3 de mayo de 2015

¿ PRIVACIDAD ?. El FBI desea puerta trasera en todos los servicios que cifren comunicaciones

 Evidentemente nos encontramos ante una lucha de intereses de la que forman parte los responsables de los servicios, los usuarios y el FBI. Los dos primeros buscan preservar la privacidad de sus datos mientras que los segundos lo que quieren es puertas traseras en todos los servicios para así disponer de acceso de forma mucho más sencilla, sobretodo en Android.

 Junto a estos se encuentra el Primer Ministro británico, David Cameron, que comparte la misma idea que el grupo federal de Estados Unidos. Sin embargo, una cosa es la idea que ellos puedan tener y otra muy distinta lo que sean capaces de hacer, ya que según un abogado de Stanford las posibilidades de conseguir implantar las puertas traseras en el actual ecosistema tanto de equipos informáticos como de terminales móviles es nulo, ya que se estarían vulnerando la leyes que se encuentran en torno a la informática y las políticas de privacidad de los propios servicios, siendo estos el primer eslabón que se vería afectado de forma negativa.
Y es que la idea radica en eliminar en primer lugar todas aquellas aplicaciones que permiten las comunicaciones cifradas, es decir, las VPN. Además de esto, tal y como ya hemos indicado, se pretende introducir puertas traseras en todas las aplicaciones en las que la información manejada sea de relativa importancia, como por ejemplo redes sociales, servicios de mensajería, aplicaciones de banca en línea.
El FBI pretende un imposible
  • Y es que en este proceso existen muchas partes implicadas, ya que en primer lugar tendrían que prohibir la publicación de aplicaciones sin puertas traseras en la Play Store o la App Store. En segundo lugar obligar a los desarrolladores a modificar su producto y a introducir una puerta trasera utilizable por las fuerzas de seguridad y que permitiese el acceso instantáneo a los datos que se están manejando o enviando. Y por último hacer que esta medida se aplique de forma general tanto a nivel de equipos de escritorio como de terminales móviles o tabletas.
  • Evidentemente se trata de algo que no se va a conseguir, sobre todo porque hay que recordar que las aplicaciones que han dispuesto de alguna puerta trasera colocada a propósito siempre ha sido un aspecto perjudicial para la seguridad de los datos del usuario, ya que su integración no se hizo de forma correcta y cualquiera podía hacer uso de ella para realizar por ejemplo el robo de los datos.
Fuente: BoingBoing

ANUNCIOS ONLINE . Trucos para diseñarlos y que de veras funcione [Infografía]

¿Sabes cuál es el color más recomendable para el fondo de la publicidad en Internet? ¿Y dónde debes ubicar el logo de tu compañía? Rocket Fuel nos saca de dudas.
La publicidad se puede ver en locales, en la calle, en panfletos, en medios impresos, en televisión, en radio y también en Internet.
Teniendo en cuenta la pujanza de esta última herramienta como recurso que sirve para realizar múltiples tareas a día de hoy, incluida la de informarse en tiempo real, es lógico que los anunciantes apuesten por la publicidad online.
¿Qué necesita tener un anuncio de este tipo para tener éxito?
  • Según Rocket Fuel, que ha trazado una “Guía para la Optimización de la Creatividad”, conviene tener en cuenta, precisamente, la creatividad. Y es que de acuerdo con sus cálculos, el nivel de conversión en los anuncios puede llegar a dispararse un 600% respecto al índice actual dependiendo de la estrategia que se siga.
  • Esto es, de la estrategia de diseño que se acabe implementando. En este sentido, Robert Jones, director de Investigación de la compañía recalca que “es importante cuantificar el papel que juega el diseño en el éxito de las campañas de publicidad”.
  • “Utilizar la Inteligencia Artificial para situar el anuncio adecuado delante de la persona correcta es solo una parte de la ecuación”, continúa Jones. “Nuestro estudio pone de manifiesto que una gran parte del rendimiento del anuncio se debe a factores controlables como el color del fondo o la ubicación del logo”.
  • Así, por ejemplo, ese color de fondo debería ser llamativo y no apagado para dar garantías de éxito. De todos los que existen, el más recomendable es el rojo, ya que ofrece una tasa de conversión un 31% superior respecto a la media. Y eso que en estos momentos 4 de cada 10 anuncios online que se encuentran por ahí optan por el blanco.
  • En el caso de la ubicación del logo, incluirlo en el diseño reporta hasta un 4% más de conversiones. Se sabe que lo mejor es ponerlo en la parte de abajo, en la esquina de la izquierda, y no en el centro como hacen muchos.
  • Otro elemento al que se debería buscar un lugar dentro de la publicidad es, obviamente, al propio producto que lo motiva y si se enseña a usarlo para que el posible cliente aprenda, se anime o le despierte la curiosidad, mejor que mejor. Rocket Fuel revela que diseñar anuncios animados es una idea inteligente. Al menos, mientras se mantengan entre los 6 y los 9 segundos de duración.
  • Si se va a mostrar gente, hay que tener en cuenta que funcionan mejor las caras masculinas que las femeninas o que la combinación de ambos géneros. Con los hombres, los resultados se incrementarían un 102%.
  • Por lo demás, la frecuentemente utilizada frase “Para más información” es la más indicada. Y lo que no tiene tanto gancho es decir el precio de lo que se anuncia si no va asociado a una oferta temporal.
Fuente: Silicon Week.es


CHINA. La policía irrumpe en las oficinas de Uber

Los conductores de Uber en China han sido previamente víctimas de sanciones manteniendo sus vehículos confiscados.
Las oficinas centrales de Uber en China han sido allanadas por la policía, según informa el diario International Business Times. Ayer por la noche los agentes irrumpieron en la sede de Guangzhou incautando los teléfonos móviles corporativos.
No es la primera vez que la compañía estadounidense se enfrenta a una redada policial en otro país. Recientemente la policía francesa registró las oficinas de Uber en París como parte de una investigación por presuntos servicios ilegales.
De acuerdo con un comunicado oficial emitido por la comisión china del transporte, “se está llevando a cabo una inspección porque la empresa contrata vehículos particulares que no están cualificados para ofrecer servicios de pasajeros”.
La comisión sostiene que el modelo de actividad de Uber constituye un “negocio ilegal” y que se continuará reprimiendo a los “operadores ilegales que perturben el mercado del transporte”.
Los conductores de Uber en China previamente han sido multados manteniendo sus vehículos confiscados. Estas tensiones también se han producido en otros países del mundo, dando lugar a frecuentes protestas contra la empresa.
La situación se ha convertido ya en una constante cada vez que la compañía aborda su expansión a un nuevo territorio.
Fuente: Silicon News.es

La extensión de Chrome contra phishings de Google, todavía evadible

Hace unos días Google lanzó una extensión open source para Google Chrome, "Password Alert", que busca principalmente mitigar los ataques de phishing dirigidos a obtener cuentas de Google.
 Además de comprobar si cada página visitada "parece" un phishing de cuentas de Google (comprobando el código HTML en busca de patrones), compara lo que escribes en ésta con tu contraseña de Google, que la extensión almacena localmente de forma segura. Concretamente, guarda parte (37 bits) del SHA1 salteado, lo que evita recuperar la contraseña original en un ataque de fuerza bruta. Ya que se almacenan pocos bits del hash, habría muchas entradas de la función hash cuya salida coincidiese con el hash parcial que se almacena, evitando la fácil recuperación de la contraseña original.
 Esto último tendría relevancia en el caso de que el atacante pudiese obtener el hash parcial almacenado localmente, lo que sería una grave vulnerabilidad. Pero no se conoce que sea posible realizar un ataque de estas características. Lo que sí es posible es evitar que la extensión sea completamente efectiva. Tan pronto como publican un parche que corrige una forma de evasión, se publica otra. Y en el momento de publicación de esta noticia, vuelve a ser posible evitar que funcione correctamente la extensión.
 Paul Moore, un consultor de seguridad informática publicó en menos de 24 horas tras la publicación de la extensión, la primera forma de evitar el aviso que genera la extensión cuando se detecta un phishing de Google. El problema residía en que el aviso se ejecutaba en el mismo contexto que el código JavaScript de la página, y bastaba con ejecutar cada 5 milisegundos una función que buscase el aviso por 'id' y lo eliminase.
 La respuesta de Google no se hizo esperar. El mismo día (30 de abril) se publicó un parche que corregía esta forma de evasión, trasladando el aviso a una nueva pestaña, evitando así que fuese eliminado por el código JavaScript de la web sospechosa al estar en un contexto distinto. La versión 1.4 de la extensión veía la luz.
 El día siguiente (1 de mayo), Moore desarrolló otra prueba de prueba de concepto que evitaba que se detectase el tecleo de la contraseña. Esta vez lo consiguió registrando una función para el evento 'keypress', que refrescase la página cada vez que se registrase una pulsación de teclado. Este método no es tan estable como el anterior, ya que requiere que el usuario teclee la contraseña a una velocidad moderada o alta, para que no le dé tiempo a la extensión a ejecutarse entre actualizaciones de la página. En cualquier caso, Moore afirma que funciona la mayoría de las veces. Pero se publica la versión 1.6 de la extensión y deja de hacerlo.
 Tal y como hemos han comprobado desde Hispasec, la última versión de la extensión disponible en la Chrome Web Store en el momento de escribir esta publicación (la 1.6) sigue siendo evadible. Basta con incluir la página que se quiere disimular en un 'iframe' con el atributo 'sandbox="allow-forms"'. Esto hará que se desactive JavaScript para ese 'iframe' (entre otras cosas) y por ese atributo, permitirá formularios, que es lo que usan típicamente los phishings para robar credenciales. Y si además se quiere evitar el aviso inicial consecuencia de la búsqueda de patrones en la página web, se puede aprovechar que la extensión sólo comprueba los primeros 100 kilobytes de la página. Repetir cualquier etiqueta 'meta' al principio para rellenar, por ejemplo, es suficiente.
 A pesar de que esta extensión está cubierta por el programa de Google que recompensa por encontrar vulnerabilidades en sus productos, lo cierto es que Google nunca se ha pillado los dedos con esta extensión. Antes de anunciarse ésta públicamente, ya especificaron en el SECURITY.md en GitHub que ninguna forma de evitar la detección de phishings iba a estar cubierta por el programa. Y que de hecho esperaban tener que jugar al gato y al ratón según los atacantes fuesen desarrollando formas de evasión. Y que si los atacantes se esforzasen con ahínco en ello, se pensarían el meter la funcionalidad directamente en Chrome, para complicarlo aún más.
Más información:
Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 6

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 6 que solventa nueve nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, elevar sus privilegios en el sistema o descubrir información.
Detalle e Impacto de la vulnerabilidad
  • Varios problemas corregidos podrían permitir a un atacante elevar sus privilegios en el sistema como un fallo en la forma en que seunshare, una utilidad para ejecutar programas bajo un contexto de seguridad diferente, usa la funcionalidad capng_lock de la librería libcap. Una escalada de privilegios por un error por un uso después de liberar memoria en la implementación SCTP del kernel Linux y un desbordamiento de búfer en el controlador TechnoTrend/Hauppauge DEC USB.
  • Por otra parte problemas de denegación de servicio por un fallo en la implementación KVM, por un acceso de memoria fuera de límites en syscall de los subsistemas perf yftrace, por el tratamiento de condiciones OOM (out of memory) del controlador de recursos de memoria (memcg) y una condición de carrera en que el subsistema de gestión de llaves realiza la recolección de basura.
  • Y por último una fuga de información en la implementación del sistema de archivos ISO9660 al acceder a una imagen con registros RockRidge Extension Reference (ER).
  • Los CVE asociados son: CVE-2014-3215, CVE-2015-1421, CVE-2014-3690, CVE-2014-7825, CVE-2014-7826, CVE-2014-8171, CVE-2014-9529, CVE-2014-8884 y CVE-2014-9584.
Recomendación
  • Además se han solucionado otros fallos de menor importancia y se han incluido algunas mejoras.
  • Detalles sobre la aplicación de ésta actualización se encuentran disponibles desde https://access.redhat.com/articles/11258
Más información:
Fuente: Hispasec

DOVECOT. Denegación de servicio remota

Hanno Böck, un periodista freelance especializado en seguridad informática, ha descubierto una vulnerabilidad en el servidor de correo Dovecot. 
 Dovecot es un proyecto open source que pone especial énfasis en la seguridad, tanto en el diseño como en la implementación, y de acuerdo con openemailsurvey.org, está presente en 2.9 millones de servidores de correo a nivel mundial, representando un 57% del total (datos de julio de 2014). El autor principal, Timo Sirainen, lleva desde 2006 ofreciendo una recompensa de 1.000 euros de su propio bolsillo a la primera persona que reporte un fallo de seguridad.
Recursos afectados
  • Concretamente, se ven afectados los servicios "imap-login" y "pop3-login", usados para manejar inicios de sesión en conexiones IMAP y POP3 respectivamente.
Detalle e Impacto de la vulnerabilidad
  • Esta vulnerabilidad se debe al manejo incorrecto de un error cuando se inicia la negociación de una conexión TLS, que lleva a intentar terminar la negociación antes de haberla empezado. Esto ocasiona que las llamadas subyacentes a la librería OpenSSL provoquen un estado inválido que desemboca en la terminación del proceso servidor. Se le ha asignado el CVE-2015-3420 por parte de MITRE, y existe un parche provisional disponible en http://dovecot.org/tmp/diff
  •  Un atacante remoto podría causar una denegación de servicio, ya que estos servicios podrían dejar de funcionar, si, por ejemplo, un cliente intenta conectar especificando que sólo soporta SSLv3 y el servidor está configurado para no permitir conexiones SSLv3.
Más información:
Fuente: Hispasec

ACTUALIZACION. Corrige vulnerabilidad en OpenOffice y LibreOffice

Las suites ofimáticas de código abierto, LibreOffice y OpenOffice, se han actualizado recientemente para corregir una vulnerabilidad de ejecución remota de código.
 Apache OpenOffice y LibreOffice son suites ofimáticas de código abierto y gratuitas. Ambas cuentan con aplicaciones de hojas de cálculo (Calc), procesador de textos (Writer), bases de datos (Base), presentaciones (Impress), gráficos vectorial (Draw), y creación y edición de fórmulas matemáticas (Math).
Detalle e Impacto de la vulnerabilidad corregida
  • La vulnerabilidad (con CVE-2015-1774) afecta a documentos HWP, y está causada por un desbordamiento de búfer en el tratamiento del filtro HWP. Este problema podría permitir realizar denegaciones de servicio y lograr ejecutar código arbitrario a través de documentos HWP especialmente manipulados. Se ven afectadas todas las versiones de OpenOffice (versiones 4.1.1 y anteriores) y Libreoffice (versiones anteriores a 4.3.7/4.4.2).
  • La extensión HWP hace referencia a un tipo concreto de documentos creados con el procesador de textos coreano Hangul Word Processor, con capacidad de escribir y guardar documentos en el idioma coreano. Esto podría limitar las posibilidades de ataques fuera de este país, pero bien por desconocimiento o por un uso de la ingeniería social un atacante podría conseguir que alguien llegue a abrir un archivo malicioso.
Recomendación
 Para corregir estas vulnerabilidades, se han publicado Apache OpenOffice 4.1.1, y LibreOffice 4.3.7/4.4.2 que se encuentran disponibles para su descarga desde las páginas oficiales:
Más información:
Fuente: Hispasec

TESLADECRYPT. Descifra archivos cifrados por ciertas versiones de TeslaCrypt

El grupo de investigación de amenazas online Talos (de Cisco) ha publicado un estudio sobre el ransomware TeslaCrypt, en el que destaca la posibilidad de descifrar los archivos cifrados por éste sin la necesidad de pagar el rescate en algunas de sus versiones.
TeslaCrypt es un ransomware (software que secuestra recursos de un sistema informático y pide un rescate por su liberación) que afecta a plataformas Windows, aparentemente derivado del famoso CryptoLocker. Además de los objetivos habituales (fotos, vídeos, documentos...), TeslaCrypt se caracteriza por tener como objetivos adicionales partidas guardadas de videojuegos y archivos relacionados con iTunes.
 Las versiones más modernas de ransomware suelen implementar una infraestructura de clave pública, que les permite evitar que la clave de descifrado de los archivos resida en algún momento en el sistema infectado. Con lo que irremediablemente sería necesario pagar a los atacantes para obtener la clave, lo que no se recomienda por no tener garantía de que se vaya a obtener efectivamente. O confiar en la posibilidad de que las bases de datos con las claves privadas (las necesarias para descifrar los archivos) sean recuperadas por alguna operación contra la infraestructura usada por el ransomware y las ponga a disposición de los infectados (como ya ocurrió en la Operación Tovar contra CryptoLocker).
TeslaCrypt, afortunadamente, en algunas versiones no usa este tipo de cifrado. A pesar de anunciar en el mensaje que aparece tras la infección que usa el criptosistema RSA (de clave pública, o asimétrico), tras un análisis en profundidad, los investigadores de Talos han descubierto que usa el criptosistema AES (asimétrico). Concretamente, lo que hace es generar una clave maestra partir de diversa información del sistema operativo (por ejemplo, información sobre la memoria física, procesos en ejecución...) y números aleatorios resultantes de llamadas a la API Windows Crypto. Esta clave se almacena en un fichero llamado 'key.dat', presente en la carpeta 'Application Data' perteneciente al usuario, y se usa para cifrar los archivos. Además, se envía esta clave a servidores en control de los atacantes. Al usar un criptosistema simétrico, la misma clave usada para cifrar es usada para descifrar, y esto es lo que aprovecha TeslaDecrypt, la herramienta desarrollada por Talos para descifrar los archivos.
 Por desgracia, otras versiones de TeslaCrypt (presumiblemente las más nuevas), generan una clave de recuperación derivada de la clave maestra que almacenan en un fichero llamado 'RECOVERY_KEY.TXT' en la carpeta de documentos del usuario, y eliminan la clave maestra del fichero 'key.dat'. Uno de los investigadores de Talos, Andrea Allievi, está trabajando en un algoritmo que permita recuperar la clave maestra a partir de la clave de recuperación, pero no puede asegurar que esto sea posible (dependerá del criptosistema usado y si su implementación contiene alguna vulnerabilidad), y recomienda estar pendiente del blog de Talos para futuras actualizaciones.
Recomendación
  • TeslaDecrypt, la herramienta que proporcionan los investigadores de Talos para descifrar los archivos cifrados en el caso de que la clave maestra no haya sido eliminada, puede ser encontrada en la siguiente URL: http://labs.snort.org/files/TeslaDecrypt_exe.zip
  • Sus instrucciones de uso, una versión en Python y el código fuente del binario se pueden encontrar en el blog oficial de Talos. Se recomienda hacer una copia de seguridad de los archivos encriptados antes de ejecutar la herramienta.
Más información:
Fuente: Hispasec

UBUNTU. Fallo de seguridad relativo al reloj del sistema permitiría escalada de privilegios

¿Bug o Feature? Esta es la cuestión que se lleva debatiendo en LaunchPad desde hace algo más de año y medio, primero de forma privada y desde hace unas horas ya de forma pública, después de que se reportara que bajo determinadas circunstancias un intruso que accediera a la sesión abierta de un usuario, podría escalar privilegios y hacerse con sudo, sin necesidad de autenticarse como administrador del sistema.
Recursos afectados
  • Es un error que afectaría a todos los sistemas Ubuntu existentes desde Ubuntu 12.04 LTS hasta Ubuntu 15.04 (también en OS X) y con diferentes escritorios (Unity, Cinnamon, GNOME, KDE…), el cual se debería a una configuración peculiar en Ubuntu, la cual permite a los usuarios (administradores) cambiar el reloj del sistema, en cualquier momento sin introducir la contraseña de root.
Detalle de la vulnerabilidad
  • Esta relajación respecto a las políticas de permisos se establece en un archivo del directorio var/lib/polkit.
  • Y trae como consecuencia que un usuario con malas intenciones podría saltarse la seguridad de sudo, ganando acceso sin necesidad de conocer la contraseña, simplemente lanzando una terminal y accediendo al archivo “/var/log/auth.log” ejecutando cat /var/log/auth.log
  • Una vez ahí, podría sacar provecho de esa información para ver cuando fue la última vez que se ejecutó SUDO y desde que pseudo-terminal (PTY), para a continuación establecer la hora del sistema y obtener control completo del ordenador ejecutando:  sudo -s
  • Sin embargo el error no es fácilmente explotable, dado que sería preciso que el intruso accediera de forma local (según Mark Smith, la persona que reportó el bug, en OS X sería posible hacerlo de forma remota) a la sesión de un usuario que hubiera dejado la sesión abierta y sin bloquear su equipo.
  • Seguramente a nivel de usuario corriente no tenga demasiada importancia, pero podría tenerlo en algunos entornos corporativos en los que prima la seguridad.
  • Sea como fuere en Reddit hay una interesante discusión al respecto, en la que también participa el desarrollador de Ubuntu encargado del bug, junto al usuario que lo reportó.
  • En ella se discute sobre si debe primar la seguridad o la facilidad de uso en distribuciones como Ubuntu y nos recuerdan aquella vieja polémica de Linus y la política de seguridad de openSUSE respecto a las impresoras.
  • En todo caso más que un problema de si un usuario debe o no poder acceder a cambiar la hora del sistema sin poner una contraseña (que vamos, tampoco es tanto trabajo y no es algo que se haga todos los días…), es como configurar eso sin dar lugar a una escalada de privilegios.
Recursos no afectados
  • Por cierto ninguna versión de Debian ha estado afectada en ningún momento por este bug. De hecho Debian Jessie incluye una versión más moderna (1.8.10p3-1) de sudo que la de Ubuntu, todavía anclada en 1.8.9.5.
  • Y ya no hablemos de distros rolling release como openSUSE Tumbleweed (1.8.12, aunque ahí somos más de “su”) o Arch Linux (1.8.13)…aunque repito en este caso no parece que el hecho sea imputable a sudo, sino a la configuración de permisos del sistema realizada en Ubuntu.
Fuente: lamiradadelreplicante.com

ROUTERS D-LINK. Elevación de privilegios

Varios routers inalámbricos de D-Link son vulnerables a un escalado de privilegios mediante comandos HNAP sin privilegios, lo que permite la ejecución de código de forma arbitraria. La vulnerabilidad se ha catalogado de Importancia: 4 - Alta
Recursos afectados
  1. Modelo DAP-1522, Versión del HW B1: Version 2.01B01 y anteriores
  2. Modelo DIR-300, Versión del HW B1: Version 2.15B01 y anteriores
  3. Modelo DIR-600, Versión del HW B1: Version 2.17B02 y anteriores
  4. Modelo DIR-629, Versión del HW A1: Version 1.01 y anteriores
  5. Modelo DIR-645, Versión del HW A1: Version 1.04B12 y anteriores
  6. Modelo DIR-815, Versión del HW B1: Version 2.03B08 y anteriores
  7. Modelo DIR-816L, Versión del HW A1: Version 1.00 y anteriores
  8. Modelo DIR-816L, Versión del HW B1: Version 2.05B02 y anteriores
  9. Modelo DIR-817LW, Versión del HW A1: Version 1.03B05 y anteriores
  10. Modelo DIR-818L, Versión del HW A1: Version 1.04B03 y anteriores
  11. Modelo DIR-818LW, Versión del HW B1: Version 2.03B01 y anteriores
  12. Modelo DIR-820LW, Versión del HW B1: Version 2.01 y anteriores
  13. Modelo DIR-850L, Versión del HW A1/B1: Version 1.09B06 (A1) y 2.03B01 (B1)anteriores
  14. Modelo DIR-860L, Versión del HW A1/B1: 1.12B05 (A1) y 2.01B03 (B1)anteriores
  15. Modelo DIR-865L, Versión del HW A1: Version 1.07B01 y anteriores
  16. Modelo DIR-868L, Versión del HW A1: Version 1.10B03 y anteriores
  17. Modelo DIR-880L, Versión del HW A1: Version 1.03b11 y anteriores
  18. Modelo DIR-890L, Versión del HW A1: Version 1.06b01 y anteriores
Detalle e impacto de la vulnerabilidad
  • Un atacante remoto puede enviar un comando HNAP sin privilegio como GetDeviceSettings y añadir posteriormente otro comando con el separador habitual "/". Este segundo comando se ejecuta de forma no autenticada y, además, se le enviará al Linux subyacente, lo que permite la ejecución de código de forma arbitraria.
Recomendación
Para cada modelo afectado se ha lanzado un parche.
  • Modelo DAP-1522: 2.03.B01
  • Modelo DIR-300: 2.06
  • Modelo DIR-600: 2.06
  • Modelo DIR-629: 1.03.B01_CN
  • Modelo DIR-645: 1.05.B01
  • Modelo DIR-815: 2.04.B01
  • Modelo DIR-816L (A1): 1.01.B01
  • Modelo DIR-816L (B1): 2.06.B01
  • Modelo DIR-817LW: 1.04.B01
  • Modelo DIR-818L: 1.05.B01_EN
  • Modelo DIR-818LW: 2.05.B01
  • Modelo DIR-820LW: 2.03.B01_TC
  • Modelo DIR-850L, Versión del HW A1/B1: A1: 1.13.B01 B1: 2.05.B01_WW
  • Modelo DIR-860L: A1: 1.10..B04 B1: 2.03.B03
  • Modelo DIR-865L: FW: 1.08.B01 Facebook Wi-Fi FW: 1.07.FB.B01
  • Modelo DIR-868L: FW: 1.10.B04W Facebook Wi-Fi FW: 1.10.B04
  • Modelo DIR-880L: FW: 1.04.B01 Facebook Wi-Fi FW: 1.04.B01_FB
  • Modelo DIR-890L: 1.06.B04
Más información
Fuente: INCIBE

WORDPRESS. Actualización de seguridad 4.2.1

Wordpress ha publicado una actualización de seguridad que soluciona una vulnerabilidad XSS, catalogada  de Importancia: 5 - Crítica
Recursos afectados
  • WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.
Detalle  e Impacto de la vulnerabilidad corregida
  • El fallo, descubierto por el investigador Jouko Pynnönen, puede provocar que un usuario no autenticado inyecte código Javascript en comentarios. De este modo, el código se ejecutaría al visualizarse los comentarios.
  • Alternativamente, el atacante puede cambiar la contraseña del administrador, crear nuevas cuentas administrativas o llevar a cabo cualquier acción realizable por el administrador del sistema vulnerable.
Recomendación
  • Wordpress ha publicado la actualización 4.2.1 para solventar el fallo.
Más información
Fuente: INCIBE

TEST DE VELOCIDAD. La aplicación para Android ya está disponible

El Grupo ADSLZone ha lanzado la aplicación Test de Velocidad diseñada específicamente para sistemas Android, tanto para smartphones como tablets.
Con la intención de adaptarse a las nuevas velocidades de Internet y a las últimas versiones de Android tanto para smartphones como tablets, el Grupo ADSLZone ha tomado la decisión de renovar por completo la aplicación de test de velocidad, haciendo que las mediciones sean mucho más precisas. El medidor está preparado para soportar conexiones 4G de alta velocidad y redes Wi-Fi ultrarrápidas, debemos tener cuidado en el primer caso con nuestra tarifa de datos ya que dependiendo de la duración del test haremos un consumo de datos mayor o menor.
Esta nueva aplicación permite la posibilidad de seleccionar la duración del test en segundos, de tal forma que podremos conseguir diferentes mediciones. Si hacemos mediciones de pocos segundos, se considerará una velocidad “pico”, sin embargo si estamos 10 segundos haciendo un test de velocidad tendremos la velocidad media de nuestra conexión.
Otro punto fuerte de esta aplicación es que tendremos un completo historial donde veremos muchos más detalles de cada prueba, como por ejemplo la IP pública, IP privada e incluso el lugar exacto donde se ha realizado el test (tiene geolocalización).
La aplicación Test de Velocidad para Android sigue siendo totalment gratuita, sin necesidad de micropagos dentro de la aplicación ni tampoco publicidad intrusiva. Si no tienes un terminal Android, también tenemos disponible la misma aplicación para dispositivos iOS.
Fuente: Redeszone.net

BETFAIR. Soluciona problemas de seguridad relacionados con el cambio de contraseña

Betfair es una casas de apuestas , sin embargo, la seguridad es manifiestamente mejorable y existen problemas a la hora de restablecer la contraseña y hacerlo de forma segura.
Se trata de un aspecto que desde la casa de apuestas lo han negado hasta que han comprobado que existía un vídeo en el que se probaba cómo se podía explotar la vulnerabilidad.
Detalle del robo de contarseña
  • Y es que esta permitía la modificación de la contraseña de una cuenta con solo conocer algunos datos personales del usuario. Es decir, que conociendo por ejemplo la fecha de nacimiento cualquier podía restablecer la contraseña y producirse lo que se conocer como el secuestro de una cuenta. Por lo tanto, disponiendo del nombre de usuario que en esta ocasión es la dirección de correo electrónico y la fecha de nacimiento sería posible realizar esta operación sin el conocimiento del usuario.
  • El problema de todo esto es que no existe ningún tipo de comprobación, es decir, cuando se realiza la modificación no se pide ningún tipo de código, por lo tanto, en ningún momento se comprueba la identidad de quién ha realizado el cambio. Otros servicios al realizar el cambio se envía una correo electrónico a la dirección facilitada para confirmar esta operación, asegurándose de esta forma que la identidad del usuario que ha solicitado el cambio corresponde en realidad con el propietario.
Betfair ha recibido muchas críticas por el método de cambio de contraseña existente
  • El proceso para realizar el robo de una cuenta en la casa de apuestas ya se explicó anteriormente, sin comentarios. 
  • También han aclarado los investigadores que han reportado el error que este método solo funciona en aquellas cuentas que posean 137 euros o menos acumulados, recibiendo fuertes críticas sobre todo de Reino Unido.
  • Tal y como han informado desde el servicio, el problema de seguridad se ha resuelto y el restablecimiento de la contraseña se trata de un proceso totalmente seguro.
Fuente: Softpedia

MUMBLEHARD. Malware que lanza campañas spam desde servidores Linux

Encontrar un malware que afecte a las distribuciones Linux es sumamente complicado y no suele ocurrir con frecuencia. Sin embargo, los expertos en seguridad de ESET han detallado un seguimiento que se ha realizado durante los últimos a Mumblehard, un virus que es capaz de enviar campañas de spam que mutan, utilizando sobre todo servidores Linux.
Esta pieza está formada por dos componentes: una puerta trasera y un demonio que se ejecuta en el sistema y se encarga del envío masivo de los correos electrónicos y la comunicación con el servidor de control remoto. Está programado en Perl y la ejecución del código se realiza de forma cifrada para evitar su detección, creando varios binarios ELF, demostrando que la sofisticación de esta amenaza es mucho mayor que la media vista hasta ahora.
Observando la actividad del malware los expertos de seguridad han concretado que la única función desempeñada por este es el envío de mensajes spam de forma masiva aprovechando la capacidad de los servidores tanto a nivel de hardware como a nivel de conexión a Internet, siendo en la inmensa mayoría mucho mejores que las de los usuarios domésticos.
Yellsoft estaría detrás de Mumblehard pero de forma involuntaria
  • Tras realizar las investigaciones pertinentes se ha sabido que existe una compañía encargada de realizar este tipo de aplicaciones y utilizando Perl. Sin embargo, esto no quiere decir que hayan sido ellos los responsables, ya que se han encontrado copias piratas de un software conocido como DirectMailer y con la finalidad de realizar el envío masivo de correos, alago que corresponde con la funcionalidad del malware que nos ocupa y que podría suponer una reutilización del código de la aplicación legítima.
  • Una forma para inutilizar la actividad dela puerta trasera y del demonio es montar en nuestro sistema Linux o en los servidores las carpetas /tmp y /var/tmp sin permisos de ejecución.
Fuente: welivesecurity

AIMSICD. La app que detecta si espían dispositivo Android

Unos desarrolladores software han creado una aplicación para dispositivos Android conocida con el nombre de AIMSICD que permite saber si te están espiando.
O lo que es lo mismo, permite conocer si el tráfico de nuestro dispositivo móvil está sufriendo un ataque Man in the Middle, algo que suele ser bastante habitual en el ámbito de la banda ancha fija y que no resulta tan común en el caso de la telefonía móvil.
El IMSI Catcher es una tecnología que permite interceptar el tráfico de todos los dispositivo móviles que se encuentren próximos a la antena falsa. Se podría definir como una torre falsa y transparente que se ubica entre la antena real de telefonía y el equipo del usuario, actuando como un sniffer de red.
Comenzó a ser utilizado en Estados Unidos, sin embargo su uso se está convirtiendo en algo más habitual de lo normal, sobre todo en temas que no están relacionados con las agencias de seguridad o las fuerzas del orden.
Uno de los IMSI Catcher más populares es el conocido con el nombre de Stingray, desarrollado para las fuerzas armadas e inteligencia estadounidenses y que ha comenzado a venderse en el mercado negro. El dispositivo es tan pequeño que pueda instalarse en un vehículo o incluso llevarlo en la propia mano, realizando el almacenamiento de los datos obtenidos en una memoria interna de capacidad variable.
AIMSICD y la detección de las conocidas como “antenas falsas”
  • Tal y como ya hemos indicado, este software disponible para equipos Android no evita que el tráfico de nuestro terminal móvil sea interceptado, pero sí que nos informa sobre la situación de todo lo relacionado con la red móvil, detectando anomalías en la información de la torre a la que el equipo se ha conectado, cambios en la señal recibida, modificaciones en la estación base y en el código de área.
  • Se trata de un proyecto que se encuentra en fase alpha, por lo tanto es probable que puedan aparecer fallos en el funcionamiento. No se encuentra disponible en la Google Play Store, por lo tanto, si quieres descargarla puedes obtener un archivo .zip desde el siguiente enlace.
Fuente: CyberHades

ESTAFAS. El terremoto de Nepal excusa perfecta para estafar

Cuando sucede alguna catástrofe los usuarios de Internet se movilizan y se activan servicios donde realizar donaciones y así ayudar a los damnificados. Sin embargo, la cooperación muchas veces se vuelve en contra se los usuarios, tal y como está sucediendo con el terremoto de Nepal. Los ciberdelincuentes han puesto en funcionamiento estafas para engañar a los usuarios.
Y es que el número de páginas web falsas ha ido en aumento, distribuyéndose sobre todo haciendo uso de las redes sociales y animando a los usuarios a hacer una donación haciendo uso de una TPV virtual que permite utilizar las tarjetas de crédito. Además de páginas web hay que prestar atención también a las ONGs falsas que han aparecido.
Sin embargo, las estafas no terminan aquí, ya que los donativos vía SMS también están siendo explotados por los ciberdelincuentes para conseguir que los usuarios manden un mensaje y se suscriban a un servicio de tarificación adicional, algo que conlleva un aumento de la factura de la línea móvil.
El FBI ya se encuentra trabajando para detener estas estafas que durante esta semana han recaudado una gran cantidad de dinero.
Donaciones a damnificados del terremoto de Nepal ocasión perfecta
  • En muchas páginas web falsas podemos encontrar además del TPV citado con anterioridad, un formulario en el que los ciberdelincuentes controlan la cantidad de dinero que los usuarios introducen, siendo en la mayoría de los casos superior a 100 euros e impuesta por estos. De este modo se aseguran que los usuarios dejen una gran cantidad de dinero y provocando que en pocas horas, tal y como ha detallado el FBI, una banda de estafadores haya recaudado más de 10.000 dólares.
  • En total se han intervenido un total de 50 páginas web falsas junto con más de 60 cuentas bancarias en donde se realizaban los ingresos del dinero procedente de los usuarios.
  • Las autoridades advierten que todos aquellos que estén interesados en realizar una donación se dirijan a aquellas páginas o servicios relacionados con ONG populares y que antes de proceder a la transacción comprueben la URL de la página en la que se encuentran para verificar si esta concuerda con la página a la que se ha accedido.
Fuente: Softpedia

HTTPS. Firefox y la integración “full”

Los responsables de los principales navegadores han comenzado a realizar movimientos para integrar el funcionamiento de HTTPS por defecto y en todas las conexiones y dejar a un lado el HTTP.
Firefox es quien más se está moviendo en este sentido  y por ello podemos contar algunos detalles relacionados con este proceso.
Este movimiento que están secundando en mayor o menor medida todos los navegadores tiene su origen en cifrar al completo las comunicaciones de Internet, dotando de mucha más seguridad a los datos más simples, como por ejemplo las búsquedas en los diferentes motores, algo que en la actualidad se realiza bajo el protocolo HTTP, y que por ejemplo así lo realiza el buscador de Google de forma pretederminada.
Lo que se quiere conseguir es que los navegadores sean capaces de desechar todas aquellas conexiones que no utilicen este protocolo, lo que supone que a día de hoy ésto sea un problema, ya que muchas de las páginas web que ofrecen contenidos no lo utilizan, por lo tanto, y tal y como suele suceder en estos casos, la demora puede ser bastante variable.
Eliminar funcionalidades disponibles en Firefox para HTTP puede ser una forma de avanzar
  • Como medida de presión, los responsables de la fundación Mozilla y desarrollo del navegador han comentado que el eliminar de forma paulatina las funciones disponibles y que no estén disponibles las nuevas para este protocolo podría mover este proceso de forma positiva. Sin embargo, advierten que si esto no se realiza por igual en todos los navegadores, el resultado será nulo y lo único que sucederá es que los usuarios que detecten el funcionamiento anómalo en Firefox recurran a otro.
  • Entre las limitaciones para este protocolo, se han barajado varias opciones, como por ejemplo el uso del micrófono o la cámara, dos elementos que hoy en día ya han servido para espiar a los usuarios sin que estos sean conscientes.
Fuente: ThreatPost

MySQL. Vulnerabilidad permite al usuario enviar datos sin cifrar

Se ha detectado una vulnerabilidad en la base de datos que  permite el envío de información sin cifrar por parte del usuario.
MySQL es una base de datos "open source"  muy utilizada por la comunidad de desarrolladores y usuarios seguidores del software libre.
Detalle del problema
  • Aunque A simple vista no parece un problema, sin embargo, se convierte en tal si el negociado previo entre ambos extremos se había realizado recurriendo a un cifrado. Se trata de un problema muy sería que puede provocar que los datos sufran ataques, como por ejemplo, un Man in the Middle.
  • Esta vulnerabilidad permitía que una tercera persona se ubicará entre el servidor y el cliente, provocando que las comunicaciones entre el usuario y este no fuesen seguras, y sin embargo entre el ciberdelincuente y el servidor si que se utilizará cifrado. Esta ya ha sido identificada como CVE-2015-3152.
  • Esta vulnerabilidad reside en una carencia a la hora de configurar los clientes que se conectan a la base de datos, ya que el servidor sí posee la función de forzar la utilización de una conexión cifrado, algo que en el otro extremo no sucede.
MySQL ya está informada del problema
  • Los responsables de la aplicación ya están al tanto del problema y se encuentran trabajando en una solución, algo para lo que de momento habrá que esperar. En el caso de que se quiera paliar los efectos de esta vulnerabilidad el usuario deberá configurar en el lado del cliente el parámetro REQUIRE X509 option, obligando que las comunicaciones entre ambos extremos deban utilizar de forma obligada SSL/TLS.
  • Evidentemente no se trata de una vulnerabilidad grave, tal y como han coincidido los responsables de MySQL y expertos en seguridad, sobre todo porque el atacante tendría que ubicarse entre estos.
Fuente: Softpedia

IBM. Científicos logran avances clave para construir computadora cuántica

Científicos de IBM revelaron dos avances críticos con miras a la creación de una computadora cuántica práctica. Por primera vez, mostraron la capacidad de detectar y medir ambos tipos de errores cuánticos simultáneamente, además de demostrar un nuevo diseño de circuito de bit cuántico, de formato cuadrado, que es la única arquitectura física cuya escala podría aumentarse con éxito a mayores dimensiones.
Los descubrimientos de IBM, descritos en la edición 29 de la publicación Nature Communications, muestran por primera vez la capacidad de detectar y medir los dos tipos de errores cuánticos (bit-flip o inversión de bit y phase-flip o inversión de fase) que ocurrirán en cualquier computadora cuántica real. 
Hasta ahora, solo era posible abordar un tipo de error cuántico o el otro, pero nunca ambos al mismo tiempo. Este es un paso necesario en el avance hacia la corrección de errores cuánticos, que constituye un requisito crítico para construir una computadora cuántica a gran escala que sea práctica y confiable.
El novedoso y complejo circuito de bit cuántico de IBM, basado sobre un entramado cuadrado de cuatro qubits superconductores en un chip que es de aproximadamente un cuarto de pulgada, permite que se detecten ambos tipos de errores cuánticos al mismo tiempo. Al optar por un diseño de forma cuadrada en lugar de una disposición lineal – lo cual previene la detección de ambos tipos de errores cuánticos en simultáneo – el diseño de IBM muestra el mejor potencial para aumentar la escala, al agregar más qubits para alcanzar un sistema cuántico que funcione.
El trabajo realizado en IBM fue parcialmente financiado por el programa de operaciones multi-qubit coherente IARPA (Intelligence Advanced Research Projects Activity).
Detección de errores cuánticos
  • La unidad más básica de información que una computadora típica puede comprender es un bit. Del mismo modo en que un haz de luz puede encenderse o apagarse, un bit puede tener uno solo de dos valores: “1″ o “0″. Sin embargo, un bit cuántico (qubit) puede tener un valor de 1 o 0 así como ambos valores al mismo tiempo, lo cual se describe como superposición, y se denota simplemente como “0+1”. El signo de esta superposición es importante porque ambos estados, 0 y 1, tienen una relación de fase entre sí. Esta propiedad de superposición es lo que permite que las computadoras cuánticas elijan la solución correcta entre millones de posibilidades, con una velocidad muy superior a una computadora convencional.
  • En ese estado de superposición pueden ocurrir dos tipos de error: uno es un error bit-flip, que simplemente cambia un 0 por un 1 y viceversa. Esto es similar a los errores de inversión de bits clásicos, y trabajos anteriores han demostrado cómo detectar estos errores en qubits. Sin embargo, esto no basta para la corrección de errores cuánticos porque también pueden estar presentes los errores phase-flip, que cambian el signo de la relación de fase entre 0 y 1 en un estado de superposición. Ambos tipos de error deben ser detectados para que la corrección de errores cuánticos funcione correctamente.
  • La información cuántica es muy frágil, porque todas las tecnologías de qubit existentes pierden su información cuando interactúan con la materia y la radiación electromagnética. Los teóricos encontraron formas de preservar la información durante mucho más tiempo, al extender la información entre muchos qubits físicos. El “código de superficie” es el nombre técnico de un esquema específico de corrección de errores, que distribuye la información cuántica entre muchos qubits. Permite que solo las interacciones entre vecinos más cercanos codifiquen un qubit lógico, dotándolo de la estabilidad suficiente como para realizar operaciones sin errores.
  • El equipo de IBM Research usó una variedad de técnicas para medir los estados de dos qubits de síndrome (medición) independiente, cada uno de los cuales revela un aspecto de la información cuántica almacenada en dos qubits adicionales (llamados qubits de datos, o código). Específicamente, un qubit de síndrome reveló si ocurrió un error bit-flip debido a alguno de los dos qubits de código, mientras que el otro qubit de síndrome reveló si ocurrió un error phase-flip. Determinar la información cuántica conjunta en los qubits de código es un paso esencial para la corrección de errores cuánticos porque la medición directa de los códigos qubits permite destruir la información contenida en ellos.
  • Como estos qubits pueden ser diseñados y fabricados usando técnicas de fabricación de silicio estándares, IBM anticipa que una vez que un puñado de qubits superconductores pueda fabricarse en forma confiable y repetible, y ser controlado con bajas tasas de error, no habrá ningún obstáculo fundamental para demostrar la corrección de errores en entramados de qubits mayores.
  • Estos resultados ponen de relieve el largo compromiso de IBM con el procesamiento de información cuántica, que data desde hace más de 30 años, cuando IBM participó en el primer taller en este campo, en la Física de Información en 1981.
Fuente: Diarioti.com

TOR BROWSER 4.5. Trae importantes mejoras en privacidad y seguridad

El proyecto Tor ha liberado una nueva versión de su navegador Tor Browser, un software con el que evitamos dejar pistas de nuestra navegación en internet y nos permite acceder a sitios como la deep web, utilizando el sistema de anonimato que proporciona dicho proyecto.
Dada lo crítico que puede ser el uso de este software en determinadas situaciones o países, Tor Browser es un proyecto que se actualiza continuamente, prestando especial atención a cualquier posible fallo de seguridad o debilidad.
Detalle de la actualización
  • Tor Browser 4.5 además de resolver los bugs de versiones anteriores y realizar la habitual actualización de alguno de sus complementos (NoScript, HTTPS Everywhere, obfsproxy), introduce un nuevo menú con el que podemos configurar nuestra seguridad en un modo más o menos paranoico.
  • En total son cuatro niveles de seguridad diferentes los que nos podemos en este nuevo menú de seguridad:
  • Bajo. Es el que viene por defecto y provee la experiencia de navegación más satisfactoria.
  • Medio-Bajo: Bloquea el contenido audivisual HTML5 de forma previa mediante el complemento NoScript. Limita el uso optimizado de JavaScript y bloquea archivos JAR remotos. También deshabilita algunos metodos para mostrar ecuaciones matemáticas (curioso cuando menos…seguro que hay alguna extraña vulnerabilidad detrás de esto último)
  • Medio alto: Además de lo anterior, este nivel va más alla en el control de JavaScript ya que lo deshabilita por defecto en todos los sitios sin cifrado HTTPS y también lo hace con algunas características ligadas al renderizado de fuentes.
  • Alto: la configuración de seguridad más estricta, aparte de recoger todas las características del nivel medio alto, deshabilita JavaScript por defecto en todos los sitios, e impide que carguen o se muestren determinados tipos de imágenes, fuentes o iconos.
  • En las preferencias de seguridad y privacidad que es como se llama ese menú, también nos encontraremos con varias casillas habilitadas que hacen que el nivel de seguridad bajo o defaulf en realidad no se pueda catalogar como inseguro, ya que restringen por defecto el uso de plugins como Flash, cookies de terceros, habilita el modo anónimo de navegación privada respecto al historial e impide el seguimiento de los típicos botones sociales de Google, Facebook, Twitter, etc.. presentes en la mayoría de webs, que podrían singularizar nuestra navegación.
  • Además se simplifica el menú de Tor, que ahora nos muestra información sobre el circuito que nodos que estamos utilizando en nuestra navegación.
  • Desde ese mismo menú de la cebolla verde podemos crear una nueva identidad o circuito de conexión, así como acceder a la configuración de la red Tor y al menú de seguridad que vimos antes.
  • Destacar por último que ahora el buscador por defecto es Disconnect que provee los mismos resultados que Google, aunque si preferís el siempre recomendable DuckDuckgGo, podéis habilitar al patito desde la barra de búsqueda.
Zona descarga
Fuente: lamiradadelreplicante.com

REPUTACIÓN DIGITAL. La percepción de propietarios sobre la web dibuja escenarios de luces y sombras

Los propietarios de servicios turísticos opinan que las reglas del juego han cambiado y pero no todos creen que haya sido para bien.
Distintas versiones
  • El año 2010 fue, según un estudio de la Universidad de Cornell (EE.UU) la primera vez que "la experiencia de un huésped escrita en una reseña se convirtió en el factor que con más frecuencia citaban los consumidores en encuestas acerca del proceso de elección de un hotel".
  • TripAdvisor ha puesto de manifiesto que ya no es suficiente tener una web con fotos bonitas ni con el prestigio y el glamour de los grandes nombres. Por eso dice que "ha equilibrado las reglas de juego entre los grandes y los pequeños". A partir de ahora es fundamental tener una buena reputación digital.
  • Un estudio interno de TripAdvisor dice que "los propietarios que responden con frecuencia a los comentarios, tienen un 20% más de posibilidades de conseguir una petición de reserva".
  • Francesc Holgado es director del hotel Mercer de Barcelona, que aparece como el mejor valorado por los usuarios de TripAdvisor en Barcelona. Y está encantado porque "es el reconocimiento al trabajo bien hecho y porque TripAdvisor es un barómetro muy indicativo, ya que son los propios clientes los que te ponen en esta posición". Holgado opina que "hoy en día la reputación digital es fundamental" y por eso él mismo responde personalmente a todos los comentarios que se publican sobre su establecimiento "tanto los buenos como los malos".
  • Está convencido de que TripAdvisor se ha convertido en una herramienta de marketing muy útil, que "te permite entender lo que te están diciendo tus clientes y tomar decisiones de gestión, además de monitorizar a a tu competencia".
  • Pero no todos están contentos. Adelf Morales es chef y propietario del restaurante Topik en Barcelona. Y se queja: "TripAdvisor se ha convertido en el lugar en el que cualquiera puede desprestigiar tu trabajo y tu negocio con total impunidad". Morales lamenta que se puedan usar palabras como "fraude", "mierda" y "asqueroso" como él mismo ha tenido que leer en algunos comentarios sobre su restaurante y "no pase nada".
  • Además, dice que "cuando te acercas a la mesa para preguntar a un cliente cómo ha ido, todo son buenas palabras, pero luego te encuentras con la sorpresa en forma de comentario negativo. TripAdvisor ha cambiado la forma de relacionarnos con nuestros clientes, sin duda, pero para peor". Además, explica que a veces "la gente te amenaza con una mala crítica en la web para conseguir un trato de favor. Gente que no tiene ni la formación ni los conocimientos y a los que TripAdvisor ha convertido en críticos". Francesc Holgado también reconoce que esto sucede y con cierta frecuencia, pero puntualiza que "TripAdvisor pone a nuestra disposición herramientas para denunciar este tipo de situaciones y evitar que los comentarios que dejan estas personas lleguen a ser publicados". Blanca Zayas afirma que "nos tomamos muy en serio cualquier acusación de chantaje o amenaza por parte de los clientes hacia los propietarios, porque van en contra de nuestras políticas de uso y del espíritu de nuestra web".
  • Morales opina distinto y se queja de que cuando ha protestado "no he recibido más que largas y ninguna acción de TripAdvisor para proteger, lo que dice favorecer con tanto énfasis: nuestra reputación". Ha llegado a pedir, en varias ocasiones, a los responsables de la compañía que su restaurante no aparezca en la web. Según Blanca Zayas "las experiencias previas en restaurantes tienen mucho valor para los que estén buscando uno. Por ello, no eliminamos una empresa a menos que haya cerrado definitivamente".
Fuente: La Vanguardia.com

CHAO,CHAO. Hasta siempre Internet Explorer; hola, Microsoft Edge

Ya sabemos el nombre del sucesor del nuevo navegador web, que intentará librarse del estigma que ha acompañado a IE los últimos años.
En la conferencia anual para desarrolladores de Microsoft, Build 2015, que se está celebrando en San Francisco en el local donde habitualmente Apple presenta sus novedades, los de Redmond han desvelado por fin el nombre que tendrá el sucesor de Internet Explorer. Conocido hasta ahora como Project Spartan, se llamará Microsoft Edge.
En los alrededores del cambio de milenio, muchos usuarios identificaban internet con Internet Explorer, el navegador que venía instalado por defecto en Windows y cuya versión 6 no tuvo durante años ningún competidor que le hiciera sombra. Sus numerosos fallos y la falta de actualizaciones provocó las iras de desarrolladores web y usuarios avanzados, que con los años fue permeando entre el resto de internautas. Así, pese a las mejoras, Internet Explorer era una marca desprestigiada, que Microsoft ha decidido abandonar finalmente.
Así, según datos de la web especializada W3Counter, en febrero de 2008 Internet Explorer aún era usado por un 63 por ciento de los internautas a nivel mundial, mientras que siete años después, en febrero de 2015, apenas un 17 por ciento de quienes se conectaron a internet lo hicieron con IE.
¿Cómo es Microsoft Edge?
  • Windows 10 incluirá Internet Explorer 11 por razones de compatibilidad, pensando principalmente en sus clientes empresariales, pero el navegador principal será Microsoft Edge. Su motor de renderizado seguirá siendo propietario de Microsoft, pero sin preocuparse de mantener la compatibilidad con las web diseñadas para IE, por ejemplo con los controles ActiveX. Teóricamente, esto le permitirá ser más rápido y necesitar menos memoria.
  • De cara al usuario, destaca su nueva interfaz, que sigue las directrices de diseño de Windows 8 y 10 y rompe a nivel visual con su predecesor desde el primer momento. No obstante, la característica en la que más está incidiendo Microsoft es en la posibilidad de hacer anotaciones a mano (o ratón) sobre las páginas web, para poder subrayar o escribir observaciones. Sin embargo, posiblemente las otras dos novedades sean las que empleen más usuarios. Edge integrará Cortana, de modo que según naveguemos recibiremos sugerencias del asistente o podremos pedírselas con comodidad. Además, permitirá limpiar las páginas de distracciones y dejar sólo el texto para leerlo, permitiéndonos incluso guardarlo en una lista de lectura para poder echarle un ojo más tarde.
  • Microsof Edge está disponible a los usuarios que se hayan atrevido a instalar la versión preliminar de Windows 10, aunque aún con el nombre de Project Spartan. Se espera que Microsoft libere la nueva Build 10074 durante la conferencia en la que el navegador ya tendría su nombre oficial.
Fuente: Libertad Digital.com

MICROSOFT. Facilitará la adaptación a Windows 10 de las apps de iOS y Android

Los proyectos Islanwood y Astoria permitirán a los desarrolladores emplear los lenguajes y API de iOS y Android.
Microsoft ha anunciado que los programadores que hayan desarrollado aplicaciones para los sistemas operativos Android de Google o iOS de Apple podrán modificarlas fácilmente para que funcionen en dispositivos equipados con Windows. El anuncio representa un gran giro en la estrategia de Microsoft, que domina el segmento de los ordenadores personales pero no ha logrado ganar cuota de mercado con los teléfonos o las tabletas, en parte por la escasez de aplicaciones pensadas para el sistema operativo Windows, su producto estrella.
El número de aplicaciones para teléfonos equipados con Android ronda los 1,4 millones, una cifra similar a la de aplicaciones para los teléfonos de Apple, mientras que solo hay varios cientos de miles que funcionan en teléfonos y tabletas equipados con Windows. Los teléfonos equipados con Android acaparan el 81% del mercado, seguidos de Apple con un 15%. Microsoft, que adquirió Nokia el año pasado, tiene tan solo un 3% de cuota de mercado, según los datos de la firma Strategy Analytics.
Windows es poco atractivo para los desarrolladores de aplicaciones móviles al tener pocos usuarios, y los consumidores no lo compran por la escasez de aplicaciones o el hecho de que las versiones existentes sean de peor calidad que las de iOS y Android, un círculo vicioso que Microsoft trata ahora de romper.
Terry Myerson, vicepresidente ejecutivo de sistemas operativos de Microsoft, aseguró este miércoles durante la conferencia anual para desarrolladores de Microsoft en San Francisco (EEUU) que adaptar las aplicaciones de iOS y Android a Windows será relativamente "sencillo y rápido", aunque no facilitó detalles concretos. Su objetivo es que, para mediados del año 2018, haya 1.000 millones de dispositivos equipados con Windows 10, entre ordenadores, tabletas y móviles.
Está previsto que la empresa con sede en Redmond, en el estado de Washington (oeste de Estados Unidos), lance durante el verano la última actualización de su sistema operativo. Windows 10 será una plataforma unificada en todos los dispositivos, desde ordenadores hasta tabletas y móviles. "Nuestro objetivo es que Windows 10 sea la plataforma de desarrollo más atractiva de todos los tiempos", aseguró Myerson ante los varios miles de programadores y desarrolladores de aplicaciones que participan en la conferencia.
Fuente: Libertad Digital.com

MICROSOFT. Lanza ".NET Core" y "Visual Studio Code" para Linux

Durante el evento Build2 2015 que se desarrolló en las últimas horas en el Moscone Center de San Francisco, Microsoft anunció el lanzamiento de la preview de .NET Core para Linux y Mac OS X, cumpliendo así con lo prometido hace unos meses. Se trata de la primera versión de esta herramienta disponible para otra plataforma que no sea Windows, y es un claro ejemplo de una apertura en las políticas de la compañía, por más que en toda esta movida también haya algo de necesidad de generarse nuevos espacios para competir.
Debido a esta decisión, el código de .NET Core ya se encuentra disponible en GitHub, hacia donde ha sido llevado desde MS Opentech, que era el espacio que hasta hace poco tenían para mostrar proyectos de código abierto. Se trata de un primer paso muy importante, y por lo visto no es el único ya que hoy mismo también fue presentado su IDE Visual Studio Code para las plataformas Linux y Mac OS X.
Para quienes no lo conozcan, decir que se trata de un editor de código muy ligero y moderno, compatible desde luego con la plataforma .NET aunque también lo es con otros lenguajes de programación como JavaScript, Node.js, ASP.NET 5 y TypeScript. Visual Studio Code ya puede ser descargado desde el sitio web oficial en forma gratuita, y aunque lo más puristas destacarán que en este caso se trata de freeware y no de open source, puesto que es gratuito pero no se puede disponer de su código fuente, lo cierto es que se trata de un gran avance y la posibilidad de utilizar un IDE completo, potente y a la vez cómodo y liviano es un importante beneficio para muchísimos desarrolladores, que si lo desean ahora podrán trabajar desde Linux (eso si, de momento sólo está disponible para Linux de 64 bits).
Más información
Fuente: Linux Adictos.com

CULTURA LIBRE. Llega al Digitl Comic Museum

 El Digital Comic Museum nos permitirá descargar más de 15.000 cómics históricos (http://digitalcomicmuseum.com/)
. Todo este gran contenido se ha liberado y puede ser descargado libremente desde la web del Digital Comic Museum, para así unirse a la cultura libre abriendo todos esos títulos anteriores a 1959. Así que los fanáticos de la libertad y los cómics están de enhorabuena.
 Ya hemos anunciado en este blog otros proyectos que se han unido a la filosofía del código abierto fuera del ámbito de la informática, como algunos proyectos de biología con organismos vivos, semillas de código abierto, plantas luminiscentes, educación, etc. En ellos queda patente la gran mella que ha hecho la cultura libre en otros campos de la ciencia para mejorar nuestro mundo desde esta base en la que el conocimiento es accesible para todos.
Todos los ejemplares disponibles están bajo dominio público, y por tanto pueden ser descargados y distribuidos libremente. Recordad que las obras pierden su propiedad intelectual una vez han pasado entre 50 y 70 años del fallecimiento de su creador si ninguna otra organización o empresa los renueva. Una vez pasado ese lapso de tiempo pasan a ser de dominio público y por tanto libres de cualquier restricción.
 Todos los que decidan acceder a la web para descargar el contenido gratuito, se encontrarán con míticos cómics que nos darán a conocer los inicios de los personajes más populares de los actuales cómics de empresas como Marvel, D.C. o Disney. Así que si eres coleccionista o apasionado de los cómics, esta es una gran oportunidad…
 Los cómics que componen esa lista con más de 15.000 ejemplares son escaneos de alta calidad de los reales vendidos en la época de oro del cómic. Los géneros son muy variados, desde romance y western, hasta terror y temática sobrenatural o ciencia ficción. Tienes entretenimiento y lectura para rato.
Fuente: Linux Adictos.com

Once cámaras de vídeo profesional a precios para aficionados

Cada vez son más los cineastas aficionados que buscan crear en casa obras con calidad similar a las de los profesionales. Se hacen llamar prosumidores (acrónimo de productor y consumidor) y gustan de grabar vídeos con resolución Full HD o 4K captando una gran cantidad de información visual en cada fotograma.
  • La última de las cámaras que lo permiten aparecida en el mercado es la Black Magic Mini. Con un diseño similar al de las GoPro, pesa poco más de 300 gramos y cuesta 985 euros. Como principal cualidad, permite grabar vídeo con resolución Full HD en formato RAW, una característica de la que hasta la fecha solo podían presumir equipos muy costosos, como las cámaras de Red One. Por medio de esa función se puede alterar durante el montaje del vídeo el color o el nivel de luminosidad sin deteriorar el metraje final. Tan solo otra cámara de ese precio lo consigue también, la Black Magic Pocket.
  • Aunque ambos modelos están dotados de un sensor de formato súper 16 milímetros y pueden trabajar con objetivos del sistema Micro Cuatro Tercios, las reducidas dimensiones de la Black Magic Mini permiten que pueda montarse en un dron. De hecho, cuenta con una conexión pensada para controlar a distancia sus funciones.
  • Con el lema "Grabaciones 4K, ahora para los aficionados”, la Canon xc10 es otra cámara de cine digital recientemente presentada. Se trata de un producto híbrido diseñado para captar fotos y vídeos. Según la web especializada en tecnología fotográfica DPreview, su principal innovación estriba en su diseño, que incorpora una empuñadura giratoria para captar mejor vídeo o fotos.
  • Esta Canon también incorpora un visor extraíble que se acopla a la pantalla trasera para facilitar la grabación de vídeo. Debido a que puede captar hasta 305 megabytes de datos por segundo —una cifra muy por encima de lo que ofrecen las cámaras de la competencia—, Canon ha dotado a este equipo con el nuevo estándar de tarjetas de memoria CFast 2.0.
  • Incorpora además un sensor de una pulgada de tamaño, similar al de las citadas Black Magic, que le permite captar fotos de 12 megapíxeles en formato RAW. Su objetivo de 10 aumentos abarca un rango de distancias focales que va de los 28 a los 250 milímetros, con una luminosidad máxima de f/2.8 en 28 milímetrosl. Su precio oficial será de 2.199 euros cuando se comercialice en España.
  • Otra cámara híbrida de foto y vídeo es la Panasonic GH4, que permite grabar vídeo 4K con flujos de datos de hasta 200 megabytes por segundo. Además, es capaz de convertir cualquier fotograma de vídeo grabado con ella en una foto de ocho megapíxeles en formato JPEG. Si trabajamos en el modo de fotografía, la cámara capta imágenes de 16 megapíxeles en formato RAW.
  • La Sony A7s ha sido la primera cámara capaz de alcanzar una sensibilidad de 409.600 ISO, lo que le permite captar imágenes prácticamente a oscuras
  • Esta máquina es la cuarta entrega de una serie que comenzó con la Panasonic Lumix DMC-GH1, un modelo que gozó de cierto éxito entre los realizadores de cortometrajes con poco presupuesto. El precio oficial de la GH4 es de 1.500 euros. Por unos 700 euros se vende la Panasonic Lumix LX-100, una cámara que también graba vídeo en 4K como la GH4 pero su objetivo es fijo y no cuenta con entrada de micrófono y eso limita su uso profesional. Aunque su calidad de imagen al captar imágenes en movimiento resulta bastante alta.
  • Entre las cámaras con sensores de mayor tamaño destinadas a los que desean iniciarse en el mundo del vídeo semiprofesional están la Sony A7s, con sensor full frame de 12 megapíxeles, y la Samsung NX1, con un sensor APS-C de 28 megapíxeles. El precio oficial de la primera es 2.400 euros y 1.500 el de la segunda. Ambas poseen objetivos intercambiables y pueden grabar vídeo con resolución 4K, aunque esta prestación en el caso de la Sony solo es posible si se usa un accesorio externo conectado a su salida HDMI.
  • El mayor tamaño del sensor de la Sony y su menor resolución le permite lograr imágenes de calidad con poca luz. Para entender de lo que es capaz basta con ver un vídeo grabado con ella utilizando como única fuente luminosa la luz de la Luna. De hecho, ha sido la primera cámara capaz de alcanzar una sensibilidad de 409.600 ISO, lo que le permite captar imágenes prácticamente a oscuras.
  • Despuntan, entre las réflex bien equipadas para grabar vídeo, modelos como la Canon EOS 7D Mark II y la Canon EOS 70D. Ambas cuentan con una tecnología de enfoque especialmente ágil para captar imágenes en movimiento: el sistema Dual Pixel CMOS AF. También la Nikon D810 permite lograr vídeos de gran nitidez, sobre todo si se conecta mediante HDMI a un grabador externo.
Réflex para fotógrafos aficionados pero exigentes
  1. El acercamiento de las empresas a los prosumidores en el terreno del vídeo también se ha producido en la fotografía. Crece la oferta de las cámaras réflex y Evil de alto nivel no destinadas a profesionales. Basta con ver algunas de las cámaras que Nikon vende para fotógrafos avanzados y las que Canon ofrece a los que denomina entusiastas de la fotografía. Algunos de estos modelos hace pocos años hubiesen colmado las exigencias de los profesionales más exigentes.
  2. Un buen ejemplo lo constituye la Nikon 810, lanzada hace pocos meses. Una réflex de gama media con un sensor full frame de 36 megapíxeles y cuerpo sellado, una característica fundamental en las cámaras profesionales. La Nikon D3x, una máquina profesional, estuvo a la venta hasta el año pasado y cuando se lanzó costaba algo más de 6.000 euros. La Nikon D810 apareció hace casi un año por la mitad de precio y sus prestaciones son superiores.
  3. Sony también está lanzando productos atractivos para los fotógrafos amateurs más exigentes. Su cámara sin espejo de objetivos intercambiables Sony A7 es la más económica del mercado con un sensor full frame, pues su precio oficial es de 1.299 euros. También su tamaño es menor que el de una cámara réflex.
Fuente: El País.com