8 de octubre de 2016

EEUU. Acusan formalmente a hackers rusos de los ataques a las agrupaciones políticas

El Gobierno de Estados Unidos acusó formalmente por primera vez a Rusia por una campaña de ciberataques contra organizaciones del Partido Demócrata antes de la elección presidencial del 8 de noviembre.
"Nosotros creemos, en base al alcance y a la sensibilidad de estos intentos, que sólo los funcionarios rusos de alto rango podrían haber autorizado estas actividades", dijo el viernes un comunicado del Gobierno de Estados Unidos sobre los ciberataques a grupos políticos."Estos robos y revelaciones pretenden interferir con el proceso electoral de Estados Unidos", agregó el comunicado.
Funcionarios de inteligencia de Estados Unidos llegaron a la conclusión hace semanas de que el Gobierno ruso está realizando u orquestando ciberataques contra el Comité Nacional Demócrata y el Comité de Campaña Demócrata por el Congreso, posiblemente para interferir o desprestigiar la elección, en la que la demócrata Hillary Clinton enfrenta al republicano Donald Trump.
Un portavoz del Kremlin dijo que las acusaciones de Estados Unidos son un "absurdo", informó la agencia de noticias Interfax.
La decisión del gobierno de Obama de culpar a Rusia por los ataques se suma a una serie de hechos que han ido agriando las relaciones entre Washington y Moscú, crispadas por las actuaciones de Rusia en Siria, Ucrania y el ciberespacio.
También el viernes, el secretario de Estado de Estados Unidos, John Kerry, dijo que las acciones de Moscú y Damasco en la guerra civil en Siria, incluidos los bombardeos a hospitales, "piden" una investigación de crímenes de guerra.
Además, un funcionario de inteligencia de Estados Unidos dijo el viernes que Rusia está moviendo misiles de corto alcance con capacidad nuclear a Kaliningrado, un pequeño enclave ruso entre Polonia y Lituania, confirmando reportes de prensa de Estonia.
Fuente: Reuters

ESPAÑA. WhatsApp está plagado de fallos de seguridad, advierte el CNI

El Centro Nacional de Inteligencia (CNI), han elaborado un exhaustivo informe, fechado el pasado septiembre y al que ha tenido acceso este periódico, en el que denuncian que la popular aplicación que en España cuenta con millones de usuarios, tiene agujeros muy serios a la hora de proteger la privacidad de las conversaciones.
El demoledor dossier es obra del más importante departamento oficial del Estado dedicado a la “ciberseguridad nacional”, el Centro de Criptológico Nacional (CCN), dependiente directamente del CNI. La situación inquieta tanto al espionaje español que el informe ha sido ‘desclasificado’ y, de hecho, comenzó ayer a repartirse entre altos funcionarios del Estado y trabajadores de la administración con acceso a información sensible a modo de ‘aviso para navegantes’.
El informe llamado ‘Riesgo de uso de WhatsApp’ afirma, que esta plataforma se ha convertido en uno de los “entornos más atractivos para intrusos y ciberatacantes” en España. “Desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación”, denuncia el CCN, que apunta a una decena de agujeros graves de seguridad.
Fallas involuntarias en la confidencialidad.
  • La “carencia más importante” de WhatsApp, según los especialistas del CNI esté en el “proceso de alta y verificación de los usuarios”. Según el informe, la debilidad de la seguridad en este paso ha “propiciado que los intrusos puedan hacerse con la cuenta de usuario de otra persona, leer los mensajes que reciba e incluso enviar mensajes en su nombre”.
  • La segunda falla detectada por los servicios de inteligencia del Ministerio de Defensa es el “secuestro de cuentas aprovechando fallos de la red”, en este caso la conocida como SS7. Las brechas de seguridad en esa red hacen factible que un atacante se haga pasar por un usuario y consiga sin demasiados problemas el código de verificación de WhatsApp, pudiendo así “secuestrar” la cuenta ajena. La situación es muy compleja “al tratarse de un fallo de red, y no de la aplicación en sí misma, no existe una forma directa de resolver estos fallos de seguridad”.
  • Igualmente preocupante para el CCN es el “borrado inseguro de las conversaciones”. El documento avisa que el uso de “técnicas forenses” hace inútil el borrado clásico de los mensajes, porque éstos continúan en la memoria del móvil hasta que son sobre-escritos y además porque tanto en Iphone como en Android, los textos quedan registrados, al hacerse las copias de seguridad. Los espías avisan que solo desinstalar la aplicación y borrar las copias de seguridad harán que desaparezcan las conversaciones.
  • Los responsables de la ciberseguridad nacional se muestran inquietos también con la facilidad con que se puede “difundir” a extraños “información sensible durante la conexión inicial”. Las nuevas codificaciones de estos datos –afirma el informe- no han comportado una “mejora sustancial de seguridad”, que sigue siendo muy vulnerable a cualquier experto con una aplicación para desencriptarlas.
  • El CNI también lamenta la facilidad que da WhatsApp para el “robo de cuentas mediante sms”, una vez que el intruso tenga “acceso físico” al terminal, aunque sea solo unos minutos. Los analistas de Defensa avisan que es muy simple hacer creer a WhatsApp que el usuario ha cambiado de terminal y hacerse con el control de una cuenta. Un “robo de cuentas” también es sencillo mediante una llamada de verificación si el “atacante” tiene acceso físico al terminal por un breve espacio de tiempo. La víctima, tras ese despiste, podría no enterarse jamás que todas sus conversaciones son espiadas.
  • También es excesivamente vulnerable la “base de datos” en la que WhatsApp almacena todas las conversaciones, con independencia de las ‘nubes’ y las memorias de los terminales. El tipo de memoria usada por la aplicación, llamada SQLite y el actual cifrado de esos mensajes (.crypt12) son pan comido para los ‘piratas’, según el CNI. “Existen multitud de aplicaciones que permiten de una forma sencilla el descifrado de la información, tanto en una versión para un equipo, como a través de una aplicación en el teléfono o el interfaz de una web”, apunta el dossier.
Fallas voluntarias en la confidencialidad.
  • Entre las voluntarias, denuncia el CCN, es que desde el pasado 25 de agosto se “intercambian” sin que el usuario se consciente “datos personales entre WhatsApp y Facebook, las dos plataformas que controla Mark Zuckerberg.
Fuente:.eldiariomontanes.es

EEUU. Detienen a otro contratista de la NSA por robar datos clasificados

A día de hoy, Edward Snowden se ha convertido en uno de los hacktivistas más conocidos en todo el mundo. Este ex-contratista de la NSA, actualmente en busca y captura, hizo públicos una serie de documentos en los que se demostraba cómo Estados Unidos, el FBI y la propia NSA han estado espiando todas las telecomunicaciones a nivel mundial a través de un programa denominado PRISM. Aunque la filtración de estos documentos fue uno de los mayores descubrimientos sobre el espionaje gubernamental, seguro que aún se esconden muchos más secretos, y hay gente que se arriesga por sacarlos a la luz.
En las últimas horas, muchos medios han hecho pública la pasada detención por parte del FBI de un nuevo contratista de la NSA, llamado Harold Thomas Martin, de 51 años, acusado de acceder a documentos clasificados de la organización y robarlos con el fin, probablemente, de venderlos o hacerlos públicos. Entre la información robada, el contratista tenía los códigos fuentes de las herramientas creadas por la NSA para introducirse en las redes de gobiernos extranjeros enemigos, como Rusia, China, Irán y Corea del Norte, entre otros.
Según las investigaciones que se han llevado a cabo, estos datos han podido ser robados incluso antes de que se filtraran los primeros datos de Snowden en la red. Además, se sospecha que los códigos fuentes robados son los mismos que publicaron el grupo de piratas informáticos “Shadow Brokers” 15 días antes de su detención.
El FBI está investigando si los nuevos documentos y los códigos fuentes llegaron a filtrarse en la red o no, aunque, por el momento, lo único que se sabe al respecto es que se han confiscado una gran cantidad de documentos y discos duros en el coche y garaje de Harold que contenían información altamente clasificada sobre los Estados Unidos.
La mayor vulnerabilidad de la NSA son sus propios empleados
Curiosamente, este contratista fue contratado de nuevo por la misma empresa que contrató en el pasado a Edward Snowden y, de ser detenido, sería el segundo contratista en los últimos tres años que consigue robar información clasificada a la propia NSA.
This is huge. Did the FBI secretly arrest the person behind the reports NSA sat on huge flaws in US products? https://t.co/otgOwB5efm
— Edward Snowden (@Snowden) October 5, 2016
A falta de confirmar si el contratista es culpable o no, puede enfrentarse hasta a 10 años de prisión por robo de información clasificada de Estados Unidos. Si, además, se descubre que los datos han llegado a filtrarse, las consecuencias pueden ser mucho peores, pudiendo llegar incluso a ser condenado a muerte.
El FBI también estudia si hay otros intereses detrás del robo, por ejemplo, un tercer interesado o motivos políticos, aunque por el momento parece que actuó de forma desinteresada. Harold fue detenido el pasado 27 de agosto y, más de un mes más tarde, por el momento sigue detenido a la espera de que se resuelva el juicio y se le declare inocente o culpable.
Fuente: Diarioti.com

CIBERSUPERVISION. Yahoo escaneaba en tiempo real los correos de todos para la NSA y el FBI

Aunque Google es, probablemente, la empresa de Internet más utilizada por los usuarios para utilizar diferentes servicios de Internet (correo, buscador, nube, etc), un gran número de usuarios, especialmente los más veteranos en la red, aún utilizan otras plataformas que tuvieron su auge hace años, como Yahoo y que, a día de hoy, aún tienen un importante peso en la red.
Hace dos semanas pudimos leer cómo una base de datos de usuarios de Yahoo que había sido robada en 2014 se hizo pública, exponiendo ni más ni menos de 500 millones de correos electrónicos con sus correspondientes contraseñas y más datos personales de los usuarios. Ahora, dos semanas más tarde, un nuevo jarro de agua fría cae sobre la compañía, en proceso de venta a Verizon, cuando se ha demostrado que la compañía lleva desde 2015 escaneando en tiempo real todos los correos de sus usuarios y facilitando el acceso a la NSA y al FBI a ellos.
Según tres fuentes anónimas que han filtrado la información a Reuters, Yahoo creó una herramienta secreta que analizaba automáticamente, como un filtro de correos en tiempo real, todos los mensajes de los usuarios y sus archivos adjuntos en busca de palabras clave y expresiones que podían resultar de interés para la agencia y la organización gubernamental, aunque por el momento no se sabe en qué palabras o expresiones se centraba la herramienta ni con qué frecuencia se ejecutaba, aunque lo que sí que se sabe es que cuando esta herramienta detectaba algo sospechoso lo enviaba automáticamente a la NSA y al FBI para que ellos lo analizaran con detenimiento.
Yahoo no quiso corregir los fallos de seguridad utilizados por la herramienta, el FBI y la NSA
  • Todas estas decisiones se tomaron en secreto sin tener en cuenta al CISO ni a otros altos cargos de la compañía, por lo que nadie sabía nada. Por ello, un mes después de su puesta en marcha, los responsables de seguridad de Yahoo detectaron la herramienta monitorizando todos los correos en un análisis rutinario de seguridad y pensaron que habían sido hackeados, siendo todo obra de un pirata informático.
  • Sin embargo, a pesar de que los responsables de seguridad intentaban tapar la brecha de seguridad aprovechada por la herramienta para llevar a cabo sus actividades de espionaje, la compañía lo prohibió, redujo el presupuesto de seguridad y obligó a los responsables a dimitir de sus cargos.
Los problemas de seguridad de Yahoo! Mail provocan las primeras consecuencias
  • Nunca se ha tomado una decisión tan tajante, o al menos que nosotros recordemos. El congreso de Estados Unidos ha decidido banear la utilización de Yahoo! Mail entre sus miembros para evitar problemas de seguridad. Los responsables de seguridad justifican esta decisión en los problemas que el servicio ha tenido a la hora de reportar ransomware en los correos.... Seguir Leyendo
  • Curiosamente, en 2015, la EFF dio una nota de 5 /5 estrellas a Yahoo como una de las empresas que mejor protegían los datos de sus usuarios. Está claro que todo esto se ha guardado muy en secreto pero que, como era previsible, finalmente ha salido a la luz.
Fuente: Redeszone.net

¿LEGALIDAD?. Revisión correos Yahoo fue conforme a ley espionaje de EEUU que expira en 2017

La operación que Yahoo realizó en el 2015 para revisar el correo entrante de sus clientes en busca de información específica, solicitada por el Gobierno de Estados Unidos, fue autorizada por una ley de inteligencia que expirará parcialmente el próximo año, dijeron dos funcionarios que conocen del tema.
Reuters reportó el martes que Yahoo creó un programa en respuesta a una solicitud secreta del Gobierno de Estados Unidos para revisar los correos electrónicos de cientos de millones de sus usuarios.
La revelación revivió un antiguo debate en Estados Unidos sobre el equilibrio que debe existir entre la privacidad digital y la seguridad nacional.
La revisión fue autorizada específicamente por una orden emitida por el Tribunal de Vigilancia de Inteligencia Extranjera, dijeron dos fuentes del Gobierno, que solicitaron condición de anonimato para hablar libremente.
La solicitud a Yahoo se hizo bajo la ley de Vigilancia de Inteligencia Extranjera (FISA, por su sigla en inglés), dijeron las fuentes. Ambos funcionarios dijeron que la petición está contemplada en una disposición que expirará el 31 de diciembre del 2017, a menos que los legisladores la renueven.
La orden de tribunal FISA se refería específicamente a Yahoo, pero es posible que haya emitido pedidos similares a otras empresas de telecomunicaciones e internet, dijeron las fuentes.
En un comunicado el miércoles, Yahoo dijo que el reporte de Reuters era "engañoso" y que "la revisión de correos electrónicos descrita en el artículo no existe en nuestros sistemas". Cuando se pidió detallar la manera en que la historia era engañosa o si la operación descrita por Reuters se había ejecutado previamente, Yahoo rehusó realizar comentarios.
Fuente: Reuters

CIBERMEDICINA. J&J advierte que bombas de insulina pueden ser vulnerables

Johnson & Johnson le ha dicho a sus pacientes que una de sus bombas de insulina podría ser vulnerable a un ataque de piratas informáticos aunque describió el riesgo como bajo.
Expertos en dispositivos médicos dijeron que creen que es la primera vez que un fabricante emite a sus pacientes un aviso sobre vulnerabilidad cibernética, un tema candente en la industria luego de revelaciones el mes pasado sobre posibles fallas en marcapasos y desfibriladores.
Ejecutivos de J&J dijeron a Reuters que no tenían conocimiento de intentos de ingresar ilegalmente al dispositivo, la bomba de insulina Animas OneTouch Ping. La compañía igualmente está advirtiendo a sus clientes y brindando asesoramiento sobre cómo arreglar el problema.
"La probabilidad de acceso sin autorización al sistema de OneTouch Ping es extremadamente baja", dijo la compañía en cartas enviadas el lunes a médicos y a unos 114.000 pacientes que utilizan el dispositivo en Estados Unidos y Canadá. Reuters tuvo acceso a la misiva."Requeriría de pericia técnica, equipos sofisticados y proximidad con la bomba, ya que el sistema OneTouch Ping no está conectado a internet ni a ninguna red externa", agregó J&J. Una bomba de insulina permite a los pacientes diabéticos recibir insulina a través de un catéter.
El dispositivo Animas OneTouch Ping, lanzado en el 2008, se vende con un control remoto inalámbrico que los pacientes pueden usar para ordenar a la bomba una dosis de insulina así no tienen que acceder al aparato, que habitualmente se usa bajo la ropa.
Jay Radcliffe, diabético e investigador de la firma de ciberseguridad Rapid7 Inc, dijo que había identificado maneras en las que un "hacker" podía irrumpir en la comunicación entre el control remoto y el dispositivo, potencialmente forzándolo a ordenar inyecciones de insulina no autorizadas.
Técnicos de la compañía pudieron replicar los hallazgos de Radcliffe, confirmando que un hacker podría ordenar una dosis de insulina desde una distancia de hasta 7,6 metros, dijo Brian Levy, jefe médico de la unidad de diabetes de J&J. "Creemos que el sistema OneTouch Ping es seguro y fiable. Instamos a los pacientes a no abandonar el producto", agregó.
Fuente: Reuters

JUNCKER. "Europa no va a arrodillarse ante los estadounidenses con el TTIP"

El presidente de la Comisión Europea, Jean-Claude Juncker, afirmó hoy que "Europa no va a arrodillarse ante los estadounidenses" y ceder en sus principios para negociar el acuerdo de libre comercio transatlántico (TTIP), pero también que hay que mantener la apertura comercial, que genera empleos.
Juncker, en una intervención en el Instituto Jacques Delors de París junto al primer ministro francés, Manuel Valls, señaló que no hay que "perder las oportunidades que ofrece el comercio exterior", y puso como modelo el compromiso establecido entre la Unión Europea y Canadá que "es un buen acuerdo, el mejor que hemos concluido".
Constató que ahora son las negociaciones para un tratado de libre comercio con Estados Unidos (TTIP) las que centran la atención del público y aseguró que "Europa no va a arrodillarse ante los estadounidenses". "No vamos a lanzar por la borda los principios que han hecho el éxito de Europa", ha afirmado.
Pero a continuación, Juncker puntualizó que "no nos tenemos que cortar del resto del mundo", sobre todo teniendo en cuenta que cada 1.000 millones de euros que se suman al comercio exterior, se generan en Europa 14.000 puestos de trabajo.
Importancia de los acuerdos
  • Para ilustrar la importancia de los acuerdos bilaterales de libre comercio, se refirió al que la Unión Europea estableció con Corea del Sur, y a que los intercambios entre los dos bloques suponen 15.000 millones, lo que significa que ha permitido crear 200.000 empleos.
  • Por otro lado, Juncker lanzó un aviso en dirección de los países reticentes a aplicar el acuerdo de reparto de refugiados, y dijo que saltárselo sería "el comienzo del fin" de la Unión Europea.
  • "Si -argumentó- cada vez que un Estado miembro no está de acuerdo con una decisión organiza un referéndum para decir lo contrario de lo que establece la regla (...) no conseguiremos gestionar ni gobernar la Unión Europea".
  • Una referencia directa a Hungría, y al referéndum del pasado domingo convocado por su primer ministro, Viktor Orban, para el rechazo de la cuota de refugiados, que al final no consiguió el número de votantes requerido.
Fuente: El Economista.es

AMAZON. Pactará con la UE para cerrar la investigación de monopolio en el mercado de los ebooks

Amazon se arriesgaba a una multa multimillonaria por sus prácticas en el mercado europeo, La UE investigaba una posible fijación ilegal de precios con las editoriales
Amazon y la Unión Europea están en las primeras conversaciones para resolver las preocupaciones de la administración en torno al mercado de los libros electrónicos y los posibles abusos que la compañía podría haber llevado a cabo, según informa The Wall Street Journal.
Bruselas empezó una investigación en junio de 2015 ante los signos de contratos desleales de Amazon con determinadas editoriales, lo que perjudicaba gravemente a otros distribuidores de ebooks europeos. A su vez, se investiga si la compañía estadounidense llegó a un acuerdo con Luxemburgo para tributar menos que podría ser ilegal.
La Comisión está investigando específicamente los acuerdos de Amazon en los mercados en inglés y alemán, donde más fuerza tiene actualmente. España parece estar al margen de estos problemas, pero todos los contratos de la compañía van a revisarse para asegurar su legalidad.
El mercado de los ebooks ha sido el objetivo de múltiples investigaciones, tanto en Europa como en EEUU. Apple también fue investigada por la UE en 2011 por razones sospechas parecidas a las que tienen ahora de Amazon, descubriendo que cinco editoriales habían pactado ilegalmente precios con la compañía justo antes del lanzamiento del iPad en 2010. Todos los implicados acordaron cambiar sus contratos como solución.
Varios países de la Unión Europea está investigando a varias empresas tecnológicas con respecto a su actitud en el mercado europeo, destacando recientemente las causas abiertas por Alemania, Italia y España sobre la sincronización de datos de usuarios entre WhatsApp y Facebook.
Fuente: El Mundo.es

UE. Aprobado el código de conducta en aplicación del Reglamento de Protección de Datos

   La asociación 'Cloud Infrastructure Service Providers in Europe', que reúne a una veintena de proveedores de infraestructura cloud con sede en Europa, entre los que se encuentra Gigas como único representante español, ha anunciado hoy en conferencia de prensa en el Parlamento Europeo su constitución y su compromiso de adoptar el primer código de conducta en aplicación del Reglamento de Protección de Datos de la Unión Europea.
   El código de conducta elaborado por CISPE es una certificación que garantiza el adecuado tratamiento de los datos de las empresas y sus clientes. En este sentido, los proveedores cloud miembros de CISPE ofrecen la garantía de no procesar datos de sus clientes en beneficio propio o su cesión a terceros. Esto da a las compañías la total seguridad de que los datos permanecen bajo su propiedad y control. Además, los proveedores de servicios en la nube adscritos a este código de conducta ofrecerán a sus clientes la seguridad de que el procesamiento y almacenamiento de sus datos se encuentra dentro del territorio la Unión Europea.
   El código de conducta proporcionará una herramienta que permita a las empresas identificar aquellas compañías de servicios cloud que cumplan con el Reglamento General de Protección de Datos de la Unión Europea. Además, dichos proveedores cloud serán valorados en función de su compromiso para mantener los más altos niveles de protección de datos.
   El código CISPE precede a la entrada en vigor del GDPR (Reglamento General de Protección de Datos) de la UE que será de aplicación obligatoria a partir del 25 de mayo de 2018, y que se basa en los estándares de seguridad internacionalmente reconocidos, mejorando la seguridad en el procesamiento de datos para todos los usuarios.
Fuente: Europa Press

ESPAÑA. Sherpa, el Siri español se lanza al mercado

Tras cuatro años con versión 'beta', Sherpa da sus primeros pasos como asistente personal 100%. “Hemos tenido un crecimiento orgánico de doble dígito cada año y hemos ido incorporando el feedback de los usuarios hasta tener el producto que queríamos”, señala Xabi Uribe-Etxebarría, fundador y CEO de Sherpa.
Sherpa se adentra en el mercado de los asistentes virtuales copados por la voz robótica de Siri (Apple) y a distancia de las voces de Microsoft y Google, Cortana y Google Now. El padre de Sherpa se aleja de estas figuras “somos complementarios, nos hemos centrado en la parte predictiva”.
La aplicación 100% española utiliza algoritmos de inteligencia artificial para intentar predecir lo que el usuario quiere saber. “Si vas a un campo de fútbol muy asiduamente, interpretará que eres de ese equipo y te informará de todas sus novedades”, explica Xabi Uribe-Etxebarría.
La sala de máquinas de Sherpa tiene tres escalones como explican en su página web. El primer estado es el aprendizaje de los algoritmos. Sherpa ‘controla’ los gustos y búsquedas del usuario por internet, “además tenemos una serie de me gustas para enseñar a la inteligencia artificial de la app”, señala Xabi.
Sin buscar información en internet
  • En la segunda etapa, los algoritmos de inteligencia artificial se alimentan para poder hacer la predicción y por último se llega a la predicción de lo que el usuario va a necesitar en cada momento. “Tratamos que no tengas que buscar información en internet. Cada vez hay más y no tenemos tiempo para verlo todo. Ese es nuestro punto fuerte”.
  • La nueva versión incorpora diferentes actualizaciones destinadas a mejorar la experiencia de usuario gracias a los avances realizados en la capacidad predictiva de la app, lo que se traducirá en un uso cada vez menor de los comandos de voz.
  • A pesar de cumplir cuatro años en fase beta, “el crecimiento en el último año ha sido excepcional y sin campaña de márketing”, apunta su creador. La app nació para dispositivos Android, aunque desde hace meses dispone de un hermano gemelo en el sistema operativo de Apple.
5,8 millones de financiación
  • Con origen en Bilbao, Sherpa ha conseguido recientemente 5,8 millones de euros de financiación para continuar con su expansión. Hace un año, la compañía española alcanzaba un acuerdo con Samsung para que la app estuviera instalada de fábrica en los dispositivos de la surcoreana.
  • Ahora se une a Vodafone donde “todos los clientes de la compañía que descarguen Sherpa en sus terminales podrán conseguir descuentos y promociones exclusivas dentro del programa Ventajas Vodafone de la operadora”, señala en un comunicado.
  • Sherpa espera continuar escalando montañas para asentar el mercado español, aunque su fundador ya mira al otro lado del Atlántico: “ya vamos ampliar el mercado a Latinoamérica”.
Fuente: eldiariomontanes.es

GOOGLE. Ahora traduce de inglés a español casi tan bien como un experto humano

Los investigadores ni siquiera entienden cómo funciona su sistema, pero ha conseguido una nota de 5,43 sobre 6 frente al 5,55 que obtuvieron los nativos de ambos idiomas
La multinacional está replanteando su servicio de traducción después de que unos investigadores de Google inventaran un sistema mucho más preciso. En una competición en la que el nuevo software se enfrentó a traductores humanos, el programa casi logró igualar la fluidez humana en algunos idiomas, como cuando traducía del inglés al español.
Google ya ha empezado a lanzar el nuevo sistema para traducciones desde chino a inglés (estos ejemplos demuestran la mejora). La empresa espera reemplazar su sistema actual de traducciones por completo.
Facilitar la lectura de páginas web o el intercambio de mensajes que atraviesan las fronteras de los idiomas podría ayudar a las personas de todo el planeta a comunicarse entre sí. El investigador Quoc Le de Google afirma que esta mejora en traducción también podría dar paso a mejores relaciones entre las personas y las máquinas.
Las ideas en desarrollo del nuevo sistema de traducción permitirían que el software aprenda cosas más complicadas como leer Wikipedia y después contestar preguntas complejas sobre el mundo, dice Le, que fue uno de los 35 Innovadores menores de 35 de MIT Technology Review en 2014.
El nuevo sistema de traducción de Google fue desarrollado con una técnica conocida como aprendizaje profundo, que emplea redes de funciones matemáticas inspiradas en los cerebros de los mamíferos (ver Aprendizaje profundo). Los increíbles progresos que esta tecnología ha cosechado en áreas como el reconocimiento de imágenes y el reconocimiento de voz han motivado un reciente aluvión de inversiones en inteligencia artificial.
Desde 2014, investigadores de Google han estado investigando cómo el aprendizaje profundo también podría proporcionar una inyección a la traducción. Le asegura que los últimos resultados demuestran que ese momento ya ha llegado.
El trabajo publicado por Google incluye resultados de traducciones de inglés a español, francés y chino, y desde cada uno de estos idiomas a inglés. Cuando se pidió a personas nativas en ambos idiomas comparar el trabajo del nuevo sistema de Google con el de los traductores humanos, a veces no encontraban gran diferencia entre ellos.
Los participantes emplearon una escala de 0 a 6 para puntuar la fluidez de las traducciones de 500 frases extraídas de Wikipedia o noticias. Para las traducciones de inglés a español, el nuevo sistema de Google recibió una puntuación media de 5,43, que no dista demasiado del 5,55 de las traducciones humanas. El nuevo sistema de Google también puntuó cerca de los traductores humanos del francés al inglés.
El nuevo sistema de Google no opera de acuerdo a un método concreto. En su lugar, busca su propio camino para convertir el texto con precisión de un idioma a otro. Hasta lee y genera textos sin molestarse del concepto de las palabras. En su lugar, el software establece su propia manera de descomponer el texto en fragmentos más pequeños que a menudo parecen carecer de sentido y generalmente no corresponden a los fonemas del habla.
Debido a esta independencia, incluso a los creadores del sistema les cuesta entender cómo lo hace, pero los resultados hablan por sí solos, según Le. El responsable detalla: "Puede resultar desconcertante, pero lo hemos probado en muchos sitios y simplemente funciona".
El interés de Google por la traducción no sale de la nada. Los investigadores académicos y empresariales se han convencido recientemente de que las redes neuronales pueden permitir nuevos progresos para que el software entienda el lenguaje, según el profesor de linguística de la Universidad de Illinois (EEUU) Lane Schwartz.
Pero no está claro cuántos progresos se pueden esperar en el camino para que un software entienda realmente el lenguaje. Imitar la complejidad y potencia en las que nos comunicamos ha sido el objetivo de investigadores de inteligencia artificial durante décadas, pero los éxitos han escaseado.
Fuente: MIT Technology Review

GOOGLE. Presenta sus teléfonos Pixel, que de momento no se distribuirán en España

Google ha celebrado este martes el evento de presentación de sus novedades de hardware y software, entre las que han destacado los nuevos dispositivos móviles, que abandonan la marca Nexus y llegan bajo el nombre de Pixel. De momento los móviles que acaba de anunciar la compañía estadounidense no tienen fecha para su distribución en España.
Google presentó el martes el teléfono Pixel y un equipo de realidad virtual, en un nuevo intento de su compañía matriz, Alphabet Inc, por vender dispositivos de la marca y competir con el iPhone de Apple Inc en la gama alta de un mercado global de más de 400.000 millones de dólares.
Características de los nuevos dispositivos de Google
  • Pixel es un paso más en el trabajo de Google. La compañía ha desarrollado tanto el 'hardware' como el 'software', como han explicado en la presentación, y el resultado es un dispositivo que cuenta con Google Assistant en su núcleo y que ha sido diseñado pensando en la realidad virtual.
  • Asimismo, los móviles Pixel incorporan un nuevo Launcher, diseñado para aprovechar todo el potencial de Google Assistant y su interactuación con el resto de servicios de la compañía.
  • La cámara es otro de los aspectos en los que han trabajado con detalle desde Google. Como han anunciado, Pixel incorpora la mejor cámara móvil, según DxOMark. Entre otras características, cuenta con tecnología HRD+ por defecto y estabilizador de imagen para vídeo. Además, Pixel cuenta con almacenamiento ilimitado de fotografías en Google Fotos, incluso con aquellas de mayor calidad.
  • Pixel llega con un procesador Snapdragon 821 de Qualcomm, 4GB de RAM y capacidad de 32 GB o 128GB, así como con sensor de huellas dactilares, y cámara trasera de 12,3 megapíxeles. Su batería se queda en los 2.770 mAh, mientras que la de Pixel XL asciende hasta los 3.450 mAh.
  • El nuevo teléfono tendrá un precio inicial de 649 dólares y Google está trabajando de forma exclusiva con Verizon Communications en Estados Unidos, dijeron ejecutivos de la firma en el evento de lanzamiento celebrado en San Francisco.
  • Los anuncios, que incluyen un nuevo router Wifi y su asistente digital activado por voz para el hogar Home, es la señal más clara de que Alphabet Inc busca competir directamente con Apple, Amazon.com e, incluso, con su propio sistema operativo Android para crear un sistema de dispositivos y hardware que cubra cualquier necesidad digital.
Disponibilidad y precio
  • Los móviles Pixel estarán disponibles en negro, azul y plateado y tendrán pantallas de 5 y 5,5 pulgadas (12,7 y 14 centímetros). Incluirá lo que Google calificó como la mejor cámara del mercado, que podrá obtener una carga completa de 7 horas en 15 minutos. Los pedidos previos comienzan el martes.
  • Google anunció también el equipo de realidad virtual Daydream View, que estará disponible en noviembre por 79 dólares, a tiempo para la temporada de ventas de fin de año. El dispositivo Home costará 129 dólares, incluyendo un periodo de seis meses de prueba de YouTube sin publicidad.
  • La llegada de Home intensificará la batalla para establecer el "asistente digital" dominante en competencia con Alexa de Amazon y Siri de Apple, ahora que cada vez más gente navega y compra por internet usando comandos de voz, lo que podría acabar sustituyendo a los teclados y las pantallas táctiles como la forma principal de control de los dispositivos digitales.
Fuente: Europa Press y Reuters

NOTO. La nueva fuente de Google compatible con hasta 800 idiomas

El proyecto se ha estado desarrollando durante los últimos cinco años y con él se quiere eliminar cualquier barrera que limite la comunicación
La multinacional estadounidense Google ha creado una nueva fuente tipográfica, Noto, una fuente universal que se puede utilizar sin importar cuál sea el idioma del usuario, los caracteres que utilice o los símbolos que quiera escribir. De este modo, Google pretende evitar el cuadro en blanco que sale cuando otras tipografías tan populares como Times New Roman, Arial o Calibri no son capaces de leer y expresar determinados símbolos. Este error se conoce como tofu («notdef» o «not defined», «sin definición»). De ahí el nombre de la nueva fuente: Noto, «No more tofu» («no más tofu»).
El proyecto se ha estado desarrollando durante los últimos cinco años y con él se quiere eliminar cualquier barrera que limite la comunicación. Se trata de una tipografía de código abierto (software libre, gratuito) capaz de operar en más de 800 lenguas y que incluye 110.000 caracteres. Ha nacido de la necesidad de los sistemas operativos Chrome OS y Android de hacerse más competentes, ya que están llegando a todos los rincones del planeta. Para su creación, Google ha contado con la colaboración de expertos en diseño de fuentes como Monotype, Imaging Inc o Adobe. Además, el gigante tecnológico se ha comprometido a mantener Noto muy actualizada: se añadirán todos y cada uno de los nuevos caracteres que vayan surgiendo.
Descargas
  • El pack completo pesa cerca de 500 megas, aunque existe la posibilidad de descargar solo las variantes de Noto que interesen al usuario ( https://www.google.com/get/noto/ )
Fuente: Europa Press

SPOTIFY. Investigan la posible infección con ‘malware’ de su versión gratuita

Los usuarios han detectado un software malicioso que se podría estar expandiendo a través de la publicidad
El conocido servicio de música en streaming Spotify estaría infectando los ordenadores de sus abonados mediante el conocido como malware o software malicioso que se infiltra en el ordenador y actúa de forma autónoma sin el conocimiento del usuario. La alerta ha saltado hace tan solo unas horas y han sido los propios usuarios del servicio quienes han comenzado a llenar el foro de soporte oficial con reclamaciones. Desde Spotify todavía no hay una reacción oficial sobre cómo se debe actuar al respecto pero muchos usuarios afectados recomiendan desinstalar la aplicación o, al menos, no ejecutarla hasta que la firma dé una solución al asunto. Los responsables del servicio solo han declarado, de momento, que son conscientes del problema y que están investigándolo.
Se recomienda, en primer lugar, no ejecutarlo o, como medida adicional, desinstalarlo del ordenador y ejecutar algún antivirus o antimalware para eliminarlo del aparato
Por lo que se conoce hasta el momento, este incidente estaría afectando únicamente a la versión gratuita del servicio, la que ofrece publicidad a sus usuarios, y serían precisamente estos anuncios la presunta puerta de entrada para el malware. Este problema afectaría indistintamente a usuarios de Windows como de Mac, y los usuarios afectados comenzarían a descubrir un comportamiento extraño en sus ordenadores. En concreto, se refieren a la apertura sin control en el navegador de páginas no solicitadas con contenido perjudicial para el ordenador: “Si tienes Spotify abierto, abrirá de forma constante en el navegador por defecto páginas con malware o virus”, explica uno de los afectados.
Aunque como apuntamos no hay una respuesta oficial por el momento por parte de Spotify, el asunto estaría afectando a millones de usuarios de la versión gratuita de la aplicación de música en streaming, mientras que los usuarios de pago no se verían afectados. Lo peor del asunto es que no se trata de la primera vez que Spotify vive una situación similar: en 2011 pidió disculpas a los usuarios (también de la versión gratuita), al infectar a un número indeterminado de sus ordenadores con malware. ¿Qué hacer entretanto si es usuario de Spotify Free? Se recomienda, en primer lugar, no ejecutarlo o como medida adicional, desinstalarlo del ordenador y ejecutar algún antivirus o antimalware para eliminarlo del ordenador. Algunos usuarios más osados, por otro lado, aseguran que con software bloqueador de publicidad no están teniendo este problema y siguen usando del servicio.
Fuente: El Pais.com

AUTENTIFICACION. Los españoles aceptan la seguridad de los pagos biométricos

Según un estudio de Visa, 7 de cada 10 españoles quieren aprovechar la biometría como método de autenticación para sus pagos.
¿Qué opinión tienen los usuarios de la tecnología biométrica? Y, en concreto, ¿qué valoración les merecen sus niveles de seguridad y su uso durante procesos de pago?
Estas cuestiones han sido resueltas por un informe de Visa, que desvela que 7 de cada 10 españoles califican de segura la verificación en dos pasos cuando uno de esos pasos tiene que ver con la biometría, Por ejemplo, con el reconocimiento del iris o de las huellas dactilares de una persona.
A esa misma proporción de personas les gustaría aprovechar la biometría a modo de fórmula de autenticación en sus pagos, tanto al encontrarse a punto de pagar físicamente en una tienda como al realizar compras desde su hogar. ¿Por qué? Un 58 % dice que este tipo de autenticación aceleraría y facilitaría la experiencia. Y un 38 % también indica que así sus datos “estarían a salvo, incluso si el dispositivo se perdiese o fuese robado”.
La mitad de los consumidores se muestra dispuesta a utilizar biometría en supermercados, cafeterías y lugares de comida rápida, pero también en el transporte público. Alguno más quiere hacerlo en bares y restaurantes. Y un 44 % optaría por esta solución en compras online y para descargas de contenidos.
Según revela Visa, a la hora de decantarse por una modalidad de reconocimiento biométrico en particular, el 81 % de la gente ensalza la seguridad de los sistemas por huellas digitales, por delante del estudio del ojo. Esa segunda opción cuenta con un 76 % de adeptos. Aquí tendría que ver la popularización de los pagos móviles y la inclusión de sensores y lectores en los propios dispositivos.
Fuente: Silicon.es

WIRESHARK. Corrige dos nuevas vulnerabilidades

Wireshark Foundation ha publicado la versión 2.1.1 que incluye la corrección de dos vulnerabilidades que podrían provocar condiciones de denegación de servicio.
Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle de la actualización 
  • En esta ocasión la fundación Wireshark ha publicado dos boletines de seguridad (wnpa-sec-2016-56 y wnpa-sec-2016-57) que afectan a la nueva rama 2.2.0, publicada en septiembre. También se ha publicado la versión 2.0.7, que aunque no soluciona ninguna vulnerabilidad corrige otros fallos de funcionalidad.
  • Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. En esta ocasión los disectores y protocolos afectados son Bluetooth L2CAP y NCP. También se ha solucionado diferentes problemas no relacionados directamente con vulnerabilidades de seguridad.
  • Las vulnerabilidades mencionadas se han solucionado en la versión 2.2.1. Esta versión, junto con la 2.0.7 están disponibles para descarga desde la página oficial del proyecto. https://www.wireshark.org/download.html
  • Hay que recordar que Wireshark 1.12 alcanzó su final de vida el 31 de julio, por lo que ya no recibe actualizaciones. Se recomienda a los usuarios de esta rama actualizar a Wireshark 2.2.0.
Más información:
Fuente: Hispasec

CISCO. Actualizaciones para múltiples dispositivos de la firma

Cisco ha publicado 17 boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.
Los problemas críticos recaen en el software Cisco NX-OS. Además se han corregido vulnerabilidades de gravedad media en Cisco Unified Intelligence Center (CUIC), Cisco Nexus 9000, Cisco IOS XR, Cisco IOS e IOS XE, Cisco Firepower Management Center, Cisco Host Scan, Cisco IOS para Switches Catalyst 6500 y Routers 7600 y Cisco ASA.
Vulnerabilidades de gravedad alta y crítica
  • Los problemas más graves afectan al software Cisco NX-OS. Por una parte una vulnerabilidad crítica, con CVE-2015-0721, en el subsistema SSH de la familia de productos Cisco Nexus que podría permitir a un atacante remoto autenticado evitar las restricciones AAA (Authentication, Authorization y Accounting).
  • Una segunda vulnerabilidad crítica (CVE-2016-1453) afecta únicamente a switches Cisco Nexus series 7000 y 7700 con Cisco NX-OS con la función OTV (Overlay Transport Virtualization) activa. Un desbordamiento de búfer por una validación inadecuada del tamaño de los parámetros de las cabeceras de los paquetes OTV, podría permitir a un atacante sin autenticar ejecutar código arbitrario.
  • De gravedad alta, otra vulnerabilidad (CVE-2015-6393) en la implementación del agente de relay DHCPv4 en el software Cisco NX-OS podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio, mediante el envío de paquetes DHCPv4 específicamente construidos. También se ha corregido otro problema similar (CVE-2015-6392), igualmente de gravedad alta, en el tratamiento de DHCPv4.
  • Una última vulnerabilidad en el software Cisco NX-OS reside en la implementación del protocolo BGP (Border Gateway Protocol). Considerada de gravedad alta y con CVE-2016-1454 podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio. Se debe a una validación inadecuada de las entradas en los mensajes de actualización BGP.
  • Cisco ha publicado actualizaciones para los sistemas afectados.
Vulnerabilidades de gravedad media corregidas
  • En el software Cisco Unified Intelligence Center (CUIC) vulnerabilidades de Cross-Site Request Forgery (CVE-2016-6427) y Cross-Site Scripting (CVE-2016-6425). Otro problema (CVE-2016-6426) que podría permitir a un usuario remoto sin autenticar crear cuentas de usuario válidas
  • Una vulnerabilidad de obtención de información sensible en sistemas Cisco Nexus 9000 (CVE-2016-1455), escalada de privilegios en la interfaz de línea de comandos del software Cisco IOS XR (CVE-2016-6428) y denegación de servicio a través de IKEv2 en Cisco IOS e IOS XE (CVE-2016-6423).
  • Tres vulnerabilidades en la consola de Cisco Firepower Management Center que podrían permitir la inclusión local de archivos (CVE-2016-6435), salto de la autenticación (CVE-2016-6434) y ejecución remota de comandos (CVE-2016-6433).
  • Un salto de la funcionalidad ACL (Access Control List) en el software Cisco IOS de switches Cisco Catalyst serie 6500 y routers serie 7600 (CVE-2016-6422) y una denegación de servicio en el relay DHCP del software Cisco ASA (CVE-2016-6424).
  • Cisco ha publicado actualizaciones para todos los sistemas afectados por estos problemas, excepto para una vulnerabilidad de Cross-Site Scripting en el paquete Cisco Host Scan (CVE-2016-6436).
Más información:
Fuente: Hispasec

SAMSUNG. Anunciadas vulnerabilidades que permiten tomar el control de sus móviles

Investigadores de la compañía israelí Viral Security Group han anunciado un grupo de tres vulnerabilidades en el sistema Knox de Samsung que podrían permitir a un atacante tomar el control total de smartphones Galaxy S6 y Note 5.
Detalle de las vulnerabilidades
  • En esta ocasión las vulnerabilidades han quedado bautizadas bajo el nombre de KNOXout. Aunque con un CVE único (CVE-2016-6584) se engloban las tres vulnerabilidades descubiertas en Samsung KNOX. Todas pueden permitir la escalada de privilegios y fueron reportadas a la firma de forma responsable.
  • Samsung KNOX es el nombre empleado por Samsung para ofrecer una colección de características de seguridad implementadas en sus dispositivos Android. Algunos de los módulos son de cara al usuario (como la aplicación My KNOX), mientras que otros realizan su función en segundo plano.
  • Es en uno de los módulos en segundo plano donde los investigadores han encontrado los problemas. Concretamente en el TIMA RKP (Real-time Kernel Protection), responsable de la defensa del sistema en caso de un exploit exitoso del kernel.
  • Los investigadores han publicado un completo documento en el que explican como un exploit estándar para conseguir root ataca el kernel y explora los mecanismos de protección del módulo RKP que protege ante este tipo de exploits. Tras ello evitan las protecciones y consiguen ejecutar código con permisos del sistema. Un acceso a la cuenta del sistema permite al atacante tomar el control del dispositivo y realizar cualquier acción sin conocimiento del usuario.
  • El equipo de Viral Security Group profundiza en el módulo RKP, para identificar las pruebas específicas realizadas para evitar la escalada de privilegios. Y aprovechan este conocimiento para evitar el módulo RKP y conseguir privilegios de root. Además, desactivan las protecciones adicionales del kernel y consiguen cargar un módulo kernel personalizado, sin firmar, con el fin de volver a montar la partición /system con permisos de escritura.
  • Como prerequisite para atacar el módulo RKP es necesario una vulnerabilidad "write-what-where" del kernel (una vulnerabilidad que puede permitir escribir un valor arbitrario en cualquier dirección). Para ello se puede emplear cualquier vulnerabilidad, pero los investigadores han empleado la vulnerabilidad CVE-2015-1805, explotable en algunos de los más nuevos dispositivos Samsung (como los Galaxy S6 y Galaxy Note 5), y cuenta con un exploit open-source implementado conocido como iovyroot2.
Más información:
Fuente: Hispasec

GOOGLE. Solventa 78 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de octubre en el que corrige un total de 78 vulnerabilidades.
Detalle de la actualización

  • Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2016-10-01 ("2016-10-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.
  • En este bloque se solucionan 20 vulnerabilidades, 15 de ellas de gravedad alta y otras cinco de importancia moderada. El problema más frecuente es la elevación de privilegios a través de diferentes componentes, como ServiceManager, Lock Settings Service, Mediaserver, proceso Zygote, APIs framework, Telephony, el servicio de Camara o el acceso por huella dactilar.
  • Por otra en el nivel de parches de seguridad 2016-10-05 ("2016-10-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 58 fallos en subsistemas del kernel, controladores y componentes OEM. 15 de las vulnerabilidades están consideradas críticas, 25 de gravedad alta, 17 de riesgo medio y una de nivel bajo. Cabe destacar que los componentes Qualcomm, seguido de NVIDIA, son los más afectados.
  • Las vulnerabilidades críticas incluyen la ejecución remota de código en el decodificador ASN.1 del kernel y en el subsistema de red del kernel, elevación de privilegios a través del controlador de vídeo MediaTek y del controlador de memoria compartida del kernel, así como 11 vulnerabilidades en componentes Qualcomm.
  • A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus. Actualmente cabe señalar que otros fabricantes como Samsung también están aplicando las actualizaciones con periodicidad. Pero lamentablemente esto no ocurre con todos los fabricantes, por lo que las actualizaciones siguen siendo uno de los puntos débiles de Android.
Más información:
Fuente:Hispasec

GOOGLE. Lanza una actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 53.0.2785.143) para todas las plataformas (Windows, Mac y Linux) para corregir tres nuevas vulnerabilidades.
Como es habitual, Google no facilita información de todos los problemas corregidos. En esta ocasión, confirma la corrección de tres vulnerabilidades. Se ha solucionado un problema por uso de memoria después de liberarla en v8 (CVE-2016-517). También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-5178).
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente:Hispasec

DJANGO. Nuevas versiones de seguridad

La Django Software Foundation ha publicado nuevas versiones de las ramas Django 1.9 y 1.8 de Django, que solucionan una vulnerabilidad que podría permitir construir ataques de cross-site request forgery.
Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.
Detalle e impacto de la vulnerabilidad
  • La vulnerabilidad, identificada como CVE-2016-7401, reside en la interacción entre Google Analytics y el tratamiento de cookies de Django y podría permitir a un atacante configurar cookies arbitrarias que pueden permitir evitar las protecciones CSRF (Cross-Site Request Forgery). Evidentemente solo se ven afectados los sitios que hagan uso de Google Analytics.
Recomendación
Django Software Foundation ha publicado las versiones Django 1.9.10 y 1.8.15 de Django que solucionan la vulnerabilidad. Las actualizaciones están disponibles a través del repositorio PyPi o la página oficial de Django.
Más información:
Fuente:Hispasec

MOZILLA. Publica Firefox 49 y corrige 18 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 49 de Firefox, que además de incluir mejoras y novedades soluciona 18 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.4.
Hace mes y medio que Mozilla publicó la versión 48 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Se ha actualizado el administrador de credenciales para permitir a las páginas https usar las credenciales guardadas.
Detalle de la actualización
  • Por otra parte, se ha cambiado el modo de publicación de información sobre las vulnerabilidades corregidas. Si anteriormente publicaban un boletín por cada problema corregido (a veces abarcando varios CVEs), en la actualidad solo han publicado un boletín (MSFA-2016-085) englobando todas las vulnerabilidades corregidas. Por tanto, se ha reducido la cantidad y calidad de la información aportada. Un cambio a peor.
  • Según la propia clasificación de Mozilla, cuatro de ellas están consideradas críticas, 10 son de gravedad alta, dos de moderada y las dos restantes de nivel bajo. En total se corrigen 18 nuevas vulnerabilidades en Firefox.
  • Las vulnerabilidades críticas residen en un desbordamiento de búfer al trabajar con filtros vacios durante la generación de gráficos canvas (CVE-2016-5275), otro desbordamiento de búfer mientras se decodifican frames de imágenes a imágenes (CVE-2016-5278), así como problemas (CVE-2016-5256 y CVE-2016-5257) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.
  • Las vulnerabilidades de gravedad alta residen en un desbordamiento de búfer en la conversión de texto con caracteres Unicode (CVE-2016-5270), una caída por casting incorrecto al tratar diseños con elementos input (CVE-2016-5272), diversos problemas por uso de memoria después de liberarla (CVE-2016-5276, CVE-2016-5274, CVE-2016-527, CVE-2016-5280 y CVE-2016-5281), revelación de datos privados a través de (CVE-2016-5283), una vulnerabilidad debido a un error en el pinning de las actualizaciones de complementos (CVE-2016-5284).
  • También se ha publicado Firefox ESR 45.4  (MSFA-2016-086); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Está actualización incluye la corrección de 12 vulnerabilidades.
Recomendación
Más información:
Fuente: Hispasec

F5 BIG-IP. Vulnerabilidad crítica en múltiples productos de la firma

F5 ha confirmado una vulnerabilidad grave en múltiples de sus productos BIG-IP que podría permitir a atacantes remotos sin autenticar modificar la configuración del dispositivo, obtener archivos sensibles del sistema o incluso la ejecución remota de comandos.
F5 Networks es una compañía americana, con sede en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.
El problema, con CVE-2016-5700, del que lamentablemente no se dado ninguna información afecta a servidores virtuales BIG-IP con configuraciones que hagan uso de la funcionalidad HTTP Explicit Proxy o el perfil SOCKS. La vulnerabilidad podría permitir a un atacante remoto sin autenticar podría modificar la configuración del sistema BIG-IP, extraer archivos sensibles del sistema o posiblemente la ejecución remota de comandos en el sistema.
El problema afecta a los productos:
  • BIG-IP LTM
  • BIG-IP AAM
  • BIG-IP AFM
  • BIG-IP APM
  • BIG-IP ASM
  • BIG-IP Link Controller
  • BIG-IP PEM
con versiones:
  • 12.1.0 a 12.1.0 HF1
  • 12.0.0 a 12.0.0 HF3
  • 11.6.1
  • 11.6.0 a 11.6.0 HF7
  • 11.5.2 a 11.5.4 HF1
  • 11.5.0 a 11.5.1 HF10
Y BIG-IP WebSafe con versiones:
  • 12.1.0 a 12.1.0 HF1
  • 12.0.0 a 12.0.0 HF3
  • 11.6.1
  • 11.6.0 a 11.6.0 HF7
F5 Networks ha publicado versiones actualizadas para los productos afectados.
Más información:
Fuente: Hispasec