27 de noviembre de 2013

Detectada vulnerabilidad en HP Service Manager y ServiceCenter.

Se ha publicado una vulnerabilidad de seguridad para HP Service Manager y ServiceCenter que podría ser usada para la ejecución remota de código. Dicha vulnerabilidad se ha catalogado con un nivel de importancia alto.
HP Service Manager y HP ServiceCenter son aplicaciones utilizadas en múltiples plataformas para la gestión de servicios de TI y estarían encargadas de tareas tan diversas como el registro, gestión y resolución de incidentes y problemas, la gestión de configuraciones, la gestión de cambios o la gestión de contratos de activos.
Detalle e impacto de la vulenrabilidad
Esta vulnerabilidad, identificada CVE-2013-4844, podría ser usada para ejecutar código de forma remota.
Recursos afectados
  • HP Service Manager v7.11, v9.21, v9.30, v9.31, v9.32
  • HP ServiceCenter v6.2.8
Recomendación
Las actualizaciones pueden ser descargadas de HP Software Support Online(registro requerido) para las diferentes plataformas y versiones detalladas en el aviso.
Más información
HP Service Manager and ServiceCenter, Remote Code Execution
Fuente: Inteco

RUBY. Actualización soluciona grave vulnerabilidad.

El lenguaje de programación Ruby, ha lanzado una actualización de sus ramas 2.1x, 2.x y 1.9.x que solventa una vulnerabilidad remota.
Detalle e impacto de la vulnerabilidad
  • La vulnerabilidad, con CVE-2013-4164, común a todas las versiones indicadas, podría permitir realizar denegación de servicio y ejecución potencial de código arbitrario.
  • Según su descubridor Charlie Somerville (@charliesome), desarrollador de Ruby, no existe un exploit por el momento, pero ha indicado que cualquier código vulnerable produce el desbordamiento de memoria al utilizar métodos o funciones que conviertan tipos desde orígenes desconocidos a coma flotante.
Recursos afectados
  • Rama 1.9.x anterior a 1.9.3 p484
  • Rama 2.0.x anterior a 2.0.0 p353
  • Rama 2.1.x anterior a 2.1.0 preview2
Recomendación
Aquellos usuarios que todavía utilicen la rama 1.8 deberán migrar sus sistemas a las nuevas, ya que no hay soporte oficial para la misma.  https://www.ruby-lang.org/en/downloads/
Más información:
Fuente: Hispaset

VALIDACIÓN FIRMA DIGITAL Las nuevas amenazas se la saltan

McAfee Labs ha publicado McAfee Labs Threats Report: Third Quarter 2013, su informe de amenazas correspondiente al tercer trimestre de 2013, que encontró nuevos esfuerzos por eludir la validación de la firma digital en aplicaciones para dispositivos basados en Android. 
Resumen del informe del tercer trimestre de 2013 de McAfee Labs:
  • Los laboratorios de McAfee han identificado una nueva familia de malware para móviles que permite evitar la validación con firma digital de aplicaciones en dispositivos Android, lo que ha contribuido a que el malware se haya incrementado un 30% en Android.
  • Al mismo tiempo, el malware tradicional con firma digital creció un 50% hasta alcanzar más de 1,5 millones de muestras. Menos sorprendente, pero por ello no menos peligroso fue el incremento del spam en un 125%.
  • Según Vincent Weafer, senior vicepresidente de McAfee Labs, “los esfuerzos para eludir la validación de códigos en dispositivos móviles y requisar por completo los PCs, representan intentos para eludir mecanismos de confianza sobre los que se basan nuestros ecosistemas digitales.
  • La industria debería poner más interés en asegurar la integridad y la confianza de su infraestructura digital, dado que estas tecnologías se están cada vez más presentes en todos los aspectos de nuestras vidas.”
  • Durante el tercer trimestre McAfee también detectó varios incidentes relacionados con Bitcoin, para actividades ilícitas como la compra de drogas, armas y otras mercancías ilegales en sitios web como Silk Road. La creciente presencia de malware Bitcoin reforzó la popularidad de la moneda virtual.
Fuente: Diario TI

REDFISH. Desarrolla router abierto y busca financiación popular

Cuatro investigadores de seguridad Brisbane están luchando contra la vigilancia del gobierno mediante la construcción de un router basado en componentes de código abierto diseñado para hacer de la seguridad y la privacidad verificable y más accesible para los usuarios.

Además, dijo, abrir el código, tanto del software, como del hardware, significa que la seguridad de la aplicación puede ser verificada por cualquiera.

Redfish desarrolló la ORP-1 en la fase de prototipo con sus propios recursos. Ahora busca financiación a través de crowdfunding Indiegogo para pasar del prototipo hasta la fabricación.

El router se construiría en una distribución de Linux personalizada (yocto) corriendo en un procesador Freescale QorIQ P1010 que incluye un motor de cifrado de hardware y de arranque seguro.

Y no sólo ofrece privacidad y anonimato. El ORP1 también puede ejecutar múltiples túneles VPN cifrados de alta velocidad.

"Las pruebas de IPSec ha mostrado un rendimiento dúplex completo IPSec a 700Mbps, y estamos esperando aumentar  la velocidad de línea de un 15% a un 20% con el uso de CPU durante la producción"

La lista completa de capacidades se encuentra en la página Indiegogo, pero las capacidades básicas son que la ORP-1 proporcionará seguridad a través de una función de IPsec VPN, cortafuegos, y de TOR. Otros módulos embebidos son el DHCP normal y DNS que usted esperaría en un router consumidor, soporte IPv6, y un proxy SIP.

(*) Al pie del post dejo un esquema básico del diseño del ORP1 secure router

Más información
Scmagazine http://www.scmagazine.com.au/News/365515,brisbane-devs-design-open-source-router-to-beat-nsa-snooping.aspx
Fuente: The Register




APPLE. Patenta enfoque posterior a realización de foto.

Apple registró una patente registrada en 2011 y que sale a la luz ahora. En ella se dan detalles de una cámara plenóptica con capacidad para ser integrada en dispositivos móviles y donde la mayor novedad es que el adaptador de microlentes que permite reenfocar a posteriori la escena no es fijo sino que se incluye mediante un adaptador.

El sistema de Apple sería capaz de tomar una imagen de máxima resolución de la forma tradicional, pero también cambiar a un modo especial donde la imagen tomada tendría menos resolución pero permitiría el reenfoque.

Por ahora, como la mayoría de las patentes conocidas, estamos ante una posibilidad, porque resulta dificil, imaginarse un iPhone con dicha tecnología, ya que la probabilidad de Apple se atreva ahora con una compacta todavía es más lejana. Pero la posibilidad existe y está ahí.

Más información
Appleinsider http://appleinsider.com/articles/13/11/26/apple-patents-lytro-like-refocusable-camera-for-iphone
Fuente: Xataca


MICROSOFT. Eliminará en un futuro una o fusionará dos de las tres versiones principales de Windows.

Durante una sesión de preguntas y respuestas en la conferencia UBS Global Technology Conference, realizada la semana pasada en Sausalito, California, y transcrita íntegramente por Microsoft, la Vicepresidenta Ejecutiva de la división de Dispositivos y Estudios de Microsoft, Julie Larson-Green, fue consultada sobre sus impresiones sobre el paralelismo entre las versiones de Windows 8 y Windows RT para tabletas.

“Tenemos el sistema operativo Windows Phone. Tenemos Windows RT y tenemos Windows tradicional. No continuaremos teniendo tres. Creemos que hay un mundo en que hay un sistema operativo más móvil, que no plantea un riesgo a la duración de la batería, o a la seguridad. Sin embargo, tiene un precio, en cuanto a flexibilidad. Creemos en esa visión, y en ese rumbo, por lo que continuaremos avanzando en esa dirección, indicó Larson-Green.

Sin embargo, no especificó qué versión de Windows enfrentará el ocaso. Ni siquiera es seguro que sólo será una versión que desaparecerá. Bien podría ser el, entonces, que Windows RT y Windows Phone sean fusionadas en la próxima encrucijada, dando paso a algo nuevo. En comparación, Android e iOS son utilizados indistintamente en smartphones y tabletas. No hay razón alguna para suponer que el futuro sistema operativo móvil de Microsoft no pueda ser usado en ambas plataformas también.

Fuente: Microsoft

ANGELA MERKEL. Su teléfono era escuchado hasta por cinco potencias extranjeras

El Móvil de la canciller alemana Angela Merkel estuvo pinchado al menos por cinco agencias de inteligencia extranjeras, según informaron a la revista Focus. funcionarios no identificados de la seguridad alemana.

El BlackBerry de la primer ministro provocó un incidente diplomático internacional y una promesa del gobierno de Obama para no repetirlo en un futuro. Pero el teléfono también estaba bajo vigilancia por parte de rusos, chinos, coreanos del norte y el GCHQ británico, según Focus. El gobierno alemán ha disminuido las solicitudes de comentarios sobre el reporte.

No está claro si el malware estaba en el móvil del líder de los alemanes o si la interceptación se produjo en el aire.

Cabe recordar que en la época de los Juegos Olímpicos de Atenas, teléfonos clonados y manipulación en las centrales telefónicas fueron utilizados para aprovechar los móviles de los políticos griegos, lo que sugiere una posible técnica de intercepción de comunicaciones.

Fuente: The Register

SAMSUNG. Podría estar preparando un servicio de multiconferencia

La compañía coreana, parece ser que está dispuesta a competir en todos los frentes, y podría estra pensando en sacar su próximo terminal buque insignia con un nuevo servicio de videoconferencia en grupo.

Samsung, según aparece, en un documento publicado en el Servicio de Información de Derechos de Propiedad Intelectual Coreano, muestra una interfaz hasta ahora desconocida de lo que parece un servicio de videoconferencia en grupo.

La aplicación permitiría hacer uso tanto de la cámara frontal como la trasera (o ambas a la vez con el modo dual camera), y en la conversación podrían estar al menos un total de 4 personas (tal y como se puede ver en la imagen).

El servicio sería otro ejemplo de cómo Samsung es capaz de seguir el ritmo de aplicaciones de Google con Hangouts, además de ofrecer algo similar, más bien superior, que su gran rival Apple con Facetime.

Fuente: Engadget

FORTINET. Presenta sus predicciones de seguridad para 2014

Fortinet, firma de seguridad dedicada a la seguridad en redes, ha presentado sus predicciones sobre las principales tendencias en materia de seguridad para el 2014.
Lista de predicciones de Fortinet para 2014
  • La primera predicción lanzada desde Fortinet .- Asegura que el malware para Android afectará a los sistemas de control industrial y al “internet de las cosas”.
  • En ese aspecto desde la empresa de seguridad consideran que la venta de teléfonos móviles se estancará en los próximos años, y aprecian que ante ese escenario los desarrolladores buscarán otros mercados para expandir la plataforma de Google.
  • En concreto, en Fortinet apuntan que el malware se centrará en las tabletas, las videoconsolas portátiles, los dispositivos “llevables”, equipos para domótica y los sistemas de control industrial (ICS/SCADA).
  • En el caso de Internet, la segunda predicción .- Expone que el FBI seguirá infiltrándose en la red oscura Tor y en servicios para compartir archivos, y avanza que es previsible que haya desarrollos similares al marketplace anónimo conocido como Silk Road.
  • Por otra parte, la tercera predicción .- Comenta que los proveedores de seguridad de redes serán forzados a ser más transparentes, y se elevará el nivel de minuciosidad y rendición de cuentas sobre ellos.
  • En ese sentido, los clientes demandarán pruebas que les demuestren que están seguros, y en caso de que consideren que no lo están, exigirán las medidas oportunas.
  • La cuarta predicción .- Señala que en 2014 también se verá un aumento de los ataques dirigidos a Windows XP, según Fortinet, ya que a partir del 8 de abril Microsoft ya no dará soporte a ese sistema, haciendo a los equipos gobernados por esa versión vulnerables ante los ataques.
  • Además, destacan que se producirá un mercado en torno a los “exploits zero days” para Windows XP, que serán vendidos por los hackers al mejor postor, que los empleará contra individuos y negocios de alto valor.
  • La última predicción de Fortinet .- Apuesta porque aumentarán los sistemas biométricos para la autenticación, destacando el incremento de las compañías de móviles que emplearán el doble factor de autenticación en sus dispositivos.
Fuente: Silicon Week

DOMINIOS gTLD. Los 10 dominios más deseados por las empresas

“Los 10 dominios más deseados: empieza la lucha por los nuevos dominios gTLD”, .web, .shop. y .hotel encabezan la lista de las demandas empresariales.

ICANN ya está lanzando los nuevos nombres de dominios genéricos (gTLD). Con ellos, se abre un mundo de oportunidades de negocio para grandes y medianas empresas, autónomos y cualquier persona que tenga o quiera montar un negocio en la web.

El 26 de noviembre comenzó el registro en Fase Sunrise de las extensiones de dominios siguientes: “.bike”, “.clothing”, “.guru”, “.holdings”, “.plumbing”, “.singles” y “.ventures”.

Sin embargo, el top 10 de dominios más demandados son, de acuerdo con el ranking de las extensiones web más solicitadas por los clientes del Grupo Dada, del cual Nominalia forma parte:

1) “.web” (para generar nuevos modelos de negocio)
2) “.shop” (dirigida a impulsar las tiendas en la Red)
3) “.hotel” (centrada en el mundo de la hostelería)
4) “.app” (para al entorno de las aplicaciones)
5) “.store” (como impulsor de las tiendas en la Red)
6) “.online” (para llevar el negocio más lejos)
7) “.news” (difusión de noticias)
8) “.music” (para los amantes de la música)
9) “.blog” (creación de bitácoras o webs personales)
10) “.email” (para una localización permanente)

El 24 de enero, finaliza el periodo Fase Sunrise, en el que únicamente pueden solicitar su dominio los propietarios de marcas registradas en el Trademark Clearing House (TMCH). Además de tener prioridad, pueden recibir alertas de posibles violaciones de marca, como el registro por terceros de dominios que coincidan con ella.

A partir de esa fecha, para los dominios mencionados anteriormente, se abrirá un periodo de 7 días en el que cualquiera podrá registrar un dominio, pero a un precio superior al que finalmente tendrá ese dominio. El precio irá bajando día a día, hasta fijar su precio final a partir del 1 de febrero, momento en el cual el precio quedará fijado.

Fuente: Silicon Week

Publicado el “Manifiesto de la Banda Ancha “

La Comisión de la banda ancha para el desarrollo digital ha publicado el Manifiesto de la Banda Ancha, firmado por 48 miembros de la Comisión y por otros distinguidos actores de la industria, la sociedad civil y del sistema de las Naciones Unidas, cuyo ojetivo es defiender que las infraestructuras, aplicaciones y servicios de banda ancha se han convertido en esenciales para impulsar el crecimiento y la prestación de servicios sociales.

El Manifiesto se presentará en un evento paralelo con ocasión de la 5ª reunión del Grupo de Trabajo de las Naciones Unidas sobre los objetivos de desarrollo sostenible, que tendrá lugar en la sede de Naciones Unidas en Nueva York al final del mismo día.

Las cifras publicadas el mes pasado por la UIT muestran que la banda ancha en teléfonos inteligentes y tabletas es el sector que más rápidamente ha crecido de todo el mercado mundial de las TIC. La UIT estima que a finales de 2013 habrá en total 6 800 millones de abonos móviles celulares -casi tantos como habitantes en el planeta- y 2 700 millones de personas conectadas a Internet.

Por otra parte, las conexiones de banda ancha móvil por redes 3G y 3G+ crecen en promedio un 40 por ciento anual. Casi el 50 por ciento de todos los habitantes del mundo disponen ahora de una cobertura de red de 3G.

"La investigación realizada por la UIT muestra claramente que los gobiernos están dando prioridad a las TIC, que consideran un importante catalizador del crecimiento socioeconómico", declaró Hamadoun I. Touré, secretario general de la UIT. "Ahora que nos esforzamos en definir un nuevo modelo para el desarrollo sostenible mundial, tenemos que identificar formas de ayudar a todos los países a desplegar redes y servicios que les saquen de la pobreza".

En los cuatro años transcurridos entre 2008 y 2012, los precios de la banda ancha fija disminuyeron globalmente un 82%, del 115,1 % de la renta mensual media per cápita en 2008 al 22,1% en 2012. La mayor reducción se ha producido en los países en desarrollo, donde los precios de la banda ancha fija disminuyeron un 30% anual entre 2008 y 2011. El objetivo mundial de asequibilidad de la banda ancha fijado en 2011 por la Comisión de la Banda Ancha es conseguir que el coste del servicio básico de banda ancha sea inferior a 5% de la renta mensual media.

Según este estudio de la UIT, el número de hogares con acceso a Internet aumenta en todas las regiones, pero sigue habiendo grandes diferencias. La tasa de penetración que a finales de 2013 alcanzará prácticamente el 80% en los países desarrollados, y será del 30% en los países en desarrollo. Se estima que 1 100 millones de hogares en todo el mundo todavía no están conectados a Internet, y de ellos el 90% de países en desarrollo.

Fuente: Europa Press/ Portal TIC

SNOWDEN. Fisgones preocupados por el material clasificado que todavía tenga

Funcionarios británicos y estadounidenses de inteligencia dicen estar muy preocupados por la cantidad de material altamente clasificado y codificado que creen que el ex contratista de seguridad de Estados Unidos Edward Snowden ha almacenado en una nube de datos.

Los documentos comprenden archivos generados por la Agencia de Seguridad Nacional de Estados Unidos (NSA) y otras organizaciones e incluyen nombres de personal de inteligencia del país y sus aliados, dijeron siete funcionarios estadounidenses activos y en retiro, además de otras fuentes relacionadas con el asunto.

Los datos están protegidos por un sofisticado cifrado y requiere de múltiples contraseñas para abrirlos, dijeron dos de las fuentes, que al igual que el resto hablaron bajo condición de anonimato para discutir temas de inteligencia.

Las contraseñas están en posesión de al menos tres personas diferentes y son válidas sólo por un lapso breve de tiempo cada día, indicaron las fuentes. Las identidades de las personas que podrían tener las contraseñas son desconocidas.

Portavoces de la NSA y la Oficina del Director Nacional de Inteligencia de Estados Unidos declinaron hacer comentarios. Una fuente describió la cantidad de material no revelado como la "póliza de seguro" de Snowden contra un arresto o daño físico.

Funcionarios estadounidenses y otras fuentes dijeron que solo una pequeña proporción del material clasificado que Snowden descargó durante sus períodos como administrador de sistemas de la NSA se han hecho públicos.

Algunos funcionarios del Gobierno del presidente Barack Obama han dicho en privado que Snowden descargó material suficiente para generar dos años más de noticias.

"Lo peor está por venir", dijo un ex funcionario estadounidense que sigue de cerca la investigación.

Snowden, quien habría descargado entre 50.000 y 200.000 documentos clasificados de la NSA y el Gobierno británico, está viviendo bajo un asilo temporal en Rusia, país al que viajó tras haber estado en Hong Kong. Ha sido acusado en Estados Unidos bajo la Ley de Espionaje.

Fuente: Europa Press/ Portal TIC

NAVIDAD. Amor, paz, consumismo..... y ciberestafas

Llega la Navidad y con ella ya se sabe la felicidad y los regalos, lo cual nos lleva a los consiguientes pagos con la tarjeta de crédito, que van a propiciar un aumento de ataques en dispositivos móviles, especialmente a través de comercio electrónico.
Los dispositivos iOS son los que están sufriendo un mayor incremento en los ataques a través de webs fraudulentas.
Informe de Seguridad de Trend Micro del Tercer Trimestre de 2013:
  1. Después del pico registrado en el segundo trimestre del año (5.800 amenazas en mayo), la cantidad de sitios de phishing relacionados con Apple ha permanecido constante a lo largo del tercer trimestre, con 4.100 detecciones en julio; 1.900 en agosto y 2.500 en septiembre. Este último crecimiento aumenta la preocupación de posibles nuevos objetivos en el cuarto trimestre, un período en el que los analistas estiman que se venderán 31 millones de iPhones y 15 millones de iPads.
  2. Por otro lado, en España, entre los meses de julio y septiembre de 2013, la compañía detectó un ligero descenso tanto en el número de URL maliciosas alojadas en el país, como en el número de direcciones IP para envío de spam alojadas en el mismo. Sin embargo, en el tercer trimestre se registró un ligero crecimiento en la cantidad de malware detectado en nuestro país, que pasó de 1.150.776 detecciones en julio a 1.169.154 en septiembre. Durante el mes de agosto la cantidad del malware detectado fue de 797.389.
  3. El equipo de investigación de Trend Micro también ha identificado más de 200.000 infecciones de malware dirigidas a la banca por Internet en el tercer trimestre. Tres países destacaron como los más atacados, con Estados Unidos a la cabeza, que contabilizó casi la cuarta parte (23%) del malware para banca online de todo el mundo; seguido de Brasil con el 16% y Japón, con el 12%.
  4.  Entre los principales países de Europa, destacan Alemania y Francia, que sólo tuvieron el 3% de infecciones por malware, lo que puede deberse al alto grado de los requerimientos de autenticación multifactor en relación con la banca online. Junto con estos incrementos, el nivel de sofisticación de las técnicas de confusión utilizadas por los creadores de las amenazas también ha aumentado. En este sentido, Trend Micro ha encontrado el troyano para banca online denominado KINS, que emplea nuevas técnicas para evitar su análisis y detección.
  5. En cuanto a los datos de España, la evolución del número de infecciones para banca online entre los meses de julio y septiembre experimentó un descenso notable reduciéndose estas a algo más de la mitad. Así el trimestre se cerró con un total de 344 infecciones frente a las casi 700 del mes de julio.
Fuente: Europa Press/ Portal TIC

CIBERJUEGOS DE GUERRA. Profesionales cobran por jugar a estos juegos

Profesionales de Infosec participarán en un juego de guerra cibernética diseñada para poner a prueba la disposición de los países de la OTAN para responder a los "ataques cibernéticos a gran escala dirigidas a las infraestructuras de información" en la bonita ciudad de Tartu en Estonia. 

Cyber Coalición 2013, un ejercicio de tres días que comienza hoy, implicará el personal de la sede y las agencias de la OTAN en toda Europa, a las autoridades de los 27 países miembros, así como socios de Finlandia, Suecia, Austria y Suiza.

El ejercicio involucrará alrededor de 400 tecnologías de la información, legal y expertos gubernamentales de toda la Alianza y los países socios perfeccionar sus habilidades de defensa cibernética en lo que está considerado como uno de los mayores ejercicios Red Team hasta la fecha.

El ejercicio se basa en un escenario de crisis ficticia que se llevará a las naciones participantes a la tarea de evitar los ataques cibernéticos simulados. El escenario de misterio "requiere una acción, la coordinación y la colaboración de especialistas en defensa cibernética y órganos de gestión", según los organizadores.

El centro de formación de Estonia Colegio de Defensa Nacional en Tartu recibirá a 100 participantes durante el ejercicio, con los 300 guerreros cibernéticos restantes participantes de las capitales de 32 países, la Unión Europea y Nueva Zelanda han enviado observadores para supervisar el progreso del ejercicio.

Estonia proporcionará infraestructura de ejercicio, servicios de capacitación y apoyo logístico. El Centro de Defensa con sede en Tallin OTAN Cooperativa Ciber Excelencia ha ayudado en la preparación del ejercicio.

Fuente: The Register

Llega la pizarra transparente

El profesor de Ingeniería Mecánica de la Universidad de Northwestern, Michael Peshkin, ha ideado un método sencillo y económico con el que poder dar la lección mientras mira a cámara y explica los conceptos a sus alumnos de manera virtual. Hablamos de una pizarra transparente.
Peshkin utiliza una pizarra transparente a modo de gran ventana desde la cual él puede escribir y dibujar de manera natural mientras que no da la espalda a la cámara. De esta manera se hace muy natural el explicar conceptos y dibujar diagramas o bien incluso también tomar notas sobre imágenes o diapositivas insertadas digitalmente.
Funcionamiento de la pizarra transparente
  • El sistema es sencillo, hace uso de rotuladores con tinta fluorescentes que brillan bajo cierto tipo de luz LED y es lo que “ilumina“ toda la escena, un sistema de luces LED alrededor de la pizarra.
  • El problema de este sistema a la hora de enseñar en directo es que debería escribir al revés en tiempo real, modo espejo. Es por ello que este sistema está enfocado a la enseñanza online, donde una vez grabado el vídeo se muestra invertido, girado completamente sobre un eje vertical.
  • La idea de su método de enseñanza online está basada en que los estudiantes vean dichos vídeos y tomen sus apuntes en su tiempo libre y utilizar las horas de clase para resolver dudas y problemas a modo de tutorías.
Más información
VisualNews. http://www.visualnews.com/2013/11/22/flip-teaching-professor-builds-crystal-clear-whiteboard-can-face-students/
Fuente: Xataca

26 de noviembre de 2013

MOODLE. Lanza boletines de seguridad.

Moodle, ha lanzado cinco nuevos boletines de seguridad que solventan otras tantas vulnerabilidades, que van desde las habituales XSS hasta la de salto de restricciones.
Moodle, es reconocida ampliamente como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning y también proporciona herramientas para la comunicación entre formadores y alumnos.
Recursos afectados
  • Se encuentran afectadas todas las ramas soportadas (2.5, 2.4 y 2.3) y anteriores, ya fuera de mantenimiento de seguridad.
Detalles de los boletines publicados
  • Boletín MSA-13-0036 (CVE-2013-4522), marcada con un impacto 'leve', solucionaría la posible revelación de información sensible.
  • Boletines MSA-13-0040 (CVE-2013-4525), MSA-13-0039 (CVE-2013-4523), y MSA-13-0037, (CVE-2013-6780) marcadas con un impacto 'severo' y que corrigen diferentes 'cross-site scripting'
  • Boletín MSA-13-0036, marcado también con un impacto 'severo' debido a un salto de restricciones a través del repositorio de archivo (File System Repository), que permitiría el acceso a ficheros fuera del mismo.
Recomendación
  • Los errores han sido corregidos en las ramas afectadas mediante las nuevas versiones disponibles 2.6, 2.5.3, 2.4.7 y 2.3.10 y pueden ser descargadas desde el sitio oficial: http://download.moodle.org/
Más información
Fuente: Hispaset

MICROSOFT. Trabaja en los problemas del lector de discos de Xbox One

Microsoft ha afirmado que los problemas que está causando el lector de discos de su nueva consola Xbox One tan solo está afectando a un número muy pequeño de consumidores. La compañía ha anunciado que está trabajando con los afectados por estos problemas "para que nadie se quede sin jugar con la nueva generación de consolas".

  Según declaró Microsoft al portal Kotaku, "El asunto está afectando a un número muy pequeño de clientes de Xbox One. Estamos trabajando directamente con los afectados para conseguir una consola de reemplazo para ellos tan pronto como sea posible a través de nuestro programa de intercambio anticipado. Tenga la seguridad de que estamos cuidando de nuestros clientes".

Para ello, Microsoft ha asegurado que todos aquellos que detecten un problema con el lector de discos tendrán una consola de recambio para que no pasen mucho tiempo sin jugar.

Más información
Fuente: Europa Press/Portal TIC

TUENTI. Actualiza su 'app' para iPhone con chats públicos

Tuenti ha lanzado la versión 3.7 de su aplicación móvil para iPhone con la que ha incorporado nuevas funciones en los chats. Entre las novedades más destacadas de la actualización se encuentran la integración de chats públicos, mensajes de voz, efectos de sonido e historial de notificaciones.

El objetivo de la red social española Tuenti con su nueva versión es que "la comunicación entre usuarios será más dinámica y sencilla", según ha anunciado la compañía en su blog oficial este lunes. Por ello, ha ofrecido a los usuarios la posibilidad de conocer a gente nueva con los nuevos los chats públicos.

Esta función permite que los usuarios registrados en Tuenti con intereses comunes puedan hablar y compartir aficiones, manteniendo la privacidad. Este nuevo modelo de chat, en fase beta, permite al usuario crear conversaciones que se mostrarán como un "momento" y aparecerán integrados en el 'feed', haciendo que sus amigos lo vean y puedan unirse al instante. Los chats públicos cuentan con un máximo de 75 participantes y un administrador que los modera y gestiona.

También en el chat Tuenti se ha incluido la opción de enviar mensajes de voz así como efectos de sonido como el de beso, risa, aplausos, o cumpleaños feliz, entre otros. "Así se favorece la comunicación entre amigos y contactos a la vez que es más personalizada", ha asegurado el equipo de Tuenti.

Esta nueva versión para iPhone, que ya se encuentra disponible en la App Store, ofrece también mejoras en las notificaciones, con un historial para poder revisarlas siempre que se quiera, y además la opción de silenciarlas o eliminarlas.

Descarga | Sitio oficial Tuenti | https://itunes.apple.com/es/app/tuenti/id349705795

Fuente: Europa Press/Portal TIC

GOOGLE. Patenta sistema respuestas personalizadas automáticas en redes sociales

Google ha registrado una patente en la Oficina de Patentes y Marcas de Estados Unidos (UPSTO) referente a un sistema capaz de analizar cómo el usuario actúa en las redes sociales y responder automáticamente a mensajes. Podría ser especialmente útil para empresas y profesionales de Internet.

El software recoge datos sobre el comportamiento del usuario en las redes sociales y es capaz de imitar las respuestas más frecuentes en actualizaciones y mensajes de amigos. Además, analiza las interacciones continuas y marca los mensajes que requieren una respuesta más personal.

"La popularidad y el uso de las redes sociales y otros tipos de comunicación electrónica ha crecido dramáticamente en los últimos años", ha explicado un ingeniero de software de Google, Ashis Bhatia, en el texto de la patente, que argumenta que "a menudo es difícil para los usuarios mantenerse al día y contestar a todos los mensajes que reciben".

El sistema observa las respuestas a mensajes, notificaciones, cambios de estado, vídeos, imágenes y enlaces recibidos y hace sugerencias de posibles contestaciones. De este modo, en lugar de escribir cada respuesta individualmente, el usuario sólo deberá aprobar la sugerencia de respuesta que le ofrece el sistema.

Asimismo, el software sería capaz de adaptar el discurso a cada tipo de red social, adoptando un tono más formal para redes profesionales y más familiar en servicios que conectan con amigos.

Fuente: Europa Press/Portal TIC

SAMSUNG. Presenta Grand 2, su nuevo 'smartphone' Android quad-core

Samsung Elecronics, presentó el Galaxy Grand 2, un 'smartphone' Android 4.3 (Jelly Bean) con procesador quad-core que mejora a su predecesor en pantalla y rendimiento.

Galaxy Grand 2 cuenta con una pantalla TFT de 5,25 pulgadas, en formato panorámico 16:9 y resolución de 1280x720 píxeles. Monta un procesador Quad Core a 1.2GHz, con 1,5 GB de RAM y una batería de 2,600mAh.

Tiene 8 GB de memoria interna, ampliable mediante tarjeta microSD. Su cámara externa es de 8 MP con flash LED y la interior es de 1,9 MP.

Tiene capacidad dual-SIM pensada para que los usuarios puedan mantener un mejor equilibrio entre su vida personal y el trabajo. También cuenta con opción Multi Window, permitiendo a los usuarios ejecutar una misma aplicación en dos ventanas diferentes al mismo tiempo.

Samsung Galaxy Grand 2 tiene unas dimensiones de 146,8 por 75,3 por 8,9 milímetros y pesa 163 gramos.

Estará disponible únicamente en algunos mercados, en blanco, negro y rosa.

Fuente: Europa Press/Portal TIC

REMOTE GLASS. Mando a distancia de Google Glass

Remotte Glass, es un mando a distancia para Google Glass creado por los españoles Juan Carlos Ramiro y Diana López. 
Es un dispositivo muy pequeño y bastante ergonómico, no mucho mayor que una pinza para la ropa. Cuenta con un trackpad lineal, que replica el de Google Glass; otro circular, similar al de los primeros iPods; y un botón. Además, lleva sensores incorporados para realizar acciones mediante movimientos.
De esta forma es posible realizar los mismos movimientos que con el panel táctil de las gafas, pero con la mano cómodamente metida en el bolsillo, o descansando sobre el colchón si el usuario está tumbado.
Además, facilita el control si estamos en un lugar donde no se puede hablar o si, directamente, nos da vergüenza andar dando instrucciones a un cacharro. También sería posible para un ciclista colocarlo junto a una de sus manos para acceder a él de forma cómoda con un dedo sin tener que soltar el manillar.
Remotte Play no solo facilita el control de Google Glass; es una plataforma abierta que también controlará teléfonos o tabletas iOS y Android de forma remota, con lo que podría servir para pasar canciones en un reproductor, hacer fotografías con una aplicación de fotografías o incluso controlar un videojuego.
Sus creadores han lanzado una campaña en Kickstarter con la buscan fondos para aumentar la producción y difusión. En esta página de 'crowdfunding', los interesados ya pueden hacerse con el dispositivo desde 49 dólares, aunque aceptan donaciones de hasta 10.000.
Más información
Fuente: Europa Press/Portal TIC

APPLE Adquisición del desarrollador israelí de chips 3D PrimeSense

Apple ha adquirido la compañía israelí PrimeSense, desarrolladora de chips que permiten visión artificial en tres dimensiones, informaron el lunes ambas empresas.
Un portavoz de Apple confirmó la compra pero no quiso informar las cifras de la inversión. Aunque medios israelíes informaron que el precio pagado por la compra podría rondar los 350 millones de dólares.

"Apple adquiere empresas menores de tecnología de vez en cuando, y generalmente no discutimos nuestros propósitos o planes", dijo un portavoz de Apple en un correo electrónico.

En tanto, una portavoz de PrimeSense dijo: "Podemos confirmar el acuerdo con Apple. Más que eso, no podemos comentar en esta etapa".

La tecnología de detección de PrimeSense, que le otorga a los aparatos digitales la capacidad de observar una escena en tres dimensiones, se utilizó en la consola Xbox Kinect de Microsoft.

El interés de Apple en PrimeSense fue reportado por primera vez en julio por el diario financiero israelí Calcalist. La semana pasada, el medio destacó que PrimeSense había reunido cerca de 85 millones de algunos de sus inversores, como los fondos de capital de riesgo Canaan Partners Global, Gemini Israel y Genesis Partners.

Fuente: Reuters

ERIC SCHMIDT. Guía para migrar de iOS a Android

Eric Schmidt, presidente ejecutivo de Google, ha publicado una guía en su perfil de Google+ para migrar de iOS a Android, animando a los usuarios a dejar atrás los iPhone para pasarse a Android, que puede ser "un gran regalo de Navidad".
La guía se centra en guardar todos los datos que el usuario de iPhone tenga en iCloud y en iTunes y moverlos a Google Drive y cómo configurar el dispositivo Android. Schmidt también propone dejar de lado el navegador Safari para usar Chrome ya que, según dice, "es mejor y más seguro en muchos aspectos".

"Muchos de mis amigos de iPhone se están cambiando a Android", ha escrito en su perfil de Google+. El ejecutivo ha destacado que los últimos teléfonos de Samsung, Motorola y el Nexus 5 cuentan con "mejores pantallas, son más rápidos, y tienen una interfaz más intuitiva".
Según Schmidt, los usuarios que se cambien "nunca volverán" a iOS ya que "todo estará guardado en la nube". "El 80 por ciento del mundo, según las últimas encuestas, acepta Android", ha concluido.
Más información
Fuente: Europa Press/Portal TIC

SCHMIDT DE GOOGLE. Las Redes sociales llevarán la liberalización a China

El avance de las redes sociales en China llevará a la liberalización, y mientras cada vez más personas se conectan en línea el Gobierno chino no podrá detener los cambios, dijo el lunes el presidente ejecutivo de Google, Eric Schmidt.

Durante una conferencia en Londres, Schmidt recordó una reunión con el presidente Xi Jinping y el primer ministro Li Keqiang este mes, apenas semanas después de que China aprobó fuertes regulaciones a las redes sociales.

Bajo las nuevas leyes, las personas enfrentan duras penas si "rumores en internet" calumniosos que difundan son repetidos más de 500 veces.

"Lo más interesante sobre hablar con el Gobierno, desde el presidente hasta los gobernadores, es que están obsesionados con Internet, que es la razón por la que aprobaron estas leyes", dijo Schmidt en la conferencia, organizada por la institución de políticas independiente Chatham House. El ejecutivo no ahondó en las conversaciones.

Citando censura, Google retiró de China en el 2010 su servicio local de búsquedas en internet, la segunda mayor economía del mundo, y ahora opera desde Hong Kong.

Sin embargo, la creciente popularidad de servicios como Weibo, un servicio de microblog que es la versión china de Twitter, y el sitio de mensajes instantáneos WeChat harán que la censura sea cada vez más difícil, dijo Schmidt.

"Simplemente no puedes apresar a suficientes chinos cuando todos están de acuerdo en algo", dijo. "No podrán detenerlos incluso si no les gusta, y eso causará una liberalización", sostuvo.

Fuente: Reuters

WEBS TECNOLÓGICAS. Más peligrosas que las web pornográficas

Cuatro de cada diez páginas maliciosas incluye contenidos de tecnología (15,8%), pornografía (13,4% ) o empresas (11,5%). 
Estas son las conclusiones de un estudio realizado por G Data a más de 600.000 dominios maliciosos y que los ha clasificado en diez categorías en función de su contenido, hallando así que los de información tecnológica y pornografía aglutinan casi el 30 % de los dominios infectados.
En un principio, el malware se propagaba básicamente por correo electrónico. Pero actualamente, son los sitios web las causas princiales de la infección, bien por haber sido manipulados por los cibercriminales o bien por haber sido creados ex profeso para infectar a sus visitantes, convirtiéndose en medios más eficaces de infección por poder admitir todo tipo de 'malware' y trampas de 'phising'.
Detalles del informe de G Data:
  • El contenido sobre tecnología y telecomunicaciones sigue en primer puesto en categorías de sitios web infectados con respecto al año pasado. No obstante, el porcentaje ha disminuido casi en 10 puntos en comparación con el anterior estudio, realizado en el segundo semestre de 2012.
  • El campo de la pornografía ha pasado a ocupar el segundo lugar, incrementándose desde el 7,5 por ciento (cuando estaba en quinta posición) a un 13,4 por ciento.
  • Las páginas de empresa (11,5 por ciento), las tiendas online (8,9 por ciento) y los blogs personales (5,7 por ciento) también se posicionan dentro de las cinco primeras categorías.
El experto en seguridad de G Data, Eddy Willems, dijo, "Actualmente, las páginas web son la principal plataforma de difusión de amenazas. Los cibercriminales usan los conocidos como 'ataques-drive-by', una técnica donde lo único que se necesita para que dicho ataque funcione es la visita del internauta a la página infectada.
Dichas amenazas pueden ocultarse en cualquier página, por tanto, G Data recomienda utilizar una solución antivirus que incluya cortafuegos y filtro web. Al mismo tiempo, Willems ha aconsejado que "no se haga clic en los enlaces incluidos en los correos electrónicos de origen desconocido y que se mantengan actualizados todos los programas instalados en el PC, especialmente navegador y sistema operativo".
Fuente: Europa Press/Portal TIC

RTVE. Lanza app que graba videos de televisión y los sube a redes sociales

RTVE presentó el viernes pasado, la aplicación '+TVE' para smartphones y tablets, que permite, entre otras funciones, grabar fragmentos de 30 segundos de la programación de TVE, TVE2 y Teledeporte y compartirlos con otros usuarios de la aplicación o a través de las redes sociales Facebook y Twitter.

La cadena pública ha presentado la aplicación que, en palabras del director, Ignacio Corrales, pretende ser "un paso muy importante en la estrategia de adaptación" del medio a la era de Internet y las redes sociales y que intentará "llenar la red de vídeo".

En este sentido, Corrales ha recordado que el 50% de los usuarios de dispositivos móviles en España --"que en España son casi todos"-- los utiliza mientras ve la televisión y les sirve para comentar la programación a través de las redes sociales o buscar información.

Además, desde el lanzamiento del "botón rojo de RTVE" del televisor, hace dos meses más de 600.000 personas se han conectado a Internet a través del televisor, según ha apuntado.

  Los responsables de la aplicación han indicado que ésta permitirá integrar en una solo espacio la interacción con la programación para realizar acciones como enviar comentarios o votar y los contenidos adicionales específicos relacionados con cada programa, además de permitir la visualización de la misma, pero también acceder a contenidos que ya han sido emitidos y ver lo que se ha comentado y compartido acerca de ellos. Asimismo, incluirá información y avances sobre las próximas emisiones previstas.

Fuente: Europa Press/Portal TIC

CONSOLAS. Xbox One vende un millón en 24 horas, igual que PS4.

Microsoft ha vendido más de un millón de consolas de videojuegos Xbox One en menos de 24 horas desde que salió a la venta el viernes.

La cifra es la misma que la alcanzada por PlayStation 4 (PS4) de Sony, si bien la consola de Microsoft se ha lanzado de forma simultánea en muchos más países. PS4 llegará a Europa el viernes 29 de noviembre.

La nueva consola, que salió a la venta en 13 países, fijó un récord para el primer día de ventas de la Xbox y actualmente está agotada en la mayoría de los minoristas, según ha asegurado Microsoft en un comunicado.

Sony dijo que vendió un millón de unidades de PS4 en 24 horas después de que la consola salió a la venta sólo en Estados Unidos y Canadá. La PS4 se venderá en otras regiones, incluidas Europa, Australia y Sudamérica, desde el 29 de noviembre. Luego será lanzada en Japón en febrero.

Microsoft espera que la Xbox One no sólo seduzca a jugadores, sino que atraiga a una base de consumidores más amplia, como seguidores de programas de televisión y amantes de la música con sus características interactivas y diversas aplicaciones.

La PS4, con un precio de 399 dólares en Estados Unidos, y la Xbox One, con un valor de 499 dólares, ofrecen mejores gráficos para efectos más realistas, procesadores que permiten una mejor jugabilidad y una serie de videojuegos exclusivos.

Más información
Fuente: Europa Press/Portal TIC

ESPAÑA 2015. Gastarán 6.000 millones de euros en compras online desde dispositivos moviles

Los españoles gastarán más de 6.000 millones de euros en compras a través de dispositivos móviles en 2015, frente a los cerca de 1.000 millones que gastaron en 2012, según el informe sobre el grado de utilización de las tecnologías por parte de las familias españolas, realizado por Ipsos y recogido por Paypal.

El estudio muestra que el 66% de los encuestados en España dispone de 'smartphone' y el 30% de 'tablet'. En menos de tres años, el comercio generado a través de dispositivos móviles en España supondrá más del 33% de todo el comercio electrónico, frente al 9% que supuso en 2012.

El 65% de los internautas encuestados en España con una edad comprendida entre los 18 y 54 años declara haber realizado compras en la red durante 2012 y un 26% muestra su intención de incrementar la frecuencia con que lo hace. Los cinco productos más demandados son los viajes (58%), las entradas para espectáculos (54%), la música (37%), los dispositivos tecnológicos (36%), y el 'software' y los videojuegos (33%).

De este análisis se desprende que las familias españolas tienen un alto grado de conexión y utilización de Internet y donde el comercio electrónico está ganando adeptos de todas las edades.

El director general de PayPal España y Portugal, Estanis Martín de Nicolás, ha destacado que "el comercio móvil es clave en el contexto actual del comercio electrónico". "Es un área en el que PayPal fue pionera apostando por la innovación para facilitar a sus clientes el pago ágil, cómodo y seguro a través de dispositivos móviles", ha subrayado.

"El alto nivel de adopción y uso de 'smartphones' y 'tablets' entre las familias españolas, y la creciente confianza que tienen los usuarios de PayPal móvil son factores que contribuirán decisivamente para que esta tendencia siga creciendo", ha recalcado el directivo.

Fuente: Europa Press/Portal TIC

25 de noviembre de 2013

ASSANGE. “Internet ha sido ocupada militarmente por EE UU y sus aliados”

Washington "opera como una organización pirata global en busca del tesoro, que es la información, para sobornar o explotar", dice el fundador de Wikileaks

Julian Assange, fundador de Wikileaks, denunció que "Internet ha sido ocupada militarmente por Estados Unidos y sus aliados anglosajones del Reino Unido, Australia y Nueva Zelanda", con el fin de dominar las sociedades "perdiendo la soberanía nacional y la libertad".

Assange considera que los gobiernos deben colocar sus propias redes de fibra óptica para que Internet "no sea utilizada por Estados Unidos como modo de ocupación del mundo de manera virtual y estratégica y que hoy opera como una organización pirata global en busca del tesoro, que es la información, para sobornar o explotar", dijo.

Assange hizo estas afirmaciones en videoconferencia desde la embajada de Ecuador en Londres, donde se encuentra asilado, durante el 3º Encuentro de Comunicación Audiovisual celebrado en la ciu argentina de Mar del Plata, cuyos asistentes aplaudieron la aparición en pantalla del periodista australiano.

Fuente: El País.com

TWITTER. Cifrado anti-espionaje para sus millones de twits

Twitter dice que ha puesto en marcha un cifrado más seguro para proteger las conexiones de sus usuarios de los fisgones. 

El micro-blogging informó que ha cambiado en "forward secrecy" para el tráfico hacia y desde su escritorio y sus sitios web para móviles y su interfaz de aplicación, lo que va más allá de la protección otorgada por HTTPS tradicional.

Específicamente, Twitter dice que ahora está utilizando como suites de cifrado la curva elíptica Diffie-Hellman (ECDHE)

En pocas palabras, se trata de frustrar a un tercero el descifrado de paquetes interceptados de la red, incluso si Twitter más adelante está presionado por secuestros de sus claves privadas. Esto se hace mediante la generación de una clave al azar por sesión que es compartida entre el navegador (o aplicación) y los servidores de Twitter sin ellos el intercambio de la clave en su totalidad, incluso cifrado.

Según Twitter, hasta en un 75% de su tráfico de Internet ya se ha establecido el uso ECDHE y el restante 25% proviene de clientes de terceros más antiguos que no soportan el protocolo de acuerdo de claves.

Jacob Hoffman-Andrews, ingeniero de seguridad de Twitter, sugiere que el uso de los protocolos de seguridad, como las introducidas por Twitter pronto debería convertirse en la norma para la protección de la seguridad en línea. Instó a otros desarrolladores de aplicaciones web para considerar la colocación de protecciones similares en sus propios sitios.

Fuente: The Register

GOOGLE. Corrige grave vulnerabilidad del reinicio de contraseñas de Gmail

Google ha corregido una vulnerabilidad en el sistema de reinicio de la contraseña de Gmail que podría permitir a un atacante engañar a cualquier usuario de tal forma que su contraseña fuera sustraída.
El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido.
Detalles de la vulnerabilidad
  • El fallo, descubierto por el investigador de seguridad, fue explotado mediante el envío de un correo electrónico falso que recuerda al usuario de Gmail que es el momento de restablecer su contraseña. Al hacer clic en el enlace envía al usuario a una página web que se presenta como una página de Google y solicita al usuario una contraseña nueva. Ese sitio pirata informático controlado también inicia una solicitud de ataque de falsificación de cross-site a través de XSS que los trucos de Google para que entreguen cookie de sesión de la víctima. 
  • El sitio falso puede cambiar al usuario a una página web segura Google, pero en este punto, el atacante habrá cosechado el nombre de usuario, contraseña nueva y la cookie de sesión de la cuenta. Una vez dentro, también conseguirían rienda suelta a cambiar las contraseñas de otros servicios asociados con esa dirección de correo electrónico Gmail. 
  • Hafif señala y destaca la rapidez de respuesta del equipo de seguridad de Google, que en tan solo 10 días tras su reporte ya había corregido el problema.
Más información:
Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa 16 nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, elevar sus privilegios en el sistema, acceder a información sensible o conseguir ejecutar código arbitrario.
Lista de CVEs relacionadas con las vulnerabilidades
  • La lista de CVEs implicadas son: CVE-2012-6542, CVE-2012-6545, CVE-2013-0343, CVE-2013-1928, CVE-2013-1929, CVE-2013-2164, CVE-2013-2234, CVE-2013-2851, CVE-2013-2888, CVE-2013-2889, CVE-2013-2892, CVE-2013-3231, CVE-2013-4345, CVE-2013-4387, CVE-2013-4591 y CVE-2013-4592.
  • Además se han solucionado múltiples fallos de menor importancia. Ésta actualización está disponible desde Red Hat Network.
Más información:
Fuente: Hispasec

OFFICE 365. Incluirá función de correo electrónico cifrado

Durante el primer trimestre de 2014, Microsoft comenzará a ofrecer a los usuarios de Office 365 la posibilidad de enviar correo electrónico en que la comunicación esté totalmente cifrada. En otras palabras, sólo el destinatario podrá leer el correo electrónico.
Funcionamiento del nuevo servicio
  • Office 365 Message Encryption no dependerá de que el destinatario tenga la posibilidad de utilizar Office 365. Sin embargo, requerirá que este tenga una cuenta en Microsoft, o una identificación de Office 365, con el fin de poder realizar la autentificación.
  • El mensaje cifrado de correo electrónico podrá ser enviado a cualquier cuenta de correo electrónico pero, en realidad, no podrá ser recepcionado por todos los clientes de correo electrónico existentes. Esto se debe a que en lugar de enviar el mensaje cifrado directamente al usuario, el sistema enviará a éste un correo electrónico con un archivo HTML anexo.
  • Al hacer clic en el enlace, el archivo se abre en una ventana del navegador. El sistema presenta al usuario instrucciones para acceder a los contenidos cifrados. Por ahora, Microsoft no ha proporcionado detalles, aparte de informar que el mensaje cifrado será visualizado en el navegador, en un interfaz basado en la App Outlook Web. En este interfaz, el usuario podrá responder el mensaje o retransmitirlo. Las respuestas y los mensajes retransmitidos también tendrán carácter cifrado.
  • Para el caso de las empresas, Microsoft informa además que será posible personalizar el correo electrónico enviado mediante el portal de cifrado con logotipos y textos propios.
Disponibilidad del nuevo servicio
  • El servicio será ofrecido como una función gratuita para Office 365 Enterprise E3 y clientes de E4, y también para usuarios de Windows Azure Rights Management.
  • Office 365 Message Encryption también estará disponible para otros usuarios de Office 365, como un módulo de pago y tendrá compatibilidad interplataforma.
Fuente: Diario Tecológico

CORREO SEGURO. Alternativas web para cifrar o proteger nuestros e-mails.

Después del cierre de Lavabit,  aún quedan servicios web que nos permiten enviar correos electrónicos de forma privada legalmente. No son conocidos, pero sí existen varias alternativas para cifrar nuestros e-mails que vemos seguidamente.
HUSHMAIL
  • Hushmail es uno de los correos web cifrados más conocidos. Utiliza el protocolo HTTPS por defecto y cifra nuestros correos mediante algoritmos especificados en el estandar Open PGP. Para que los mensajes se cifren el usuario sólo tiene que recordar su contraseña/clave de cifrado.
  • Podemos tener una cuenta gratuita de Hushmail con 25 MB de espacio, o bien podemos optar por 1 o 10 GB de espacio por 34,99 o 49,98 dólares anuales. También tenemos la opción de utilizar nuestro propio dominio por 5,24 dólares por mes y usuario.
Sitio oficial | Hushmail  https://www.hushmail.com/

TOR MAIL
  • El servicio Tor no podía faltar: Tor Mail es una web que no sólo cifra nuestros mensajes, si no que además también nos concede un anonimato total. Es completamente gratuito, pero nos tenemos que instalar Tor para poder acceder a la página. Y habría que tener en cuenta que el gobierno estadounidense está bastante detrás del servicio.
Sitio oficial | Tor Mail   http://tormail.org/

S-MAIL
  • S-Mail velve al modelo de HushMail: un correo web que se encripta con claves de 128 bits generadas aleatoriamente, y además firmadas con una clave de verificación de 1024 bits. La clave de cifrado, adicionalmente, se cifra con otra clave de 2048 bits. Una persona que no tenga la clave de cifrado verá el correo como en la imagen superior.
  • Este servicio es gratuito, pero tiene bastantes limitaciones: 20 MB de espacio, 10 contactos en la agenda, 10 carpetas… podemos aumentar esos límites contratando un plan premium por 5 dólares mensuales o 13,5 dólares trimestrales.
Sitio oficial | S-Mail  http://www.s-mail.com/

TEMPINBOX,GUERRILLAMAIL,MAILINATOR. Opciones buzones desechables
  • Para casos de solo necesitar anonimato u no correos cifrados están la bandeja de entrada desechable. Tempinbox (http://tempinbox.com/), GuerrillaMail (http://tempinbox.com/) o Mailinator(http://tempinbox.com/) son ejemplos de servicios web que nos ofrecen este tipo de buzones de correo electrónico, que nos permiten enviar y recibir mensajes en direcciones anónimas que desaparecen al cabo de un tiempo o dadas ciertas circunstancias.
  • Se usan sobretodo para redirigir correos de SPAM y normalmente son gratuitos. Y claro, una vez el buzón desaparece, ya no queda rastro de sus correos.
MEGA, YAHOO, DARK MAIL. Las promesas del futuro:
  • Las noticias más recientes han hecho que las grandes compañías empiecen a reaccionar, y algunos han prometido más seguridad en sus servicios. Es el caso de Yahoo, que cifrará su Yahoo Mail después de la filtración que hizo la NSA en sus servidores.
  • También estamos al tanto de Dark Mail, el servicio de correo cifrado que ha anunciado el creador del ya caído Lavabit; y del servicio de correo protegido de Mega que tiene que formar parte de esa plataforma creada por Kim Dotcom. Son iniciativas que todavía están por salir, pero que ya nos dejan ver que la privacidad puede ser una ficha de juego importante en el futuro.
Fuente: Genbeta

FISGONES. China pone la antena para fisgar las lenguas extranjeras

Dialectos árabes, japoneses y regionales desde ahora serán accesibles para los departamentos de inteligencia de chinos
 Aparato de censura y la temieble vigilancia China es ahora aún más intimidante después de la introducción de nueva tecnología para rastrear las comunicaciones en los idiomas regionales distintos del mandarín (mandarín hablado en la mayor parte del país).

El sistema sin nombre fue desarrollado por el Centro de la Universidad Tsinghua de Imagen Inteligente y procesamiento de información del documento y es probable que sea dirigida a los alborotadores en regiones como el Tíbet y Xinjiang.

La tecnología permitirá a los fisgones cibernéticos locales, monitorear las conversaciones en todos los principales idiomas de las minorías étnicas en China, así como el árabe y el japonés, líder del proyecto Ding Xiaoqing dijo al diario South China Morning Post.

Instrumentos de vigilancia actuales empleados por grandes fuerzas de seguridad de Beijing al parecer sólo son capaces de hacer frente a una lengua en un momento y exigir al operador que hable ese idioma.

El nuevo sistema también es capaz de detectar mensajes basados en Internet que puedan evitar las tecnologías actuales snooping mediante la codificación en imágenes.

Fuente: The Register

TWITTER O FACEBOOK. Convocar manifestaciones por redes sociales puede salir caro

El gobierno tiene listo un Anteproyecto de Ley Orgánica de Seguridad Ciudadana que pone en peligro la libertad de expresión de los ciudadanos españoles. 
La nueva ley considera como una infracción muy grave la convocatoria de una protesta frente a cualquier institución del Estado si ésta no ha sido comunicada al gobierno previamente o si éste la ha prohibido. De esta forma un mensaje en Twitter o Facebook animando a otros a protestar frente al Congreso de los Diputados podría acarrear una sanción de hasta 600.000 euros.
Participar en este tipo de protestas seguirá siendo un delito —estén en dicho momento reunidos o no los diputados— pero el hecho de que se criminalice su difusión en redes sociales puede suponer un grave precedente para España.
Fuente: Genbeta

GOOGLE TRANSLATE. Renovación del diseño y traducción para conversaciones

La aplicación de Google Translate para Android se ha actualizado, incluyendo una traducción más rápida y con expresiones más sencillas, además de renovar el aspecto de la aplicación.
Detalles de la actualización
  • Basta pulsar el icono del micrófono para traducir conversaciones completas, e incorpora un soporte de gestos
  • A partir de ahora, Google Translate permite traducir conversaciones completas de un idioma a otro de una manera más rápida. Todo lo que se necesita es abrir la aplicación del traductor de Google y pulsar el icono del micrófono. Además, Google ha incorporado un soporte de gestos, así que con un simple giro de la pantalla se puede alternar entre los dos idiomas.
  • Por otro lado, otra de las novedades de la nueva versión de Google Translate es la inclusión de más soportes para traducir idiomas a través de la función de escritura a mano, lo que permite escribir las palabras que no se entiendan en el dispositivo en cualquier idioma y esperar que se traduzcan.
  • También se ha incorporado la opción de traducir a través de la cámara, lo que permite que el usuario haga una foto con el dispositivo de un texto escrito y destacar las palabras que se desean traducir.
La aplicación, como no podía ser de otra manera, nos está esperando la su instalación gratuita a través de Google Play.

Fuente: El Androide libre.com

MERCADO PIRATA. Los ciberdelicuentes prefieren datos personales por ser más lucrativos

Los precios en los mercados de cibercrimen están cayendo, pues los datos personales y credenciales de cuentas bancarias se pueden comprar cada vez más baratos en los mercados subterráneos de hackers, de acuerdo con un estudio realizado por Joe Stewart, director de investigación de malware Dell SecureWorks y el investigador independiente David Shear 
Detalles del estudio del mercado del cibercrimen:
  • Datos robados de tarjeta de crédito completa, junto con la correspondiente VBV (Verified by Visa) tienen un precio de 17 y 25 dólares (para la tarjeta emitida en el Reino Unido, Australia, Canadá, la UE y Asia).
  • Datos robados del expediente personal en su integridad en un individuo EE.UU. (con nombre completo, dirección, números de teléfono, direcciones de correo electrónico (con contraseñas), fecha de nacimiento, número de Seguro Social y uno o más de: información de la cuenta bancaria) costaría 25 dólares.
  • Tales expedientes - llamados fullz en foros subterráneos - se vendería por 30 ó 40 dólares para víctimas del Reino Unido, Australia, Canadá, la Unión Europea o Asia. Sólo la fecha de nacimiento de la misma persona puede venderse por 15 a 25. dólares
  • "Los hackers se han dado cuenta de que sólo tiene un número de tarjeta de crédito y el correspondiente código CVV (Card Verification Value-el número 3 o 4 dígitos en la propia tarjeta de crédito o débito) no siempre es suficiente para cumplir con los protocolos de seguridad de algunos minoristas . " 
  •  Los ciberdelicincuentes, también son capaces de comprar el nombre de usuario y contraseña de una cuenta bancaria con $ 70.000 a $ 150.000 por $ 300 o menos. 
  •  En foros de hacking también venden malware y servicios de hacking, así como la tarjeta de crédito y datos personales. Los lotes de 1.000 ordenadores infectados se pueden comprar por $ 20, con descuento a granel con lo que el precio de 10.000 PCs infectadas a $ 160. 
  •  "Una vez que los estafadores compran los ordenadores infectados por malware, que pueden hacer lo que quieran con las máquinas", Stewart y Shear explican. "Ellos pueden cosechar las credenciales financieras, infectarlos con ransomware fin de extorsionar a sus propietarios, o usarlos para formar una red de bots de spam para enviar spam malicioso en nombre de otros estafadores." 
  •  Stewart y Shear encontraron gran variedad de troyanos de acceso remoto (RAT) para la venta que van desde $ 50 a $ 250. La mayoría de las RAT fueron vendidos con un programa para que sea completamente indetectable (FUD) para el software de seguridad. A veces, esta característica cuesta unos 20 dólares extra. Compradores de Troyanos también podría pagar para que alguien cree un servidor de comando y control y posiblemente infectar a un objetivo para un coste adicional de $ 20 a $ 50. 
  •  Un pirateo informático avanzado Sweet Orange Exploit Kit - una herramienta para la distribución de software malicioso a través de ataques drive-by de descarga desde sitios web comprometidos - se puede alquilar a través de foros subterráneos de alrededor de $ 450 por semana o $ 1800 por mes. 
  •  El hackeo de un sitio web puede ser encargado a un precio de entre $ 100 a $ 300, dependiendo de la reputación de la piratería informática. Un anuncio para un pirata informático a sueldo notado por los investigadores dijo que no tomaría comisiones para introducirse en el gobierno o los sitios web militares. 
  •  Un ataque distribuido de denegación de servicio (DDoS) contra un sitio web dirigido costaría $ 100 por día, según los investigadores. Todos los piratas informáticos que proporcionan los ataques DDOS garantizado que el sitio web de destino se llaman fuera de línea. 
  •  El método de pago preferido por los muchos y variados servicios para la venta a través de los bazares de cibercrimen ha cambiado a BitCoin o transferencias de dinero de Western Union.
Conclusiones del estudio
 "Los tipos de servicios de piratas informáticos y los datos robados para vender en el underground de hackers han cambiado dramáticamente en los últimos años", Stewart y Shear concluyen. "La única diferencia notable es la caída en el precio de las credenciales de la cuenta bancaria en línea y la caída del precio de fullz o credenciales personales."
Fuente: The Register

Misterioso ataque de redireccionamiento del tráfico, que lo desvia por Bielorrusia e Islandia

Ingentes cantidades de tráfico de Internet está siendo desviado deliberadamente a través de ciertos lugares, entre ellos Bielorrusia e Islandia, y los expertos en seguridad temen que están siendo interceptados por ladrones o peor todavía, por los espías.

BGP (Border Gateway Protocol) es un protocolo de enrutamiento básico que traza las conexiones para el tráfico de Internet a fluir a través, del origen al destino. Tal como están las cosas, BGP no tiene seguridad incorporada. Los routers pueden aceptar rutas de conexión dudosas anunciados por los compañeros, los intercambios de Internet o proveedores de tránsito.

Rutas BGP de varios proveedores fueran secuestrados, y como consecuencia, una parte de su tráfico de Internet fue redirigidas a través de los ISP de Bielorrusia e Islandia. Tenemos datos de encaminamiento BGP que muestran el segundo a segundo la evolución de los 21 eventos de Belarús en febrero y mayo de 2013, y 17 eventos de Islandia en julio-agosto de 2013.

Tenemos medidas activas que verifican que durante el período en que las rutas BGP fueron secuestrados en cada caso, la redirección del tráfico se llevaba a cabo a través de los routers de Bielorrusia e Islandia. Estos hechos no están en duda, sino que están bien apoyados por los datos.

La firma de inteligencia de red Renesys advierte que las víctimas, incluidas las instituciones financieras, proveedores de VoIP, y los gobiernos han sido blanco de los ataques man-in-the-middle. Los procesos se reconocen como maliciosos , y, probablemente, se lograron al manipular las tablas de enrutamiento BGP.

Renesys concluye que estas rutas fueron secuestrados en múltiples ocasiones aún no está claro sobre el motivo de los ataques mucho menos quién podría estar detrás de ellos.

Fuente: The Register

Los smart TV de LG recolectan información de carpetas de la red local

Nuevo análisis revela grave intrusión de los televisores inteligentes de LG en la red local del usuario. LG, que al comienzo intentó eludir responsabilidades, anuncia que desistirá de la práctica.

Esta semana, un propietario de LG Smart TV denunciaba que los aparatos “llamaban se conectaban con LG” reportando información no sólo sobre sus programas favoritos, sino también sobre archivos de vídeo privados almacenados en memorias USB conectadas a su red local.

Estudiando el tema más en detalle, un bloguero ha detectado que su propio televisor LG reporta a la empresa los nombres de archivos intercambiados por otros PC y dispositivos conectados a la misma red local que el televisor.

La denuncia inicial fue hecha en Gran Bretaña, por lo que la autoridad británica de protección de datos, Information Commissioner’s Office (ICO), anunció la víspera que investigaría el tema.

La situación es problemática para LG en dos frentes. En primer lugar, la empresa no ha informado a los usuarios sobre el alcance de esta recolección de datos.

La segunda irregularidad es que la función ofrecida por LG, que permitiría desactivar la recolección de datos no tiene, en la práctica, efecto alguno.

La empresa en un principio intentó echar la culpa al distribuidor, pero después informó estar preparando una actualización del firmware para los modelos afectados. La actualización eliminará la funcionalidad del caso, procurando además que el sistema deje de recolectar datos cuando el usuario así lo decida.

Fuente: Diario Tecológico

22 de noviembre de 2013

TOSHIBA. Presentación de un portátil con batería de larga duración

Toshiba, ha presentado su nuevo portátil Dynabook Kira v634, que promete una duración de la batería de casi un día.
Detalles del Dynabook Kira v634
  • Procesador.- Intel Core i5-4200U de la serie Haswell que viene con doble núcleo y 2,6GHz de velocidad.
  • Memoria RAM.- 8GB
  • Almacenamiento.- Disco SSD de 128GB.
  • Pantalla.- 13,3 pulgadas que permite alcanzar una resolución de 1.366×768 píxeles, y
  • Peso.- 1,08 kgs, exponen en Cnet.
  • Batería.- Duración hasta 22 horas
  • NOTA.- En este contexto, cabe puntualizar que debido a que la resolución no es elevada, el modelo puede ahorrar energía al beneficiarse también de la eficiencia del procesador Haswell y la nueva BIOS propietaria de Toshiba.
Disponibilidad
  • Estos nuevos portátiles de Toshiba verán la luz en Japón mañana y todavía no hay fechas sobre su estreno en otros mercados.
Otros modelos
  • La marca japonesa también ha presentado el modelo V834, que tiene las mismas características salvo en la resolución, ya que viene con Ultra HD de 2.560 x 1.440, y en la batería, ya que se queda en 14 horas.
Fuente: Silicon Week

ADOBE. Photoshop y Lightroom para todos los usuarios por 12,29 euros

Adobe, ha incrementado su oferta a personas que no cuenten con una licencia de Photoshop previa y durará hasta el lunes 2 diciembre.
Intrahistoria del asunto
  • Hace unos meses Adobe lanzó una oferta para suscripciones a sus productos que consistía en el lanzamiento de una edición especial de Creative Cloud que todavía está vigente.
  • Se trataba de ofrecer Photoshop CC, Lightroom 5, Behance ProSite, las actualizaciones de software y un total de 20 GB de almacenamiento online por 9,99 euros al mes.
  • Pero la oferta estaba limitada a aquellas personas que ya contaban con una licencia previa de Photoshop CS3 o superior.
Detalles de la oferta
  • Ahora ha dado otro paso adelante con una promoción vigente hasta el lunes 2 de diciembre que ofrece lo mismo pero se dirige a todo el mundo, incluidos los que no son clientes de Photoshop.
  • En esta ocasión el precio es de 12,29 euros al mes con la condición de contratar el servicio durante 12 meses a través de la tienda online Adobe Store o vía teléfonica.
  • Lo bueno es que, pasado ese primer año, el acceso se renovará por el mismo precio por el que se contrató.
Fuente: Silicon Week

DRUPAL Detectadas múltiples vulnerabilidades en el núcleo del CMS

Descubiertas múltiples vulnerabilidades en el núcleo del gestor de contenidos Drupal. A dichas vulnerabiluidades se le han asignado un nivel de importancia crítico.
Recursos afectados
  • Versiones del núcleo de Drupal 6.x anteriores a 6.29.
  • Versiones del núcleo de Drupal 7.x anteriores a 7.24.
  • Advertencia.- La prevención de ejecución de datos en instalaciones Apache podría requerir la configuración del servidor, tal y como se indica aquí (requiere cambios en los archivos .htaccess).
Detalle e impacto potencial de las vulnerabilidades
  • Múltiples vulnerabilidades de CSRF (Validación formulario - Drupal 6 y 7)
  • Múltiples vulnerabilidades debido a debilidades en la generación de números pseudoaleatorios usando mt_rand() (Formulario API, OpenID y generación aleatoria de contraseña - Drupal 6 y 7)
  • Prevención ejecución código (Directorio de archivos .htaccess para Apache - Drupal 6 y 7)
  • Evasión de acceso (Validación de token de seguridad - Drupal 6 y 7)
  • Cross-Site Scripting (Módulo Image - Drupal 7)
  • Cross-Site Scripting (Módulo Color - Drupal 7)
  • Redirección abierta (Módulo Overlay - Drupal 7)
Recomendación
Actualizar Drupal a las versiones 6.29 y 7.24.
Más información
Security Advisory  https://drupal.org/SA-CORE-2013-003
Fuente: Inteco

OWASP: Los diez riesgos más críticos en aplicaciones web (2013)

La OWASP (Open Web Application Security Project) publicó una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web. 
[Top Ten 2013] La edición del 2013 presenta las siguientes categorías:
  1. [A1] Inyecciones.- Vulnerabilidades de inyección de código, desde SQL o comandos del sistema hasta LDAP, ocurren cuando se envían datos no confiables a un intérprete como parte de un comando o consulta.
  2. [A2] Pérdida de autenticación y gestión de sesiones.- Comprende errores y fallos en las funciones de gestión de sesiones y autenticación. Se produce cuando las funciones de la aplicación relacionadas con la autenticación y la gestión de sesiones no se implementan correctamente.
  3. [A3] Cross-Site Scripting (XSS) .- Sigue siendo una de las vulnerabilidades más extendidas y a la par subestimada.
  4. [A4] Referencias directas inseguras a objetos .- Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
  5. [A5] Configuración de seguridad incorrecta.- Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web.
  6. [A6] Exposición de datos sensibles .- Muchas aplicaciones web no protegen adecuadamente datos sensibles tales como números de tarjetas de crédito o credenciales de autenticación.
  7. [A7] Ausencia de control de acceso a funciones.- Trata de la falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas. Aunque ahora se refiere tanto a URLs como a los datos que se pasan a funciones de la propia aplicación.
  8. [A8] Falsificación de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF)- Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.
  9. [A9] Utilización de componentes con vulnerabilidades conocidas .- Se refiere al uso de componentes tales como librerías, frameworks y otros módulos de software, que en muchas ocasiones funcionan con todos los privilegios.
  10. [A10] Redirecciones y reenvíos no validados.- Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.
Más información:
Fuente: Hispasec

EEUU. Jurado sentencia a Samsung a pagar 290,45 millones de dólares a Apple

Un jurado de Estados Unidos sentenció a Samsung Electronics este jueves al pago de 290,45 millones de dólares por daños a Apple Inc en el juicio por patentes entre los gigantes de industria
El veredicto fue anunciado en una corte federal de San Jose, California. Apple había solicitado 379,8 millones de dólares, mientras que Samsung argumentó que debería pagar 52,7 millones de dólares.
Apple y Samsung han estado enfrentadas en las cortes por más de dos años. En 2012, a Apple se le otorgaron más de 1.000 millones de dólares luego de que convenciera a un jurado de que Samsung copió varias características del iPhone y detalles de diseño del teléfono.
En marzo, la jueza de distrito estadounidense Lucy Koh ratificó unos 600 millones de dólares de esa sentencia pero ordenó un nuevo juicio por daños sobre el resto, destacando que el jurado previo había cometido algunos errores en sus cálculos.
Fuente: Reuters

BQ. Presentación 'phablet' quad-core de 5,7 pulgadas y batería de 4.000 mAh

La empresa española ‘bq’ presentço el dispositivo móvil, bq Aquaris 5.7., que pertence a la categoría de tabléfono o 'phablet'.
Características técnicas del bq Aquaris 5.7 
  • Pantalla de 5,7 pulgadas IPS Full HD con una resolución de 1080 x 1920 px y 386 puntos por pulgada, con formato panorámico 16:9.
  • Procesador Quad Core Cortex A7 de 1,5 GHz,
  • Memoria interna eMMC de 16 GB 
  • Batería de 4000 mAh.
  • Cámaras, trasera es de 13 Mp con autofoco y la frontal es de 5 Mp.
  • Conexiones.- Dispone de conexión MHL, para conectarse a pantalla TV y reproducir contenido multimedia en calidad 1080p. También lleva un puerto USB-OTG que permite conectarle un ratón, un teclado, un pincho USB, un disco duro externo o incluso un mando de juego.
  • Como todos los smartphones de bq,  es un dispositivo libre con doble ranura SIM.
  • El sistema operativo del bq Aquaris 5.7 es Android 4.2. Cuenta con tecnología de sonido Dolby Integrada.
Precio y disponibilidad
bq Aquaris 5.7 estará disponible por 259,90 euros en grandes superficies, tiendas especializadas y en la tienda online de la compañía (store.bqreaders.com).
Fuente: Europa Press/Portal TIC

ONO. Ofrece 200 Mbps a precio de 100 Mbps con el lanzamiento de la PS4

ONO ofrecerá a los compradores de la PS4 una línea de 200 Mbps en el canal de descarga (20 Mbps para el de subida) que además de esa impresionante velocidad es especialmente interesante porque tendrá el precio de las actuales líneas de 100 Mbps de la compañía.
Detalles de la oferta
  • Los responsables de ONO explican que para aprovechar esta oferta los compradores de la PS4 encontrarán un folleto de ONO con un código personal que podremos introducir en la web de esta operadora de cable para poder dejar nuestros datos y que nos llamen. 
  • Esta oferta mantendrá sus condiciones de forma indefinida —hay un periodo de permanencia de 12 meses, eso sí—, pero además tiene otro componente especialmente atractivo: se incluye 1 año de PlayStation Plus, lo que nos permitirá acceder a toda la oferta online de la PS4 sin problemas. 
  • Esta oferta consiste en la actualización desde la línea 100/10 Mbps a una 200/20 Mbps tanto si el usuario ya es cliente de ONO como si no lo es. Se incluye tarifa plana para llamadas a fijos nacionales y 60 minutos al mes en llamadas a móviles.
  • El precio de la oferta es de 27,90 euros al mes más 15 euros de alquiler de línea, y ese precio se incrementa en 10 euros al mes tras el primer año.
Más información
ONO  http://www.ono.es/ps4/
Fuente: Xataca

SECRETINK. Correos electrónicos que desaparecen después de ser leídos

SecretInk te permite enviar emails cifrados y que después de pulsar un botón para leerlos, permanecerán en pantalla sólo unos segundos. Luego serán borrados para siempre sin dejar rastro. 
Probablemente en alguna ocasión desearían enviar un email a alguien, para ser leído una única vez y luego desaparezca del todo, tanto en el receptor, como de los servidores de los servicios de mensajería. 
Eso sí, que el email desaparezca no quiere decir que no pueda hacerse una captura de pantalla en un momento dado, de forma que si alguien tiene pensado usarlo para algún acto ilegal, como mandar amenazas o cosas parecidas, el receptor puede tener pruebas de tu envío.
Esto lo normal, ya que no está pensado para que terceros no puedan acceder a tus mensajes a partir de oscuros acuerdos con los grandes servicios de Internet.
Una buena idea, aunque probablemente si alguien recibe un mensaje que ponga SecretInk y tenga que pulsar un botón para leerlo, posiblemente no lo haga si no conoce este servicio.
Fuente: The Inquirer

Vulnerabilidad en drivers de Catapult Software para DNP3

Los Investigadores Adam Crain de Automatak y Chris Sistrunk han identificado una validación incorrecta de entradas en los drivers para DNP3 de Catapult Software. La vulnerabilidad se la catalogó con nivel de importancia: 4 - Alta
Este driver es utilizado con los productos Intelligent Platform Proficy iFIX y CIMPLICITY, de General Electric (GE).
Recursos afectados
  • El driver DNP de Catapult Software, versión 7.20.56.
  • La interfaz/supervisor de control Proficy humano-máquina y los servidores de adquisición de datos (HMI/SCADA) - iFIX o CIMPLICITY con el driver I/O vulnerable instalado (esto incluye instalaciones iFIX o CIMPLICITY que son parte de Sistemas de Proceso Proficy).
Descripción e Impacto en los sistemas afectados
  • El uso de este driver puede provocar que la interfaz humano-máquina (HMI) sea víctima de un ataque de denegación de servicio (DoS) mediante el envío de paquetes TCP manipulados desde una estación remota en una red IP.
  • Si el dispositivo se conecta mediante conexión serie, el mismo ataque puede ser efectuado con un acceso físico a la estación remota. El dispositivo debe apagarse y reiniciarse para recuperarse del ataque
  • La vulnerabilidad podría ser explotada remotamente.
Recomendación
  • El driver actualizado está disponible desde Catapult Software y solucionará el problema instalando la versión 7.20.60 (GE IP 7.20k) o posterior del driver DNP.
  • El driver puede descargarse registrándose para soporte en http://catapultsoftware.com/support.
  • Adicionalmente, la actualización está también disponible desde GE en http://support.ge-ip.com
  • Los investigadores sugieren bloquear tráfico DNP3 para atravesar redes corporativas mediante el uso de un IPS o firewall con reglas DNP3 específicas para añadir una capa adicional de protección.
Más información
Advisory (ICSA-13-297-01)  http://ics-cert.us-cert.gov/advisories/ICSA-13-297-01
Fuente: Inteco

KASPERSKY. El 97,5% de ataques se dirigen a móviles con Android

El tercer trimestre de 2013, no va a ser distinto al anterior y también Android se convierte en el objetivo de la mayoría de los ataques de los ciberdelicincuentes contra plataformas móviles, según explica Kaspersky Lab.
Informe sobre la evolución del malware del trimestre de Kaspersky Lab
  • El 97,5% de los ataques van dirigidos contra dispositivos móviles de Android.
  • El motivo reside en la persimibidad del sistema operativo a la instalación de aplicaciones desde sitios de terceros, lo que debilita el control de calidad y multiplica los riesgos para los usuarios.
  • Una técnica habitual es modificar aplicaciones populares con las que ganarse la atención y la confianza de las víctimas.
  • En cuanto al tipo de amenaza más generalizada, los backdoors o troyanos de puerta trasera son los responsables de 31 de cada 100 infecciones. Y los siguientes cuatro puestos también están ocupados por algún tipo de troyano: troyanos SMS (30%), los programas troyanos al uso (22%) y los troyanos espía (5%).
  • Los expertos catalogan el periodo de julio a septiembre, además, como “el trimestre de las botnets móviles” que se sirven de Google Cloud Messaging para favorecer su administración.
Fuente: Silicon Week