28 de agosto de 2013

Seguridad ‘Online’ NUEVA TECNOLOGÍA

Una nueva tecnológía aumenta la protección de los usuarios contra el  ‘phishing’ creciente y el robo de contraseñas. Una de las ventajas de esta nueva tecnolgía es su universalidad.  
Ingenieros del Royal Holloway College (asociado a la Universidad de Londres, Reino Unido) anunciaron la semana pasada el lanzamiento de una nueva tecnología que ayudará a proteger a los usuarios del phishing, que según cálculos de la universidad afectó a más de 37 millones de personas el año pasado y del del robo de contraseñas, que entre 2012 y 2013 ha aumentado en un 300%.
En el phishing, los criminales crean sitios web falsos que se parecen a los reales y piden a usuarios que ingresen sus datos de acceso o su información, a menudo personal y financiera. 
Los científicos del Royal Holloway han ideado un nuevo sistema llamado Uni-IDM que permitirá a los usuarios crear tarjetas de identidad electrónicas para cada sitio web que acceden.
Estas se almacenan de forma segura, permitiendo a los propietarios hacer clic en la tarjeta para obtener la certeza de que los datos sólo podrán ser enviados a la página web auténtica.
Una característica clave de la tecnología es que es capaz de reconocer los sitios web que ofrecen los sistemas de inicio de sesión más seguros.
También se espera Uni-IDM para ofrecer una solución para las personas que van a necesitar acceder a los crecientes servicios 'online' ofrecidos por los gobiernos, tales como el pago de impuestos o las reclamaciones.
Fuente: Innova

JAVA 6. Si lo tienes instalado, tienes un PROBLEMA

Oracle finalizó el soporte público para la versión 6 de Java el pasado febrero. Las versiones públicas de Java poseen un soporte de tres años. Después,  sólo clientes con licencia comercial del producto tendrán acceso a los parches críticos, durante cinco años adicionales.
¿Pero cual es el problema?
  • Pues que Java 6 aún se encuentra instalado en millones de sistemas, no tiene soporte y existe una vulnerabilidad con exploit publicado que se está usando activamente para infectar equipos.
  • La vulnerabilidad está etiquetada con el CVE-2013-2463. Consiste en un error en el índice de un array al invocar la función nativa 'storeImageArray'. Dicha función pertenece a la capa nativa del paquete AWT (Abstract Widget Toolkit) encargado entre otras cosas del tratamiento de imágenes, un paquete disponible desde la versión 1.0 de Java.
  • La vulnerabilidad se conoce desde hace meses y está parcheada para Java 7 revisión 25. Pero el exploit se publicó a principios de agosto.
Impacto de la vulnerabilidad en el Sistema
  • La vulnerabilidad va a permitir que cuando vayamos a escribir en el búfer relacionado, se pueda alojar un objeto y modificar sus permisos para ejecutar código fuera de la sandbox de Java.
  • Esto significa que mantener la versión Java 6 o una versión de Java 7 sin actualizar en el sistema y visitar una página infectada implica casi con toda seguridad comprometer el sistema.
Recomendación
  • Dada la anterior información solo cabe extremar las medidas de seguridad y recordar el riesgo que supone mantener activo un producto sin soporte.
  • Siendo la mejor opción actualizar el sistema a una versión que tenga corregido el problema, en este caso JAVA 7.
  • Como último recurso, si no tenemos soporte de Java 6 y nuestro sistema operativo no soporta Java 7, siempre y cuando no utilicemos aplicaciones que requieran Java, podremos desactivarlo de nuestro navegador. Visiten el sitio web oficial de Java para saber como hacerlo: 
¿Cómo puedo desactivar Java en el explorador web?  http://www.java.com/es/download/help/disable_browser.xml
Más información:
Fuente: Hispasec

Twitter.com. Dominio 'hackeado' por el Ejército Electrónico Sirio

El Ejército Electrónico Sirio (SEA por sus siglas en inglés) se han hecho con el dominio de la administración de twitter.com, de nytimes.com y del Huffington Post de Reino Unido, según han informado a través de un 'tuit' desde su página de Twitter oficial @Official_SEA16.
Desde este martes, Twitter se ha visto afectado por varios problemas: no se cargaba la hoja de estilos y dejaron de aparecer los iconos de cada usuario. El servidor de imágenes de Twitter, twimg.com, fue el que más problemas noto. Los usuarios se dieron cuenta de que sus fondos de imágenes se cambiaban por imágenes de temáticas sirias y que además, los enlaces se redirigían a páginas afiliadas a la SEA, según informa la página The Next Web.
En el caso de The New York Times, algunos usuarios han informado que al acceder a la página, aparece una pantalla con el mensaje "Hacked by Syrian Electronic Army" (Hackeado por el Ejército Electrónico Sirio). Este problema parece que no sucede de momento en Twitter.
A través de la página de los dominios robados, se sigue informando de que los dueños de estas páginas siguen siendo los 'hackers' del Ejército Sirio. Twitter ha confirmado el ataque, aunque solo ha reconocido la invasión a su servidor de imágenes. La cuenta de Twitter de SEA había señalado varios objetivos para 'hackear', como los servicios de Twitter de China, Indonesia y los Emiratos Árabes Unidos.

Fuente: Europa Press

CHINA Ciberataque que afectó al dominio nacional (.cn)

China sufrió los últimos dos días un ciberataque, que afectó principalmente al dominio nacional (.cn) que durante horas impidió o dificultó el acceso a ocho millones de web, informó hoy el diario «South China Morning Post».
El ataque se produjo el domingo 25 de agosto por la mañana, prolongándose al resto del día y también parte del lunes, según denunció el Centro de Información de la Red en China, responsable de la gestión de internet en el país.
El director ejecutivo de la institución, Li Xiaodong, explicó que el ataque  fue del tipo DDOS y que pudo ser lanzado en su opinión a través de un gran número de «ordenadores zombies» 
También analizó que, dado el gran alcance de la operación, seguramente fue lanzada por una organización, no a título individual, aunque no hizo predicciones sobre posibles gobiernos o grupos que puedan estar detrás del ataque.
El Gobierno de China, acusado constantemente de espiar y atacar redes de internet en otros países, siempre ha argumentado que los ordenadores del país, incluidos los de redes militares, se cuentan entre las principales víctimas de ciberataques.
Más información
Fuente: The Register

Kernel Linux 3.11 LA VERSIÓN SERÁ LIBERADA LA SEMANA PROXIMA

La nueva versión del kernel Linux bautizada como “Linux for Workgroups”, no pudo estrenarse el 11 de agosto, pero si llegará en el mes de septiembre.
Coincidiendo con el 22 cumpleaños de Linux, Linus Torvalds, su creador, ha querido dejar un mensaje en la cuenta de Google+ dedicada a este sistema operativo.
En él que además de recordar que el proyecto se inció en abril de 1991 y que “todavía no está finalizado”, ha confirmado que la nueva versión del kernel verá la luz “dentro de una semana”.
Se trata de Linux 3.11, cuya versión RC7 ya está disponible para que aquellas personas interesadas en adelantarse a sus novedades la prueben y generen feedback acerca de las implementaciones que les gustan y también de lo que no les gusta tanto.
Y añade que aunque, está abierto a todo tipo de sugerencias, no promete que “vaya a ponerlas en práctica”, porque el ciclo de desarrollo ya está realmente avanzado y no se desea retrasar más su lanzamiento.
Recordemos que estaba previsto para el 11 de agosto, coincidiendo con las dos décadas desde que se publicó Windows 3.11, pero no fue posible.
Más información
TechWeekEurope
Fuente: Silicon Week

Google PONE A LA VENTA “Nexus 7” Y REBAJA “Nexus 4”

Google lanza al mercado la segunda generación de su 'tablet' Nexus 7, cuyo precio es de 229 euros para su versión de 16 GB y de 269 euros para la versión de 32 GB. 
Al mismo tiempo ha decidido rebajar el precio de su último 'smartphone' Nexus 4 en 100 euros en su tienda Google Play Store, por lo que ahora el terminal con 8 GB de capacidad tendría un precio de 199 euros y el modelo de 16 GB valdría 249 euros.
Esta rebaja introducida por Google podría servir para eliminar stock y ser el  anticipo para el lanzamiento del Nexus 5 también construido por LG, 
Además por lo que parece Google pretende hacer frente a los nuevos 'smartphones' que están previstos ser presentados en estos días, como el anuncio de Apple del iPhone 5S o el iPhone 5C.
Fuente: Europa Press

ASTERISK Boletines de seguridad

Asterisk ha lanzado dos boletines de seguridad, AST-2013-004 y AST-2013-005, que solucionan dos vulnerabilidades que podrían ser aprovechados por un atacante remoto para causar denegación de servicio.
¿ Pero qué es Asterisk ?
  • Es una implementación de una central telefónica (PBX) de código abierto que puede conectar varios teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. 
  • También es muy popular, porque además de ser de código abierto, añade  interesantes características como distribución automática de llamadas, buzón de voz, conferencias, IVR,  etc. La aplicación está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Recursos afectados:
  1. El primer boletín AST-2013-004 informado por Colin Cuthbert corrige una vulnerabilidad que afecta a Asterisk Open Source 1.8.17.0 en adelante y toda la rama 11.x, Certified Asterisk 1.8.15 y 11.2.
  2. El segundo boletín AST-2013-005 informado por Walter Doekes soluciona otra vulnerabilidad que afecta a Asterisk Open Source 1.8.x , 10.x, 11.x ; Certified Asterisk 1.8.15 , 11.2 y Asterisk with Digiumphones 10.x-digiumphones.
Impacto en el Sistema de las vulnerabilidades
Las dos vulnerabilidades podrían permitir a un atacante remoto causar denegación de servicio.
Recomendación:
Están disponibles las versiones siguientes que solucionan dichas vulnerabilidades:
  • Asterisk Open Source 1.8.23.1, 10.12.3, 11.5.1
  • Certified Asterisk 1.8.15-cert3, 11.2-cert2
  • Asterisk with Digiumphones 10.12.3-digiumphones
Más información:
Fuente: Hispasec

New York Times SITIO WEB HACKEADO

El sitio web del periódico The New York Times tuvo otra caída en la tarde del martes, probablemente causada por piratas informáticos, informó la compañía.
La portavoz del New York Times Co, Eileen Murphy, escribió en su cuenta de Twitter el martes que "el asunto es probablemente resultado de ataques maliciosos externos", sobre la base de una evaluación inicial.
En las últimas dos semanas es la segunda vez que el Times experimenta problemas en su sitio web. El 14 de agosto, el sitio estuvo caído por varias horas, probablemente debido a una actualización de mantenimiento que ocurrió a segundos de la caída del portal.
Varias organizaciones de medios han sido atacadas por hackers en los últimos meses. También en agosto, piratas informáticos promocionando el Ejército Electrónico Sirio atacaron de forma simultánea los sitios de CNN, Time y el Washington Post al ingresar a un tercer servicio utilizado por esos portales.
El presidente ejecutivo de Dow Jones, Lex Fenwick, escribió en su cuenta de Twitter el martes que el sitio web del The Wall Street Journal estaba "libre para todos por algunas horas", en una referencia al rival del Journal.

Fuente: Reuters

BitTorrent Sync AHORA LLEGA a iOS

BitTorrent Sync que lanzaba hace un mes su versión para Android, ahora le toca el turno a iOS y esta semana estará disponible.
BitTorrent Sync es una aplicación, que nos permite sincronizar archivos entre equipos sin que haya un servidor de por medio. 
Con esta llegada a iOS, Sync cubre ya las principales plataformas, pues ya tenía versiones de escritorio para Windows, Mac y Linux.
Aunque BitTorrent Sync es una versión Beta, está siendo un éxito, porque si bien en julio decían haber sincronizado más de 8 petabytes de datos desde su aparición en abril, ahora, según han declarado desde BitTorrent a TechCrunch, están cerca de 14 petabytes, un rápido aumento en los datos  sincronizados, seguro ayudados por la versión lanzada para Android y crecerá aún más ahora que llega a iOS.

Futuro de BitTorrent
  • Desde la compañía indican trabajar en un modelo de negocio más adecuado, en un plan a largo plazo dirigido a la introducción de funciones premium especialmente enfocadas hacia el mundo empresarial, las cuales girarían alrededor de beneficios adicionales en cosas como la seguridad o la velocidad.
  • Para aquellos que puedan temer que en algún momento la aplicación se vuelva de pago, aclaran que las características básicas de Sync siempre serán gratuitas.
Fuente: Genbeta