28 de febrero de 2014

BLACKPHONE. El smartphon que busca la privacidad perdida

Javier Agüera y Rodrigo Silva-Ramos, fundadores de Geeksphone y co-fundadores de Blackphone,  pretenden que el usuario recupere el control de sus datos.
Para conseguirlo los creadores de Blackphone han aunado ciertos componentes hardware con una propuesta software que parte de Android pero que añade a esta plataforma una serie de elementos que, eso sí, están publicados con licencia Open Source.
¿Quién está detrás del Blackphone?
La presentación del Blackphone durante el Mobile World Congress 2014 celebrado en Barcelona demostró la expectación que había generado el proyecto, que está respaldado tanto por los citados fundadores de Geeksphone como por grandes expertos del mundo de la seguridad y la privacidad en redes de datos.
De hecho, Silent Circle, la otra gran pata del proyecto, es una empresa creada por Phil Zimmermann. El ya casi legendario creador del sistema de cifrado PGP (Pretty Good Privacy) definía el proyecto de forma clara: “No somos una empresa de teléfonos que añade características de privacidad. Somos una empresa de privacidad que está comercializando un teléfono“.
Otro de los grandes expertos en seguridad y redes de datos implicados en el proyecto es Mike Kershaw, creador de la utilidad Kismet de monitorización de redes inalámbricas, y que ha sido el responsable de ofrecer una de las opciones más interesantes del Blackphone, como veremos más adelante.
Si un programa de privacidad es gratuito, no ofrece privacidad
El co-fundador de Geeksphone nos señalaba que las soluciones gratuitas de privacidad no pueden ofrecer demasiadas garantías en este sentido. Cuesta demasiado desarrollar y gestionar esos servicios. La referencia era clara, ya que Silent Circle es el servicio protagonista en el BlackPhone.
Silent Circle es un servicio de pago, pero la compra del terminal permite disfrutar de tres suscripciones de un año (con un valor de mercado de 120 dólares cada una, según los responsables del proyecto Blackphone).
Esa oferta permitirá precisamente que los interesados en el servicio puedan aprovecharlo al máximo ya que el cifrado de las llamadas VoIP, mensajes de texto y correos electróncos es total si se da entre suscriptores del servicio. Eso no se cumple si una de las partes no es sucriptora del servicio: nuestra parte de la comunicación sí se cifrará, pero no la del interlocutor.
La oferta de servicios integrados continúa con los dos años de licencia de la suite de aplicaciones de Silent Circle (llamadas, texto, y contactos, valorada en 240 dólares), los dos años de suscripción al servicio Disconnect —del que hablaremos más adelante, y valorado en 120 dólares— y otros dos años de suscripción al servicio de almacenamiento online seguro de SpiderOak con una cuota de 5 GB al mes, valorado en 120 dólares.
Cuidado con la localización vía WiFi
La base de Blackphone es PrivatOS, una plataforma que se basa en Android pero a la que esta empresa le ha dotado de diversos elementos destinados a proporcionar diversas capas de privacidad y seguridad.
Javier Agüera nos explicaba cómo una de las fundamentales es la mejora que activa o desactiva conexiones WiFi de forma autónoma. La idea, nos explicaba, es evitar los procesos que geolocalizan la posición de nuestro teléfono y recopilan esa información para todo tipo de escenarios.
Controlando los permisos de las aplicaciones
En este apartado de la propuesta del Blackphone permitirá que podamos desactivar el acceso a la red WiFi o 3G de nuestro terminal por parte de la aplicación que hayamos instalado.
Cifrado de datos total
El tercero de los componentes que aumentan la seguridad de este terminal es el cifrado de datos que se realiza en los sistemas de ficheros de este terminal, y que es uno de los procesos iniciales que se ejecuta al encender el dispositivo por primera vez.
El llamado Asistente de Seguridad es un pequeño componente software que precisamente guía al usuario por esos primeros pasos, y solo hace obligatoria la introducción de un PIN alfanumérico que es precisamente el necesario para poder descifrar el sistema de ficheros si lo deseamos más adelante. Este PIN no tiene nada que ver con el PIN (o patrón, si es lo que preferimos) de desbloqueo de pantalla que también podremos establecer para proteger el acceso no deseado a nuestro dispositivo.
Este asistente también se conecta a los servicios ofrecidos por Blackphone y Silent Circle: escaneando un código de barras se aprovisionan las licencias necesarias para las aplicaciones, pero es el usuario el que nuevamente decide al final si quiere aprovechar la oferta de servicios como el de Silent Circle, que se encarga de ofrecer llamadas VoIP y videoconferencias cifradas entre usuarios de ese software, así como mensajes de texto y de correo electrónico.
Buscando el anonimato
Otro de los componentes destacados del Blackphone a nivel software es el llamado Disconnect, una aplicación que ofrece anonimato en nuestras sesiones de navegación y conexión a redes de datos.
El límite de datos es, a pesar de la imagen, de 1 GB, no de 500 MB
Salvo por la salvaguarda de algunas cookies necesarias para esas sesiones de navegación, este componente se encarga de que todos los servicios que recolectan información sobre nuestra actividad en Internet dejen de poder hacerlo.
Eliminación remota de datos y actualizaciones
En Blackphone el borrado remoto de los datos se realiza entre pares, sin que haya intervención de un nodo, servidor o intermediario que no es ya necesario en el proceso.
Esa mecánica de borrado sin intermediarios también se aplica al sistema de actualizaciones: no dependemos de una operadora que tenga a bien ofrecernos sus actualizaciones, indicaba Agüera, sino que podremos disponer de dichas actualizaciones a través de un sistema OTA seguro.
La integración hardware/software, crítica de momento
Las especificaciones hardware del Blackphone no son aún definitivas, pero apuntan a un modelo de gama media-alta
Tanto Rodrigo Silva-Ramos como Javier Agüera nos comentaban que de momento la integración del hardware y el software es importante para ofrecer una experiencia de usuario perfecta y la garantía de que todo va a funcionar como debe.
Una idea con recorrido
Lo cierto es que la exposición de los dos responsables de Geeksphone dejó clara que la apuesta de Blackphone es aparentemente sincera. Este terminal de gama media-alta ofrece muchas más garantías a los usuarios a la hora de recuperar el control de los datos y de mantener su privacidad a salvo, pero obviamente los responsables de Blackphone saben que es imposible garantizar que un dispositivo es 100% seguro o que va a ofrecer una privacidad total.
Aún así, la concepción del proyecto es acertada: ofrecer el código públicamente es la mejor prueba de ese compromiso que los creadores ya habían demostrado en anteriores proyectos, y la posibilidad que ofrecen a los usuarios de activar o no los servicios ofrecidos es muy de agradecer.
Fuente: Xataka



CISCO PRIME INFRASTRUCTURE. Vulnerabilidad de ejecución de comandos

De ha descubierto una vulnerabilidad en Cisco Prime Infrastructure que podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con privilegios de root. La vulnerabilidad ha sido catalogada con Importancia: 4 - Alta
Recursos afectados
  • El software Cisco Prime Infrastructure en sus versiones 1.2, 1.3, 1.4 y 2.0.
Recomendación
Cisco a publicado actualizaciones para las veriones afectadas. En concreto, para cada una de ellas, las versiones a partir de las cuales se soluciona esta vulnerabilidad, son:
  1. Versión 1.2: se debe actualizar a una de las versiones de las otras ramas que solucionan la vulnerabilidad.
  2. Versión 1.3: solucionada a partir de la versión 1.3.0.20-2.
  3. Versión 1.4: solucionada a partir de la versión 1.4.0.45-2.
  4. Versión 2.0: solucionada a partir de la versión 2.0.0.0.294-2.
Detalle e Impacto potencial  de la vulerabilidad
  • La vulnerabilidad se debe a una validación incorrecta de peticiones URL. Un atacante autenticado podría explotar esta vulnerabilidad mediante la petición de comandos no autorizados a través de una URL específica. La explotación satisfactoria podría permitir al atacante ejecutar comandos del sistema con privliegios de root.
  • Se ha asignado a esta vulnerabilidad los identificadores CSCum71308 y CVE-2014-0679, con un valor CVSS v2 base de 9.0.
Más información
Fuente: INTECO

SCHNEIDER ELECTRIC. Múltiples vulnerabilidades en sus productos

Schneider Electric ha reportado una vulnerabilidad de desbordamiento de pila en OPC Factory Server (OSF) y otra vulnerabilidad de "unquoted service path" en el componente Floating License Manager. Las vulnerabilidades han sido catalogadas con Importancia: 4 - Alta
Recursos afectados
  1. Floating License Manager 1.0.0, hasta la versión 1.4.0.
  2. TLXCDLUOFS33 v3.35
  3. TLXCDSUOFS33 v3.35
  4. TLXCDLFOFS33 v3.35
  5. TLXCDSTOFS33 v3.35
  6. TLXCDLTOFS33 v3.35
Recomendación
Schneider Electric ha publicado actualizaciones que solucionan estas vulnerabilidades, que se encuentran disponibles en su portal de seguridad. Los productos que incluyen Floating License Manager están preparados para ser actualizados automáticamente.
Detalle e Impacto de la vulnerabilidad
  • CVE-2014-0759: La vulnerabilidad "unquoted service path" afecta a uno de los servicios instalados por el componente Floating License Manger, lo que podría llevar a atacantes a iniciar programas maliciosos como servicios de Windows.
  •  El administrador de licencias es usado en los siguientes productos de Schneider Electric:
  1. Power Monitoring Expert
  2. Struxureware process Expert (PES)
  3. Librerías Struxureware Process Expert
  4. Vijeo Citect (SCADA)
  5. Vijeo Citect Historian
  •  Esta vulnerabilidad no es explotable remotamente, ni tampoco puede serlo sin la intervención del usuario. El exploit tan solo se ejecuta cuando un usuario local abre una aplicación vulnerable, y la ruta del ejecutable incluida en el servicio contiene espacios en blanco.
  • CVE-2014-0774: Cuando un archivo de configuración malformado es ejecutado por el cliente OFS, éste puede provocar un desbordamiento de búfer, lo que daría lugar a una ejecución de código en el sistema.
  •  Esta vulnerabilidad no es explotable remotamente, ni tampoco puede serlo sin la intervención del usuario.
Más información
Fuente: INTECO

Troyano para Mac roba Bitcoins y utiliza Angry Birds para propagarse

Investigadores de ESET alertan sobre un malware que se filtra en torrents de populares aplicaciones para Mac.
ESET alerta sobre un malware denominado OSX/CoinThief que roba Bitcoins haciéndose pasar por aplicaciones para Mac, modificadas para propagar el código malicioso.
Los expertos de ESET han descubierto una campaña de propagación de este código malicioso a través de torrents que dicen ofrecer las siguientes aplicaciones populares para Mac:
Esto demuestra que este troyano fue diseñado específicamente para lograr un rédito económico a partir de la popularidad de la que actualmente goza Bitcoin, dada su fluctuante cotización. De acuerdo a ESET Live Grid, el sistema de estadísticas en tiempo real, esta amenaza está principalmente activa en los usuarios de Mac de los Estados Unidos.
El código malicioso, descubierto por investigadores de SecureMac, roba credenciales de acceso a varios sitios de intercambio de Bitcoins a través de complementos que instala en los navegadores web.
“Más allá de que un usuario utilice o no Bitcoin, es esencial que proteja su Mac con un producto antivirus actualizado y que recuerde no descargar aplicaciones y software desde repositorios no oficiales. En su lugar, lo recomendable es dirigirse a una fuente legítima como el sitio web de cada desarrollador, o el App Store para Mac”, dijo Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica.
Según advirtió SecureMac, este malware se había “disfrazado” de versiones troyanizadas de Bitcoin Ticker TTM (To The Moon), BitVanity, StealthBit y Litecoin Ticker, que se distribuían a través de sitios populares como Download.com y MacUpdate.com.
Más infomación
Fuente: Diario TI

KASPERSKY LAB. Descubre el primer troyano TOR para Android

 El troyano Backdoor.AndroidOS.Torec.a utiliza la red The Onion Router para enviar sus datos.
TOR (The Onion Router) es una red de comunicaciones de baja latencia que, superpuesta sobre Internet, permite actuar sin dejar rastro, manteniendo en el anonimato la dirección IP y la información que viaja por ella.
“El objetivo de esta red tiene muchas ventajas para los usuarios. TOR permite que millones de personas en todo el mundo puedan utilizar y expresarse de manera libre en la red sin dejar huellas”, escribe Kaspersky en un comunicado, agregando que “sin embargo, este tipo de software libre en las manos equivocadas puede generar riesgos de seguridad muy importantes”. En septiembre de 2013, una investigación de la Universidad de Luxemburgo concluyó que aunque TOR ha sido elogiado por fomentar la libertad de expresión y combatir la censura en regímenes totalitarios, es discutible en qué medida el servicio está siendo utilizado para fines idealistas. Según el estudio, el 44% de los contenidos de Tor apunta a servicios relacionados con drogas, pornografía, explotación sexual de menores, armas, y venta de falsificaciones, tarjetas de crédito robadas, información de cuentas bancarias y otros productos de la categoría “falsificaciones”. Entre las demás categorías, “política” y “anonimato” figuran entre las mayores, con el 9% y 8%, respectivamente. Estos apartados incluyen servicios dedicados a la discusión o filtración de temas relacionados con la corrupción, represión, libertad de expresión y servicios de anonimato. Es decir, a pesar de ser presentada como herramienta de protección de disidentes y filtradores, el uso “libertario” dado a Tor es mínimo.
En su nota, Kaspersky agrega que existen varios troyanos que utilizan la red TOR pero nunca se había visto uno para el sistema operativo de Google. “Los cibercriminales han utilizado como plantilla los archivos maliciosos basado en Windows que utilizan la red de TOR para crear este malware para Android”, agrega la empresa.
Torec.a está basado en Orbot, una plataforma de código abierto del cliente TOR para Android, y utiliza un dominio .onion como un C&C para enviar sus comandos.
A través de este troyano los cibercriminales pueden realizar las siguientes acciones desde el C&C:
  1. Iniciar/detener la interceptación entrante de SMS
  2. Robo de SMS salientes
  3. Realizar una petición USSD
  4. Enviar datos de los teléfonos móviles (número de teléfono, país, IMEI, modelo, versión del sistema operativo) al C&C.
  5. Enviar al C&C una lista de las aplicaciones instaladas en el dispositivo móvil
  6. Enviar SMS a un número específico
Kaspersky recomienda no descargar aplicaciones de terceros para evitar la infección de este tipo de malware e instalar las actualizaciones tan pronto como sea posible. “Además, es necesario leer los permisos que solicitan las apps que se van a descargar y utilizar un software de seguridad que mantenga el dispositivo móvil protegido”, concluye la empresa en su nota.
Fuente: Diario TI

BOEING. Presenta el smartphone de los espías

Boeing ha desarrollado un teléfono inteligente basado en Android que destaca por avanzadas funciones de seguridad que evitan que se pueda robar su información.
La marca Boeing se asocia normalmente con el negocio de la aeronáutica pero ahora acaba de adentrarse más allá del campo de los aviones y llega a la industria móvil.
Se trata del Boeing Black, un smartphone que está especialmente dedicado a personal del departamento de defensa de Estados Unidos y comunidades dedicadas al tema de la seguridad, que ofrece características no vistas en los móviles convencionales.
Una de las señas de identidad del dispositivo de Boeing, que está basado en Android, es que eliminará sus datos y dejará de funcionar si alguien intenta manipular el dispositivo, destacan en ZDNet.
En ese aspecto se especifica que no se pueden cambiar las partes del mismo o abrir su carcasa porque quedaría inutilizable ya que se activarían funciones que borrarían el software y los datos.
BlackPhone es un móvil dual-sim con procesador de doble núcleo Cortex A9 de ARM con una velocidad de 1.2GHz y viene con una versión de Android especialmente configurada en el apartado de la seguridad con funciones como el cifrado de datos multimedia, y programas para reducir el riesgo de que se produzca una fuga de datos.
La pantalla de 4,3 pulgadas ofrece resolución qHD de 540×960 píxeles, y en la conectividad el dispositivo de Boeing trae WDCMA, LTE, PDMI y puerto microUSB.

Fuente: Silicon Week

McAfee ofrece herramienta de seguridad móvil gratuita para consumidores

McAfee anuncia una versión gratuita de McAfee Mobile Security, disponible en 29 idiomas incluido el español.
El anuncio forma parte de la iniciativa de Intel para hacer de la seguridad parte integrada de la experiencia del consumidor. La versión gratuita de  la aplicación de seguridad para Android incluye funciones de protección mejorada y, por primera vez, desbloquea la extensión de seguridad para los dispositivos móviles basados en Intel, convirtiéndola en la solución más completa gratuita del mercado. Recientemente, McAfee ha lanzado McAfee Mobile Security para iOS, que está disponible también gratuitamente.
En el CES de Las Vegas, el CEO de Intel, Brian Krzanich reveló la estrategia de lanzamiento de productos de McAfee como parte de la nueva marca Intel Security. También anunció planes para ofrecer elementos de soluciones de seguridad de McAfee para dispositivos móviles de forma gratuita, y este anuncio es un importante hito en dicha estrategia.
“Vivimos en una era sin precedentes de dispositivos siempre conectados, donde la seguridad y la protección de la privacidad son fundamentales” afirma John Giamatteo, vicepresidente sénior y director general del área de consumo de McAfee. “Con acceso gratuito a nuestro galardonado producto de seguridad móvil, los consumidores pueden experimentar todo lo que el mundo conectado tiene que ofrecer, sin miedo de que su información personal se vea comprometida”.
McAfee Mobile Security disponible de forma gratuita para consumidores
McAfee Mobile Security ofrece su amplia protección contra amenazas a la seguridad y a la privacidad sin coste para los consumidores. Según las conclusiones de un estudio de McAfee llamado “Amor, relaciones y Tecnología 2014“, los usuarios comparten y almacenan más información que nunca, sin dar los pasos necesarios para proteger sus dispositivos móviles.
Según la empresa, McAfee Mobile Security para Android está diseñado para prevenir las invasiones de la privacidad, la pérdida de datos, el robo de identidad y la pérdida o robo del dispositivo móvil. Incluye protección antivirus, anti robo, protección web y filtros de llamadas y SMS. En el test de eficacia más reciente AV-Test para productos de seguridad móvil, McAfee Mobile Security recibió un 100% de ratio de detección y fue situado a la cabeza del ranking entre 30 fabricantes que participaron en el test independiente.
McAfee recientemente ha lanzado McAfee® Mobile Security para dispositivos iOS, con un  gran número de opciones de protección, previamente solo disponibles para los usuarios de Android. Disponible de forma gratuita, el software proporciona a los usuarios de iPhone y iPad una caja fuerte segura para contenido privado, cámara segura, detección de fugas y funciones de backup, entre otros.
McAfee Mobile Security mejorado
El malware para dispositivos móviles casi se triplicó de 2012 a 2013, según el informe de amenazas de McAfee del tercer trimestre de 2013. La última versión de McAfee Mobile Security, incluida la gratuita, está equipada con varias nuevas características que están diseñadas para proteger a los consumidores contra las vulnerabilidades de seguridad y los problemas causados por el robo o pérdida de terminales. “La función de seguridad Wi-Fi permite a los usuarios conectar cualquier red Wi-Fi con confianza, sabiendo que McAfee les alertará de cualquier riesgo o redes sin protección de contraseña a la que podrían estarse conectando”, recalca McAfee.
Fuente: Diario TI

Los ciberdelincuentes habrán copiado a la NSA en pocos años

Según experto en seguridad informática, lo único que por ahora se los impide es el gasto. Aparte de ello, considera que es momento de "elegir a tu enemigo".
La vigilancia de sistemas informáticos de todo el mundo por parte de la Agencia Nacional de Seguridad de Estados Unidos, NSA, es sólo el comienzo. En pocos años, los ciberdelincuentes tendrán la posibilidad de hacer lo mismo, según declaró el gurú de seguridad informática Bruce Schneier, durante la conferencia RSA-2014, en San Francisco, California, Estados Unidos, el 25 de febrero.
Citado por la publicación The Register, Schneier había declarado que “las técnicas de la NSA significan que tiene una ventaja de 3-5 años respecto de las capacidades que desarrollarán los cibercriminales. Estas técnicas no son mágicas, sólo son costosas. Lo que sabemos es que la tecnología es cada vez más barata. Por lo tanto, la idea de instalar una estación base falsa de telefonía móvil, o un punto de acceso inalámbrico igualmente falso son sólo cuestión de tiempo”, declaró el experto.
A juicio de Schneier, los modelos de negocio de las grandes compañías de TI han resultado en que un gran número de datos circulen libremente por Internet, y que estos datos en sí se están convirtiendo en un objetivo económico para los delincuentes, al igual que ahora ocurre con los servicios de inteligencia de varios países.
Buena noticia
 “La buena noticia es que hay soluciones; principalmente el cifrado de los datos”, explicó Schneier, agregando que las revelaciones de Edward Snowden han demostrado que el uso de complejos algoritmos de cifrado representa un problema para la NSA. “Entonces, si la NSA es incapaz de vulnerar ciertas técnicas o algoritmos, tampoco los cibercriminales podrán hacerlo”, declaró Schneier durante la conferencia de seguridad RSA- 2014.
En este contexto, el experto crítico que un gran número de empresas no aplican las comunicaciones cifradas como un estándar.
Por otra parte, dijo que la denominada “balcanización” de Internet no es una solución. En lugar de ello, propone una reconsideración fundamental de la forma en que Internet y el software comercial son administrados. Indicó que ya pasó el tiempo en que Estados Unidos administraba Internet como una “dictadura voluntariosa”. Sin embargo, acotó que ceder el control la Unión Internacional de las Telecomunicaciones (ITU) es una opción aún peor. A su juicio, pasarían décadas antes que este conglomerado multinacional pudiera llegar a una solución de consenso.
“Hay que elegir al enemigo”
 A juicio de Schneier, las adquisiciones de TI deben tener un fundamento realista, y “decidir quién ha de espiarnos”. En tal sentido, acotó que gran parte de los equipos de TI y comunicaciones son fabricados por empresas estadounidenses o chinas. Esto implica que muy pocos países tienen la opción de elegir otros proveedores, que no sean chinos o estadounidenses. A entender de Schneier, la NSA es el mal menor.
“Si alguien ha de espiarte, es mejor que sea Estados Unidos que Rusia. ¿Crees acaso que las empresas israelíes son mejores?. De ninguna manera. ¿O las francesas? Es un tema imposible. Se trata más bien de elegir a tu enemigo. Odio decirlo, y ojalá no fuera así. Pero en mi opinión, tal es la realidad, y no otra.
Fuente: Diario TI

Art Coviello solicita mayor cooperación entre naciones y sector de seguridad

Art Coviello, vicepresidente ejecutivo de EMC Corporation y presidente ejecutivo del consejo de administración de RSA, la División de Seguridad de EMC (NYSE: EMC), presentó su discurso de apertura frente a una audiencia récord en la Conferencia de RSA de 2014, en la que solicitó la cooperación internacional de los gobiernos y el sector con respecto a problemas graves, como la guerra cibernética, la vigilancia, la privacidad y la confianza en Internet.
Coviello presentó cuatro principios guía para alentar el debate y la acción, de todas las partes con un interés particular común en garantizar una mayor seguridad en Internet.
  1. Renunciar al uso de armas cibernéticas y al uso de Internet para comenzar una guerra.-“Debemos sentir el mismo desprecio por la guerra cibernética que sentimos por la guerra nuclear y química”.
  2. Cooperar en la investigación, la detención y el procesamiento de los cibercriminales.-“Los criminales son los únicos que se benefician del hecho de que los gobiernos intenten obtener ventajas uno del otro en Internet. Nuestra falta de cooperación inmediata, constante y sostenida, globalmente, les brinda el equivalente a un refugio seguro”.
  3. Garantizar que la actividad económica en Internet pueda proceder sin trabas y que los derechos de propiedad intelectual se respeten.- “Los beneficios que brindan las mejoras de productividad en el comercio, la investigación y la comunicación son demasiado valiosos para todos nosotros como para no lograr un acuerdo. ¡Debe regir la ley!”
  4. Respetar y garantizar la privacidad de todos los individuos.- “Nuestra información personal se ha convertido en la verdadera moneda de la era digital. Si bien es importante que no se nos explote, es aun más importante que nuestras libertades fundamentales estén protegidas. Pero nuestra libertad personal conlleva una responsabilidad. Los gobiernos tienen el deber de crear y aplicar un equilibrio… un equilibrio basado en un modelo de gestión justo y transparente”.
Coviello también argumentó que se necesitan cambios en la Agencia de Seguridad Nacional de los Estados Unidos y en las organizaciones de inteligencia del mundo, para adoptar un modelo de gestión que separe de manera más clara sus funciones de defensa y de recopilación de inteligencia. En este contexto, cabe recordar que en diciembre de 2013 trascendió que RSA Security recibió 10 millones de dólares de la NSA.
Coviello comentó que la tecnología digital, big data y el surgimiento del Internet de las cosas son elementos clave de lo que él menciona como un “cambio histórico en el uso de la tecnología de la información”. Agregó que las funcionalidades digitales de la actualidad tienen el poder de resolver muchos de los problemas sociales, pero también tienen el poder de destruir, por lo que su uso aceptable debe estar regido por normas de común acuerdo. “Debemos reunir los intereses particulares comunes para desarrollar un ambiente de diálogo positivo”, dijo.
“Necesitamos con urgencia que estos sistemas sean lo suficientemente inteligentes e integrados para automatizar respuestas que aíslen los elementos en riesgos y evitar los daños, no solo en las infraestructuras definidas por hardware actuales, sino también en la nueva generación de redes e infraestructuras definidas por software”, afirmó.
Para concluir, Coviello reiteró su solicitud a los gobiernos de adoptar los cuatro principios, y alentó al sector de seguridad a cumplir con su parte para crear tecnología y marcos de trabajo seguros, necesarios para ayudar a garantizar un mundo digital más seguro y confiable.
Más información
Fuente: Diario TI

Aeropuerto se prepara para el Mundial con cámaras de alta definición con reconocimiento facial

 Para ofrecer un ambiente más seguro a pasajeros y al personal, el Aeropuerto Internacional de Viracopos de San Pablo en Brasil, compró 1004 cámaras HD de Axis Communications.
El Aeropuerto recibió durante  2013 más de 9 millones de pasajeros, y ese número tiende a crecer con la inauguración de la nueva terminal con capacidad para 22 millones de pasajeros al año, y la realización de eventos como la Copa del Mundo, a llevarse a cabo en el país este año. El principal objetivo del proyecto es mejorar la seguridad en todo el recinto del aeropuerto con una solución de video vigilancia avanzada, permitiendo la identificación de sospechosos antes del embarque. Las imágenes captadas por esas cámaras serán cruzadas con el banco de datos de la Policía Federal. Cuando la imagen de un sospechoso registrado coincida con una imagen captada por la cámara, se generará una alerta.
Las pruebas finales se realizan actualmente en el Laboratorio de Testeos de Sistemas y TI de la terminal, y se prevé que en mayo inicie el nuevo sistema de video vigilancia. En el proceso, parte de las cámaras será integrada con la solución de gestión de video Symphony, del fabricante Aimetis, partner de Axis, para el reconocimiento de placas de vehículos. Por otra parte, otro conjunto de equipamientos será integrado al software de Innercalc, también partner de Axis, para permitir el reconocimiento facial de personas en el salón del aeropuerto.
De las 1004 cámaras, 709 son resistentes a actos de vandalismo y al polvo, soportando golpes de una tonelada. Es el caso de las cámaras AXIS M3004-V y AXIS P3364-V. Algunos modelos cuentan con la tecnología Lightfinder, que permite captar imágenes en colores incluso en la oscuridad. El conjunto de equipamientos contempla tanto cámaras que poseen la tecnología Wide Dynamic Range (WDR) con Captura Dinámica, que realiza una compensación inmediata de luz en escenarios de alto contraste; como cámaras PTZ, como los modelos AXIS Q6034 y AXIS Q6034-E, capaces de hacer movimientos de pan, tilt y zoom de 18x con foco automático, garantizando calidad de imagen incluso en condiciones de poca luz.
Fuente: Diario TI

QUALCOMM. Estandarización lenguaje objetos para que puedan comunicarse entre sí

MWC 2014. Entrevista con Eloy Fustero, director de desarrollo de negocio para España y Portugal de Qualcomm, una compañía que ha trasladado la experiencia de los chips Snapdragon a los automóviles.
Las posibilidades que ofrece combinar la experiencia de la industria móvil con la realidad propia del sector de la automoción no están pasando desapercibidas para las compañías tecnológicas. Lo vimos con CoPilot y lo estamos viendo también con Qualcomm, que ha decidido trasladar la lección aprendida por Snapdragon con smartphones, tabletas y los ecosistemas asociados a “otro sector móvil en sí mismo, que es el automóvil”, a través del primer modelo de esta familia de chips diseñado directamente para coches.
Una estrategia que, en opinión de Eloy Fustero, el director de desarrollo de negocio para España y Portugal de la compañía norteamericana comenzará a recoger sus frutos muy pronto porque “la tecnología está, los fabricantes de coches ya la han aceptado y es cuestión de que se desarrollen aplicaciones”. Así se lo ha hecho saber a nuestro director editorial, Pablo Fernández, en el transcurso de una entrevista que ha tenido lugar durante el Mobile World Congress 2014.
En ella, Fustero no sólo habla del coche como “extensión del hogar”, también lo hace de las propias casas digitales para las que pretende, junto a sus socios, “estandarizar un lenguaje común en el que los objetos del hogar que me rodean puedan entenderse, puedan descubrirse entre sí que están próximos y hablarse”. Otros temas abordados por el directivo son los trabajos de Qualcomm en materia de 3G, 4G y un LTE-Advanced que permite “mandar o recibir más contenidos” en plena era del 4K.
Fuente: Silicon Week

MT. GOX. Bancarrota y perdida bitcoins por hackers

Mt. Gox, que una vez fue el mayor operador mundial de bitcoins, presentó el viernes una solicitud de protección por bancarrota y dijo que podría haber perdido todas las monedas virtuales de sus inversores debido a entradas no autorizadas en su fallido sistema de computación.
En una conferencia de prensa, el presidente ejecutivo Mark Karpeles se disculpó en japonés por el colapso de la compañía, que atribuyó a "una debilidad en nuestro sistema".
Inversores iracundos han estado tratando de buscar respuestas a lo que pasó con sus tenencias de dinero y bitcoins, una cripto-divisa no regulada, en el operador con sede en Tokio.
El derrumbe de la firma ha remecido al mundo de la moneda virtual.
Mt. Gox eliminó su sitio en internet el martes luego de congelar retiros más temprano este mes tras una serie de problemas técnicos.
El operador tiene una deuda líquida de 6.500 millones de yenes (63,67 millones de dólares), mucho más que sus activos totales de 3.840 millones de yenes, dijo la compañía.
Mt. Gox y Karpeles no han dicho mucho en los días previos a la declaración de bancarrota, excepto que están trabajando con otros para resolver sus problemas.
Karpeles afirmó en la rueda de prensa que Mt. Gox quiere presentar una querella criminal contra lo que dijo que era un ataque cibernético.
Fuente: Reuters

Jon Matonis defiende el futuro de los bitcoins tras el cierre de Mt.Gox

   El director de Bitcoin Foundation, Jon Matonis, ha defendido este jueves en Barcelona el futuro de la moneda virtual Bitcoin, que esta semana sufrió un revés tras el cierre sin previo aviso de la plataforma de intercambio virtual con sede en Tokio Mt.Gox semana después de descubrir que se habían retirado las mismas bitcoins varias veces.
   En una conferencia en el último día del Mobile World Congress (MWC) 2014 en el recinto Gran Via de Fira de Barcelona, ha reivindicado que el dinero en general "es una ilusión compartida" inventada por el hombre, y que incluso algo tan tangible como el oro cambia de valor dependiendo de los mercados.
   Ha definido Bitcoin como "dinero sin Gobierno", y que por tanto no necesita aprobación política, sino contar con la legitimidad de los mercados, y lo ha reivindicado como especialmente útil para los pagos telemáticos, ya que funciona sin intermediarios y no requiere utilizar números de cuenta bancaria o tarjeta de crédito.
   En un contexto de evolución tecnológica, ha calificado a Bitcoin de "disrupción dentro de la disrupción", y ha abogado por utilizar esta moneda virtual como modo de pago a través del móvil utilizando aplicaciones específicas.
   El consejero delegado de Mt.Gox, Mark Karpeles, había renunciado recientemente a sus cargos en la Fundación Bitcoin, organización encargada de velar por el desarrollo e implantación de la divisa virtual, y como reacción a los problemas de Mt.Gox, los responsables de seis de las principales plataformas de intercambio de bitcoins --Coinbase, Kraken, Bitstamp.net, BTC China, Blockchain.info y Circle-- los han atribuido a prácticas concretas de esa compañía y han expresado su compromiso con la mejora de las garantías y la transparencia en el sector.
Fuente: Portal TIC / EP

APPLE. Pide a tribunal de EEUU la nulidad del dictamen "radical" sobre libros electrónicos

 Apple Inc pidió a un tribunal de apelaciones de Estados Unidos que rechace un fallo "radical" de una jueza que dijo que la firma violó una ley de defensa de la competencia, al manipular los precios de libros electrónicos.
El fabricante del iPhone y el iPad culpó a las editoriales de orquestar una conspiración de la que no supo nada.
El pedido del martes en la noche se refiere a un dictamen de la jueza de distrito federal en Nueva York, Denise Cote, quien concluyó en julio del año pasado que Apple había tenido un "papel central" en una trama ilegal para elevar los precios de los libros electrónicos y obstruir a competidores como Amazon.com Inc, la que se remonta a diciembre de 2009 e involucró a cinco editoriales.
Previamente, las casas editoras acordaron pagar más de 166 millones de dólares por una demanda antimonopolios relacionada.
Apple introdujo los libros electrónicos en 2010 para ayudar a impulsar la venta de su entonces nueva tableta iPad.
En una presentación al tribunal de apelaciones del segundo circuito de Estados Unidos en Nueva York, Apple dijo que "no tenía conocimiento de que las casas editoras estuvieran involucradas en una conspiración".
La compañía dijo que se aprovechó de la "discordia" en el mercado de forma legal y de las frustraciones de las editoriales con Amazon, e "impulsó una competencia en un mercado muy concentrado, con el aporte de una mayor actividad, niveles de precios más bajos y una innovación acelerada".
La decisión de Cote "se aleja radicalmente de la legislación antimonopólica moderna", dijo Apple.
Fuente: Reuters

SMARTPHONES. La guerra de estos dispositivos empieza a focalizarse en el precio

El sector de la telefonía móvil ha empezado a ver con creciente interés al veloz crecimiento de la demanda de teléfonos avanzados por 100 dólares o menos, a medida que el mercado de los dispositivos de más alta gama se satura, aunque no todas las compañías pueden o quieren bajar los precios.
Gran parte del debate de esta semana en el Mobile World Congress de Barcelona, la mayor feria anual del sector, pasó desde la última gran pantalla y los nuevos dispositivos a los teléfonos más asequibles, que según analistas representan la mejor esperanza para el crecimiento del mercado.
"Todos los teléfonos ahora parecen el mismo", dijo el analista Ben Wood, de CCS Insight, tras ver ocho grandes salones de teléfonos y otros dispositivos que se pudieron ver en la feria.
"La capacidad de las principales marcas como Samsung, Apple y Nokia para diferenciarse se hace cada vez más difícil", declaró.
El crecimiento en las ventas mundiales de teléfonos inteligentes caerá fuertemente este año y seguirá ralentizándose hasta 2018, con la media de precios cayendo significativamente mientras la demanda se centra en China y otros países en desarrollo, dijo la empresa de investigación IDC el miércoles.
Así que ahora los fabricantes buscan nuevos dispositivos de bajo costo que se puedan vender al público por 100 dólares o menos. Estos dispositivos tienen algunas pero no todas las características de los teléfonos avanzados actuales, que se venden por varios cientos de dólares y que hasta este año han atraído casi toda la atención de los medios y el márketing desplegado en Barcelona.
Los líderes de este nuevo mercado son chinos, algunos con marcas mundiales y otros que prácticamente no se conocen fuera de China, y han dado pasos de gigante para adquirir la tecnología y el diseño que les permitan bajar los costos sin sacrificar la calidad innecesariamente.
Los principales ganadores en esta carrera parecen ser, por el momento, Huawei , Lenovo, TCL Communications e incluso empresas emergentes como Gionee, Oppo y CorePad que están posicionadas para convertirse en grandes nombres mundiales los próximos años, dijo Wood. 
Fuente: Reuters

REGULACIÓN BITCOIN. Japón dice que debería ser internacional

La regulación de las operaciones con la moneda digital bitcoin debería depender de la cooperación internacional para evitar abusos, dijo el jueves viceministro de Hacienda japonés, Jiro Aichi.
Al comentar sobre el cierre esta semana de Mt. Gox, un sitio que opera desde Tokio y fue en su momento el principal mercado de la moneda virtual, Aichi dijo que el ministerio respondería ante los problemas "si es necesario", después de determinar exactamente lo ocurrido.
"No es sólo el Ministerio de Hacienda, muchas otras agencias tiene relación", dijo Aichi en una conferencia de prensa. "En cuanto a su posición legal, una moneda (bajo la jurisdicción de Japón) sería dinero o valores emitidos por el Banco de Japón. Por lo menos, podemos decir que el bitcoin no es una moneda", sostuvo.
El sitio de Mt. Gox y su página de Twitter suspendieron operaciones el martes luego de semanas de dificultades. La web eliminó la posibilidad de hacer retiros el 7 de febrero después de una serie de ciberataques, lo que dejó a clientes sin la posibilidad e acceder a sus fondos.
Ryan Selkis, un bloguero, puso a circular en internet un documento que afirma que más de 744.000 bitcoin - con un valor por unos 423 millones de dólares en la cotización actual - faltaban en Mt. Gox, en base a datos de una consultora con sede en Tokio.
Selkis, que usa el apodo "twobitidiot", dijo en un email que el "Borrador de estrategia de crisis" fue escrito por la consultora Mandalah en reuniones con el presidente ejecutivo de Mt. Gox, Mark Karpeles.
Mandalah dijo que no podía hacer comentarios de inmediato.
El miércoles, Karpeles intentó ofrecer garantías a los inversores de que estaba trabajando con otros para solucionar los problemas.
"Como hay mucha especulación con respecto a Mt. Gox y su futuro, me gustaría usar esta oportunidad para asegurar a todos que sigo en Japón, y trabajo muy duro con el apoyo de diferentes interesados para hallar una solución para nuestros problemas recientes", dijo en una declaración publicada en el sitio de internet de Mt. Gox.
Si bien los defensores de los bitcoin valoran su anonimidad y la falta de lazos a la banca tradicional, los reguladores se han interesado cada vez más en la moneda digital debido a su volatilidad y sus usos vinculados al crimen.
Las unidades de bitcoin son creadas, o "minadas", en un sistema que usa una red de computadoras que resuelven problemas matemáticos complejos como parte de un proceso que verifica y registra en forma permanente los detalles de cada transacción de bitcoin efectuada.
A precios actuales, el mercado de los bitcoin tiene un valor de alrededor de 7.000 millones de dólares.
Fuente: Reuters

APPLE Y GOOGLE. Instadas desde Europa a discutir compras mediante aplicaciones móviles

 La Comisión Europea anunció el jueves planes para enfrentar uno de los problemas de la era moderna: los juegos en tabletas y teléfonos móviles que permiten que niños y adultos acumulen grandes facturas en las tarjetas de crédito al realizar compras dentro de la aplicación.
Después de una preocupación de los grupos de consumidores en Dinamarca, Reino Unido, Italia y Bélgica, la Comisión mantendrá conversaciones con el sector, los legisladores y las autoridades de protección del consumidor el jueves y el viernes para estudiar líneas de actuación más claras.
La principal preocupación es que los juegos que a menudo se ofrecen con "descarga gratuita" no son "gratis para jugar", con compras que se cargan automáticamente en una tarjeta registrada.
Más de la mitad de los juegos online en la UE se publicitan como "gratis", dijo la Comisión, pese a que muchos implican costos ocultos.
"Engañar a los consumidores es claramente un modelo de negocio equivocado y también va contra el espíritu de las normas de la UE sobre protección al consumidor", dijo la comisaria de Justicia de la UE, Viviane Reding.
"La Comisión Europea espera respuestas muy concretas del sector de las aplicaciones por las preocupaciones de los ciudadanos y las organizaciones de consumidores nacionales", dijo.
La industria de las "apps" en Europa ha crecido exponencialmente en los últimos años a medida que lo hacía el uso de teléfonos avanzados y tabletas.
Se estima que el mercado de la UE tendrá un valor de 63.000 millones de euros en los próximos cinco años, según datos de la Comisión. Los usuarios de Reino Unido, Alemania, Francia, Italia, España, Holanda y Bélgica gastaron unos 16.500 millones de euros en juegos online sólo en el 2011.
Muchos de los que juegan son niños y adolescentes que a menudo terminan cargando gastos a una tarjeta de crédito ya registrada sin darse cuenta o sin la aprobación de sus padres. Los adultos a veces cometen el mismo error, pero asumen la responsabilidad.
En un caso en Reino Unido, una niña de 8 años consiguió acumular una factura de 4.000 libras (6.700 dólares) con compras dentro de aplicaciones como My Horse o Smurfs' Village. En este caso, Apple reembolsó el dinero al padre de la niña.
"Los consumidores, y en particular los niños, necesitan una mejor protección contra los costos imprevistos de las compras dentro de las aplicaciones", dijo Neven Mimica, comisario europeo sobre políticas de consumo.
Este tipo de compras se pueden deshabilitar en la mayoría de los dispositivos.
Entre las propuestas se incluirán explicaciones más claras en los juegos acerca de los costos que implican, eliminando la inducción a realizar compras como "Compre ahora" o "Actualice ahora" y evitando que los pagos se carguen sin un consentimiento explícito.
La reunión debatirá si las empresas deberían dar direcciones de correo que permitan a los consumidores contactar con ellas por posibles quejas.
Entre las compañías que debatirán estos asuntos estarán Apple y Google, junto con agencias de protección de consumidores de Dinamarca, Reino Unido, Francia, Italia, Bélgica, Lituania y Luxemburgo.
Fuente: Reuters

APPLE. Absuelta del pago de 1.570 millones por infringir una patente de IPcom

   Un tribunal estatal de Mannheim (Alemania) ha desestimado los casos de la compañía IPcom contra Apple y HTC a las que acusaba de infringir una serie de patentes. IPcom reclamaba una penalización de 2.000 millones de dólares (1.570 millones de euros) para Apple.
   El mencionado tribunal no ha dado una explicación oral del veredicto, pero sí lo ha anunciado en un comunicado al que ha tenido acceso DW.de. En el caso de Apple, la patente que IPcom señalaba como propia era la número EP 1841268, que aseguraba de la había registrado en la Oficina Europea de Patentes y que estaba relacionada con una tecnología móvil que permite el acceso prioritario a ciertas llamadas de teléfonos móviles, incluso cuando una red está saturada.
   La compañía de IPcom cuenta con una cartera de 1.200 patentes en el sector de las comunicaciones móviles, y afirmaba que había comprado la mencionada patente a Bosch en 2007.
   No obstante, la Oficina Europea de Patentes ha reconocido recientemente a IPcom como propia esa patente, por lo que se espera que la compañía recurra el caso y, de ser aprobada la penalización que exige a Apple, sería una de las mayores cifras en relación a daños por infracción de patentes. Según IPcom, esa cantidad la fijó basándose en la ley de copyright alemana y tuvo en cuenta para ello los ingresos, beneficios y valor de marca de Apple.
   Por otro lado, IPcom lleva años también en guerra de patentes con HTC, aunque ha carecido de éxito hasta el momento.
Mas información
Fuente: Portal TIC / EP

ESPAÑA. El 39% de los españoles recibe una velocidad de conexión a Internet menor que la contratada

   El 39% de los españoles asegura que la conexión a Internet que consigue en casa es menor al nivel contratado con su operador, por encima del 26% de europeos en la misma situación, según un eurobarómetro sobre la neutralidad de la red hecho público este jueves por la Comisión Europea.
   Sin embargo, una mayoría de europeos (60%) admite no saber cuál es la velocidad de descarga máxima que ha contratado, una situación en la que están también el 49% de los usuarios españoles.
   Tampoco tienen información sobre los límites fijados por contrato a su uso de Internet, por ejemplo el volumen de datos, el 42% de los europeos ni el 45% de los españoles.
   Además, el 37% de los españoles y el 40% de los europeos preguntados afirman que su conexión se ha caído alguna vez.
   En cuanto al consumo contenidos en la red o a través de aplicaciones desde casa, un 37% de europeos dice que ha tenido problemas visionando vídeos, seguido de un 22% que explican que se les bloqueó la conexión a eventos en directo como deportes o espectáculos, un 21% tuvo los problemas escuchando música, mismo porcentaje que descargando contenidos P2P, y un 19% al conectarse a juegos 'online'.
   En el caso de los españoles, los contenidos con los que más problemas de conexión tuvieron fueron las descargas (35%), seguido de eventos en directo (29%) y visionado de vídeos (28%).
Fuente: Portal TIC / EP

Windows 8.1 llegará oficialmente cuando se acabe el soporte a Windows XP

Aunque ya se puede actualizar Windows 8 a Windows 8.1, esta actualización todavía no es la final y, además de algún error que otro, no cuenta con toda la funcionalidad prevista. No sabemos si será para animar a la gente que se actualice, o por crear cierta “cortina de humo”, pero parece ser que la actualización oficial Windows 8.1 llegará cuando Microsoft deje de ofrecer soporte a Windows XP.
Bueno, no será exactamente el mismo día, sino unos días antes. Microsoft “desenchufará” Windows XP el 8 de abril de este año, mientras que la actualización Windows 8.1 estaría disponible para el 2 de abril.
Además, el vicepresidente de Microsoft, Joe Belfiore, comentó en el MWC-2014 que con Windows 8.1 se va a mejorar mucho el interfaz para aquellos que no tengan una pantalla táctil. Se van a añadir nuevos menús contextuales, mayor interacción entre las aplicaciones Metro y la barra de tareas del escritorio tradicional, así como botones dedicados de búsqueda y apagado en el menú Metro.
Buena noticia por un lado, pero inquietante con respecto a lo que pasará con los usuarios de Windows XP, ya que aunque Microsoft deja de dar soporte, no abre el código para que los usuarios puedan hacerlo por su cuenta.
Mas información
Fuente: The Inquirer

27 de febrero de 2014

¿Espió Gran Bretaña a usuarios de Yahoo vía webcam ?

La agencia británica de inteligencia GCHQ presuntamente capturó millones de imágenes de usuarios de Yahoo vía webcam como parte de un programa de espionaje que inició en 2008, pero que se extendió hasta 2012, de acuerdo con un artículo publicado por el diario The Guardian.
Según documentos filtrados por el ex contratista de la NSA Edward Snowden y citados por el diario, la agencia interceptó imágenes de video de más de 1,8 millones de usuarios en un periodo de seis meses en 2008, bajo la operación denominada Optic Nerve.
Las imágenes recolectadas fueron utilizadas para obtener metadatos y probar tecnologías de reconocimiento facial, buscando empatar personas con sospechosos identificados.
The Guardian indica que la agencia británica obtuvo apoyo de la NSA estadounidense para la ejecución del programa, y añadió que los usuarios afectados no eran sospechosos de alguna actividad ilícita.
El diario asegura que la GCHQ comenzó a espiar webcams de usuarios de Yahoo porque sabía que el servicio era utilizado por sospechosos.
Yahoo negó tener conocimiento del programa y lo calificó como "completamente inaceptable".
"No estábamos al corriente y no lo toleramos", dijo una portavoz de la empresa.
Fuente: RTVE

MUNDIAL FUTBOL. Los ciberataques amenazan el campeonato

Hackers brasileños amenazan con perturbar la próxima celebración campeonato del Mundo de futbol con ataques informáticos (desde interferencia de sitios web al robo de datos) sumando la guerra cibernética a la lista de desafíos para una competición ya empañada por protestas, retrasos y gastos excesivos.
Furiosos por los 14 millones de dólares invertidos por el gobierno brasileño en los preparativos del Mundial de fútbol, más de un millón de brasileños salieron a las calles en junio pasado exigiendo mejores servicios públicos, una mayor transparencia y medidas contra la corrupción. Ahora, los 'hackers' van a sumarse a las revueltas. "Ya estamos haciendo planes", dijo a la agencia Reuters un presunto hacker conocido por el 'nick' de Eduarda Dioratto. "Creo que no hay mucho que puedan hacer para detenernos".
"Los ataques se dirigen contra sitios web oficiales y de empresas patrocinadoras de la Copa", dijo a la misma agencia otro 'hacker', conocido como Che Commodore. Si bien la mayor parte de la inquietud antes del torneo se centra en la finalización de las obras de los estadios antes de su comienzo el 1 de junio, los expertos coinciden en que se ha prestado poca atención a la infraestructura de telecomunicaciones de Brasil. Estos problemas incluyen redes sobrecargadas, el uso generalizado de software pirata y la baja inversión en seguridad 'online'.
"Sería imprudente para cualquier nación que decir que está preparada al cien por cien para una amenaza", dijo el general José Carlos dos Santos, jefe del comando cibernético en el ejército de Brasil, "pero Brasil está preparado para responder a las amenazas cibernéticas más probables". Un portavoz de la FIFA se negó a comentar sobre la seguridad en línea.
Fuente: INNOVA

APPLE. Nuevos problemas en productos de la firma

Continúan los problemas, avisos y actualizaciones en torno a productos de Apple. Tras la última actualización importante para iOS, se acaban de publicar nuevas actualizaciones para Safari, OS X y QuickTime. Con todo aun hay un anuncio de un nuevo problema aun pendiente de solucionar.
Detalle y Recomendaciones
  • La primera de las actualizaciones de seguridad publicadas es para su navegador Safari (versión 6.1.2 y 7.0.2) que solventa cuatro vulnerabilidades de corrupción de memoria en WebKit, que podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario. Afecta a las versiones para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.1. Los CVE asociados son CVE-2013-6635, CVE-2014-1268, CVE-2014-1269 y CVE-2014-1270.
  •   Se recomienda actualizar a versiones 6.1.1 o 7.0.1 de Safari para Mac OS X disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde, http://support.apple.com/downloads/#safari
  •  Por otra parte, Apple publica la actualización "OS X Mavericks 10.9.2 y Security Update 2014-001" destinada a corregir un total de 33 vulnerabilidades en su familia de sistemas operativos OS X (Lion, Mountain Lion y Mavericks). Entre los problemas corregidos se incluye la analizada por "una-al-día" de ayer, en relación con el soporte SSL/TLS.
  •  Se han solucionado vulnerabilidades en Apache, App Sandbox, ATS, Certificate Trust Policy, CFNetwork Cookies, CoreAnimation, CoreText, curl, Data Security, Date and Time, File Bookmark, Finder, ImageIO, IOSerialFamily, LaunchServices, NVIDIA Drivers, PHP, QuickLook, QuickTime y Secure Transport. También se ha actualizado la lista de certificados raíz, que puede visualizarse a través de la aplicación "Keychain Access".
  •  La última de las actualizaciones publicadas afecta a QuickTime, que se actualiza a la versión 7.7.5 para solucionar 10 problemas de seguridad en su versión para Windows 7, Vista y XP. Las vulnerabilidades están relacionadas con el tratamiento de imágenes o películas específicamente creadas y podrían permitir la ejecución remota de código arbitrario.
¿Un "keylogger" para iPhone?
  •  Además de estas actualizaciones, Apple aún tiene trabajo pendiente ya que se ha anunciado un nuevo problema pendiente de corrección.
  •  Este fallo, reportado por técnicos de FireEye, afectaría a dispositivos iOS 7 y podría permitir la grabación de todas las presiones/toques del usuario, incluyendo toques de pantalla, del botón de inicio, de los botones de volumen y hasta del TouchID. Un "keylogger" en toda regla. Destacan la creación de una app capaz de "monitorizar" en segundo plano estos eventos en dispositivos iPhone 5s con la última versión de iOS 7 sin jailbreak y enviarlos a un servidor remoto. Además también afecta a versiones anteriores de iOS.
  •  iOS 7 proporciona ajustes para "Actualización en segundo plano", desactivar el refresco innecesario de aplicaciones puede prevenir una potencial monitorización en segundo plano. Aunque también podría evitarse, por ejemplo una aplicación puede reproducir música en segundo plano sin necesidad de activar dicha opción. Por lo que un atacante podría crear una aplicación maliciosa disfrazada como aplicación musical para efectuar el registro de las pulsaciones. Por lo que la única forma de evitar este problema es mediante el cierre de las aplicaciones que se ejecutan en segundo plano.
  •  FireEye ha confirmado que está colaborando con Apple para la corrección de este problema, por lo que podemos esperar otra actualización para iOS dentro de poco.
Más información:
Fuente: Hispasec

APPLE. Actualización para iOS 6 y iOS 7

Apple ha publicado actualizaciones de seguridad para iOS 6, 7 y Apple TV 6 por una vulnerabilidad en el soporte SSL/TLS que podría permitir a un atacante interceptar comunicaciones seguras. El problema también afecta a OS X 10.9.x.
Detalle e Impacto de la vulnerabildad
 El problema reside en la función SSLVerifySignedServerKeyExchange en libsecurity_ssl/lib/sslKeyExchange.c en la característica Secure Transport en el componente Data Security de Apple iOS 6.x (anteriores a 6.1.6) y 7.x (anteriores a 7.0.6), Apple TV 6.x (anteriores a 6.0.2) y Apple OS X 10.9.x (anteriores a.9.2). El problema reside en que no se comprueba la firma en un mensaje TLS Server Key Exchange, que podría permitir ataques de hombre en el medio para falsificar servidores SSL mediante el uso de una llave privada arbitraria para el paso de firmado (o incluso llegar a omitirlo).
 Apple ha publicado las versiones 7.0.6 y 6.1.6 de iOS y la versión 6.0.2 de Apple TV para corregir este problema. Se ha confirmado que la vulnerabilidad también está presente en OS X 10.9.1 y quedará corregido en la versión 10.9.2 (actualmente en beta), que será publicada en breve. De esta forma, se ven afectados los Apple TV de segunda generación, los iPhone 3GS, 4 (y posteriores), los iPod touch (de cuarta y quinta generación) y los iPad 2 (y posteriores).
 El problema, con CVE-2014-1266, reside en las dos líneas goto fail seguidas. El primero está enlazado correctamente a la sentencia if pero la segunda línea no está condicionado. De esta forma el código siempre saltará al final desde ese segundo goto, err siempre tendrá un valor exitoso porque la de actualización SHA1 fue exitosa y de esta forma la verificación nunca fallará.
De esta forma, no se llega a efectuar correctamente la verificación de firma en un mensaje ServerKeyExchange. Da igual la clave privada del servidor: si es la correcta, una falsa ¡o incluso si no existe!; dado que no se efectúa la verificación de dicha clave.
Existe una prueba en https://www.imperialviolet.org:1266/ (el número de puerto corresponde con el número de CVE), si al visitar este sitio aparece un mensaje seguramente el sistema estará afectado
Recomendación
  • Dada la importancia que puede tener este problema, se recomienda actualizar los dispositivos afectados a la mayor brevedad posible. Para ello, en iOS en Ajustes/General ir a Actualización de software.
Más información:
Fuente: Hispasec

AUTOCAD . Detectadas varias Vulnerabilidades

Se han reportado dos vulnerabilidades en AutoCAD en las que un atacante malicioso podria causar ejecuciones de código arbitrario.
AutoCAD es una herramienta de diseño asistido por ordenador para dibujo en 2D y 3D desarrollada por Autodesk. Es un software reconocido a nivel internacional muy valorado por Arquitectos, Ingenieros y diseñadores industriales.
Recursos afectados
  • Afecta a las versiones de AutoCAD 2013 y anteriores, por lo que se recomienda actualizar a AutoCAD 2014.
Detalle e Impacto potencial de las vulnerabilidades
  1. La primera de las vulnerabilidades, con identificador CVE-2014-0818, se debe a un error en la forma que AutoCAD gestiona las rutas de búsqueda de archivos 'FAS' específicos. Un atacante remoto sin autenticación podría valerse de esta vulnerabilidad para ejecutar código VBScript arbitrario con privilegios de la aplicación en ejecución a través de rutas de búsqueda de archivos 'FAS' especialmente modificadas.
  2. La siguiente vulnerabilidad, con identificador CVE-2014-0819, se debe a un error en la gestión de AutoCAD de las rutas de búsqueda DLL, esto podría ser utilizado por un atacante remoto sin autenticación para elevar privilegios y potencialmente ejecutar código arbitrario a través de librerías dinámicas especialmente modificadas.
Más información:
Fuente: Hispasec

SCHNEIDER ELECTRIC SCADA. Vulnerabilidad DoS

El investigador Carsten Eiram, de Risk Based Security, ha identificado una vulnerabilidad en el manejo de excepciones en la aplicación CitectSCADA de Schneier Electric. La vulnerabilidad podría ser explotada remotamente.  Dicha vulnerabilidad se catalogó con importancia alta.
Recursos afectados
  1. StruxureWare SCADA Expert Vijeo Citect v7.40.
  2. Vijeo Citect v7.20 a v7.30SP1.
  3. CitectSCADA v7.20 a v7.30SP1.
  4. StruxureWare PowerSCADA Expert v7.30 a v7.30SR1.
  5. PowerLogic SCADA v7.20 a v7.20SR1.
Recomendación
Schneider Electric ha publicado parches acumulativos que solucionan el problema. Estos parches están disponibles para todos los productos afectados:
Detalle e Impacto potenciacal de dicha vulnebilidad
  • Un atacante remoto podría causar una denegación de servicio mediante el aprovechamiento de esta vulnerabilidad, enviando un paquete especialmente manipulado a alguno de los procesos del servidor. Podría ser necesario reiniciar el software para recuperarse de un ataque con éxito.
  • Se le ha asignado el CVE-2013-2824 a esta vulnerabilidad, con un CVSS v2 de 7.8.
Más información
Fuente: INTECO

REDES WIFI. Científicos demuestran el primer contagio WIFI

   Investigadores de la Universidad de Liverpool han demostrado por primera vez que las redes WiFi pueden ser infectadas con un virus y que éste puede moverse a través de áreas densamente pobladas tan eficientemente como un resfriado común se propaga entre humanos.
   Para este trabajo, que ha sido publicado en 'Journal on Information Security', el equipo diseñó y simuló un ataque de un virus , llamado 'Camaleón', y demostró que, no sólo se podía extender rápidamente entre los hogares y las empresas, sino que era capaz de evitar la detección e identificar los puntos en los que el acceso WiFi está menos protegido por encriptación y contraseñas.
   El estudio se probó en Belfast y Londres, en un entorno de laboratorio, y encontraron que 'Camaleón' se asemejaba a un virus en el aire, viajando a través de la red WiFi a través de puntos de acceso (APs) que conecta a los hogares y a las empresas a las redes WiFi.
   Las áreas que están más densamente pobladas tienen más puntos de acceso y más proximos entre sí, lo que significaba que el virus se propaga más rápidamente, sobre todo a través de redes que se pueden conectar en un radio de entre 10 y 50 metros.
   Uno de los autores, Alan Marshall, ha explicado que "cuando 'Camaleón' atacó a un AP, no afecta a su funcionamiento, pero fue capaz de recoger y comunicar las credenciales de los usuarios de WiFi que se conectaron a él". "Luego el virus buscó otros puntos de acceso WiFi a lo que podía conectarse e infectar", ha añadido. Finalmente, 'Camaleón' fue capaz de evitar ser captado por los sistemas de detección de virus que están presentes en Internet o en los ordenadores.
   "Mientras que muchos puntos de acceso están suficientemente encriptados y protegidos con contraseña, el virus simplemente siguió adelante para encontrar a aquellos que no estaban protegidas fuertemente incluyendo puntos de acceso libre WiFi comunes en lugares como cafeterías y aeropuertos", apuntan los autores.
   Según han explicado, las conexiones WiFi son cada vez más un objetivo para los piratas informáticos debido a las vulnerabilidades de seguridad que existen. "Sin embargo, se suponía que no era posible desarrollar un virus que podría atacar a las redes WiFi, pero hemos demostrado que esto es posible y que se puede propagar rápidamente", ha concluido Marshall.
Fuente: Portal TIC / EP