12 de marzo de 2015

WIKIPEDIA. Demandará a la NSA por el servicio de vigilancia masiva

Wikimedia Foundation, la organización sin fines de lucro que mantiene la enciclopedia online Wikipedia, presentará una demanda contra la Agencia de Seguridad Nacional y el Departamento de Justicia de Estados Unidos, retando así al programa de vigilancia masiva del gobierno.
La demanda, que se prevé sea presentada el martes, alega que el servicio de vigilancia masiva de la agencia sobre el tráfico de internet en Estados Unidos -también llamado vigilancia Upstream- viola la primera enmienda de la Constitución, que protege la libertad de prensa y asociación, y la cuarta, que va contra búsquedas e incautaciones inaceptables.
El programa Upstream de la Agencia de Seguridad Nacional (NSA, por su sigla en inglés) captura las comunicaciones con "personas no estadounidenses" con el objetivo de obtener información de inteligencia extranjera.
"Al golpear la columna vertebral de internet, la NSA está presionando a la columna vertebral de la democracia", dijo la directora ejecutiva de Wikimedia Foundation, Lila Tretikov, en una nota publicada en su página web.
"Wikipedia está basada en las libertades de expresión, investigación e información. Al violar la privacidad de los usuarios, la NSA está amenazando la libertad intelectual, que es el valor central para crear y entender el conocimiento", añadió.
Las prácticas actuales de la NSA exceden la autoridad que le otorgó en 2008 la ley vigilancia de inteligencia extranjera, dijo Wikimedia.
"Estamos pidiendo al tribunal que ordene el fin de la vigilancia de la NSA sobre el tráfico de internet", escribió el fundador de Wikipedia, Jimmy Wales, en un artículo de opinión en el diario New York Times.
Wikimedia y otras ocho organizaciones que han presentado la demanda, incluidas Human Rights Watch y Amnistía Internacional, estarán representadas por la Unión Estadounidense por las Libertades Civiles.
Fuente: Reuters

BLACKPHONE 2. El smartphone a prueba de cazarecompensas.

La compañía de seguridad cibernética Silent Circle se ha propuesto acabar para siempre con el hackeo en el terreno smartphone con Blackphone 2, un teléfono ultra-seguro que es, en palabras de la compañía, "a prueba de la NSA (Agencia de Seguridad Nacional de EE.UU.)". Cualquiera que quiera hacerse con él lo tiene fácil ya que se encuentra ya disponible a un precio de venta de 649 dólares.
   Este nuevo teléfono sigue la estela marcada por su hermano mayor, Blackphone, en cuyo desarrollo participó la compañía española Geeksphone. Esta segunda generación comparte la estética básica del anterior modelo aunque cuenta con una pantalla Full HD de 5,5 pulgadas.
   El Blackphone 2 funciona con una versión modificada y más segura de Android llamada PrivatOS que ya estaba presente en su predecesor y que es compatible con todas las 'apps' disponibles para el sistema de Google. PrivatOS, asegura Silent Circle, es fácil de manejar y permite al usuario elegir los ajustes de privacidad del teléfono de acuerdo a sus necesidades específicas para cada 'app' o información (contactos, fotos, localización, etc.). Además, en caso de robo o pérdida puede bloquearse de manera remota.
   Por otra parte, este terminal cuenta con sus propias aplicaciones a prueba de espías indeseados como Silent Phone (para hacer llamadas cifradas), Silent Text (para mensajes) y Silent Contact (que protege los datos de los contactos). Estas herramientas también pueden descargarse en cualquier dispositivo Android.
   El nuevo smartphone de Silent Cicle cuenta con la posibilidad de crear diferentes 'espacios' o perfiles para distintos usuarios dentro del mismo sistema operativo. Eso sí, cada cuenta estaría aislada de las otras, por lo que cuando se cambia de 'espacio' es como si se usara un teléfono completamente diferente.
   Para asegurarse de que el Blackphone 2 siempre esté libre de vulnerabilidades, la tecnológica ha decidido crear un programa de recompensas que pagará a cada hacker un mínimo de 128 dólares cada vez que descubra un 'bug'. Asimismo, Silent Circle ha prometido arreglar estos fallos en menos de 48 horas desde que se conozca su existencia (72 horas si se trata de un error severo).
Fuente: Europa Press

HBO. Lanzará servicio streaming exclusivo con Apple en abril

El esperado servicio streaming del canal HBO se lanzará en abril exclusivamente en dispositivos de Apple Inc, a tiempo para el estreno de la aclamada serie "Game of Thrones", informó la cadena el lunes.
HBO Now costará 14,99 dólares por mes e incluirá toda la programación pasada, presente y futura de HBO, junto con las películas de la cadena para Hollywood, dijo el presidente ejecutivo de HBO, Richard Plepler, durante un evento organizado por Apple en San Francisco.
El servicio estará disponible desde abril a través de un nuevo canal en Apple TV y en los iPhone y iPad. "Game of Thrones" se estrena el 12 de abril.
HBO, una unidad de Time Warner Inc, está solo disponible para los usuarios de televisión por cable. Con HBO Now, la compañía apunta a llegar a personas que tienen acceso a banda ancha pero no quieren pagar por un paquete de televisión con decenas de canales.
"Este es un momento de transformación para HBO", dijo Plepler tras ser presentado por el presidente ejecutivo de Apple, Tim Cook.
Las acciones de Time Warner subían un 0,7 por ciento a 84,71 dólares en la bolsa de Nueva York, mientras que las de Netflix, rival de HBO, caían un 3,0 por ciento a 440,21 dólares en el Nasdaq.
Las acciones de Apple caían un 0,3 por ciento a 126,15 dólares.
Fuente: Reuters

ESPAÑA. 87% del consumo cultural en la Red es de contenido ilegal

El Observatorio de la piratería calcula unas pérdidas de 1.700 millones para la industria
Desde hace años la industria cultural española tiene claro su enemigo público número uno: la crisis es letal, el IVA del 21% ha dejado muchas víctimas pero el peligro mayor se llama piratería. Asociaciones de creadores y entidades de gestión no se cansan de repetirlo en conferencias, declaraciones y simposios. Luego, una vez al año, buscan reforzar sus afirmaciones con datos, como ha ocurrido este martes con la presentación del Observatorio de la piratería y hábitos de consumo de contenidos digitales 2014, repaso estadístico a las descargas ilegales y sus consecuencias. Con una denuncia por encima de todas: el 87,94% de todos los contenidos culturales en la Red fueron ilegales.
En realidad, desde el sector, la voz de alarma se mantiene porque el porcentaje el año pasado fue un 84%. El estudio, elaborado por la consultora GfK y presentado por la Coalición de Creadores, denuncia nuevos "récords" de piratería y subraya que los consumidores de contenidos ilegales han subido en un año del 51% al 58% de cuantos se conectaron a Internet en España. "Los niveles de piratería en España son apabullantes. Por eso pedimos que se bloqueen las páginas ilegales al nivel de otros países como Francia, Italia, Alemania... que ven el consumo cultural como una salida a su crecimiento económico y un apoyo a su Producto Interior Bruto", ha asegurado esta mañana Carlota Navarrete, directora de la Coalición de Creadores.
De entre la marea de números con los que el informe respalda las tesis de la industria, hay uno que suele ser especialmente polémico. El Observatorio concluye que hubo un lucro cesante de 1.700 millones de euros por culpa de la piratería, pero a menudo se ha puesto en duda el método para calcular este dato. Este año, la forma es la siguiente: se estima que un usuario que haya accedido a 100 contenidos ilícitos habría podido consumir ocho legales, con un precio medio de 10 euros. Resultado: 80 euros perdidos para la industria.
En su desglose por sectores, el Observatorio se lanza por primera vez a analizar también el daño para series y fútbol. Aun así, el sector más afectado sigue siendo el cine, que se lleva el 38% de todos los accesos a contenidos ilegales. Completan el podio las series, con un 26%, y la música, con el 24%, que puede por lo menos presumir de ser el único sector en el que las descargas ilegales han bajado respecto a 2013. La suma de los distintos ámbitos culturales devuelve a los autores del informe un total de 4.455 millones de contenidos a los que se accedió ilegalmente, con un supuesto valor de mercado de 23.265 millones.
A la caza de explicaciones, el Observatorio también pregunta a los internautas por qué piratean. La respuesta más respaldada es "no pago por un contenido si puedo acceder sin coste" (61%), seguida por "ya pago mi conexión a Internet". En el tercer puesto se coloca una de las críticas tradicionales a la industria y la oferta legal: "Ya no emitían la película y no había posibilidad de comprarla".
En busca de soluciones, el estudio también sugiere varias pistas. Las dos medidas que los propios encuestados consideran más efectivas (65%) son el cierre del acceso a webs y campañas de sensibilización. Seguramente también influyan la nueva Ley de Propiedad Intelectual (LPI), en vigor desde enero con multas de hasta 600.000 euros para las páginas incriminadas, y condenas récord como los seis años de cárcel que la Audiencia Nacional impuso la semana pasada a los dos responsables de YouKioske, una web que ponía a disposición cientos de revistas y periódicos europeos de forma gratuita e ilegal. Navarrete ha denunciado que la LPI, aprobada el pasado noviembre, "no funciona". "Estamos deseosos de que se aplique con rigor" porque la industria cultural se siente "injustamente tratada" con respecto a otros sectores.
El Observatorio también apunta a la publicidad con la que cuenta la mayoría de las páginas piratas, otro de los frentes que la nueva LPI busca castigar. La ley en cambio excluye abiertamente sancionar a los buscadores, mientras que el estudio señala que más de siete de cada 10 usuarios aprovechan precisamente esta vía para hallar el contenido ilegal que desean.
Fuente: elpais.com

ESPAÑA. 60% de los accesos a contenidos de Internet son ilegales

   Los accesos ilegales a contenidos en Internet aumentaron del 51 por ciento de 2013 a un 58 por ciento en 2014, tal y como revelan los datos del Observatorio de la piratería y hábitos de consumo de contenidos digitales 2014, elaborado por la consultora GfK y que este martes presenta la Coalición de Creadores e Industrias de Contenidos.
   En total, durante 2014 se accedió ilegalmente a 4.455 millones de contenidos digitales, con un valor de mercado de 23.265 millones de euros, de los cuales la música supuso un 24 por ciento; las películas, un 38 por ciento; los videojuegos, un 11 por ciento; los libros, un 11 por ciento; las series, un 26 por ciento; y el fútbol, un 18 por ciento.
   Entre los argumentos, uno de cada dos consumidores justifica el acceso ilegal con el pago a la conexión, un 46 por ciento argumenta la "rapidez y facilidad de acceso", el 39 por ciento no está dispuesto a pagar por un contenido que no sabe si le va a satisfacer, el 19 por ciento cree que no daña a nadie y ese mismo porcentaje cree que no hay consecuencias negativas.
   En concreto, por materias, el año pasado se accedió de forma ilícita a 1.831 millones de contenidos musicales 'online', con un valor de mercado de 6.773 millones de euros, por lo que se dejó de percibir 386 millones de euros, según este estudio. En este punto destaca que menos del 10 por ciento de los consumidores uso vías legales para descargar música y un 21 por ciento accedió a contenidos ilícitos. Del total de accesos, más del 46 por ciento correspondieron a contenidos con menos de un año de antigüedad desde su lanzamiento comercial.
   En cuanto a las películas, el volumen de contenidos ilegales al que se accedió fue de 877 millones, cuyo valor en el mercado es de 6.139 millones de euros, con un lucro cesante de 140 millones de euros. El 36 por ciento de usuarios accede ilícitamente a contenidos, mientras que el nueve por ciento accede a películas digitales legalmente. El 36 por ciento de los accesos se produjo cuando la película aún se estaba proyectando en salas de cine. El uso ilegal se da principalmente en jóvenes de entre 16 y 34 años, por lo general con mayores conocimientos de Internet.
Fuente: Europa Press

ANDROID. La versión 5.1 Lollipop, disponible de forma oficial

   Los usuarios del sistema operativo del androide verde están de enhorabuena. Desde hace tiempo se venía especulando la fecha de lanzamiento de la nueva actualización y, finalmente, Google ha lanzado esta semana de forma oficial Android 5.1 Lollipop, con varias novedades.
   Google es consciente de los problemas de rendimiento que ocasionó la anterior versión y, por ese motivo, ha mejorado ese aspecto. Además, ahora promete ser más estable gracias a nuevas funcionalidades como la capacidad para dar soporte multisim en aquellos dispositivos que sean compatibles.
   La seguridad es algo que preocupa a la compañía estadounidense y ahora ofrece un sistema de protección de dispositivos. Si en algún momento perdemos el dispositivo o nos lo roban, éste quedará bloqueado y solo podrá ser liberado si introducimos los datos de nuestra cuenta de Google.
   También se ha incorporado la función de realizar llamadas en alta definición con voz HD (disponible para aquellos dispositivos que estén asociados a operadoras que permitan esa opción). Otra de las novedades es la posibilidad de acceder a las conexiones WiFi para gestionar todos aquellos 'gadgets' que cuenten con Bluetooth a través del menú de ajustes rápidos.
   Android 5.1 Lollipop está disponible para los dispositivos que ya disfrutaban de la versión anterior, como los Nexus 6 y Nexus 9. Se espera que en las próximas semanas llegue al resto de dispositivos.
Fuente: Europa Press

ANDROID 5.1. Incluye un nuevo bloqueo en caso de robo

Google ha anunciado la primera actualización de Android Lollipop, versión de su sistema operativo que lanzó en noviembre. Android 5.1 llega con nuevas características, entre las que destaca un nuevo bloqueo en caso de robo.
   Con la protección de dispositivos activada (Devide Protection), en caso de robo o de pérdida, el teléfono se bloqueará hasta que el usuario inicie sesión con su cuenta de Google. De este modo los ladrones no podrán robar los datos del teléfono. Esta función estará disponible en el Nexus 6 y Nexus 9 y en la mayoría de teléfonos y tabletas distribuidos con Android 5.1.
   Apple introdujo una característica similar -llamada Activation Lock- en iOS 7 y gracias a ella disminuyeron los robos de iPhone un 40 por ciento en San Francisco y un 25 por ciento en Nueva York.
   Aunque la actualización es destacable, hay que tener en cuenta que solo llegará al 3,3 por ciento de los dispositivos Android, que son los que actualmente se están ejecutando con Lollipop.
Fuente: Europa Press

iOS 8.2. Regala una app de Apple Watch imposible de eliminar

   Este lunes, el CEO de Apple, Tim Cook, presentó a todo el mundo su Apple Watch, el esperado 'wearable' de la compañía de Cupertino y curiosamente la nueva actualización de iOS, iOS 8.2, llega con una aplicación con su mismo nombre que no se puede eliminar.
   La aplicación te aparecerá en la pantalla de inicio cuando actualices tu iPhone a iOS 8.2. y, de momento, básicamente es un buen anuncio sobre el reloj. Nos muestra vídeos del mismo, fotos, un enlace a la web de la compañía con más información y una pestaña de la App Store donde no hay aplicaciones, sino la fecha en la que podemos comprar el 'wearable'.
   Al parecer, esta 'app' permitirá al usuario configurar el reloj, instalándole aplicaciones o eligiendo las notificaciones que queramos recibir en él. No todo el mundo con iPhone necesariamente se va a comprar el 'smartwatch' de la compañía y aquí está la queja de muchos, ya que no quieren que la nueva aplicación ocupe espacio en su dispositivo si no la van a utilizar.
   Los usuarios que sí emparejen su móvil con el reloj de Apple sí podrán darle buen uso. Además, una vez emparejados los dispositivos, verán otra nueva aplicación: Actividad, un espacio donde el usuario podrá ver la evolución de su actividad física, sus estadísticas.
   La actualización también corrige errores y mejora la estabilidad. Si finalmente actualizas a iOS 8.2, ten en cuenta que se descargará en tu pantalla de inicio una nueva aplicación que quizá acabes colocando en la carpeta de aplicaciones sin uso, ya que por ahora es imposible eliminarla.
Fuente: Europa Press

RESEARCHKIT. La nueva apuesta de Apple para la investigación médica

   Apple ha presentado este lunes ResearchKit, un framework de código abierto que ha sido diseñado para la investigación médica, según han explicado los de Cupertino en su keynote. ResearchKit ayudará a los profesionales de la salud a recopilar datos de los participantes de una forma más "rápida y precisa" mediante apps para el iPhone. En todo momento es el usuario el que decide si quiere participar en estos estudios o no.
   Cada vez son más los centros de investigación que se unen a esta iniciativa con el objetivo de desarrollar aplicaciones que permitan investigar enfermedades como el asma, el cáncer de mama, enfermedades cardiovasculares, diabetes o la enfermedad de Parkinson.
   "Las apps para iOS ya están ayudando a millones de clientes a controlar y mejorar su salud. Y en el mundo se usan cientos de millones de iPhone, que dan a Apple la oportunidad de ejercer un impacto aún mayor permitiendo a más personas participar en investigaciones médicas", ha señalado Jeff Williams, vicepresidente sénior de Operaciones de Apple que ha añadido posteriormente "ResearchKit permite a la comunidad científica tener acceso a una población más amplia de todo el mundo y recopilar datos de muchas más formas que antes".
   En primer lugar, el usuario tiene que dar su autorización para que las apps puedan tener acceso a algunos de sus datos personales como el peso, la tensión arterial, los niveles de glucosa y el uso del inhalador de asma, que se miden a través de dispositivos y apps de terceros. Este framework también puede pedir al usuario su permiso para acceder al acelerómetro, el micrófono, el giroscopio y los sensores GPS del iPhone con el fin de obtener una información más completa sobre el paciente. ResearchKit se publicará como framework de código abierto el próximo mes.
Apps de Researchkit
  • Las apps de ResearchKit que ya están disponibles en la App Store de Estados Unidos son compatibles con el iPhone 5, iPhone 5s, iPhone 6, iPhone 6 Plus y la última generación de iPod touch. No obstante, se espera que muy pronto lleguen a otros países. Las presentadas en este evento son:
  • Asthma Health, una aplicación desarrollada por la Icahn School of Medicine del Mount Sinai y LifeMap Solutions, que está diseñada para ofrecer información y control a los pacientes con asma y  fomentar ayudarles a cambiar sus rutinas, entre otras cosas.
  • Share the Journey, desarrollada por el Dana-Farber Cancer Institute, Penn Medicine, Sage Bionetworks y el UCLA's Jonsson Comprehensive Cancer Center, tiene como objetivo conocer por qué algunas mujeres que han superado un cáncer de mama se recuperan antes que otras, por qué sus síntomas varían a lo largo del tiempo y qué se puede hacer para aliviarlos.
  • MyHeart Counts, desarrollada por Stanford Medicine, pretende ayudar a los investigadores a evaluar con mayor precisión cómo el ejercicio y el estilo de vida de cada participante pueden afectar a su salud cardiovascular. .
  • El Massachusetts General Hospital ha desarrollado la app GlucoSuccess para conocer cómo afectan los distintos aspectos de la vida de una persona  a sus niveles de glucosa en sangre.
  • La última en presentarse ha sido la aplicación Parkinson mPower, desarrollada por Sage Bionetworks y la Universidad de Rochester. Esta app ayuda a los enfermos de Parkinson a analizar sus síntomas registrando sus actividades mediante sensores en el iPhone.
Fuente: Europa Press

TWITTER. Incorpora el botón flotante de Material Design y un navegador interno

   Twitter da un paso más en la adopción de Material Design en su aplicación y ha añadido el botón flotante, una característica que se une así al color azul de la barra de estado en su camino por adoptar plenamente la nueva interfaz de Google.
   La novedad en la red de microblogging situa un botón redondo de color azul en la parte inferior que, al pulsar sobre él, despliega un menú con distintas opciones, como escribir un tuit, hacer una foto, acceder a la galería o hacer un dibujo.
   Otra novedad incluida en la aplicación de Twitter para Android es el navegador interno, a ejemplo de Facebook, que facilita el retono al 'timeline' del usuario.
   Estas novedades todavía no se encuentran en la versión final de la aplicación, sino que hay que instalar la versión Alpha APK para probarlas.
Fuente: Europa Press

"GAME OF DRONES". Mientras EEUU duda, sus rivales parten con ventaja

Los drones, o vehículos aéreos no tripulados, son un tema candente en Silicon Valley, pero los titubeos del gobierno de Estados Unidos acerca de su regulación han dado a las empresas extranjeras una ventaja inicial a la hora de averiguar la mejor manera de explotarlos.
La inversión mundial en drones podría rondar los 100.000 millones de dólares en la próxima década. El uso comercial de estos vehículos, en áreas que incluyen la agricultura, el cine, supervisión de tuberías y envío de paquetes, representaría una octava parte de ese mercado, según BI Inteligence.
Sin embargo, durante años la FAA, la principal autoridad responsable de la regulación de la aviación en Estados Unidos, se ha movido lento y hasta el mes pasado no publicó el borrador con las normas sobre dónde, cómo y quién puede volar drones.
Es probable que normativa tarde al menos un año en entrar en vigor, lo que es una buena noticia para las empresas que operan fuera de Estados Unidos y que buscan hacer negocio con los drones.
Sky-Futures, una compañía británica que domina el uso de aviones no tripulados para recoger y analizar datos de inspección para compañías de petróleo y gas, dice que su negocio se disparó un 700 por ciento el año pasado por la adopción de esta nueva tecnología en una industria normalmente conservadora.
Su cofundador y director general Chris Blackford dijo que la compañía está combinando los drones con software y una mejor comprensión de lo que funciona en el terreno, dando a Sky-Futures "una ventaja inicial sobre Estados Unidos porque entendemos muy desde dentro los problemas a los que se enfrenta el mercado de petróleo y gas, y cómo podemos resolverlos mediante la tecnología".
Las regulaciones más laxas han creado bolsas de innovación que atraen ideas, dinero e impulso, opina Patrick Thévoz, cofundador y presidente ejecutivo de la suiza Flyability, que fabrica aviones no tripulados dentro de una caja esférica que les permite avanzar a través de puertas, túneles y bosques sin desestabilizarse.
Otra empresa británica, BioCarbon Engineering, confía en acelerar la reforestación mediante el uso de aviones no tripulados que planten semillas germinadas, y las acciones de la neocelandesa Zelanda Martin Aircraft triplicaron su valor en los primeros días tras salir a la bolsa australiana el mes pasado.
Fuente: Reuters

APPLE. Empezará a vender su reloj inteligente en abril, el más caro costará 17.000 dlrs

Apple lanzó el lunes su esperado reloj inteligente, con algunos modelos con caja de oro y pantalla de cristal de zafiro que costarán hasta 17.000 dólares, pero los inversores dudan que el primer producto del presidente ejecutivo Tim Cook marque una tendencia.
El primer nuevo dispositivo de Apple desde que Cook asumió la presidencia de la firma podrá comprarse anticipadamente a partir del 10 de abril y en las tiendas de ciudades como París, Londres y Tokio desde el 24 de ese mes.
En un guiño a la moda y tecnología, Cook compartió el escenario con la modelo Christy Turlington Burns, quien usó el reloj en su entrenamiento para una maratón, y con los ingenieros de Apple que mostraron novedosas aplicaciones, incluyendo cómo pedir un taxi usando el dispositivo.
Sin embargo, las acciones de Apple apenas reaccionaron.
Inversores y analistas dijeron que Apple podría vender millones de relojes a sus seguidores, pero cuestionaron si podría atraer a otros públicos. En septiembre, la firma había mostrado un adelanto del reloj que incluyó muchas características que se mostraron el lunes.
"Creo que hay un nicho de mercado para este tipo de tecnología de Apple entre personas que aman Apple y van a comprar cualquier cosa que lance. Pero no sé si va a ser el producto potente que todos están buscando", dijo Daniel Morgan, gerente de cartera de Synovus Trust Company en Atlanta.
Para Morgan, Wall Street está aún haciéndose preguntas sobre el producto.
Fuente: Reuters

APPLE WATCH. Cuenta con las cuatro funciones más útiles de un 'smartwatch'

Después de haber utilizado muchos 'wearables', he identificado cuatro funciones que son más cómodas de usar que en un 'smartphone' o que directamente en un teléfono son imposibles.
   Estas cuatro funciones dan sentido a un 'smartwatch' y el Apple Watch que presentó ayer la compañía estadounidense cuenta con todas ellas, a pesar de no haber mostrado nada realmente revolucionario en el terreno de las aplicaciones:
  1. Monitorizar sueño/actividad, porque siempre llevas este tipo de dispositivos encima. Antes de la llegada de los 'wearables' había utilizado aplicaciones de este tipo para el móvil. Pero como en determinadas situaciones resulta incómodo -o directamente imposible- llevar el teléfono encima, nunca había hecho un uso tan constante ni motivador como el que me he encontrado en los dispositivos que se llevan encima.
  2. Responder correos y mensajes de forma rápida, cuando es urgente y te viene mal coger el móvil. No obstante, me pregunto hasta qué punto será abierta esta función en el Apple Watch y si en el futuro se podrán contestar todo tipo de aplicaciones de mensajería, como WhatsApp o Telegram, y no solo los correos o mensajes en las aplicaciones de Apple.
  3. Controlar música de forma remota, ya que eso permite que mantengamos el móvil en el bolsillo o lo tengamos enchufado a un altavoz, mientras pausamos, avanzamos o retrocedemos la reproducción desde la muñeca. Sin duda, es una de las funciones estrella de un 'smartwatch', puesto que permite al teléfono funcionar como "cadena de música" y al reloj como mando a distancia.
  4. "Manos libres". Poder hablar directamente al reloj sin tener que coger el móvil me parece particularmente útil en tres escenarios: cuando tenemos el teléfono en la otra punta de la casa, estamos cocinando o conduciendo. Cuando llevo un 'smartwatch' con esta función, la utilizo a diario. Realmente me ha alegrado que Apple haya incorporado esta función.
   En este sentido, el Apple Watch ofrece las cuatro funciones que me parecen más útiles en un reloj inteligente, pero ninguna nueva. En este sentido, el Gear S permite todo esto, a lo que hay que añadir que cuenta con conectividad 3G autónoma, con lo que se puede usar de forma independiente al móvil. Eso sí, muchos meses después de su lanzamiento, el Gear S únicamente permite enviar correos y mensajes con los clientes oficiales de Samsung, pero no responder a mensajes por WhatsApp u otras aplicaciones de mensajería. Aquí es donde tiene margen de mejora el Apple Watch.
Fuente: Europa Press

APPLE WATCH. No entusiasma a los chinos

Apple Inc tuvo a China en el centro del lanzamiento en San Francisco de su reloj Apple Watch, durante el que anunció la apertura de una nueva tienda en la ciudad de Hangzhou y mostró la popular aplicación china de mensajería WeChat.
Además, el Apple Watch saldrá a la venta en China el 24 de abril, el mismo día que en Estados Unidos, a diferencia del iPhone 6, que llegó a las tiendas chinas casi un mes después que a las tiendas en Estados Unidos.
China es el segundo mayor mercado para el iPhone después de Estados Unidos.
Pero incluso en un país fanático de los productos de Apple parece ser muy pronto para saber si los relojes de pulsera curvos serán un producto de primera necesidad para los millones de ciudadanos chinos que están en la clase media-alta.
Y más allá de la discusión respecto a si es moda o dispositivo, el Apple Watch tiene un alto precio de venta en China.
El modelo deportivo más barato costará poco menos de 3.000 yuanes (479 dólares), incluyendo impuestos, frente a los 349 dólares que costará en Estados Unidos.
La edición de lujo, en tanto, se venderá por 145.000 yuanes (23.157 dólares), contra los 17.000 dólares en Estados Unidos.
Son costes muy altos por un producto digital de lujo que podría quedar obsoleto rápidamente si Apple hace lo mismo que con sus teléfonos avanzados y saca una nueva versión cada año.
Fuente: Reuters

TWITTER. Abre oficina en Hong Kong, gana punto de apoyo en China

Twitter Inc inauguró una oficina en Hong Kong, la primera en la región de la Gran China, dijo el martes la compañía, cuyos servicios están bloqueados en el continente.
La oficina, que será dirigida por el ejecutivo de Twitter Peter Greenberger, permitirá a la firma con sede en San Francisco obtener ingresos publicitarios en China, señaló la compañía, incluso aunque los usuarios de Internet en el continente no puedan ver estos anuncios.
Twitter obtuvo ingresos por 479 millones de dólares en el cuarto trimestre de anunciantes que pagaron para inyectar sus avisos, conocidos como "tuits promocionados", en las líneas de tiempo de sus usuarios.
La compañía tiene 288 millones de usuarios en todo el mundo.
Los censores chinos han bloqueado a Twitter desde el 2009, al igual que a la red social Facebook Inc y Youtube, de Google Inc.
Funcionarios de Pekín dijeron que esta censura es necesaria para mantener el orden social.
Twitter fue señalado como una herramienta de ayuda para inflamar levantamientos populares en Oriente Medio y ha mantenido una sólida postura a favor de la libertad de expresión, hasta el punto de haber recibido críticas a nivel internacional por no controlar los abusos sexistas y racistas.
Pese a la prohibición, compañías chinas como Huawei Technologies Co Ltd y la agencia estatal de noticias Xinhua usan Twitter para llegar a una audiencia global
Fuente: Reuters

SIEMENS SIMATIC S7-300. Descubierta grave vulnerabilidad

Johannes Klick, Christian Pfahl, Martin Gebert y Lucas Jacob pertenecientes a la Universidad Freie de Berlín, han reportado una vulnerabilidad que afecta a productos de la familia SIMATIC S7-300. Este problema permitiría a un atacante remoto provocar una denegación de servicio.
 Los productos de la familia SIMATIC S7-300 se han diseñado específicamente para aplicaciones de control en entornos industriales, admitiendo configuraciones modulares y ahorrando en costes de mantenimiento. Además integra funciones de seguridad y control de movimiento.
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad con CVE-2015-2177, por la que un atacante remoto podría valerse del envío de paquetes especialmente manipulados a el puerto TCP 102 o a través de Profibus (PROcess FIeld BUS, estándar de comunicaciones para buses de campo), con la intención final de provocar una denegación de servicio.
Recursos afectados
  • Se ven afectadas las versiones de la familia SIMATIC S7-300 CPU.
Recomendación
 Se recomienda actualizar a versiones superiores.
 El fabricante recomienda seguir las siguientes acciones de seguridad:
Más información:
Fuente: Hispasec

IBM TIVOLI STORAGE MANAGER. Obtención de clave de cifrado

IBM ha publicado una actualización para evitar una vulnerabilidad en IBM Tivoli Storage Manager (TSM) que podría permitir a un usuario local obtener la clave de cifrado.
 Tivoli Storage Manager, es un producto de IBM para la gestión de almacenamiento que automatiza las funciones de restauración y copia de seguridad, y permite centralizar las operaciones de gestión de backups.
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad, con CVE-2014-4818, podría permitir a un atacante local acceder al cliente Trusted Communications Agent (TCA) para obtener la clave de cifrado empleada para las copias de seguridad y restauración.
Recursos afectados
  • Se ven afectadas las versiones 7.1.0.0 a 7.1.1.x , 6.4.0.0 a 6.4.2.x , todas las versiones 6.3, 6.2, 6.1, 5.5 y 5.4.
Recomendación
Más información:
Fuente: Hispasec

FORTICLIENT . Descubiertas FortiClient vulnerabilidades en las versiones para Android e iOS

Se han publicado tres vulnerabilidades que afectan a FortiClient en sus versiones para Android e iOS y que podrían permitir suplantar los servidores y revelar información sensible.
 Fortinet FortiClient es una aplicación que permite crear una conexión segura de red privada virtual utilizando conexiones de modo túnel SSL VPN o IPSec entre el dispositivo móvil -Android o iOS- y el servidor FortiGate.
Detalle de los boletines de seguridad publicados
  •  El boletín FG-IR-15-004 corrige tres errores de seguridad que afectan a Fortinet FortiClient en sus versiones 5.2.3.091 para Android y 5.2.028 iOS. Estas vulnerabilidades se exponen a continuación:
  •  CVE-2015-1453: el uso de la clave de cifrado 'FoRtInEt!AnDrOiD' incrustada en el código de la clase 'qm' podría permitir obtener contraseñas y otros datos sensibles (como el certificado cliente pkcs12, la contraseña del certificado cliente, la clave precompartida o contraseña IPSec, o la contraseña SSL) gracias a su uso para descifrar los datos de las preferencias compartidas. Para aprovechar esta vulnerabilidad es necesario tener acceso físico al dispositivo móvil.
  • CVE-2015-1569 y CVE-2015-1570: error en la implementación del protocolo 'Endpoint Control' al no validar adecuadamente los certificados, esto facilita la suplantación de los servidores a través de un ataque de hombre en el medio.
Recomendación
  •  Los errores se encuentran solucionados en las versiones 5.2.6 para Android y 5.2.1 para iOS aunque, por el momento, tanto en Google Play como en Apple Store no se encuentran disponibles.
Más información

Fuente: Hispasec

FREAK. Nuevo ataque SSL/TLS

 El fallo permitiría a un atacante en situación de interceptar las comunicaciones entre cliente y servidor renegociar la conexión segura y hacer que ambos usen uno de los cifrados de la categoría EXPORT, capturar dicho tráfico y descifrarlo con una capacidad computacional al alcance de cualquiera.
Este nuevo ataque consiste en una vulnerabilidad descubierta por un colectivo de investigadores bajo el nombre de SmackTLS.
El ataque ha sido denominado por sus autores como FREAK (Factoring RSA Export Keys), tiene su propio dominio y web con capacidad para hacer pruebas. Tan solo le ha faltado un requisito (un icono representativo) para cumplir con todos los requisitos de esta tendencia mediática.
Como informan en la comentada web, tanto cliente como servidor han de soportar el conjunto de cifrados EXPORT. Concretamente servidor y cliente han de aceptar y ofrecer respectivamente un conjunto RSA_EXPORT o usar el cliente una versión vulnerable de la librería OpenSSL; algo que, entre otros productos, usan Android e iOS.
¿Qué hacemos?
Como se ha comentado, todo aquello que use una versión de OpenSSL anterior a las siguientes versiones es virtualmente vulnerable: 0.9.8zd, 1.0.0p, 1.0.1k. Especial mención a los servidores, como medida preventiva se ha de asegurar que no se esté ofreciendo soporte a cifrados EXPORT.
Desde la línea de comandos:
  • openssl s_client –connect servidor:puerto –cipher EXPORT
Un servidor vulnerable devolverá la salida del tipo (resumida):
  • New, TLSv1/SSLv3, Cipher is EXP-RC4-MD5
  • Cipher   : EXP-RC4-MD5
Ese "EXP" es, por supuesto, una suite de cifrado que pertenece a EXPORT y es de un servidor vulnerable.
Otro ataque más a OpenSSL y una nueva técnica que pone en riesgo la privacidad de las comunicaciones.
Más información:
Fuente: Hispasec

WIRESHARK. Actualizaciones de seguridad

Wireshark Foundation ha publicado varios boletines de seguridad que solucionan un total de tres vulnerabilidades en la rama 1.10 y hasta seis en la 1.12.
 Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle e Impacto de la vulnerabilidades corregidas
 Los errores de seguridad corregidos en los boletines podrían llegar a provocar una denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados.
 Las vulnerabilidades son las siguientes:
  • Errores no especificados en los disectores 'ATN-CPDLC' (CVE-2015-2187) y 'LLDP' (CVE-2015-2190) que podrían causar el cierre de la aplicación.
  • Un error en el disector 'WCP' al descomprimir datos causaría que la aplicación dejase de responder (CVE-2015-2188).
  • Un error al procesar ficheros 'pcapng' provocaría el bloqueo de la aplicación (CVE-2015-2189).
  • Errores en los disectores 'TNEF' y 'SCSI OSD' (CVE-2015-2191 y CVE-2015-2192, respectivamente) que podrían causar la entrada en un bucle infinito. Ambos han sido descubiertos por Vlad Tsyrklevich.
Recomendación
·         Las vulnerabilidades se han solucionado en las versiones 1.10.13 y 1.12.4 ya disponibles para su descarga desde la página oficial del proyecto.
Más información:
Fuente: Hispasec

GOOGLE. Publica Chrome 41 que corrige 51 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 41. Se publica la versión 41.0.2272.76 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 51 nuevas vulnerabilidades.
 Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 52.000 dólares en recompensas a los descubridores de los problemas.
Detalle de la actualización
  •  Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones y de aplicaciones así como numerosos cambios en la estabilidad y rendimiento.
  •  La actualización incluye la corrección de 51 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 51 vulnerabilidades, solo se facilita información de 19 de ellas (13 de gravedad alta y las 6 restantes de importancia media).
  •  Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en media, filtros skia, vpxdecoder y pdfium. También se solucionan vulnerabilidades por uso después de liberar memoria en bindings v8, dom, decodificador gif, bases de datos web y service workers. Una vulnerabilidad de desbordamiento de entero en webgl, un problema de validación en debugger y por inyección de cookies a través de proxies. Por último otras vulnerabilidades están relacionadas con valores sin inicializar (en blink y rendering) y confusión de tipos en v8. Los CVE asignados van del CVE-2015-1212 al CVE-2015-1229.
  •  También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1231). Así como múltiples vulnerabilidades en V8 en la rama de 4.1 (actualmente 4.1.0.21).
Recomendación
  •  Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 6.5

Red Hat ha publicado una actualización considerada importante del kernel de Red Hat Enterprise Linux Server 6.5 AUS y EUS, que solventa siete nuevas vulnerabilidades que podrían ser aprovechadas por un atacante para provocar condiciones de denegación de servicio.
Detalle de la actualización
  • Vulnerabilidades de denegación de servicio en el susbistema KVM (CVE-2014-3611, CVE-2014-3645, CVE-2014-3646) y por un fallo en la forma en que la implementación SCTP del kernel realiza Address Configuration Change Chunks (ASCONF) (CVE-2014-7841).
  • Una denegación de servicio por un error en la forma en que la función ipc_rcu_putref() en la implementación IPC del kernel (CVE-2013-4483). Una escalada de privilegios por una corrupción de memoria en el controlador USB ConnectTech WhiteHEAT (CVE-2014-3185). Por último un fallo en el subsistema netfilter podría permitir a un atacante remoto evitar las restricciones de las reglas iptables (CVE-2014-8160).
  • Además se han solucionado otros fallos de menor importancia.
Recomendación
Más información:
Fuente: Hispasec

APPLE. Actualización de productos incluye iOS y OS X

Como ya es habitual en la firma de la manzana, Apple acaba de publicar de forma simultánea actualizaciones para múltiples productos. Incluyendo iOS 8.2 para sus dispositivos móviles (iPhone, iPad, iPod… ) y Security Update 2015-002 (para sistemas OS X), Xcode 6.2 y Apple TV 7.1.
Detalle de la actualización
  1. iOS 8.2 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir un buen número de novedades (como compatibilidad con Apple Watch) y mejoras en estabilidad y solución de problemas además soluciona seis nuevas vulnerabilidades. Los problemas corregidos están relacionados con CoreTelephony, iCloud Keychain, IOSurface, MobileStorageMounter, Secure Transport (la vulnerabilidad FREAK) y Springboard. Los CVE Asociados son: CVE-2015-1063, CVE-2015-1065, CVE-2015-1061, CVE-2015-1062, CVE-2015-1067 y CVE-2015-1064.
  2. Por otra parte, también ha publicado el Security Update 2015-002 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2, destinado a corregir cinco nuevas vulnerabilidades. Afectan a iCloud Keychain, IOAcceleratorFamily, IOSurface, Kernel y Secure Transport (igualmente la famosa vulnerabilidad FREAK). Los CVE Asociados son: CVE-2015-1065, CVE-2015-1066, CVE-2015-1061, CVE-2014-4496 y CVE-2015-1067
  3. También se actualiza Xcode (a la versión 6.2), el entorno de desarrollo de Apple que se incluye con Mac OS X. Como novedades incluye SDKs para OS X 10.10 Yosemite e iOS 8.2 y soporte para iOS 8.2 y WatchKit para crear aplicaciones para Apple Watch. Además se solucionan cinco vulnerabilidades en Subversion y Git. Los CVE asociados son CVE-2014-3522, CVE-2014-3528, CVE-2014-3580, CVE-2014-8108 y CVE-2014-9390.
  4. Por último, Apple también ha publicado Apple TV 7.1 que soluciona tres nuevas vulnerabilidades en la televisión de Apple. Los CVE asociados son CVE-2015-1067, CVE-2015-1061 y CVE-2015-1062. 
Más información:
Fuente: Hispasec

MICROSOFT . Boletines de seguridad de marzo de 2015

 Consta de 14 boletines de seguridad, clasificados como 5 críticos y 9 importantes, referentes a múltiples CVEs en Microsoft Windows, Microsoft Office y Virtual Machine Manager.
Recursos afectados
  • Internet Explorer  versiones (6, 7, 8, 9, 10, 11)
  • Windows Server versiones (2003, 2008 y 2008 R2)
  • Windows versiones  ( 7, 8, 8.1 y Vista )
  • Windows RT and Windows RT 8.1
  • Microsoft Office versiones (2007, 2010 y 2013)
Detalle de los bletines de seguridad
  1. MS15-018: (Crítico) El parche para Internet Explorer resuelve varias vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visualiza una página web especialmente diseñada para tal fin.
  2. MS15-019: (Crítico) La vulnerabilidad en VBScript Scripting Engine podría permitir la ejecución remota de código si un usuario visualiza una página web especialmente diseñada para tal fin.
  3. MS15-020: (Crítico) El parche para Microsoft Windows resuelve varias vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante convence a un usuario para que visualice una página web especialmente diseñada para tal fin.
  4. MS15-021: (Crítico) El parche para Microsoft Windows resuelve varias vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visualiza una página web especialmente diseñada para tal fin.
  5. MS15-022: (Crítico) El parche para Microsoft Office resuelve varias vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visualiza un documento de Microsoft Office especialmente diseñada para tal fin.
  6. MS15-023: (Importante) El parche para Microsoft Windows resuelve varias vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante se autentica en el sistema y ejecuta una aplicación especialmente diseñada para tal fin.
  7. MS15-024: (Importante) La vulnerabilidad en Microsoft Windows podría permitir la divulgación de información si un atacante convence a un usuario para que visite una página web que contenga un fichero PNG especialmente manipulado.
  8. MS15-025: (Importante) El parche para Microsoft Windows resuelve varias vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante se autentica en el sistema y ejecuta una aplicación especialmente diseñada para tal fin.
  9. MS15-026: (Importante) El parche para Microsoft Exchange Server resuelve varias vulnerabilidades. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un usuario pulsa en una URL especialmente diseñada para tal fin.
  10. MS15-027: (Importante) La vulnerabilidad en Microsoft Windows podría permitir la suplantación de identidad si un atacante autenticado en el dominio ejecuta una aplicación que permita establecer una conexión con otros dominios.
  11. MS15-028: (Importante) La vulnerabilidad en Microsoft Windows podría permitir que un usuario ejecutase ficheros sobre los que no tiene permisios de ejecución.
  12. MS15-029: (Importante) La vulnerabilidad en Microsoft Windows podría permitir la divulgación de información si un usuario accede a una página web que contenga una imagen JPEG XR (.JXR) especialmente diseñada para tal fin.
  13. MS15-030: (Importante) La vulnerabilidad en Microsoft Windows podría permitir una denegación de servicio si un atacante crea múltiples sesiones RDP.
  14. MS15-031: (Importante) La vulnerabilidad en Microsoft Windows podría permitir a un atacante que realice un Man-in-the-middle reducir la seguridad del cifrado en una comunicación SSL/TLS de modo que pueda acceder a información sensible.
Recomendación
  • Instalar la actualización. En el resumen de los boletines de seguridad de Microsoft, se informa de los distintos métodos de actualización dentro de cada boletín en el apartado "Información sobre la actualización".
Más información
Fuente: INCIBE

SCADA. Vulnerabilidades en el servidor Engine BACnet OPC

Un investigador independiente ha descubierto varias vulnerabilidades en el servidor SCADA Engine BACnet OPC, catalalogadas de Importancia: 5 - Crítica
Recursos afectados
  • SCADA Engine BACnet OPC Server version 2.1.359.22 y anteriores.
Detalle e impacto de las vulneraabilidades
  • Desbordamiento de búfer de memoria dinámica (heap). Mediante el envío de un paquete manipulado es posible provocar una corrupción de memoria dinámica y conseguir la caída de la aplicación o la ejecución de código de forma arbitraria.
  • Validación de entrada. Existe una vulnerabilidad relacionada con el formato de cadena (format string) que puede causar la caída de la aplicación BACnOPCServer.exe con posibilidad de ejecución de código.
  • Autenticación. Una vulnerabilidad de autenticación permite a un atacante leer, insertar, o borrar cualquier elemento de la base de datos.
  • Todas la vulnerabilidades son explotables de forma remota.
Recomendación
Más información
Fuente: INCIBE

ELIPSE E3. Vulnerabilidad en el control de procesos

Iván Sánchez, de Nullcode Team ha reportado una vulnerabilidad en el control de procesos en la aplicación Elipse E3, que podría permitir ejecución arbitraria de código, catalogada de Importancia: 3 - Media
Recursos afectados
  1. Elipse E3, Versión 4.5.232-4.6.161
  2. EQATEC.Analytics.Monitor.Win32_vc100.dll (32-bit)
  3. EQATEC.Analytics.Monitor.Win32_vc100-x64.dll (64-bit)
Detalle e impacto de las vulnerabilidad
  • Una DLL vulnerable de la empresa Telerik, utilizada con OpenSSL permite la llamada a otras librerías DLL no relacionadas con la criptografía en tiempo de ejecución. Estas DLL adicionales a las que se llama podrían permitir la ejecución de código de forma arbitraria.
  • Esta vulnerabilidad no se puede explotar de forma remota y debe contar con la interacción del usuario, pues se necesita que el usuario local ejecute una aplicación vulnerable y cargue un archivo malformado.
Recomendación
  • Elipse ha lanzado una nueva versión que mitiga esta vulnerabilidad, la versión 4.6.162, que incorpora una nueva versión de la DLL de Telerik vulnerable, la versión 3.2.129.
Más información
Fuente: INCIBE

GE HYDRAN M2. Manipulación de conexiones TCP

Los productos Hydran M2 de GE Digital Energy producen números iniciales de secuencia predecibles en conexiones TCP. La vulnerabilidad fue corregida en los productos liberados después de octubre de 2014. Dicha vulnerabilidad se ha ctalogado de Importancia: 3 - Media
Recursos afectados
  • Hydran M2, con la opción 17046 Ethernet, liberada anteriormente a Octubre 2014.
Detalle e impacto de las vulnerabilidad
  • El producto Hydran M2 de GE Digital Energy, con la opción 17046 Ethernet, genera números de secuencia iniciales predecibles en TCP. Esto puede permitir a un atacante manipular o suplantar conexiones TCP, pudiendo provocar una denegación de servicio o la transmisión de datos imprecisos. Esta vulnerabilidad se puede aprovechar de forma remota.
  • Se ha reservado el identificador CVE-2014-5409 para esta vulnerabilidad.
Recomendación
  • No existe un método para actualizar los dispositivos Hydran M2 liberados antes de octubre de 2014. GE Digital Energy recomienda que los servicios públicos que utilizan versiones anteriores del dispositivo Hydran M2 implementen medidas de seguridad de red.
Más información
Fuente: INCIBE

ROWHAMMER. Elevación de privilegios mediante modificación de bits en DRAM

 Project Zero de Google ha publicado una vulnerabilidad hardware que podría permitir llevar a cabo una elevación de privilegios mediante la modificación de bits en memorias DRAM. Vulnerabilidad catalogada de Importancia: 4 - Alta
Recursos afectados
  • Los investigadores de Google han confirmado la vulnerabilidad para el sistema de sandboxing NaCl, así como para varios sistemas Linux. El equipo de Project Zero ha publicado la utilidad rowhammer-test para verificar si un equipo es vulnerable o no a este efecto. No obstante, enfatizan que este código puede no detectar todos los sistemas que sean vulnerables.
  • Por otra parte, fabricantes como IBM y Cisco están actualmente comprobando si sus productos son vulnerables.
Detalle e Impacto de la vulnerabilidad
  • Investigadores del Project Zero de Google han conseguido utilizar el efecto conocido como rowhammer en memorias DRAM para provocar elevación de privilegios en el sistema de sandboxing NaCl y en sistemas Linux. En el caso de NaCl, la elevación de privilegios permite salir fuera de la sandbox, y en el caso de los sistemas Linux, la obtención de privilegos de kernel permite acceso completo a toda la memoria física.
  • El efecto rowhammer consiste en realizar múltiples modificaciones consecutivas a zonas de memoria específicas (denominadas zonas "agresoras") de forma que estos cambios induzcan la modificación de bits en zonas de memoria adyacentes. Este fallo es posible debido a la creciente miniaturización de los chips de memoria DRAM.
  • En su aviso, además de explicar el funcionamiento de los exploits para los casos mencionados, se indica que esta vulnerabilidad podría utilizarse para evadir mecanismos de seguridad. Por ejemplo, mediante la modificación de bits correspondientes a entradas de la tabla de páginas (PTE).
Recomendación
  • Al tratarse de una vulnerabilidad hardware, cualquier posible solución requiere medidas por parte de los fabricantes de los equipos afectados.
  • Alternativamente, según reporta Google, han observado que determinadas actualizaciones de la BIOS aumentaban la frecuencia de refresco de la memoria DRAM, complicando la explotación de la vulnerabilidad. Por lo tanto, es recomendable actualizar a la última versión disponible de la BIOS.
Más información
Fuente: INCIBE

VULNERABILIDAD. Buffer overflow en Pelco DS-NVs Video management

Se ha descubierto una vulnerabilidad que permitiría comprometer el sistema en el que esté instalado, catalogada de Importancia:4 - Alta
Pelco DS-NVs es un software de Schneider Electric para gestionar cámaras de videovigilancia.
Recursos afectados
  • Pelco DS-NVs 7.6.32 y anteriores
Detalle e Impacto de la vulnerabilidad
  • Una de las DLL del software es explotable a través de un buffer overflow, lo que permitiría a un atacante ejecutar código malintencionado de forma remota.
Recomendación
Más información
Fuente: INCIBE

MICROSOFT . Vulnerabilidad en todos los productos Windows

Microsoft ha informado acerca de una vulnerabilidad, conocida como FREAK, que afecta a todas las versiones de Windows y que permite sortear la seguridad de Secure Channel (Schannel), catalogada de Importancia: 4 - Alta
Recursos afectados
  •  Windows Server 2003 versiones (Service Pack 2, x64 Edition Service Pack 2, SP2 Itanium
  •  Windows Vista versiones (Service Pack 2, x64 Edition Service Pack 2 x64 Edition Service      Pack 2)
  • Windows Server 2008  ( 32-bit Service Pack 2, x64 Service Pack 2, Itanium Service Pack 2)
  • Windows 7 versiones (32-bit Service Pack 1, x64 Service Pack 1)
  • Windows Server 2008 versiones (R2 x64 Service Pack 1, R2 Itanium Service Pack 1)
  • Windows 8 versiones ( 32-bit, x64 )
  • Windows 8.1 versiones ( 32-bit, x64 )
  • Windows Server 2012 y  Windows Server 2012 R2
  • Windows RT y Windows RT 8.1
  • Windows Server 2008 32-bit Service Pack 2 (Server Core)
  • Windows Server 2008 x64 Service Pack 2 (Server Core)
  • Windows Server 2008 R2 x64 Service Pack 1 (Server Core)
  • Windows Server 2012 (Server Core)
  • Windows Server 2012 R2 (Server Core)
Detalle e Impacto de la vulnerabilidad
  • Secure Channel, también conocido como Schannel, es un sistema de seguridad de Microsoft que incorpora un conjunto de protocolos que permiten establecer la autenticación y comunicación segura, utilizando para ello el cifrado.
  • Si un atacante explota la vulnerabilidad puede reducir la seguridad del cifrado en una comunicación SSL/TLS de modo que pueda acceder a información sensible.
  • El fallo no es exclusivo de los productos Microsoft, sino que se ha determinado que afecta a muchos otros entre los que se incluyen Apple, Android, etc. Es posible consultar la lista completa de software afectado accediendo al siguiente enlace.
Recomendación
  • Microsoft ha informado que está trabajando en desarrollar una actualización que solvente el fallo y que estará disponible a través del boletín mensual o en una actualización fuera de ciclo.
Más información
Fuente: INCIBE

SIEMENS . Gestión inadecuada de rutas en sus productos

Se ha identificado una vulnerabilidad gestión inadecuada de rutas en las aplicaciones Siemens SIMATIC ProSave, SIMATIC CFC, SIMATIC STEP 7, SIMOTION Scout y STARTER, catalogada de Importancia: 4 - Alta
Recursos afectados
1.   SIMATIC ProSave: todas las versiones anteriores a V13 SP1
2.   SIMOTION Scout: todas las versiones anteriores a V4.4
3.   STARTER: todas las versiones anteriores a V4.4 HF3
4.   SIMATIC CFC
     4.1.   Todas las versiones anteriores a V8.0 SP4
5.   SIMATIC STEP 7 V5.5
     5.1.   Todas las versiones anteriores a to V5.5 SP1
6.   SIMATIC PCS 7 (se incorporan como STEP 7 y CFC)
     6.1.   Todas las versiones anteriores a V8.0 SP2
Recomendación
Siemens ha publicado actualizaciones para cada uno de los productos afectados.
Detalle e Impacto de la vulnerabilidad
  • La vulnerabilidad permitiría a un atacante ejecutar código de forma arbitraria desde archivos que se encuentren en el sistema local o recursos compartidos de red conectados con los mismos privilegios del usuario que halla ejecutado el servicio afectado.
  • Para una explotación exitosa un usuario debe ser engañado para abrir un archivo de aplicación manipulada.
  • Se ha reservado la CVE-2015-1594.
Más información
Fuente: INCIBE