automatización de infraestructura bajo una licencia de código abierto.

Para quienes desconocen aún de Kubernetes, deben saber que este es el marco de referencia para administrar clústeres de contenedores de software en la empresa para que las aplicaciones puedan ejecutarse en una variedad de entornos informáticos.

Fue lanzado por Google en 2014 como un proyecto de código abierto al que Kubermatic, con sede en Alemania, que se lanzó en 2016, es uno de los mayores contribuyentes. Afirma ser uno de los «cinco principales compromisos corporativos» junto con VMware Inc., Microsoft Corp., Red Hat de IBM Corp. y el propio Google.

La plataforma Kubermatic Kubernetes insignia de la compañía a partir de esta mañana está disponible bajo una licencia gratuita de Apache 2.0.

El software proporciona una interfaz de administración unificada para administrar clústeres de Kubernetes en Amazon Web Services, Microsoft Azure, Google Cloud Platform y la infraestructura local. Lo utilizan empresas como Daimler AG, proveedores de internet y otras que, según afirma la startup alemana, ven una reducción de hasta un 72% en los «costos operativos asociados con las arquitecturas de Kubernetes».

“Ahora que somos Kubermatic de código abierto, también pensamos que las personas deberían entender nuestra visión y cuál es nuestro ADN. Es la automatización de Kubernetes, que ayuda a nuestros clientes a ahorrar realmente dinero en las operaciones de Kubernetes al automatizar tanto como sea posible en el nivel de operación, para que nuestros usuarios puedan realmente concentrarse en la creación de nuevas aplicaciones «,

La plataforma Kubermatic Kubernetes tarda unos minutos en instalarse en la infraestructura de una empresa. Una vez que todo está instalado, los administradores pueden comenzar a usar el software para escalar su clúster según la demanda de la aplicación, crear nuevos clústeres e implementar configuraciones de protección de datos.

La plataforma Open Source Kubermatic Kubernetes ofrece:

HA Kubernetes autorreparable en la arquitectura de Kubernetes basada en Kubernetes CRD y operadores para una gestión simplificada
Gestión automatizada del ciclo de vida con aprovisionamiento, escalado, actualización y limpieza de clústeres integrados con solo una llamada API
Gestión multiusuario y de usuarios con entornos preestablecidos para diferentes unidades organizativas
Identidad y gestión de claves SSH
Modelos de clúster, ajustes preestablecidos y complementos para el gobierno y la aplicación de políticas
Manejo automatizado de copias de seguridad de múltiples clústeres y múltiples nubes con ubicaciones de copia de seguridad personalizables
Registro y monitoreo de infraestructura con Prometheus y Grafana incorporados
Portal central de autoservicio a través de múltiples clústeres, múltiples nubes y múltiples regiones para ofrecer Kubernetes-as-a-Service en poco tiempo al mercado
Elección gratuita de la pila de infraestructura con soporte nativo de todos los principales proveedores de la nube, incluidos AWS, Google Cloud Platform y Microsoft Azure, así como entornos OpenStack y VMware vSphere
Gestión centralizada de aplicaciones en contenedores y virtualizadas con integración nativa de KubeVirt
Plano de control de clúster de usuario en contenedor con escalado automático de componentes del plano de control

La plataforma tiene un modo de alta disponibilidad que permite que los entornos de Kubernetes se recuperen de las interrupciones automáticamente.

Para las empresas que ejecutan grandes implementaciones con muchos componentes para administrar, la plataforma proporciona funciones de automatización para facilitar ciertas tareas de mantenimiento.

Los administradores pueden crear políticas para asegurarse de que la configuración de Kubernetes cumpla con los requisitos de seguridad internos. Los usuarios que necesitan funciones de seguridad más avanzadas también pueden conectar la plataforma a herramientas externas como Active Directory, la plataforma de administración de identidad ampliamente utilizada de Microsoft.

Kubermatic argumenta que hacer que el software sea más accesible al ofrecerlo de forma gratuita ayudará a abordar una creciente necesidad en el mercado.

«Después de una década de computación en la nube centralizada, la industria está al comienzo del próximo ciclo de computación descentralizada, ahora en el límite», dijo el director ejecutivo Sebastian Scheele. «Edge solo tendrá éxito con la automatización completa de la infraestructura y las aplicaciones».

La adición de una nueva solución de automatización al ecosistema de herramientas de código abierto en torno a Kubernetes fortalecerá en última instancia el atractivo empresarial del propio marco.

from Linux Adictos https://ift.tt/2URZY0z
via IFTTT

Las notas de voz llegan a Twitter

Posted on June 17, 2020 by Frank Cisco

Nos temíamos este momento, y ahora ha llegado: Twitter ya permite grabar notas de voz para publicarlas en forma de tweet, aunque por el momento es algo que no ha llegado a todos los usuarios. Sin embargo, algunos ya han comenzado a recibir esta nueva característica que está llegando a la plataforma.

El proceso es sencillo, y te lo vamos a enseñar a continuación, así como todo lo que, por el momento, se sabe acerca de esta nueva función que estrena la red social que, hasta ahora, no había implementado, ni siquiera en los mensajes privados. Y la verdad es que es algo que no sabemos si celebrar, o temer.

Twitter es una de las redes sociales más utilizadas en el mundo

Ya puedes publicar notas de voz en Twitter, pero sólo en iOS

Las notas de voz o los llamados coloquialmente “audios” han llegado a Twitter después de haber ido desfilando por una gran cantidad de redes sociales –como Instagram— y, en especial, de servicios de mensajería, en los que esta característica es algo imprescindible, que muchos usamos para enviar un mensaje largo o, simplemente, cuando no nos apetece escribir, por ejemplo, en WhatsApp. Y estoy seguro de que sabes de lo que te hablo.

Ahora, estas notas de voz están disponibles únicamente para los usuarios de iOS, ya que en Android, como suele pasar con muchas cosas, nos toca esperar, y añadirlas a un tweet es tan sencillo como adjuntar una foto o un vídeo, y, como pasa con estos dos elementos multimedia, se pueden combinar también con un tweet escrito que complete la información de lo que queremos transmitir.

En el timeline de Twitter, estas notas de voz aparecerán en un formato similar al del vídeo, en el que saldrá la foto de usuario de la persona que la haya subido, con un fondo a su alrededor y un botón de play. Algo simple, pero que permite que lo distingamos muy bien de un vídeo.

You can Tweet a Tweet. But now you can Tweet your voice!

Rolling out today on iOS, you can now record and Tweet with audio. pic.twitter.com/jezRmh1dkD

— Twitter (@Twitter) June 17, 2020

https://platform.twitter.com/widgets.js

¿Cómo se mandan notas de voz en Twitter?

El proceso de mandar notas de voz en Twitter es de lo más sencillo, ya que aparece como cualquier otro adjunto que quieras introducir en el tweet, y, concretamente, aparece junto al icono de cámara, no tiene pérdida. Una vez lo hayas seleccionado, aparecerá otra pantalla en la que debes pulsar el botón de grabar y comenzar a hablar para que lo que dices quede guardado y se adjunte al tweet de la manera en la que te hemos dicho antes.

Te recomendamos | Los mejores libros para aprender sobre redes sociales

Twitter, que siempre ha sido una red social más de leer que de reproducir contenido –aunque tiene soporte para audio, vídeo e incluso retransmisiones en directo– da un nuevo giro de tuerca a sus posibilidades, y progresa un poco en este sentido ofreciendo un formato más en el que sus usuarios pueden expresarse.

Entra en Andro4all para leer el artículo completo

Puedes unirte a nosotros en Twitter, Facebook o en Google+

¡Suscríbete a nuestro canal de YouTube!

Publicado recientemente en Andro4all

3 tipos de aplicaciones que muy probablemente son coladores de malware, ¡desinstala ya!

Todo lo que le falta a WhatsApp para ser perfecto

Este teléfono de Xiaomi es un claro ejemplo de que lo barato a veces sale caro

PlayStation 5 nos ha enseñado todo lo que está mal en Google Stadia

Por qué es mejor elegir un móvil con carga rápida que con buena batería

Redmi Note 9 Pro, análisis: el mejor de su clase… si sabes vivir con MIUI

¿Tu móvil está protegido? Mira estas 3 herramientas que te mantienen seguro en Internet

¿Actualizará mi móvil a Android 10? Lista completa y actualizada con los 219 modelos confirmados

La entrada Las notas de voz llegan a Twitter se publicó primero en Andro4all.

from Andro4all https://ift.tt/3ecDu1U
via IFTTT

Posted in Internet | Tagged Andro4all, android4all, IFTTT

Post navigation

← Older posts

Newer posts →

Andro4all

android

android4all

Android and Me

Androidsis

apple

Blockchain y criptomonedas

Centro Nacional De Huracanes (Atlántico)

CES2015

clima

cnn

CNNExpansion.com

cnnmexico

Covid-19

Criptomoneda

CriptoNoticias – Bitcoin

Cult of Android

Cybersecurity

Dark Reading:

Data and computer security | The Guardian

Digg

Digital Trends Español

earthquakes

EL PAÍS Edición México: el periódico global en EL PAÍS

eluniversal

El Universal: Computación

Engadget en español - RSS Feed

Engadget RSS Feed

expansion.mx

Expansión - Tecnología

Expansión | Rss

Exploit-DB.com RSS Feed

F1

Facebook

Forbes - Tech

Fotos

Gear

Gear Latest

Google

GSMArena

GSMArena.com - Latest articles

IA

IFTTT

IFTTT IA

Instagram

intemet

Internet

Krebs on Security

Latest from TechRadar

Linux

Linux Adictos

Minecraft

Motorsport.com - Formula 1 - Stories

Naked Security

NASA

Netflix

New On Netflix USA

Noticias

NYT

PAHO/WHO | Pan American Health Organization

reddit

Redes sociales | Digital Trends Español

SANS Institute Security Awareness Tip of the Day

Tecnlogia

Tecnología

Tendencias

Tendencias – Digital Trends Español

tweeter

Weather

WeLiveSecurity

WIRED

Wired en Español

WIRED » Gear

Xataka

Xataka Android

Categories
Categories

Twitter Updates
Tweets by fcarmona
June 2020

S M T W T F S

1 2 3 4 5 6

7 8 9 10 11 12 13

14 15 16 17 18 19 20

21 22 23 24 25 26 27

28 29 30

« May Jul »
Blog Stats

1,087,046 hits

Archives
Archives
Meta

Create account

Log in

Entries feed

Comments feed

WordPress.com

Pacosite's Blog

Comunicaciones, Linux, Tecnología e Internet

Monthly Archives: June 2020

When Security Takes a Backseat to Productivity

DIVIDED WE STAND, UNITED WE FALL

7 Tips for Employers Navigating Remote Recruitment

Zoom Changes Course on End-to-End Encryption

Secure Your Home Wi-Fi Router

Lazarus Group May Have Been Behind 2019 Attacks on European Targets

What’s Anonymous Up to Now?

[webapps] OpenCTI 3.3.1 – Directory Traversal

[local] Code Blocks 17.12 – ‘File Name’ Local Buffer Overflow (Unicode) (SEH) (PoC)

Kubermatic, anteriormente Loodse, abre el código fuente de su tecnología principal

Las notas de voz llegan a Twitter

Ya puedes publicar notas de voz en Twitter, pero sólo en iOS

¿Cómo se mandan notas de voz en Twitter?