5 de marzo de 2014

EEUU.. Espías de la CIA vigilaron las comunicaciones del Senado Americano

Funcionarios de la CIA supuestamente hackearon los ordenadores de la Comisión de Inteligencia del Senado de EE.UU. para averiguar lo que el comité de supervisión sabía de la polémica detención y  trato de los sospechosos de terrorismo.  
El comité de supervisión había logrado tener en sus manos el material no aprobado, o lo que la CIA temía, del New York Times. En respuesta, la agencia supuestamente fue tan lejos como la piratería en la red del Congreso para averiguar lo que sabía y tal vez, en que material habían derramado vino, dijo un funcionario no identificado al periódico.
No está claro si la supuesta piratería informática se limitaba a una parte de un documento de caza de fugas / whistleblower CIA o fue más allá y dio lugar a espionaje electrónico contra senadores y su personal de apoyo.
Pero en cualquier caso, si de hecho ocurrió el monitoreo, es posible que haya violado un acuerdo entre el comité y la CIA. El supuesto espionaje se rumorea que han agriado las relaciones entre la agencia y su organismo de control legislativo normalmente de apoyo, informa McClatchydc.com.
La Oficina del Inspector General de la CIA, ha puesto en marcha una investigación interna sobre las denuncias de que la  la agencia de inteligencia "indebidamente" ha espiado al Senado . 
El informe, aún inédito, del Comité de Inteligencia del Senado, se detalla el programa de detenciones e interrogatorios secretos de la CIA y que es de 6.300 páginas, llevó cuatro años hacerle y costó 40 millones de dólares . Se rumorea que es muy crítico con el uso del simulacro de ahogamiento y otras técnicas de interrogatorio severas contra los sospechosos de terrorismo en prisiones secretos en el extranjero.
El informe se dice que alegan, además, que los funcionarios de la CIA engañaron al Congreso y a la Casa Blanca sobre el controvertido programa, que funcionó durante los primeros años de la guerra contra el terrorismo durante el gobierno de George W Bush. EE.UU. El presidente Barack Obama conserva el programa como uno de sus primeros actos después de asumir el cargo en 2009.
Del informe aún no desclasificado, se sabe de los métodos de interrogatorio severos de la CIA, que dieron pocos datos valiosos y  una discusión de las disputas de la agencia.
Bootnote
* La CIA presuntamente insistió en que el personal del comité del Senado y los miembros sólo podían revisar cables de anuncios en un lugar seguro en el norte de Virginia. "El comité determinó a principios de este año que la CIA supervisa ordenadores - en posible violación de un acuerdo de no hacerlo - que el organismo había proporcionado al personal del comité de inteligencia en una habitación segura en la sede de la CIA que la agencia insistió en que utilizan para revisar millones de páginas de informes de alto secreto, cables y otros documentos ", informa el servicio de noticias McClatchyDC.
Fuente: The Register

TLS . Descubierto nuevo fallo de diseño en el cifrado

Los investigadores de seguridad han desarrollado un nuevo ataque man-in-the-middle en contra del protocolo criptográfico TLS - un protocolo que se utiliza para cifrar la banca en línea y las compras, y otras conexiones sensibles, para frustrar a los ciberdelincuentes.
En otras palabras, es posible para un sistema malicioso pueda interceptar credenciales de inicio de sesión de un usuario (un certificado de cliente en este caso) y hacerse pasar por la víctima con cualquier servidor que también acepta la misma credencial.
El defecto peculiar fue descubierto por investigadores de seguridad en el Instituto Nacional Francés para la Investigación en Informática y Automática (INRIA) y se basa en un trabajo previo de campo.
El ataque también tiene implicaciones para la seguridad de SSL (Secure Sockets Layer), el predecesor sigue siendo ampliamente utilizado para TLS (Transport Layer Security), como explican los investigadores en su página web:
Recomendaciones
El ingeniero senior de software de Google Adam Langley explicó en su página web personal:
  • En resumen, el apretón de manos TLS hashes en muy poca información, y siempre lo ha hecho. Debido a que es posible sincronizar el estado de dos sesiones de TLS en una forma que rompe suposiciones hechas en el resto del protocolo.
  • Me gustaría dar las gracias a los investigadores para hacer un muy buen trabajo de la divulgación del fallo. La nota de hoy, incluso incluía un proyecto para fijar la derivación de claves TLS para incluir toda la información necesaria para detener este ataque, y que va a ser presentado en la reunión de WG mañana.
  • Mientras tanto, la gente no debe entrar en pánico. El impacto de este ataque se limita a los sitios que utilizan la autenticación de certificado de cliente TLS con la renegociación, y los protocolos que dependen de la unión de canales. La gran mayoría de los usuarios nunca han utilizado certificados de cliente.
  • Los problemas de certificado de cliente se puede solucionar con un cambio del cliente unilateral para ser más estrictos sobre la verificación de los certificados durante una renegociación, como sugieren los autores.
  • Los protocolos que dependen de la unión (incluyendo channelID) canal necesitan otros cambios. Lo ideal sería que la propuesta de actualización del cálculo-master secreto será finalizado e implementado. (Para channelID, ya hemos actualizado el protocolo para incluir un cambio similar al proyecto propuesto.)
  • Es probable que aún existen problemas concretos que se pueden encontrar a causa de la ruptura de canal amarrado. Esperemos que con la mayor publicidad de hoy en día  la gente puede empezar a encontrarlos.
Más información
Fuente: The Register

Actualización de seguridad para Google Chrome

El equipo de seguridad de Chrome ha publicado un boletín de seguridad para su navegador Google Chrome para las plataformas Windows, Mac y Linux que se actualiza a la versión 33.0.1750.146 para corregir 19 nuevas vulnerabilidades.
 Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado 19 vulnerabilidades, se facilita información de seis de ellas (todas del año pasado).
 Las vulnerabilidades descritas están relacionadas con el uso de punteros después de liberar memoria en el tratamiento de imágenes SVG (CVE-2013-6663) y en el reconocimiento de voz (CVE-2013-6664). Un desbordamiento de búfer en el software de interpretación (CVE-2013-6665) y un problema con las cabeceras de flash (CVE-2013-6666).
 También del trabajo de seguridad interno, con CVE-2013-6667, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas; y con CVE-2013-6668 la corrección de múltiples vulnerabilidades en V8.
 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.
Más información:
Fuente: Hispasec

HP Security Management System. Ejecución remota de código

HP ha publicado una vulnerabilidad en el software HP Security Management System. Dicha vulnerabilidad  ha sido catalogada con Importancia: 5 - Crítica
Detalle  e Impacto de la vulnerabilidad
Esta vulnerabilidad podría permitir la ejecución remota de código en el servidor. Se ha asignado el CVE-2013-6201 a esta vulnerabilidad con un CVSS(v2.0) de criticidad 10.
Recursos afectados
Las versiones afectadas por esta vulnerabilidad son:
  • v3.3.0: retirado, actualizar a una versión posterior.
  • v3.5.0: actualizar a la versión 3.5.0, parche 1.
  • v3.6.0: actualizar a la versión 3.6.0, parche 2.
  • v3.6.0 + parche 1: actualizar a 3.6.0, parche 2.
Recomendación
HP ha publicado una actualización del software para las versiones afectadas de HP Security Management System.
Más información:
Fuente: INTECO

Los ataques informáticos DDoS, más grandes, listos y eficientes

Una nueva generación de ataques informáticos está costando millones de dólares y presionando la estructura de Internet con la anulación de páginas web y la saturación de los centros de datos.
Aunque algunos atacantes son activistas persistentes, bandas criminales o estados-nación en busca de una forma encubierta de golpear a sus enemigos, los demás son solo "hackers" adolescentes en busca de diversión.
Los ataques de Denegación Distribuida de Servicios (DDoS, por sus siglas en inglés) siempre han estado entre los más comunes en Internet.
Consisten en el uso de computadoras secuestradas e infectadas con virus para atacar sitios web hasta que no pueden hacer frente a la magnitud de los datos solicitados, pero las últimas semanas han visto una serie de ataques de especial gravedad.
El 10 de febrero, la empresa de seguridad en línea Cloudflare dijo que protegió a uno de sus clientes de lo que podría ser el mayor ataque DDoS documentado hasta ahora.
El ataque de cerca de 400 gigabytes por segundo en su máximo nivel fue alrededor de 30 por ciento más grande que el mayor ataque documentado en 2013, un intento de tumbar la página antispam Spamhaus, que también fue protegida por Cloudflare.
Al día siguiente, un ataque DDoS a la divisa virtual Bitcoin inhabilitó brevemente su habilidad de efectuar pagos.
En un caso dramático de extorsión, la red social Meetup.com dijo el lunes que estaba librando una batalla contra piratas que habían tumbado la web durante varios días y demandaban 300 dólares para parar, pero no lo hará, dijo a Reuters el presidente ejecutivo de Meetup, Scott Heiferman.
Un informe de este mes de la empresa de seguridad Prolexic dijo que los ataques han aumentado un 32 por ciento en 2013, y un estudio de diciembre del Instituto Ponemon, centrado en la seguridad cibernética, muestra que ahora son responsables del 18 por ciento de apagones de bases de datos estadounidenses cuando en 2010 representaban solo el 2 por ciento.
El coste medio de un solo apagón es de 630.000 dólares, dijo.
"Es como el juego del gato y el ratón", dijo Jag Bains, jefe de tecnología de la empresa con sede en Seattle DOSarrest, que ayuda al gobierno y al sector privado a proteger sus sitios web.
"Me gustaría decir que estamos por delante, pero no sé si es cierto", agregó.
Además de crecer en volumen, dijo que los ataques se están volviendo más sofisticados y apuntan a partes más vulnerables de la página, logrando que incluso uno más pequeño sea más efectivo.
Los objetivos de los atacantes incluyen la extorsión, el activismo político, proveer de distracción para un robo de datos y, para los piratas amateur, probar y demostrar sus habilidades, dijeron los expertos de seguridad.
Otras víctimas en los últimos meses han incluido el Buró Federal de Investigaciones de Estados Unidos (FBI, por sus siglas en inglés), el Royal Bank of Scotland y varios grandes bancos estadounidenses, que según analistas habrían sido atacados por Irán en respuesta a las sanciones. Teherán niega la acusación.
Fuente: Reuters 

YAHOO! .Bloqueará el acceso a sus servicios desde cuentas de Google y Facebook

   Yahoo! dejará de permitir el acceso a varios de sus servicios online, entre los que se incluyen Flickr o Fantasy Sports, para usuarios que inicien sesión desde las cuentas de Google y Facebook. La medida se implantará de forma gradual, y los usuarios deberán registrarse con el ID de Yahoo! para acceder a los servicios del portal, según ha informado una portavoz de la compañía a Reuters.
   Este es el último movimiento de la CEO de Yahoo!, Marissa Mayer, que forma parte de una estrategia de reforzar el interés de los usuarios por los productos de la web de la compañía así como para reavivar los estancados ingresos. "Yahoo! está trabajando continuamente en mejorar la experiencia del usuario", dijo la compañía, "y el nuevo proceso nos permitirá ofrecer la mejor experiencia personalizada a todos".
   Desde que Mayer tomó las riendas de Yahoo! en el año 2012 la compañía ha lanzado nuevas versiones de muchos de sus productos principales, entre los que se incluyen Yahoo! Mail y Yahoo! Finance. El año pasado Yahoo! anunció un programa para reciclar los IDs inactivos de los usuarios, de manera que permitía a los nuevos usuarios pedir direcciones de correos que no habían sido usadas durante más de doce meses.
   Con esta nueva medida de eliminar el acceso desde Facebook y Google, Mayer, que era jefa ejecutiva de Google, se encuentra llevando a cabo una plan contrario al que adoptó en 2010 y 2011 Yahoo! bajo el liderazgo de la CEO Carol Bartz.
   Los botones de iniciar sesión para Facebook y Google acabarán siendo eliminados de todas los sitios de Yahoo!, según la mencionada portavoz de la compañía que, sin embargo, no especificó para cuándo.
Fuente: Portaltic/EP

FLEXCOIN. La plataforma de Bitcoin cierra tras un ataque cibernético

   El banco de Bitcoin Flexcoin se ha visto obligado a cerrar sus puertas después de denunciar en su página web haber sido 'robados' por hackers un total de 896 bitcoins, es decir, el equivalente a 442.477,88 euros.
   La empresa ha hecho un comunicado en su web en el que explicaba los hechos que han provocado su cierre: "El 2 de marzo de 2014, Flexcoin fue atacado y han robado toas las monedas de su cartera. Como Flexcoin no tiene los recursos, activos u otra forma para recuperar la pérdida, cerraremos nuestras puertas".
   Pero Flexcoin no ha perdido todo el dinero virtual que tenía almacenado ya que la empresa contaba con unos "almacenes fríos", es decir, tenía Bitcoins almacenadas en dispositos que no estaban conectados a la Red, por lo que permanecieron lejos del alcance de los 'hackers' durante el ataque.
   Estos usuarios que tenían contratado el almacenamiento frío serán contactados por Flexcoin para verificar su identidad y transferirles su dinero "sin coste alguno".
   Hace una semana, Flexcoin escribió un mensaje en Twitter explicando que el cierre de MtGox  no les había afectado de ninguna manera porque Flexcoin tenía "cero monedas en otras compañías".
   Ese mismo día otra plataforma de Bitcoin, Poloniex, también confirmó haber sufrido un ataque por parte de 'hackers' que le hizo perder el 12,3 por ciento de sus reservas. Aunque en este caso, el propio propietario de la empresa aceptó su responsabilidad y donó de su propio bolsillo la cantidad perdida para reponerla a sus clientes.
Más información
Fuente: Portaltic/EP

GOOGLE GLASS. Escuela española las usa para formar a pilotos

   La escuela de aviación Adventia se ha convertido hoy en la primera compañía aérea en realizar un vuelo con las gafas inteligentes de Google, Google Glass, y también en ser la primera escuela del mundo en aplicar este 'gadget' a la formación de pilotos.
   La demostración del uso que pueden tener las Google Glass en el campo de la aviación se ha realizado en el contexto del 'Pilot Innovation Day' organizado por la escuela de pilotos Adventia, suscrita a la Universidad de Salamanca.
   Adventia junto con Droiders (desarrollador oficial del 'gadget' de Google) han creado una aplicación para las Google Glass que modifica el 'checklist' que ya fue utilizado en la Facultad de Medicina de la Standford University para las operaciones quirúrgicas. El objetivo de esta aplicación es mejorar la formación que reciben los pilotos e investigar con la incorporación de herramientas electrónicas en la cabina de vuelo.
   Concretamente han sido el jefe de enseñanza de Advantia, Juan Riquelme, y la jefa de vuelos, Diana Rodríguez, quienes han utilizado las Google Glass para el 'check list' antes del despegue, durante el vuelo y en las comprobaciones posteriores al aterrizaje.
   Las ventajas que supone la utilización de las gafas inteligentes de Google para la formación de pilotos son muchas, pero desde la escuela de aviación destacan la seguridad, la productividad de sus alumnos, el ahorro, una mejor formación aeronáutica y mayor sostenibilidad del Medio Ambiente.
Más información:
Fuente: Portaltic/EP

DISH. Lanzará servicio de TV online tras un acuerdo histórico con Disney

Dish Network y Walt Disney alcanzaron un acuerdo a largo plazo que permite al segundo mayor proveedor de televisión de pago por satélite emitir el contenido de cadenas propiedad de Disney, como ABC o ESPN, y ofrecer programas fuera de la suscripción tradicional.
El acuerdo marca la primera vez que un operador de televisión pagada en Estados Unidos recibe de una compañía de medios la flexibilidad para ofrecer su contenido a través de internet en los teléfonos avanzados, tabletas y computadoras.
"El acuerdo Dish/Disney parece sentar las bases para una nueva ola de servicios de video de banda ancha. Disney ha protegido ´el paquete´, pero pronto veremos la primera de muchas distribuidoras de programación de video multicanal (MVPD)", dijo Richard Greenfield, analista de BTIG.
Las compañías dijeron que Dish obtiene el derecho de transmitir "programación en línea y contenido por demanda" de canales como ABC, Disney Channel y ESPN como parte de una oferta multicanal con direcciones IP en línea.
Hasta ahora, los propietarios de los contenidos no han concedido a los operadores de cable o televisión por satélite los derechos digitales para vender sus programas fuera de una suscripción de televisión pagada.
Se trata de "uno de los (acuerdos) más complejos y amplios" que se han hecho, dijo Anne Sweeney, copresidente de Disney Media Networks.
Aunque Dish no ofreció detalles sobre el costo y la apariencia de la nueva suscripción de televisión, es muy probable que haya un gran mercado esperando dicho servicio.
Los consumidores estadounidenses gastarán unos 6.000 millones de dólares en 2014 en servicios como Netflix, más del doble de lo que desembolsaron en el 2010, según la previsión anual de entretenimiento y medios de PwC.
Sony Corp ha estado trabajando en un servicio de televisión por internet que se espera sea lanzado este año.
Fuente: Reuters 

FACEBOOK MESSENGER. Disponible para Windows Phone 8

   La semana pasada, Windows Phone anunció durante el MWC 2014 en Barcelona la llegada de la aplicación de Facebook Messenger a Windows Phone 8. Bien, pues a partir de este miércoles, los usuarios podrán utilizar la aplicación con la plataforma de Windos Phone para comunicarse con otros usuarios de la aplicación sin tener que añadirlos como amigos de Facebook.
   La aplicación fue lanzada hace varios meses para los sistemas operativos de Android e iOS, mientras que para la plataforma de Windows Phone, los usuarios tenían que conformarse con los mensajes a través de la aplicación de la red social Facebook para comunicarse con sus amigos. Eso sí, con el chat integrado de Facebook no se podía enviar y recibir mensajes cuando se estaba offline o mantener conversaciones grupales.
   Facebook Messenger para Windows Phone 8 incluye las mismas características que para Android e iOS, funcionando por tanto, como aplicaciones de mensajería instantánea similares como Whatsapp, Telegram o Line.
Más información
Fuente: Portaltic/EP

BALLMER. Lamenta los últimos 10 años en Microsoft y cuestiona el valor de WhatsApp

   El que fuera CEO de Microsoft, Steve Ballmer, ha admitido que la compañía "tendría una mejor posición en el actual mercado de los teléfonos si pudiera rehacer los últimos diez años". Estas han sido las primeras declaraciones de Ballmer en público desde que abandonó Microsoft hace un mes y tras ser sucedido por el actual jefe ejecutivo Satya Nadella.
   La solución para la situación de Microsoft es, según ha expresado Ballmer durante una conferencia en la Universidad de Oxford, "intentar subirse a la última ola". En este sentido, Ballmer ha apuntado que seguramente la estrella de la próxima tendencia sea el servicio de mensajería instantánea WhatsApp, recientemente adquirida por Facebook por 19.000 millones de dólares. Sin embargo el ex líder de Microsoft es escéptico acerca del valor de la aplicación.
   "¿Es una moda pasajera? Bueno, probablemente no. No sé si tendrán éxito o no", fueron las palabras de Ballmer, según ha recogido The Wall Street Jornal. El ex CEO de Microsoft se ha preguntado si esos activos "valdrán la pena" y si los 450 millones de usuarios de WhatsApp "generarán suficiente beneficio" para la compañía de Zuckerbeg.
   Por otro lado, Ballmer afirmó que la adquisición de Nokia será muy importante para el futuro de Microsoft. Sobre Nadella y su anuncido de este lunes sobre una renovación de los altos ejecutivos de la compañía para consolidar la transición de su liderazgo, dijo que "Microsoft tiene un gran equipo que harán lo mejor para la empresa".
Más información:
Fuente: Portaltic/EP

GALAXY S5 Y GEAR 2. ¿Conseguirán estos dispositivos que leamos tan rápido como un robot ?

   Spritz es una aplicación que permite aumentar el número de palabras por minuto que leemos de media hasta las 1.000 palabras, con lo que conseguiríamos leer la Biblia entera en 13 horas. Está siendo desarrollada de momento para el Samsung Galaxy S5 y el 'smartwatch' Gear 2. 
   De media, una persona puede leer entre 200 y 300 palabras por minuto, según la UNED. Lo que hace que esta 'app' incremente la velocidad de lectura hasta las 1.000 palabras por minuto es cambiar el método de lectura. Con Spritz, no se lee página a página desplazando los ojos por un libro, sino que en la pantalla del 'smartphone' van apareciendo las palabras a flashazos.
   En cada palabra que se lee, existe un "punto óptimo de reconocimiento" (ORP, en sus siglas en inglés), que se encuentra inmediatamente a la izquierda del centro de la palabra, como explica el empleado de Microsoft del departamento de tecnología para la lectura avanzada, Kevin Larson.
   Al leer, la vista salta de un lado para otro buscando el punto de reconocimiento óptimo de cada palabra. Spritz resalta el ORP de cada palabra que muestra y así evita que la vista se distraiga, aumentando el número de palabras que se puede leer. Por ejemplo, este es el ritmo que propone Spritz para leer 500 parlabras por minuto:
   Aunque esta aplicación sólo estará disponible para el 'smartphone' insignia de Samsung, el Galaxy S5, y su nuevo reloj inteligente, el Gear 2, la empresa desarrolladora está trabajando para obtener licencias para poder trabajar con desarrolladores de 'software', libros electrónicos y otros dispositivos móviles, como informa The Huffington Post.
   Si Spritz consiguiera estar disponibles en más 'smartphones', acabaría con uno de los grandes problemas de leer en una pantalla táctil porque no habría que deslizar la pantalla haciendo zoom para poder leer un texto de manera cómoda
Fuente: Portaltic/EP