7 de agosto de 2013

Microsoft LANZA GENERADOR DE ‘Apps para Windows Phone ‘

A partir de este miércoles, Windows ha lanzado una versión beta de una nueva herramienta de desarrollo de aplicaciones, Windows Phone App Studio, “para desarrolladores entendidos, con grandes ideas, pero con poco tiempo”, permite crear, probar y publicar apps para Windows Phone en cuatro pasos.
El sistema consiste de un proceso asistido de creación de apps móviles basadas en HTML, directamente en el navegador. Permite crear apps desde cero, o con base en plantillas preconfiguradas.
Objetivo y funcionamiento del nuevo servicio

En su blog oficial, Microsoft escribe que Windows Phone App Studio permite a todos los interesados crear una app móvil, independientemente de su experiencia.
El servicio está orientado además a acelerar los procesos de trabajo de desarrolladores profesionales.
Para utilizar el servicio es necesario conectarse con una cuenta de Microsoft. La empresa precisa que para utilizar App Studio no es necesario estar registrado como desarrollador de Windows Phone.
  1. Microsoft describe el proceso como cuatro pasos sencillos: tener una idea, agregar contenido, elegir estilo y diagramación, y utilizar la aplicación.
  2. App Studio incluye 13 plantillas de aplicaciones estándar. Así es posible, por ejemplo, crear apps sobre la empresa, pasatiempos, deportes, etc.
  3. Para instalar la aplicación y probarla en un smartphone, es necesario desbloquear el aparato y registrarlo como dispositivo para pruebas. Microsoft permite cargar un máximo de dos apps en el teléfono, sin requisito de incorporarse al programa para desarrolladores. Los desarrolladores registrados pueden desbloquear hasta tres dispositivos, y subir en cada uno de ellos hasta 10 aplicaciones.
  4. Para subir la app a Windows Phone Store es imprescindible estar afiliado al programa de Microsoft para desarrolladores. 
  5. Con el fin de hacer más atractiva la inscripción, Microsoft anuncia que hasta el 26 de agosto el valor de la suscripción será de 19 USD. La tarifa normal es de 99 USD.
Más información
Windows Phone App Studio http://apps.windowsstore.com/default.htm
Fuente: Diario Tecnológico

Tor. LA RED CIFRADA RECOMIENDA ABANDONAR Windows

Responsables de TOR, recomiendan abandonar Windows para proteger el anonimato de los usuarios, después de descubrir que una vulnerabilidad en el navegador Firefox para este SO, permite a un intruso descubrir la dirección IP de los miembros de TOR.
The Onion Router (TOR) es una red superpuesta a Internet en la que no es posible rastrear las direcciones IP de sus miembros, gracias a sistemas que cifran las comunicaciones. 
Este 'malware' lo que hace, precisamente, es rastrear la identidad y dirección IP de los miembros de TOR, aunque el informe constata que sólo ocurre al visitar ciertos sitios web mediante una vulnerabilidad basada en Javascript y Firefox, y enfocada a usuarios de sistemas operativos Windows.
Se cree que el origen de este 'malware' no proviene de ningún hacker, sino que sería el propio FBI y la Agencia de Seguridad Nacional los que anden detrás de descubrir quién se oculta tras TOR, y por qué.
La vulnerabilidad se ha solventado por medio de la actualización del paquete de software de TOR. Y aunque no creen que el atacante haya podido modificar nada del ordenador de la víctima, los responsables de Tor si aconsejan a los mienbros que tomen precauciones, deshabilitando Javascript en el navegador y cambiando Windows por otro sistema operativo más difícil de atacar, como OSX o cualquiera basado en Linux.
Como el FBI está realizando una búsqueda exhaustiva de pederastas potenciales para eliminar esta amenaza de las calles y de la red, quizás sea esta la razón por la que esté investigando la identidad de los usuarios, simplemente para evitar delitos como éste.
Fuente: Portal Tic

SIMULACIÓN DE 1 SEGUNDO DE ACTIVIDAD CEREBRAL GRACIAS AL Supercomputador "K"

Un equipo de científicos, investigadores del instituto japonés RIKEN, de sus compatriotas del OIST y de los integrantes del centro alemán Jülich, utlizando la supercomutadora K junto con el software “open source” NEST, han conseguido llevar a cabo la mayor simulación de una red neuronal hasta la fecha.
El experimento se ha desarrollado gracias a una red de 1.730 millones de células nerviosas conectadas por unos 10,4 billones de sinapsis ó  un total de 82.944 procesadores trabajando en parelelo en la supercomputadora K, con el software de simulación “open source” NEST. 
Esto se traduce, en la representación de 1 segundo de actividad neuronal “en tiempo biológico real”, que a al sumpercomputador "K" le llevó 40 minutos completar, lo que da cuenta de lo complejo de esta tarea.
Si un equipo petaescala como el supercomputador "K" es capaz de representar un 1% de la red del cerebro humano a día de hoy, entonces sabemos que la simulación de todo el cerebro a nivel de la célula nerviosa individual y sus sinapsis será posible con los ordenadores exaescala que esperamos estén disponible la próxima década, dice Markus Diesmann, la persona que ha coordinado el estudio.
Entre los descubrimiento del experimento, se ha concluido que para poner en marcha cada sinapsis entre las neuronas se necesitan 24 bytes de memoria. En total, se empleó 1 petabyte, lo que equivaldría a la memoria agregada de nada menos que 250.000 ordenadores.
Más información
Fuente: Silicon New

Windows Phone . FALLO DE AUTENTICACIÓN WiFi

La vulnerabilidad, que afecta a los teléfonos con Windows Phone 7.8 y 8, permitiría que un hacker se hiciera con las credenciales del terminal.
Microsoft, que ha publicado un aviso en su página web, en el que comenta que por el momento no tiene conocimiento que se estén produciendo ataques y que seguirá de cerca el asunto, manteniendo a los usuarios informados y proporcionando orientación a los clientes en caso necesario. 
Impacto de la vulnerabilidad
  • El problema se basa en que el atacante capaz de establecer un sistema bajo su control que de cara al terminal se convierte en un punto de acceso para un recurso de red.
  • El siguiente paso es que el terminal intenta automáticamente autenticarse con ese punto de acceso, lo que permite al hacker obtener las credenciales de recursos cifrados.
  • Las credenciales, explica Microsoft, podrían reutilizarse para atacar recursos de red.
Recomendaciones de Microsoft
  1. Microsoft ha dicho que no habrá actualización de seguridad para el fallo porque “no es una vulnerabilidad de seguridad que requiera que Microsoft lance una actualización de seguridad”.
  2. Aseguran además en su comunicado que el tema está relacionado con un fallo ya conocido en el protocolo PEAP-MS-CHAPv2 y que “es responsabilidad del usuario tomar las medidas necesarias”.
Más información
Fuente: ITespresso

TWITTER. Número de teléfono innecesario para autenticación SMS

Twitter afianza la autenticación de dos factores con los inicios de sesión seguros basados en aplicación móvil (app )
Twitter ha reforzado sus procedimientos de inicio de sesión una vez más, tanto para mejorar la seguridad, como para hacer que los dos factores estén al alcance de todos los usuarios de Twitter en todo el mundo. 
Twitter lanzó la autenticación de dos factores a finales de mayo con un sistema basado en mensajes SMS. Mientras que eso fue suficiente para muchos usuarios, sin embargo, presentaban algunos problemas:
  1. Por un lado, la verificación a través de SMS sólo está disponible a través de operadores móviles compatibles, lo cual no es de todos ellos. 
  2. Por otra parte, el uso de SMS como mecanismo de seguridad se basa en el canal de distribución de SMS es seguro, y los sistemas de mensajería de texto algunos transportistas no podría ser. 
El martes, Twitter lanzó una actualización de su sistema de autenticación de dos factores que pueden eventualmente hacer uso de la aplicación móvil de Twitter para Android y iOS, en lugar de SMS que ofrece otras ventajas añadidas como:
  • Debido a que está basado en la criptografía de clave pública, que es inherentemente más seguro que el enfoque de SMS. 
  • La aplicación móvil genera un par de claves pública / privada y Twitter sólo almacena la clave pública, mientras que la clave privada nunca deja el teléfono del usuario. 
  • Como resultado, un atacante no podrá simular un inicio de sesión, incluso si el servidor de autenticación de Twitter se ve comprometida. 
  • La aplicación también genera un "código de seguridad" durante el proceso de instalación, lo que aconseja que escriba y mantener en un lugar seguro. 
  • En caso de que alguna vez pierde su teléfono, puede usar el código de seguridad para acceder a Twitter, sin inscribir a su antiguo teléfono de la verificación de inicio de sesión, y se inscribe la nueva. 
Al igual que antes, la verificación de inicio de sesión es opcional y se puede activar desde el panel de configuración de cualquier cuenta de Twitter.
Para aprovechar las ventajas del nuevo proceso de autenticación, aplicación basada, tendrás que actualizar a la versión 5.9 de la aplicación de Twitter para iOS o la versión 4.1.4 de Twitter para Android.
Fuente: The Register

iPhone EJECUCIÓN DE CÓDIGO A TRAVÉS DE Usb y Apps maliciosas

También otra presentación en Black Hat ha demostrado como una vulnerabilidad permitiría la ejecución de código en terminales iPhone a través de USB. Además se anunció una segunda vulnerabilidad con impacto similar a través de aplicaciones que eluden la sandbox de iOS.
Los investigadores Billy Lau, Yeongjin Jang, Chengyu Song, Tielei Wang y Pak Ho Chung del grupo universitaro de la Georgia Tech Information Security Center (GTISC) demostrarom un método efectivo y automático para ejecutar código e instalar aplicaciones maliciosas de manera invisible en el terminal utilizando conexiones USB, con un 'cargador' manipulado utilizando un método o vector de ataque, que ya hicieron público el pasado junio, denominado MACTAN.

Vulnerabilidad de conexiones USB
  • La vulnerabilidad se basa en la capacidad de emparejamiento de un dispositivo USB en iOS, ya que han demostrado que un dispositivo iPhone se empareja automáticamente sin ningún tipo de autenticación.
  • Lo cual hace posible obtener el código de identificación único (UDID) y mediante la generación de perfiles de provisionamiento de Apple (.mobileprofile) especialmente manipulados, instalar automáticamente y en segundos una aplicación maliciosa.
Jekyllapps: una vulnerabilidad en la sandbox de iOS
  • Esta vulnerabilidad (dos en realidad) permite ejecutar código de manera remota a través de la evasión del sistema de revisión de aplicaciones de Apple mediante apps especialmente manipuladas (jekyllapps).
  • Estas aplicaciones se han modificado para no ser detectadas en el proceso de revisión y publicación de Apple y permitirían, una vez instaladas, controlar remotamente el dispositivo u otras aplicaciones instaladas en él, eludiendo la sandbox de iOS.
Versiones Afectadas
Actualmente las únicas versiones de iOS no vulnerables son las nuevas betas (3 y 4) de iOS 7.
Más información:
Fuente: Hispasec

Función de HTML5 permite a hackers espiar los navegadores

Nueva función de medición de tiempo en HTML5 puede ser explotada por sitios maliciosos para robar información presentada en páginas abiertas del navegador.
Expertos en seguridad informática de la empresa Context Information Security han logrado en pruebas de laboratorio extraer información confidencial de sitios web al analizar la velocidad con que los elementos CSS y gráficos SVG son generados en pantalla.
Paul Stone, analista jefe en Context declaró a la publicación The Register que la información sobre tiempo transcurrido, que puede alcanzar una precisión cercana a las millonésimas de segundo, permite determinar el color de pixeles de páginas malignas, y así reconstruir palabras y números, aparte de datos de navegación.
La función de medición de tiempo fue diseñada con el objetivo de facilitar la transición a animaciones en páginas web, y puede ser utilizada para calcular e tiempo que toma redibujar parte, o todo, el contenido de una página abierta.
Los expertos de Context crearon un procedimiento basado en JavaScript mediante el cual se aplican filtros a una página abierta, pudiendo así medir el tiempo exacto que toma presentar algunos de sus elementos. Al contar con esa información es posible determinar qué píxeles han sido activados y así identificar patrones como texto y números.
En un documento explicativo, Stone escribe que la nueva API de HTML5, “requestAnimationFrame”, puede cronometrar las operaciones de visualización del navegador, e inferir datos midiendo el tiempo que toma generarlos. Instalando el JavaScript en un sitio maligno, intrusos podrían en teoría robar información al usuario.
Cabe señalar que el ataque en cuestión sólo ha funcionado en el ámbito controlado de un laboratorio, y los propios autores del informe acotan que sería un reto implementarlo eficazmente en el ciberespacio.
Con todo, recuerdan que las técnicas básicas descritas en su informe inevitablemente serán mejoradas para incrementar su velocidad, eficacia y aplicaciones reales.
Context comunicó sus conclusiones a Google, Microsoft y Mozilla Foundation. Las tres empresas estarían investigando el tema e intentando crear una protección que impida estos ataques, por ahora teóricos.

Más información
The Register http://www.theregister.co.uk/security/
Fuente: Diario Tecnológico

ANUNCIOS WEB USADOS PARA LANZAR ATAQUES DdoS

Las redes de anuncios online se podrían estar utilizando para crear botnet de millones de navegadores y llevar a cabo ataques por denegación de servicios sobre otros sitios web. según una demostración llevada a cabo el miércoles pasado en la Conferencia de seguridad Black Hat celebrada en Las Vegas.
Los investigadores Jeremiah Grossman y Matt Johansen de WhiteHat Security escenificaron un ataque sobre un servidor Web de prueba simplemente pagando a dos redes de anuncios en línea para que mostraran anuncios traicioneros en páginas visitadas por cientos de miles de personas. Los anuncios incluían un sencillo código en JavaScript que hace que el navegador que carga el anuncio también acceda repetidas veces a una imagen en el servidor de prueba .
JavaScript es un lenguaje de programación común que se usa en sitios web y anuncios para todo y aunque algunas redes de anuncios no permiten que se inserte JavaScript en los anuncios, muchas otras sí lo permiten porque es un lenguaje de uso muy frecuente. Las redes que sí permiten JavaScript no lo inspeccionan demasiado bien, explica Johansen, y en cualquier caso sería improbable que notaran algo sospechoso en su código.
El servidor de prueba no estaba protegido por las herramientas especializadas que usan algunos sitios para defenderse de los denominados ataques de negación de servicio.
La pareja de investigadores planea probar el ataque contra servidores Web más potentes que sí tienen instaladas protecciones contra ataques de negación de servicio.
Jeff Debrosse, director de investigación en seguridad en la empresa de seguridad en línea Websense, afirma que como los ataques hacen un uso de características de diseño legítimas de la Web, las medidas de seguridad existentes podrían tenerlo muy difícil para detectarlos.
"El código JavaScript solo se ejecuta en el momento de verse el anuncio", comenta. "Si una herramienta de seguridad visita el URL cuando no está sirviendo el contenido, lo más probable es que marque el sitio como limpio".
Fuente: MIT Technology Review

Vulnerabilidad en las claves DSA de Moxa OnCell Gateway

Las claves DSA utilizadas para conexiones SSL y SSH en dispositivos Moxa OnCell Gateway son generadas mediante una entropía débil.
Los dispositivos afectados por esta vulnerabilidad no utilizan suficiente entropía al generar claves para conexiones SSL y SSH, por lo que estas claves son vulnerables mediante el cálculo de las claves de autenticación privadas.
Recursos afectados
Los modelos de Moxa OnCell Gateway (con firmware anterior a v1.4) afectados son los siguientes:
  • G3111
  • G3151
  • G3211
  • G3251
Impacto de la vulnerabilidad
Un atacante remoto podría obtener acceso no autorizado al sistema y leer la información en el dispositivo, así como enviar comandos al dispositivo, lo que comprometería la integridad y la confidencialidad de los datos y podría poner en peligro la disponibilidad.
Recomendación
El fabricante ha publicado actualizaciones de firmware para los productos afectados que  pueden descargarse desde http://www.moxa.com/support/download.aspx?type=support&id=222
Más información
Aviso del ICS-CERT: ICSA-13-217-01 http://ics-cert.us-cert.gov/advisories/ICSA-13-217-01
Fuente: Inteco

Vulnerabilidad en Schneider Electric Vijeo Citect, CitectSCADA, y PowerLogic SCADA

Schneider Electric ha identificado una vulnerabilidad en el procesado de documentos XML de varios productos.
Recursos afectados
  1. Vijeo Citect Versión 7.20 y todas las versiones anteriores
  2. CitectSCADA Versión 7.20 y todas las versiones anteriores
  3. PowerLogic SCADA Versión 7.20 y todas las versiones anteriores
Recomendación
Schneider Electric ha desarrollado parches para las versiones 7.10 y 7.20 de cada uno de los productos afectados
Impacto de la vulnerabilidad
Esta vulnerabilidad podría ocasionar la divulgación de información confidencial al permitir el acceso a archivos locales y a recursos internos, o causar que se ejecuten peticiones HTTP arbitrarias.
Más información
Aviso del ICS-CERT: ICSA-13-217-02 http://ics-cert.us-cert.gov/advisories/ICSA-13-217-02
Fuente: Inteco