17 de septiembre de 2019

iOS 13. Llega con regalo incluido, bug para ‘bypassear’ la pantalla de bloqueo del iPhone.

El día 19 de septiembre saldrá la versión 13 del sistema operativo de Apple para móviles iOS. En principio parecen buenas noticias pero cuidado, iOS 13 contiene una vulnerabilidad que podría permitir eludir la protección de la pantalla de bloqueo de tu iPhone y acceder a información confidencial.
Jose Rodríguez, un investigador de seguridad español, se puso en contacto con The Hacker News y reveló que descubrió un error que permite saltar las restricciones de la pantalla de bloqueo de iOS 13 dejando acceder a la lista completa de contactos de iPhone, así como a la información guardada de los mismos.
Mediante VoiceOver puedes navegar por mucho contenido del iPhone a partir de ese agujero, incluso puedes llegar a conocer a qué Apple ID está vinculado el iPhone..
Lo reporté a Apple y Apple lo arregló sin decir nada, sin mencionarlo en el contenido de seguridad de iOS 12.1.1 https://t.co/H4mOyrnzx5
— Jose Rodriguez (@VBarraquito) December 5, 2018
Jose comunicó a The Hacker News que descubrió el nuevo error en la pantalla de bloqueo de su iPhone que ejecuta la versión beta de iOS 13 y lo reportó a Apple el 17 de julio.
Sin embargo, Apple no reparó el error incluso después de haber sido informado hace meses, y el bypass sigue siendo posible de ejecutar en la versión Gold Master (GM) de iOS 13, la versión final del software que se lanzará el próximo 19 de septiembre.
¿Cómo funciona el bloqueo de pantalla de iOS 13 en el iPhone?
El error permite a cualquier persona con acceso físico al iPhone de un objetivo engañar al smartphone para que le conceda acceso a la lista completa de contactos almacenados, así como información detallada para cada contacto individual, incluidos sus nombres, números de teléfono y correos electrónicos, todo ello utilizando únicamente una llamada de FaceTime.
Este último hack de bloqueo de pantalla de iPhone es similar al que Rodríguez descubrió el año pasado en iOS 12.1, que permite saltarse la pantalla de bloqueo de un iPhone específico utilizando la función integrada VoiceOver.
Para demostrar el nuevo bug, Rodríguez compartió un video con ‘The Hacker News’, demostrando cómo funciona el hack y lo simple que es incluso para cualquier usuario que no entienda mucho de nuevas tecnologías.
El error consiste en realizar una llamada de FaceTime en el iPhone del objetivo y luego acceder a la función VoiceOver de Siri para obtener acceso a la lista de contactos, así como a toda la información guardada de estos contactos.
Sin embargo, es probable que Apple repare este problema en la próxima versión iOS 13.1, que se espera que llegue al público el 30 de septiembre. Todos los usuarios deberían parchear sus dispositivos iPhone a finales de mes.
Hasta entonces, se recomienda a los usuarios de iPhone que no dejen su teléfono desatendido, al menos en lugares públicos y de trabajo.
Más información
Bypass similar del año pasado:
Fuente: Hispasec

ALESA. Bypass mediante SQL Injection

Si hay algo que los usuarios de las nuevas tecnologías se están viendo obligados a comprender actualmente, es que casi todo lo que nos rodea puede ser vulnerado de manera que quien lleva a cabo el ataque tenga acceso a nuestros datos personales e información privada, Esta vez ha sido el turno de Alexa, uno de los productos estrella de Amazon.
Ya en 2018 aparecieron noticias acerca de un fallo de seguridad de Alexa que permitía al dispositivo grabar las conversaciones de los usuarios por error debido a una incorrecta implementación de la funcionalidad de activación por voz. En esta ocasión la vulnerabilidad no se encuentra en Alexa en sí, sino en las aplicaciones que instalamos en el dispositivo.
El investigador Tal Melamed, director de seguridad y hacking ético de Protego, ha descubierto que es posible vulnerar aplicaciones instaladas en Alexa mediante la técnica de inyección SQL (SQLi en inglés) si éstas no realizan una correcta validación de datos . Lo único que tendría que hacer el usuario malicioso sería ejecutar comandos por voz (en lugar de por teclado, como es lo usual) utilizando traducciones de texto para obtener acceso a las aplicaciones con fallas de seguridad y que contienen información sensible.
En un vídeo donde se muestra cómo es posible explotar la vulnerabilidad, Tel Melamed lleva a cabo una pequeña PoC mediante la traducción de palabras y números. En el vídeo el investigador utiliza una aplicación y una base de datos SQL desarrolladas por él mismo, pero se debe tener en cuenta que estamos ante un caso que podría tratarse de cualquier aplicación que exija un número de cuenta bancaria o un texto particular como método único de identificación.
Los pasos seguidos en el vídeo son los siguientes:
1)Tel Melamed intenta acceder a la cuenta del usuario administrador, para lo cual no está autorizado.
2)Alexa deniega la solicitud.
3)El investigador evade la denegación de Alexa proporcionando un número aleatorio junto a sintaxis que ejecutará la inyección SQL.
4)Cuando al investigador se le solicita un identificador de cuenta (ID) simplemente responde con un número aleatorio y «or/true», lo cual le concede el acceso a cualquier línea de la base de datos.
5)Alexa da al investigador la información del balance de la cuenta de administrador para la cual Tel Melamed no tenía acceso autorizado.
En cuanto a las medidas de protección ante esta vulnerabilidad, lo que el usuario puede hacer es poco ya que la brecha se encuentra en la aplicación, y para solventarla los desarrolladores deberían llevar a cabo la adopción de medidas como una correcta validación de los datos de entrada, un método que solucionaría muchos (si no todos) los problemas causados por las inyecciones de comando maliciosas, vulnerabilidad que se encuentra en el puesto número uno del Top 10 de OWASP en su último informe de 2017.
Recomendación
Desde Hispasec Sistemas recomendamos a los usuarios que, además de elegir contraseñas robustas, sean cuidadosos a la hora de usar aplicaciones que nos solicitan información confidencial como el número de cuenta bancaria. Siempre hay que descargar este tipo de aplicaciones desde markets oficiales y asegurarnos de que están verificadas y autorizadas por la entidad de la que formamos parte.
Más información:
Fuente: Hispsaec

16 de septiembre de 2019

La conversión de Rivera a hombre de estado.

Erase una vez Rivera soñando, cabalgando junto con Casado, Abascal y Esparza, en busca de anticonstitucionalistas, rojos, independentistas, nacionalistas,  y demás gente, de supuestamente mal vivir, cuando una luz cegadora procedente de encuestas le deslumbró y le descabalgó.
Esa misma noche, se le encendió la bombilla y pensando que se le había ocurrido a él mismo, exclamó, ¡Eureka!, y de la noche a la mañana se convirtió en un hombre de estado, para que digan que los milagros no existen.
Y luego, por arte de magia, como si el desbordante torrente de conocimientos los hubiese tenido retenidos, cual embalse de agua dulce, hasta el minuto previo a la bajada del telón de la legislatura actual, antes que se convocasen nuevas Elecciones Generales, y temeroso de quedarse como único integrante del partido naranja, empezó a ofrecer soluciones a diestro y siniestro de todos los problemas que tiene el país, a su manera claro, “vosotros no sabéis, quitaros y dejadnos a nosotros, los sapientísimos salvapatrias de derechas ”.
Y parece ser que el asunto era como un virus contagioso, porque en reunión nocturna, (debió ser un problema que surgía por falta de luz solar, los científicos seguían investigando el asunto), se lo trasmitió a Casado, que ya tenía algo de experiencia al respecto y quedaron ambos dos convertidos en hombres de estado por la gracia de Dios, con el mismo lema anterior, “vosotros no sabéis, quitaros y dejadnos a nosotros, los 4 magníficos salvapatrias de  derechas ”.  Y después se despertó. ¡Hay que ver! 
 Esperemos y deseemos que todos los dirigentes de derechas queden de verdad abducidos, no como en el cuento anterior, por los principios democráticos del respeto a todos los españoles, independientemente de sus ideas, políticas, sociales o religiosas, tal y como dice la Constitución.
Post Data
Felicidades a los campeones del mundo de basket.
Y a los argentinos deciros que lamentablemente solo puede ganar un equipo, pero que junto a los españoles somos las dos mejores selecciones de baloncesto del mundo.

13 de septiembre de 2019

INTEL. Nuevo ataque contra CPUs de la firma

Investigadores de la universidad de Vrije de Amsterdan descubren una nueva vulnerabilidad en las CPUs de Intel, que puede ser explotada remotamente sin necesidad de acceso físico o malware instalado en la máquina objetivo.
Bautizada como NetCAT (Network Cache ATtack), esta vulnerabilidad permite a un atacante remoto averiguar información sensible a través de la cache de las CPUs de Intel.
La vulnerabilidad con identificador CVE-2019-11184 se encuentra en una capacidad de estas CPUs llamada DDIO (Data Direct I/O), que por diseño permite a dispositivos y periféricos de una red acceder a la cache de dichas CPUs.
Esta capacidad está activada por defecto en todas las CPUs de Intel usadas en servidores, como son los procesadores de la familia Xeon E5, E7 y SP.
Según los investigadores, el ataque NetCAT funciona de forma similar a Throwhammer, en el sentido de que se envían paquetes de red especialmente diseñados a una máquina destino que tiene activado RDMA (Remote Direct Memory Access).
RDMA permite a un usuario malicioso espiar las acciones de aquellos dispositivos que hagan uso de esta tecnología, como puede ser una tarjeta de red. Esta técnica se consigue mediante la observación de las diferencias de tiempo entre un paquete de red que es ofrecido desde la cache de procesador y otro que es ofrecido desde la memoria.
La idea es llevar a cabo un análisis del tiempo de las pulsaciones realizadas por la víctima usando un algoritmo de inteligencia artificial. El equipo de Vrije logró una tasa de acierto del 85% en sus pruebas, en las que se recuperó una credencial SSH a través de la red.
Intel por su parte ha reconocido el problema y recomienda a los usuarios afectados desactivar DDIO o al menos RDMA para hacer este tipo de ataques más complicados. También se sugiere limitar el contacto de los servidores vulnerables con redes de poca confianza.
Más Información:
Fuente: Hispasec

GOOGLE. Halla un ciberataque masivo que ha infectado miles de iPhones

El gigante ha descubierto una serie de páginas web infectadas que descargaban malware iOS cada vez que un dispositivo accedía a ellas. Aunque Apple lanzó un parche el pasado 7 de febrero, los datos de los aparatos comprometidos ya han sido robados. Todavía no se sabe quién es el responsable
  • El malware era capaz de robar contraseñas, mensajes cifrados y contactos
  • No está claro quién ideó la campaña de hackeo ni quién era el objetivo
  • Quienes han actualizado su iPhone, están protegidos
El mayor ciberataque conocido contra los usuarios de iPhone duró al menos dos años y afectó a miles de personas, según una investigación publicada por Google.
El malware podía acceder a cualquier iPhone para robar contraseñas, mensajes cifrados, ubicación, contactos y otra información confidencial. Luego, los datos se enviaban a un servidor de comando y control que los hackers utilizaban para ejecutar la operación. El alcance, la ejecución y la duración de este ciberataque sin precedentes apuntan a una posible operación respaldada por algún gobierno, pero la identidad de los hackers y sus objetivos todavía se desconoce.
"Los datos que han robado son los 'jugosos'. Si se toman todas las contraseñas, datos de ubicación, chats, contactos, etcétera, se puede construir una red en la sombra con las conexiones de todas las víctimas. Seguramente en ella se podrán encontrar objetivos interesantes con seis grados de separación", explica el autor de tres libros sobre el funcionamiento interno de los sistemas operativos de Apple Jonathan Levin.
Apple parcheó rápidamente el error en febrero de 2019, así que todos los que hayan actualizado su iPhone desde entonces están protegidos. Pero, aunque al reiniciar el iPhone se borra el malware, los previos datos ya fueron robados. Y todavía no se sabe exactamente quienes han sido los usuarios afectados. Las víctimas probablemente no serán conscientes porque el malware se ejecuta en un segundo plano sin indicador visual y no hay forma de que un usuario de iOS vea qué procesos se están ejecutando en su dispositivo.
En enero de 2019, el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google, compuesto por especialistas en contraespionaje, descubrió una serie de páginas web hackeadas que introducían el malware a miles de visitantes por semana. La táctica se conoce como ataque tipo pozo: los hackers infectan con malware páginas web cuidadosamente seleccionadas y esperan a que lleguen los visitantes para acabar infectados. Basta con visitar la página para descargar el malware.
Entre los hallazgos de Google figuran cinco "cadenas de explotación" ejecutadas en un período de años y 14 vulnerabilidades, de las cuales, al menos una era de día cero. Este término describe un error explotable no descubierto por una empresa como Apple. Cuando una cadena de explotación se quedaba inutilizada por un parche de Apple, el hacker pasaba rápidamente a la siguiente.
TAG transmitió la información a Apple, quen lanzó el parche 12.1.4 de iOS el 7 de febrero con la solución, así como a otros dentro de Google. El Proyecto Cero de Google, el equipo de análisis de seguridad de la compañía, lleva los últimos siete meses diseccionando estos errores.
El experto de Google Ian Beer detalla "No hubo discriminación de objetivos; bastaba con visitar la página hackeada para que el servidor atacara el dispositivo, y si tenía éxito, instalaba un implante de control. Calculamos que estas páginas web reciben miles de visitantes por semana".
No está claro quién acabó afectado. El Proyecto Cero de Google no ha revelado esta información ni las páginas web infectadas. Parece poco probable que Apple y Google tengan un recuento completo de las víctimas, pero podría haber otras pistas, como las poblaciones que suelen visitar páginas web infectadas.
Entonces, ¿quién está detrás de esto? Existe toda una industria de hackeo ofensivo que crea y vende herramientas de hackeo a gobiernos y empresas de todo el mundo. El más famoso es NSO Group, pero sus herramientas también han sido atacadas. Levin cree que las señales apuntan a que hay un estado detrás de este ataque, ya que el modelo utilizado no está dentro del alcance típico de un pequeño hacker o empresa.
La revelación se ha propagado instantáneamente por toda la industria de la ciberseguridad. "Esta es la primera vez que se demuestra que tales vulnerabilidades se utilizan de forma masiva, indiscriminadamente como 'red de pesca' contra cualquier persona desprevenida que visa páginas web infectadas", afirma Levin. Una de las víctimas más notables del malware para iPhone es el activista de derechos humanos conocido mundialmente y encarcelado por criticar al Gobierno de Emiratos Árabes Unidos, Ahmed Mansoor, apodado como "el disidente de un millón de dólares" debido al alto coste del malware que se utilizó para hackear su iPhone y espiarlo.
Hasta ahora, el uso de estas armas era poco común y siempre estaba muy dirigido, dado su alto coste. Atacar el sistema operativo iOS de Apple, el software del iPhone y también del iPad, es un proceso complejo y costoso. "Atacar el iOS requiere evadir y atravesar las enormes y múltiples capas de defensa de Apple", explica Levin. El descubrimiento de Google tira por tierra algunas de esas suposiciones.
También alterará las percepciones sobre la seguridad de los iPhones. Las personas de alto riesgo, como periodistas, abogados y activistas, usan iPhone con la esperanza de que estos dispositivos proporcionen una defensa real contra los hackers que, en algunos casos, pueden suponer una amenaza de vida o muerte.
Beer concluye: "Los usuarios reales toman decisiones de riesgo basadas en la percepción pública de la seguridad de estos dispositivos. Pero la realidad es que las protecciones de seguridad nunca eliminarán el riesgo de ataque si somos un objetivo".
Fuente: MIT Technology Review

MOZILLA. Lanza servicio VPN ‘Firefox Private Network’ como extensión del navegador

Mozilla ha lanzado oficialmente un nuevo servicio VPN centrado en la privacidad, llamado Firefox Private Network , como una extensión del navegador que tiene como objetivo cifrar su actividad en línea y limitar lo que los sitios web y los anunciantes saben sobre usted.
El servicio Firefox Private Network se encuentra actualmente en versión beta y solo está disponible para usuarios de escritorio en los Estados Unidos como parte del programa «Firefox Test Pilot» recientemente eliminado de Mozilla, que permite a los usuarios probar nuevas funciones experimentales antes de su lanzamiento oficial.
El programa Firefox Test Pilot fue lanzado por primera vez por la compañía hace tres años, pero se cerró en enero de este año. La compañía ahora decicidió recuperar el programa pero con algunos cambios.
«La diferencia con el programa Test Pilot recientemente relanzado es que estos productos y servicios pueden estar fuera del navegador Firefox y estarán mucho más pulidos, y solo un paso por debajo del lanzamiento público general».
Marissa Wood, vicepresidenta de producto en Mozilla
Desde la empresa aseguran que su red privada de Firefox «proporciona una ruta segura y encriptada a la web para proteger su conexión y su información personal en cualquier lugar y en cualquier lugar donde use su navegador Firefox».
El servicio VPN de red privada de Firefox también encripta y canaliza cada una de las actividades de navegación de Internet suyas a través de una colección de servidores proxy remotos, enmascarando así su ubicación y bloqueando a terceros, incluidos el gobierno y su ISP, para que no espíen su conexión.
Cloudflare, la compañía que ofrece uno de los servicios de protección CDN, DNS y DDoS más grandes y rápidos, proporciona los servidores proxy reales para la extensión Firefox Private Network.
«Cloudflare solo observa una cantidad limitada de datos sobre las solicitudes HTTP / HTTPS que se envían al proxy de Cloudflare a través de navegadores con una extensión activa de Mozilla».
Cloudflare
Como registrarse en el servicio VPN de Firefox:
Firefox Private Network actualmente solo funciona en computadoras de escritorio, pero se cree que también estará disponible para usuarios móviles, una vez que la VPN salga de la versión beta.
Aunque el servicio Firefox Private Network es actualmente gratuito, Mozilla insinuó que la compañía está explorando posibles opciones de precios para el servicio en el futuro para mantenerlo en forma sostenible.
Por ahora, si tiene una cuenta de Firefox y reside en los Estados Unidos, puede probar el servicio VPN de Firefox de forma gratuita registrándose en el sitio web de la red privada de Firefox.
Más información:
·         Mozilla launches a VPN, brin gs back the Firefox Test Pilot program https://techcrunch.com/2019/09/10/mozilla-launches-a-vpn-brings-back-the-firefox-test-pilot-program/
Fuente: Hispasec

MALWARE. Que utiliza el servicio BITS de Windows para robar datos

Investigadores de ciberseguridad han descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware utiliza el servicio background intelligent transfer service (BITS) para el envío de datos en segundo plano al servidor controlado por el atacante.
El grupo Stealth Falcon, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).
Win32/StealthFalcon se comunica y envía los datos recopilados a los servidores de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).
BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software en Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware.
Según investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este malware puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.
Pero la puerta trasera Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS.
Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.
Como explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.
Más información:
Fuente: Hispasec

PRIVACIDAD. Aplicaciones de control del ciclo menstrual comparten información sexual muy sensible con Facebook

Información extremadamente sensible, como el uso de métodos anticonceptivos, periodicidad de la actividad sexual, posibles síntomas recurrentes durante distintas etapas del ciclo menstrual como calambres o inflamaciones, están siendo compartidas con Facebook, contraviniendo la normativa vigente sobre los derechos a la privacidad de los usuarios.
Una investigación de la organización sin ánimo de lucro Privacy International, afincada en Londres, revela cómo las aplicaciones de control del ciclo menstrual más descargadas en las distintas app stores están compartiendo con Facebook, contraviniendo la normativa europea vigente sobre privacidad, datos extremadamente sensibles acerca de la salud de los usuarios. Según la investigación, estas aplicaciones comparten directamente información sensible con la popular compañía, independientemente de si el usuario tiene o no cuenta de Facebook o si está conectado a un perfil.
Estas aplicaciones se utilizan comúnmente para controlar el ciclo menstrual, pero también para definir – tal y como las propias aplicaciones anuncian – cuál es el periodo más fértil del ciclo, por lo que sería posible incluso conocer si una persona está monitorizando esta información y, por tanto, inferir si está intentando un embarazo.
En aras de definir dicho periodo de máxima fertilidad, este tipo de aplicaciones demandan a la usuaria que facilite información muy sensible, como los días concretos en los que ha mantenido relaciones sexuales, fechas de los períodos menstruales, síntomas emocionales o físicos, etcétera.
La organización Privacy International descubrió, a través de un análisis de las peticiones que estas aplicaciones realizaban, que se estaba compartiendo información no sólo con Facebook sino con más servicios de terceros.
Fuente: thehackernews.com
La información es compartida a través del propio software de kit de desarrollo (SDK) de las aplicaciones y es utilizada, entre otras cosas, para generar ingresos a través del posterior desarrollo de anuncios personalizados en función de la información recogida.
El informe, que puede leerse en este enlace, muestra cómo el consentimiento para el uso de estos datos es extremadamente ambiguo, desinformado o no explícito. Desde un punto de vista jurídico, esto podría implicar la concurrencia de la figura legal del consentimiento viciado. La condición de consentimiento viciado puede resolverse con la nulidad del consentimiento, que invalidaría a su vez los términos del contrato y supondría la reparación civil a los usuarios damnificados y el inicio de un proceso penal si se determina la existencia de un delito contra el derecho a la privacidad.
«La confidencialidad se encuentra tan en el corazón de la deontología y la ética médicas que, tradicionalmente, los países que han legislado la protección de datos han legislado como un régimen aparte todo aquello que tenía que ver con datos relativos a la salud, por considerarlos datos especialmente sensibles que requerían un tratamiento especializado y más restrictivo.
Nuestra investigación pone de manifiesto que las aplicaciones auditadas están en graves apuros respecto de sus obligaciones legales para con la legislación europea (GDPR), especialmente en lo tocante a consentimiento y tansparencia»
Informe Técnico de International Privacy, al que aludíamos anteriomente en el enlace proporcionado.
Las aplicaciones que han estado compartiendo información sensible – algunas no han contestado a las preguntas de Privacy International- son las siguientes:
·        Maya – propiedad de la empresa india Plackal Tech, 5 millones de descargas.
·        MIA Fem: Ovulation Calculator – por la empresa chipriota Mobapp Development Limited, 1 millón de descargas.
·        My Period Tracker – propiedad de Linchpin Health, 1 millón de descargas
·        Ovulation Calculator: propiedad de PinkBird, más de 500.000 descargas
·        Mi Calendario: por Grupo Familia, con más de 1 millón de visitas.
Al respecto, Maya ha confirmado a Privacy International que su aplicación ya ha eliminado completamente las funcionalidades relativas al núcleo del SDK de Facebook y las analíticas. Además, han actualizado su versión de la aplicación a la 3.6.7.7, que ya está disponible en la app store. Por su parte Pink Bird ha declarado que investigarán si se están recopilando datos privados de usuarios y que, de ser así, los eliminarán inmediatamente.
Facebook se escuda en que sus términos exigen a cada desarrollador que interactúe con su plataforma, que sea extremadamente claro con el propósito y metodología en la recogida y tratamiento de datos de usuario. Recuerdan además que sus términos prohíben – pese a que han estado aprovechando la recolección de estos datos durante años – compartir información relativa a la salud o el estado financiero de los clientes.
Más información:
Fuente: Hispasec

HUAWEI. Presenta Kirin 990 5G, su primer procesador móvil con módem 5G integrado

Huawei ha presentado en el marco de IFA 2019 en Berlín su nueva serie de procesadores móviles Kirin 990, que consta de una versión con módem 5G integrado, y ha adelantado que estará presente en su 'smartphone' Mate 30.
El CEO del negocio de Tecnologías de Consumo de Huawei, Richard Yu, ha presentado "la mejor solución 5G de la industria para ahora y para el futuro", el procesador móvil Kirin 990 5G para la gama de dispositivos 'premium'.
Este 'chip' integra el procesador y el módem 5G en un dispositivo en lo que se presenta como un "salto revolucionario en 5G e Inteligencia artificial", como han indicado desde la compañía. Es de pequeño tamaño, y ocupa un 36 por ciento de espacio menos que el chip de Samsung Exynos 9825 con módem Exynos 5100.
Ha sido fabricado con un proceso FInFET de 7 nanómetros con tecnología de litografía ultravioleta extrema (EUV), e introduce dos unidades de procesamiento neural (NPU) fabricadas con arquitectura Da Vinci, que permite menor latencia en la comunicación con la nube, lo que ha llevado a la compañía a hablar de Mobile AI 2.0.
Kirin990 5G cuenta con 10.300 millones de transistores, es compatible con redes SA y NSA, y soporta dos tarjetas SIM, una de ellas con conectividad 5G. Asimismo, integra la unidad gráfica Mali G76 con 16 núcleos, que incrementa un 6 por ciento el rendimiento y un 20 por ciento la eficiencia energética en comparación con el procesador Snapdragon 855 de Qualcomm.
La CPU, por su parte, está compuesta por dos núcleos Cortex A76 a 2,86GHz, dos núcleos Cortex A76 a 2,36GHz y cuatro núcleos Cortex A55 a 1,95GHz, que incrementan la eficiencia energética respecto a Snapdragon 855 en un 12%, 35% y 15%, respectivamente.
Asimismo, este chip con módem 5G integrado ofrece velocidades "superrápidas". Así, y según ha señalado el directivo, ofrece velocidades de descarga 5G NR de hasta 2,3Gbps y de subida de hasta 1,25Gbps.
Yu ha informado de que Kirin 990 5G contará con una versión sin conectividad 5G (Kirin 990), y ha adelantado que esta serie de procesadores móviles estará integrada en su próximo 'smartphone', Huawei Mate 30, que la compañía presentará el 19 de septiembre en un evento en Múnich (Alemania).
Fuente: Europa Press

INSTAGRAM. Soluciona vulnerabilidad en los contactos de los usuarios.

Instagram asegura haber solucionado una vulnerabilidad descubierta recientemente en su sistema para importar contactos que permitía extraer datos personales de los usuarios y sus cuentas como sus nombres, números de cuenta y de teléfono.
Según ha informado Forbes, el fallo de seguridad en cuestión fue descubierto originalmente por el hacker israelí @ZHacker13, que aseguró que explotar esta vulnerabilidad por parte de actores maliciosos podría permitir utilizar un ejército de bots para constituir bases de datos con información personal.
La vulnerabilidad en cuestión residía en el importador de contactos de Instagram, una herramienta presente en la página de identificación de la red social, y en los mecanismos que utiliza para sincronizar la cuenta con otros sistemas de identificación, como el teléfono o el correo.
A través de un algoritmo que efectuase un ataque de fuerza bruta, el 'hacker' israelí probó que era posible obtener mil números de teléfonos de usuarios al día, y utilizar esta información para crear nuevos perfiles y, a través de la herramienta de sincronización, obtener los datos personales del mismo.
Aunque Instagram solo permite un máximo de tres intentos fallidos de inicio de sesión al día, resultaba posible utilizar una red de bots que explotaran esta vulnerabilidad de forma masiva y se hacerse con datos como nombres, números de cuenta y de teléfono de los usuarios.
LA BRECHA, SOLUCIONADA POR INSTAGRAM
Un portavoz de Instagram ha asegurado en declaraciones a Europa Press que la brecha de seguridad ya ha sido solucionada. "Hemos hecho un cambio en el importador de contactos de Instagram para prevenir el tipo de abuso descubierto por el investigador", ha explicado el portavoz.
Además, la empresa ha recordado que "es común que las compañías tecnológicas trabajen con investigadores a ayudar problemas de sus productos a través de sus programas de recompensas", y ha asegurado que el descubridor del problema será recompensado por su ayuda.
El director de Tecnología de la compañía de ciberseguridad Bitglass, Anurag Kahol, ha emitido un comentario destacando que "cuando las personas crean perfiles de usuario para un servicio determinado, confían en que sus datos personales se mantendrán seguros".
"Aunque no hay indicios de que las credenciales se hayan filtrado o de que los hackers hayan robado datos, los usuarios podrían haber visto sus cuentas y su información expuestas si un especialista externo a la compañía no hubiera encontrado el problema e intervenido", ha denunciado Kahol, reclamando un enfoque de seguridad proactivo de las empresas.
Fuente: Europa Press

ANDROID versión 10. Con modo oscuro, control por gestos y características de accesibilidad

La nueva versión del sistema operativo móvil de Goole, Android 10, ya es oficial, con características enfocadas a la accesibilidad y una mejora en el control que el usuario puede ejercer sobre la privacidad de sus datos.
Android 10 dispone desde este martes de su propia página en la web de Android, donde la compañía ha resaltado las características más destacadas de esta actualización: accesibilidad, privacidad, navegación por gestos y modo oscuro.
Algunas de las novedades en accesiblidad las protagonizan una serie de herramientas para la comunicación inclusiva que la compañía ya dio a conocer en mayo durante su conferencia anual de desarrolladores, Google I/O.
Se trata de herramientas que permiten a las personas sordas o con discapacidad auditiva leer en pantalla lo que otra persona dice cuando le habla, en tiempo real, con Live Transcribe. O leer subtítulos automáticos en los vídeos con Live Caption.
Pero también incluye otras, como la amplificación de sonido, que filtra el ruido ambiente y amplifica el sonido según frecuencias personalizadas por el usuario. O Smart Reply, que recomienda acciones a las propuestas de los contactos a través de los servicios de mensajería.
Android 10 también potencia las herramientas de bienestar y gestión de uso de móvil, con la introducción del modo 'Focus', que permite seleccionar las aplicaciones que más distraen al usuario y silenciarlas.
Asimismo, con la función Family Link, los padres podrán tener más control sobre el uso que sus hijos hacen de los 'smartphones', ya que enlaza los dispositivos con la aplicación de Bienestar.
Las mejoras que introduce Android 10 también están relacionadas con la privacidad y la seguridad. En este sentido, el 'smartphone' recibirá los parches más importantes directamente desde Google Play, tan pronto como estén disponibles.
También permitirá al usuario establecer cuándo quiere compartir su localización con otras aplicaciones (siempre, en uso, nunca), elegir qué información de uso web y aplicaciones se almacena y durante cuánto tiempo, y desactivar la personalización de anuncios.
Los ajustes sobre cuestiones de privacidad, además, se han unificado en un nuevo apartado, para que todas las opciones estén en un mismo lugar.
Android 10 también introduce el modo oscuro, que afecta a la apariencia de las aplicaciones de Google, como Calendario o Photos, y permite, además, optimizar batería.
Otra de las novedades destacadas de esta versión de Android es el control por gestos que permitirá realizar acciones de forma intuitiva, como cambiar de una aplicación a otra con solo arrastrar el dedo por la pantalla de izquierda a derecha, o viceversa; regresar a lo anterior al arrastrar desde el lateral izquierdo al centro de la pantalla; o volver a la página principal al empujar la aplicación hacia desde la parte inferior al centro de la pantalla.
Fuente: Europa Press

WINDOWS SERVER 2008. Fin de soporte pone en riesgo las aplicaciones empresariales.

En enero del próximo año llegará el fin del soporte para Windows 7, pero también para el sistema operativo de servidores empresariales Windows Server 2008, lo que supone que dejará de haber actualizaciones de seguridad, dejando la puerta abierta a graves riesgos de seguridad.
Windows Server 2008 y Server 2008 R2 se acercan al final de su periodo de soporte oficial, cuyo soporte técnico dejará de funcionar el 14 de enero de 2020, como recuerdan desde la compañía de ciberseguridad Trend Micro, en un comunicado.
Muchas empresas siguen confiando en Windows Server 2008 para las funciones básicas de su negocio, como Directory Server, File Server, DNS Server y Email Server. Las organizaciones dependen de estas cargas de trabajo para aplicaciones empresariales críticas y para soportar sus servicios internos como Active Directory, File Sharing y alojamiento de sitios web internos.
La historia, como recuerdan desde Trend Micro, no es nueva. El 14 de julio de 2015, el sistema operativo de servidor ampliamente desplegado, Windows Server 2003, de Microsoft, llegó al final de su vida útil después de casi 12 años de soporte. Para millones de servidores empresariales, esto significó el fin de las actualizaciones de seguridad.
Nueve meses después de la fecha de finalización de soporte oficial, el 42 por ciento de las organizaciones indicó que seguiría utilizando Windows Server 2003 durante seis meses o más, mientras que el 58 por ciento restante aún estaba en proceso de migración desde Windows Server 2003 (Osterman Research, abril de 2016).
Es probable que ocurra lo mismo con Server 2008, lo que significa que muchas aplicaciones críticas continuarán residiendo en Windows Server 2008 durante los próximos años, a pesar del gran aumento del riesgo de seguridad.
Por ello, como explican desde la compañía de ciberseguridad, el fin del soporte para un sistema operativo como Windows Server 2008 presenta grandes desafíos para las organizaciones que ejecutan sus cargas de trabajo en la plataforma, sobre todo si no son capaces de migrar rápidamente debido a limitaciones de tiempo, presupuestarias o técnicas.
¿CUÁLES SON LOS RIESGOS?
El fin del soporte significa que las organizaciones deben prepararse para hacer frente a las actualizaciones de seguridad que faltan, los problemas de cumplimiento, la defensa contra el 'malware' y otros errores no relacionados con la seguridad. Porque las empresas ya no recibirán parches por problemas de seguridad ni notificaciones de nuevas vulnerabilidades que afecten a sus sistemas.
Este fue el caso de muchas organizaciones tras el ataque global de 'ransomware' de WannaCry en 2017, que afectó a más de 230.000 sistemas en todo el mundo, aprovechando específicamente el 'exploit' EternalBlue presente en los sistemas operativos Windows más antiguos.
Aunque Microsoft proporcionó un parche para este problema, muchos no pudieron aplicar los parches a tiempo debido a la dificultad que implicaba la aplicación de parches en sistemas más antiguos.
La solución más obvia es migrar a una plataforma más nueva, ya sea 'on-premise' o utilizando una oferta de infraestructura 'cloud', como servicio como AWS, Azure o Google Cloud. Pero los los expertos de Trend Micro subrayan que se sabe que muchas organizaciones retrasarán la migración o dejarán una parte de sus cargas de trabajo ejecutándose en un entorno Windows Server 2008 en un futuro previsible.
Los 'hackers' ven en los servidores fuera de soporte un blanco fácil para los ataques. Los equipos de seguridad deben evaluar el riesgo que implica dejar los datos de la empresa en esos servidores, y si los datos están o no protegidos por sí mismos. Si no es así, es importante asegurarse de que se dispone de la protección adecuada para detectar y detener los ataques y cumplir con el cumplimiento en su entorno Windows Server 2008.
Fuente: Europa Press

INSEGURIDAD. El 41% de los consumidores todavía utiliza sistemas operativos sin soporte.

El 41 por ciento de consumidores aún continúa utilizando sistemas operativos en sus ordenadores que ya no cuentan con soporte o que se encuentran en el final de su vida útil, como Windows XP o Windows 7, una situación que se repite en el 40 por ciento de las microempresas (PME) y en el 48 por ciento de pequeñas y medianas empresas (PYMES) y las Empresas.
Un estudio de la empresa de ciberseguridad Kaspersky ha revelado que cuatro de cada diez consumidores utilizan sistemas operativos obsoletos como Windows XP o Windows Vista. En concreto, el 2 por ciento de los usuarios aún utiliza Windows XP, mientras que el 0,3 por ciento tiene instalado en su equipo Windows Vista.
Esta situación se recoge también en el ámbito empresarial, donde el 40 por ciento de las PME y en el 48 por ciento de las PYME siguen utilizando sistemas obsoletos. En este caso, el 1 por ciento de las estaciones de trabajo utilizadas por las microempresas se basan en Windows XP, y el 0,2 por ciento de las pequeñas empresas tienen instalado en su equipo Windows Vista.
Esta situación supone "un riesgo para la seguridad", como advierten desde la compañía, especialmente con las versiones XP y Vista, dos sistemas operativos que califican de "peligrosamente antiguos". Esto se debe a que el primero de los SO dejó de tener soporte hace más de diez años, mientras que en el caso de Vista, el soporte oficial terminó hace siete.
Entre estos sistemas obsoletos se encuentra también Windows 7, que dejará de tener soporte en enero de 2020 y que aún sigue siendo usado por el 38 por ciento de los consumidores y de microempresas, y por casi la mitad de las PYMES y Empresas (47%).
Además, el 1 por ciento de usuarios que utilizaban Windows 8 no actualizó a su versión de Windows 8.1, que se ofreció de forma gratuita, cuando finalizó su soporte en enero de 2016 y aún continúan haciendo uso de la versión antigua del sistema. Ocurre también en el caso del 0,6 por ciento de las microempresas y en el 0,4 por ciento de las PYMES y Empresas.
El fin del soporte implica que ya no se producirán más actualizaciones en el sistema operativo, incluidas las relacionadas con la seguridad. Es por ello por lo que la empresa de ciberseguridad recomienda utilizar la versión más actualizada del sistema operativo del ordenador y tener activada la opción de actualización automática.
Si esto no fuera posible, aconsejan que se utilicen tecnologías de prevención de ciberataques basadas en el comportamiento que ayudan a reducir el riesgo de que los ataques se dirijan a sistemas operativos obsoletos.
Fuente: Europa Press

CIBERATAQUES. Más del 99% dependen de la interacción humana

Casi la totalidad de los ciberataques, con más del 99 por ciento de los que se han producido en los últimos 18 meses, depende de la interacción humana y el 'malware' está a solamente un clic de distancia por parte del usuario, en especial en el ambiente empresarial.
La compañía de ciberseguridad Proofpoint ha publicado recientemente su informe 'Human Factor 2019', en el que revela las tácticas de ataques de los cibercriminales contra las personas que forman una empresa, analizando los últimos 18 meses.
Entre las principales tendencias entre los cibercriminales, destacan los ataques agresivos dirigidos a los usuarios de las empresas, ya que resultan más sencillas las técnicas como los correos fraudulentos que la creación lenta y cara de 'exploits'.
"Más del 99% de los ciberataques depende de la interacción humana, lo que convierte a los usuarios individuales en la última línea de defensa de una organización", ha apuntado el vicepresidente de Threat Operations para Proofpoint, Kevin Epstein.
Estos ataques requieren la acción de una persona, bien sea para ejecutar macros, abrir archivos o seguir enlaces, lo que pone de manifiesto la importancia que tiene hoy la ingeniería social para que un ataque sea exitoso.
Los señuelos relacionados con Microsoft están entre los más usados, y alrededor de uno de cada cuatro correos electrónicos de 'phishing' enviados en 2018 estaba asociado a productos de Microsoft.
Durante los últimos 18 meses, las principales familias de 'malware' han sido troyanos bancarios, ladrones de información, herramientas de administración en remoto (RAT) y otras cepas no destructivas, diseñadas para permanecer en los dispositivos infectados y así robar continuamente datos de utilidad para los actores de amenazas.
Proofpoint ha destacado la importancia de las amenazas centradas en los empleados VAP ('Very Attacked People'), los más atacados, cuyos datos de perfil pueden obtenerse en línea a través de webs corporativas en el 36 por ciento de los casos.
Los impostores imitan la rutina de los trabajadores de una empresa para evitar ser detectados, y la mayoría de los 'emails' fraudulentos se despacha los lunes (más del 30 por ciento) y en fin de semana el porcentaje se sitúa en menos del 5 por ciento.
En cuanto a la hora del día en la que caen en el 'phishing', los trabajadores en Norteamérica y Asia-Pacífico caen en este tipo de cebos a primera hora del día, mientras que en Europa y Oriente Próximo suelen hacer clic al mediodía y después del almuerzo.
Fuente: Europa Press