19 de octubre de 2017

TELEGRAM. Reitera negativa a facilitar acceso a cuentas servicio seguridad ruso

El CEO de Telegram, Pavel Durov, ha reiterado su negativa a facilitar al Servicio Federal de Seguridad de Rusia (FSB por sus siglas en ruso) el acceso a varias cuentas de usuarios de la aplicación de mensajería, tras la sentencia de un tribunal de Moscú que lo obliga al pago de una multa 800.000 rublos (unos 12.000 euros al cambio) por negarse a cooperar.
La sanción económica a Telegram, establecida este lunes por el tribunal moscovita de Meshchansky, se debe a la negativa de Durov a facilitar herramientas con las que el FSB podría crear una puerta trasera con la que burlar la encriptación de mensajes de la aplicación, lo que, como entiende el responsable de Telegram, constituye una infracción del código administrativo ruso.
El FSB, una agencia de investigación gubernamental heredera del KGB y dependiente directamente del presidente ruso --el equivalente al FBI en Estados Unidos--, reclamó al CEO de Telegram, el ruso y residente en Estados Unidos Pavel Durov, que le facilitase estas herramientas para acceder a los mensajes intercambiados por los usuarios de seis números de teléfono.
Tras la presentación del requerimiento, que llevó a cabo el FSB el pasado 12 de julio y por la que reclamaba los mensajes de seis números de teléfono, la compañía responsable de la aplicación de mensajería disponía de un periodo de siete días para proporcionar los medios a las autoridades rusas, según ha publicado la agencia rusa de noticias TASS.
Durov, a su vez, ha respondido criticando la sanción del tribunal ruso, y ha asegurado que "el deseo del FSB de acceder a mensajes privados constituye un intento de expandir su influencia a expensas de los ciudadanos y los derechos y libertades constitucionales", como ha publicado el ejecutivo en su cuenta en la red social VKontakte.
No se trata esta de la primera ocasión en la que Telegram ha tenido problemas en Rusia por motivo de su política de encriptación de mensajes, ya que el pasado mes de junio, Aleksandr Zharov, director del Servicio Federal de Supervisión de las Telecomunicaciones ruso, amenazó con bloquear la aplicación en Rusia si esta no cumplía con la ley.
WhatsApp y Apple son dos compañías que han vivido situaciones similares en los últimos años. La aplicación de mensajería llegó a quedar bloqueada en Brasil, en 2016, por orden judicial, debido a la negativa de su dirección de entregar información de varios usuarios en el marco de una investigación de narcotráfico y crimen organizado.
Apple, por su parte, rechazó proporcionar al FBI las herramientas para crear una puerta trasera en un dispositivo iPhone perteneciente a uno de los atacantes en el tiroteo de San Bernardino (Estados Unidos), que tuvo lugar en diciembre de 2015.
Fuente: Europa Press

SUDAFRICA. Filtrados 30 millones de documentos de identidad de ciudadanos sudafricanos

El pasado 17 de octubre, Troy Hunt, reconocido MVP de Microsoft y creador del servicio 'Have I been pwned?', recibió en su correo un dump de 27 gigabytes con información personal sobre más de 30 millones de ciudadanos sudafricanos.
El fichero, de nombre 'masterdeeds.sql' contenía información personal de todo tipo: documentos de identidad, vida laboral, estado civil y diversa información fiscal sobre ciudadanos sudafricanos.
Hasta el momento se han conseguido extraer 2,257,930 direcciones de correo electrónico y más de 30 millones de documentos de identidad de ciudadanos vivos y ya fallecidos de Sudáfica.
No se sabe con certeza qué entidad es la responsable de esta fuga de información, pero tras un primer análisis de los datos, Hunt encuentra referencias a "TransUnion" y "Dracore Data Sciences" una importante empresa de agregación de datos sudafricana. Estas empresas se encargan de recopilar y almacenar información financiera y de otro tipo para su posterior procesado y explotación.
Entre los servicios que ofrece Dracore se encuentra "GoVault", que se anuncia como "La mina de oro de información sobre propietarios y compradores sudafricanos".
Tras conseguir contactar con los responsables del servicio, Dracore niega estar relacionada con el 'leak' y le pasa la pelota a Jigsaw, señalando que una de las IP proporcionadas corresponde a esta empresa inmobiliaria.
Mientras tanto, los 27 gigabytes de datos siguen estando disponibles en algún lugar de Internet. Esperamos que se tomen las medidas adecuadas para evitar que la información caiga en malas manos.
Más información
Fuente: Hispasec

CIBERSEGURIDAD. Computadores de empresas manufactureras objetivo de ciberataques

 Los ordenadores industriales de las empresas manufactureras fueron los que más sufrieron ciberataques durante la primera mitad del 2017. Así lo afirma el informe 'Panorama de amenazas en los sistemas de automatización industrial en el H1 2017' de Kaspersly Lab, donde se revela que el 33% de los ordenadores industriales atacados pertenecían a este sector.
Las empresas fabricantes de todo tipo de productos, materiales y equipamientos fueron las más afectadas por los diversos ataques, pero no fue el único sector perjudicado. La empresa de ciberseguridad rusa también señala en su informe que los ordenadores ICS de las empresas de ingeniería fueron los segundos más atacados con un porcentaje del 24,5%, seguidos por los equipos de los sectores de la educación y la alimentación, con un 14,5% y 9,7%, respectivamente.
El hecho de que los sistemas ICS de las empresas manufactureras hayan recibido uno de cada tres ataques "es un gran problema de seguridad" para Evgeny Goncharov, responsable del departamento de defensa de infraestructuras críticas de Kaspersky Lab. Un ciberataque a los sistemas de automatización industrial de las empresas "podría tener importantes consecuencias para la economía en su conjunto", destaca Goncharov, y además advierte que la probabilidad de que se produzca un ataque destructivo durante el resto de 2017 "es muy alta".
Durante la primera mitad de este año, Kaspersky Lab detectó ataques contra el 37,6% de decenas de miles de ordenadores ICS en todo el mundo. El punto más alto de actividad cibercriminal tuvo lugar en el mes de marzo, momento a partir del cual la proporción de equipos atacados fue reduciéndose progresivamente. En total, Kaspersky Lab detectó ataques en sistemas de automatización industrial por parte de más de 18.000 versiones de 'malware' pertenecientes a 2.500 familias diferentes.
En este sentido, el estudio de Kaspersky Lab ICS CERT afirma que el número de equipos atacados por troyanos se triplicó hasta el mes de junio. Los investigadores de la compañía también detectaron 'ransomware' perteneciente a 33 familias diferentes, que fueron distribuidos mediante correos electrónicos 'spam' o disfrazados de correos empresariales con archivos adjuntos o enlaces maliciosos.
Los 'ransomware' tuvieron una gran importancia en los ataques a ordenadores industriales durante los primeros seis meses de 2017. Kaspersky Lab calcula que equipos ICS en 63 países de todo el mundo fueron objetivo de estos ataques, destacando entre ellos las campañas de WannaCry y ExPetr. WannaCry afectó al 13,4% de todos los ordenadores de las infraestructuras industriales, mientras que ExPetr atacó al menos al 50% de las empresas manufactureras y las del sector del gas y petróleo.
Por otra parte, Vietnam fue el país más perjudicado por los ataques a ordenadores ICS durante ese periodo, con el 71% de sus equipos afectados. Le siguen Argelia con un 67,1% y Marruecos con un 65,4%, mientras que en España afectó al 32,2% de los ordenadores de este tipo atacados.
Para evitar posibles ataques a un entorno ICS, Kaspersky Lab recomienda a las empresas que realicen un inventario de los servicios de red, poniendo especial atención los servicios que ofrecen acceso remoto a FSO ('File System Objects'). También es recomendable verificar la seguridad de los accesos remotos a la red industrial y auditar el aislamiento a estos accesos, así como actualizar las soluciones de seguridad y procurar que estas sean las más avanzadas.
Fuente: Europa Press

INTEL. Anuncio de procesador que potenciará sistemas de inteligencia artificial

El fabricante de procesadores Intel ha anunciado el lanzamiento del primer chip de la industria para el procesamiento de redes neurales, Intel Nervana Neural Network Processor (NNP), que tendrá lugar antes de finales del presente año. La compañía estadounidense colaborará con la red social Facebook para la utilización de esta tecnología en aplicaciones de inteligencia artificial (IA) orientadas al mercado.
A través de un comunicado en su página web firmado por el CEO de Intel Corporation, Brian Krzanich, la compañía ha explicado que este procesador prevé "revolucionar la computación IA a través de innumerables industrias". Con la tecnología de Intel Nervana, las empresas serán capaces de desarrollar "clases completamente nuevas" de aplicaciones de inteligencia artificial "que maximicen la cantidad de datos procesados" y permitan a los clientes obtener una mayor información que podrá "transformar sus negocios".
En ese sentido, Intel ha asegurado que esta tecnología IA potenciada permitirá obtener diagnósticos "más tempranos y con una mayor precisión", lo que ayudará a "hacer lo imposible posible" gracias a avances en la investigación de enfermedades como el cáncer, el Párkinson u otras dolencias cerebrales. Las redes sociales son otro de los ámbitos donde Intel Nervana tendrá importantes aplicaciones, ya que gracias a esta tecnología los proveedores podrán ofrecer "una experiencia más personalizada" a sus usuarios, así como un alcance "más específico" a los anunciantes.
Asimismo, Intel ha afirmado que esta nueva tecnología ofrecerá un "aprendizaje acelerado" que servirá para dar "un paso más" hacia la puesta en marcha de vehículos de conducción autónoma. Desde el punto de vista de la meteorología, los nuevos procesadores "podrían mejorar las predicciones sobre cómo cambios sutiles en el clima pueden incrementar los huracanes" en determinados territorios.
Intel planea poner en marcha "múltiples generaciones" de productos Intel Nervana NNP, que ofrecerán un rendimiento "más alto" y garantizarán "nuevos niveles de escalabilidad para los modelos IA". Esto permitirá a la compañía estadounidense superar su meta marcada de alcanzar en 2020 un rendimiento cien veces superior en materia de inteligencia artificial.
Fuente: Europa Press

ADOBE. Actualiza de Flash Player para corregir un 0-day

Adobe ha publicado una nueva actualización para Adobe Flash Player, que soluciona el 0-day anunciado recientemente. Esta vulnerabilidad permite a un atacante tomar el control de los sistemas afectados.
Adobe confirma que una vulnerabilidad de confusión de tipos (con CVE-2017-11292) se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 27.0.0.159 y anteriores. Concretamente, esta vulnerabilidad permitiría la ejecución de código arbitrario. Afecta a las versiones de Adobe Flash Player para Windows, Macintosh, Linux, y los navegadores Chrome, Internet Explorer y Edge. Cada uno de estos productos tiene una nueva versión que parchea esta vulnerabilidad, tal y como se puede observar en el boletín de Adobe.
Lo interesante de esta vulnerabilidad es que se está explotando en este momento por la APT nombrada por Kaspersky como BlackOasis (recordamos que una APT es básicamente un ataque informático avanzado y orquestado contra una entidad importante). De hecho, esta vulnerabilidad está reportada por ellos, tras encontrarse el exploit para esta vulnerabilidad en la investigación de la APT. El objetivo de esta APT es espiar a figuras políticas relacionadas con Oriente Medio (cargos de la ONU, bloggers, activistas políticos...), y para ello infecta a las víctimas con FinSpy, un malware diseñado para ser comprado por agencias gubernamentales y espiar a los objetivos.
Este tipo de amenazas, las APT, suelen contar con exploits 0-day para infectar a las víctimas. En este caso, era un objeto Flash con el exploit cargado usando ActiveX desde un documento de Microsoft Office.
Más información:
Fuente: Hispasec

WIFI. Grave vulnerabilidad en WPA2

Se ha descubierto una importante vulnerabilidad en el protocolo de cifrado de comunicaciones inalámbricas WPA2. Según los detalles publicados, esta vulnerabilidad permite que en algunos casos un atacante pueda capturar y descifrar el tráfico de una red WiFi que utilice cifrado WPA2., por lo cual dicha vulnerabilidad de catalogado de Importancia: 5 - Crítica
Aunque la vulnerabildad no permite descubrir la contraseña utilizada, si es posible capturar y descifrar todo el tráfico a partir de un fallo en el proceso de intercambio de claves de cifrado utilizadas en la comunicación entre el punto de acceso y los clientes de la red.
Recursos afectados:
Dispositivos que utilizan redes inalámbricas a través del protocolo WPA2, tanto puntos de acceso y routers como clientes wifi, como teléfonos móviles o equipos portátiles.
Actualmente se han confirmado los siguientes dispositivos como vulnerables: Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys entre otros. Para ampliar información puede ponerse en contacto con su proveedor.
Actualización 17-10-2017:  Para ampliar información sobre la lista de proveedores y sus soluciones afectadas puedes consultar el siguiente enlace: https://github.com/kristate/krackinfo
Recomendación
Aún no se conoce una solución para esta vulnerabilidad.
Las recomendaciones para mitigar esta vulnerabilidad en productos y soluciones sin actualizaciones de seguridad son las siguientes:
Seguir utilizando WPA2, ya que sigue siendo el mecanismo de seguridad más fiable.
Evitar utilizar redes inalámbricas para enviar o consultar información sensible.
Si tu dispositivo lo permite, utilizar WPA en combinación con AES-CCMP y evitando WPA-TKIP.
Actualización 17-10-2017:  Los siguientes proveedores ya disponen de actualizaciones de seguridad que corrigen esta vulnerabilidad: Debian, Ubuntu, Fedora, Microsoft, OpenBSD, Nexus, Aruba, Mikrotik, Ubiquiti, etc. Para ampliar información sobre la lista de proveedores y sus soluciones puedes consultar el siguiente enlace: https://github.com/kristate/krackinfo
Detalle e Impacto de la vulnerabilidad
La vulnerabilidad descubierta en el protocolo WPA2 se produce en el proceso de intercambio de claves conocido como 4-way handshake entre el punto de acceso y el cliente. Este proceso de intercambio de claves tiene 4 pasos. En el paso 3 del mismo es donde se puede producir un ataque, forzando a los clientes a reinstalar la clave ya intercambiada y permitiendo a partir de esa nueva reinstalación reiniciar los parámetros asociados (números de paquetes trasmitidos, vectores de inicialización (nonce), paquetes enviados o reenviados, etc.).
Tras establecer un ataque man-in-the-middle entre un punto de acceso y un cliente, el atacante puede manipular selectivamente la sincronización y transmisión de mensajes del protocolo WPA2. Estos ataques se producen debido a la posibilidad de volver a utilizar la misma clave con valores nonce que ya se utilizaron en otro momento de la comunicación, facilitando la descodificación e inyección arbitraria de paquetes, el secuestro de conexiones TCP, la inyección de contenido HTTP o la reproducción de fotogramas unicast, broadcast y multicast..
Al reiniciar los parametros del handshake, el protocolo de cifrado puede verse comprometido y ser atacado. Esta vulnerabilidad se ha demostrado utilizando un conjunto de técnicas que han sido denomidadas como key reinstallation attacks (KRACKs).
Más información
Fuente: INCIBE

MUNDO LABORAL FUTURO. Formarse, trabajar y jubilarse... Esta secuencia toca a su fin.

Las nuevas modalidades de empleo influyen en la manera en la que busca trabajo, pero también en cómo le valorará y recompensará su empresa; en el futuro de su carrera profesional y en su vida personal.
Aparecen nuevos puestos bajo demanda; se hace más frecuente la posibilidad de trabajar sin ir al trabajo; viviremos una actividad profesional en la que dependeremos de varios jefes, o en la que trabajaremos sin mandos; podremos disponer de un portfolio múltiple de carreras; veremos una flexibilidad inédita que nada tiene que ver con el concepto tradicional de conciliación y sí con el de integración, adaptado a una exigencia de disponibilidad de 24 horas por parte de las empresas.
El trabajo por proyectos y las fórmulas de empleo independiente crearán una nueva clase de superprofesionales y superespecialistas en microtareas muy concretas; habrá que coordinarse con equipos que actúan desde muy diversos y lejanos lugares; la convivencia definitiva de varias generaciones en las empresas junto con la necesidad de trabajar más años revolucionará las organizaciones; y la colaboración entre humanos y máquinas intensificará este cambio en las relaciones laborales.
La nueva relación entre empleado y empleador confirmará que ya no existe el empleo para siempre, y que el trabajo ya no tiene nada que ver con un lugar al que acudimos cada día.
Cambiarán las empresas, su organización, sus jefes, la gestión y la propia actividad. Y con todo ello se transformará la manera en la que seremos valorados y recompensados. Los conceptos de carrera y promoción serán distintos, igual que los modelos de reclutamiento y las formas en que se busca empleo. Surgirán dilemas profesionales, conflictos éticos y legales que tendrán que ver con las nuevas fórmulas de trabajo. Y, por supuesto, surgirán nuevos puestos y perfiles profesionales.
Fuente: Expansion.com

ZTE presenta Axon M, un 'smartphone' con doble pantalla plegable

ZTE ha presentado este martes en Nueva York ZTE Axon M, un 'smartphone' que se despliega y que revela una doble pantalla que permitirá realizar varias tareas al mismo tiempo, enfocada especialmente al entretenimiento.
La "nueva era" para los 'smartphones' que ZTE inicia con Axon M sigue a otras tendencias que ha liderado la compañía, como apostar por una pantalla de mayor tamaño y menos marcos o incluso la cámara dual, como ha repasado el responsable de la división de móviles de ZTE, Lixin Cheng, durante la presentación, para introducir lo que ha calificado de "nueva categoría", con Axon M: un 'smartphone' con dos pantallas plegable.
Axon M presenta un tamaño de pantalla de 5,2 pulgadas cuando está plegado, pero al desplegar la segunda pantalla, el terminal alcanza un tamaño similar al de una tableta (de 6,75 pulgadas y resolución Full HD), como ha explicado la compañía, lo que facilita el trabajo multitarea.
El diseño de doble pantalla de Axon M permite utilizar dos aplicaciones en dos pantallas diferentes al mismo tiempo. Esto se traduce en que los usuarios pueden, por ejemplo, ver su serie favorita y mandar mensajes a sus amigos, al mismo tiempo, cuando la cosa se ponga interesante. O actualizar su estado en redes sociales mientras comprueban la agenda semanal.
Este terminal también incluye un modo Espejo, que permite reproducir todo el contenido al mismo tiempo en ambas pantallas, como un vídeo o una presentación de PowerPoint.
ZTE Axon M integra un procesador Snapdragon 821 de Qualcomm de cuatro núcleos, a 2,15GHZ, y en cuanto a capacidad, ofrece 4GB de RAM y almacenamiento interno de 64GB, ampliables hasta los 256GB mediante una tarjeta microSD.
Cuenta, además, con una única cámara de 20 megapíxeles, situada en el cuerpo principal del 'smartphone'. La cámara de este terminal puede usarse como cámara frontal, según esté el plegado o desplegado el dispositivo. Como cámara frontal, graba vídeos en hasta 4k a 30fps.
En lo que respecta a la autonomía, Axon M integra una batería de 3.180 mAh, que dura hasta 28,7 horas en conversación. Dispone de tecnología de carga rápida, y carga el 14% de la batería en diez minutos, el 47% en media hora, aunque el tiempo de carga completa es de unas dos horas.
ZTE ha anunciado que este terminal llegará muy pronto a China, Japón, Estados Unidos y Europa.
Fuente: Europa Press

APPLE. Explica cómo funciona la seguridad de Face ID del iPhone X

El fabricante tecnológico Apple ha detallado aspectos relativos a la seguridad de Face ID, el sistema de desbloqueo por reconocimiento facial que incluirá iPhone X, y ha explicado cómo operan sus mecanismos de protección de datos así como que su efectividad es independiente de la raza del individuo.
La compañía ha explicado que los datos de Face ID no son enviados a Apple, como ha detallado en una carta que ha remitido al senador estadounidense Al Franken en la que responde varias de sus dudas relativas al sistema. Tras la presentación el pasado 13 de septiembre del nuevo 'smartphone' insignia de Apple, iPhone X, Franken envió una carta con diez preguntas relativas al funcionamiento de Face ID, preocupado por aspectos de seguridad como el posible almacenamiento de datos.
Apple ha respondido a través de su vicepresidenta de Política Pública en América, Cynthia C. Hogan, quien ha recordado al senador estadounidense que los datos recogidos por Face ID "nunca dejan el dispositivo", que "no son enviados a Apple ni se incluyen en las copias de seguridad".
En la práctica, Face ID descarta automáticamente las imágenes faciales que toma tras someterlas al análisis matemático, y los datos que almacena se encuentran encriptados y sometidos al sistema Secure Enclave, el mismo utilizado por el anterior sistema de desbloqueo por huella Touch ID, como explica Hogan en la carta de respuesta.
Asimismo, en su escrito, Apple ha recalcado también que el funcionamiento de Face ID no se ve afectado por la raza del usuario. Entre los mil millones de imágenes que Apple utilizó para desarrollar Face ID --que proceden tanto de bases de datos como de estudios realizados en todo el mundo-- se encuentra "un grupo de individuos representativo en cuanto a género, edad, raza y otros factores", según Hogan.
Además, Apple ha explicado de forma general el funcionamiento de Face ID y el sistema TrueDepth, que proyecta 30.000 puntos infrarrojos sobre el rostro del usuario para generar un mapa facial, complementado por un mapa bidimensional infrarrojo. Este sistema, según explican los de Cupertino, sólo tiene una probabilidad de error de una entre un millón, mientras que la de Touch ID era de una entre 50.000.
En cuanto a otra de las duda planteadas por Franken, sobre si aplicaciones de compañías externas pueden acceder a los datos de Face ID, Apple ha especificado que, aunque las 'apps' pueden utilizar el sistema de reconocimiento facial, sólo pueden saber si la autenticación ha sido correcta o no, pero no acceder a sus datos.
El senador Franken, que forma parte del Comité de Privacidad y Tecnología de la Cámara Alta de Estados Unidos, hizo pública la carta en la que trasmitía sus dudas a la empresa de Cupertino. Entre las preguntas se incluyen también otras cuestiones que Apple ha dejado sin contestar, relativas a cómo respondería la compañía a un requerimiento judicial de la información de Face ID.
Fuente: Europa Press

QUALCOMM. Alcanza conexión 5G con módem diseñado para dispositivos móviles

El fabricante de procesadores Qualcomm ha logrado alcanzar con éxito una conexión de datos 5G durante las pruebas realizadas a su módem móvil Snapdragon X50 5G. Este componente ha registrado una velocidad de descarga de un gigabit por segundo, y prevé estar disponible en dispositivos comerciales durante la primera mitad de 2019.
Qualcomm ha anunciado este martes a través de un comunicado en su página web que su módem Snapdragon X50 5G, desarrollado específicamente para dispositivos móviles, ha logrado alcanzar con éxito una conexión de datos 5G. En concreto, este chip ha habilitado una velocidad de descarga de un gigabit por segundo y una conexión en la frecuencia de radio mmWave de 28 gigahercios.
Para la realización de estas pruebas, que han tenido lugar en los laboratorios de la compañía en San Diego (Estados Unidos), Qualcomm ha elaborado un diseño de 'smartphone' compatible en forma y potencia con esta tecnología. El fabricante norteamericano ha afirmado que este módem prevé iniciar la "nueva generación" de experiencias de usuario e incrementar la capacidad de red "de forma significativa".
Qualcomm ha recordado que el pasado año se convirtió en "la primera compañía" en anunciar el desarrollo de un módem 5G, y ha reivindicado que ha sido capaz de convertirlo en un producto funcional "en 12 meses". La familia de módems móviles Snapdragon X50 5G NR prevé estar incorporada en redes y 'smartphones' compatibles con 5G "en la primera mitad de 2019", según ha afirmado el fabricante.
El vicepresidente ejecutivo de Qualcomm Technologies, Cristiano Amon, ha defendido que la compañía ha alcanzado "la primera conexión de datos 5G que se ha anunciado en el mundo", lo que demuestra su "liderazgo" y "experiencia" en conectividad móvil.
Fuente: Europa Press

MICROSOFT. Lanza Windows 10 Fall Creators Update

Microsoft ha lanzado este martes la actualización Fall Creators Update de su sistema operativo Windows 10, que incorpora novedades en el ámbito de la creatividad y se centra en aspectos como la realidad mixta o el 3D.
A través de un comunicado, la tecnológica estadounidense ha afirmado que desde el lanzamiento inicial de Windows 10 se ha buscado "potenciar el creador que todos llevamos dentro". Con esa misión, ha lanzado Fall Creators Update, que ofrece importantes avances en creatividad que incluyen desde un acercamiento de la realidad mixta y el 3D al público general hasta realizar una difusión "más rápida" de juegos con el servicio de 'streaming' Mixer o convertir fotos y vídeos en recuerdos personalizados, entre otras nuevas características.
Windows 10 Fall Creators Update incluye novedades como nuevas experiencias como tinta digital con las que escribir y pintar directamente en archivos PDF, o el navegador Microsoft Edge en móviles "para una experiencia Windows sencilla entre dispositivos". Además, optimiza sus características de seguridad y privacidad, e incorpora mejoras en la accesibilidad, incluido el control del sistema operativo a través de los ojos.
REALIDAD MIXTA Y CREACIÓN EN 3D
Esta actualización incorpora la tecnología de realidad mixta Windows Mixed Reality, destinada a la creatividad, la comunicación y el juego. Para ello, los socios de la compañía estadounidense Acer, Dell, HP y Lenovo han lanzado este mismo martes sendos cascos de realidad mixta, y Samsung hará lo propio el próximo 6 de noviembre. Fall Creators Update también incluye el Visor de Realidad Mixta, a través del que el usuario puede ver objetos en 3D dentro de su entorno real desde la cámara del PC.
La nueva actualización de Windows 10 habilita también la creación en tres dimensiones. Con el editor Paint 3D, los usuarios podrán crear, manipular y compartir objetos en 3D, que pueden ser trasladado a archivos del paquete de ofimática Microsoft Office. Además, con Visor de Realidad Mixta, se pueden introducir fácilmente las creaciones en 3D en el mundo físico.
MEJORAS EN SERVICIOS DE JUEGO Y LA APLICACIÓN FOTOS
El servicio interactivo de 'streaming' de videojuegos de Microsoft, Mixer, también se ha visto mejorado con Windows 10 Fall Creators Update y ahora permite realizar una retransmisión o ver una partida de un juego "más rápido que nunca". Además, el Modo Juego permite a los desarrolladores acceder a toda la potencia del PC y dedicarla a los juegos.
La aplicación Fotos ha sido rediseñada con esta actualización de Windows 10, y ahora puede convertir fotos en memorias e historias con efectos personalizados en 3D, tinta digital, transiciones y vídeo, sin que la experiencia de edición sea un requisito. Según ha explicado Microsoft, los usuarios pueden hacer fotos de sus vacaciones y editarlas "de forma sencilla" en un 'collage' de fotos y vídeos con banda sonora, anotaciones a mano y transiciones cinematográficas.
Fuente: Europa Press

CITRIX XENSERVER. Descubiertas múltiples vulnerabilidades

Han sido identificadas múltiples vulnerabilidades en el producto XenServer de la compañía Citrix las cuales pueden permitir a un atacante comprometer el servidor anfitrión de la máquina virtual afectada, catalogadas de Importancia: 4 - Alta
Recursos afectados:
Citrix XenServer 7.2 y versiones anteriores.
Recomendación
La compañía ha publicado diferentes actualizaciones para cada uno de los productos afectados las cuales solucionan las vulnerabilidades encontradas. 
  1. Citrix XenServer 7.2
  2. Citrix XenServer 7.1 LTSR CU1
  3. Citrix XenServer 7.1 LTSR
  4. Citrix XenServer 7.0
  5. Citrix XenServer 6.5 SP1
  6. Citrix XenServer 6.2 SP1
  7. Citrix XenServer 6.0.2
Detalle e Impacto de las vulnerabilidades
Las vulnerabilidades que afectan a los dispositivos mencionados son:
Incorrecto manejo de la tabla de interupción (Interrupt Descriptor Table, IDT) en la caracteristica "hot-plug" de la CPU: Esta vulnerabilidad permite a un atacante local obtener provilegios en el sistema o causar una denegación de servicio en el sistema operativo anfitrión.
Incorrecto manejo de las referencias en la memoria de los productos afectados: Un atacante puede explotar esta vulnerabilidad desencadenando un ataque de condición de carrera mediante el envío de una petición TLB (Translation Lookaside Buffer) que involucre a IPI (Interprocessor Interupt), a la CPU del sistema operativo anfitrión, lo cual permitirá acceso no autorizado a la memoria del sistema operativo anfitrión.
Procesamiento de memoria insuficiente del sistema afectado: Un atacante localizado en un sistema operativo virtualizado puede causar una corrupción de memoria en el sistema operativo anfitrión provocando una denegación de servicio.
Incorrecto procesamiento de las peticiones de entrada: Esta vulnerabilidad permite a un atacante que utilice un dominio para controlar el sistema operativo anfitrión y provocar una denegación de servicio.
Problemas de mapeo en la configuración del PCI (Peripheral Component Interconnect) y MSI (Message Signaled Interrupts): Un atacante en el sistema operativo anfitrión puede hacer caer el sistema, provocando una denegación de servicio.
Incorrectas restricciones de seguridad en las operaciones de entrada-salida de los sistemas afectados: Durante las operaciones de entrada salida, un atacante puede acceder a información sensible del sistema operativo anfitrión o de cualquier sistema operativo virtualizado.
Más información
Fuente: INCIBE

ORACLE. Actualizaciones críticas de Octubre de 2017

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
  1. Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2340 y anteriores a XCP3030
  2. Java Advanced Management Console, versión 2.7
  3. JD Edwards EnterpriseOne Tools, versión 9.2
  4. JD Edwards World Security, versiones A9.1, A9.2, A9.3, A9.4
  5. Management Pack para Oracle GoldenGate, versión 11.2.1.0.12
  6. MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.7, 10.8.0, 10.8.1
  7. MySQL Connectors, versiones 6.9.9 y anteriores
  8. MySQL Enterprise Monitor, versiones 3.2.8.2223 y anteriores, 3.3.4.3247 y anteriores, 3.4.2.4181 y anteriores
  9. MySQL Server, versiones 5.5.57 y anteriores, 5.6.37 y anteriores, 5.7.19 y anteriores
  10. Oracle Access Manager, versión 11.1.2.3.0
  11. Oracle Agile Engineering Data Management, versiones 6.1.3, 6.2.0
  12. Oracle Agile PLM, versiones 9.3.5, 9.3.6
  13. Oracle API Gateway, versión 11.1.2.4.0
  14. Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
  15. Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
  16. Oracle Business Process Management Suite, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
  17. Oracle Communications Billing y Revenue Management, versión 7.5
  18. Oracle Communications Diameter Signaling Router (DSR), versión 7.x
  19. Oracle Communications EAGLE LNP Application Processor, versión 10.x
  20. Oracle Communications Messaging Server, versión 8.x
  21. Oracle Communications Order y Service Management, versiones 7.2.4.x.x, 7.3.0.x.x, 7.3.1.x.x, 7.3.5.x.x
  22. Oracle Communications Policy Management, versiones 11.5, 12.x
  23. Oracle Communications Services Gatekeeper, versiones 5.1, 6.0
  24. Oracle Communications Unified Session Manager, versión SCz 7.x
  25. Oracle Communications User Data Repository, versión 10.x
  26. Oracle Communications WebRTC Session Controller, versiones 7.0, 7.1, 7.2
  27. Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
  28. Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
  29. Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
  30. Oracle Endeca Information Discovery Integrator, versiones 2.4, 3.0, 3.1, 3.2
  31. Oracle Engineering Data Management, versiones 6.1.3.0, 6.2.2.0
  32. Oracle Enterprise Manager Ops Center, versiones 12.2.2, 12.3.2
  33. Oracle FLEXCUBE Universal Banking, versiones 11.3, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.3.0, 12.4.0
  34. Oracle Fusion Applications, versiones 11.1.2 through 11.1.9
  35. Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.2, 11.1.2.3, 12.1.3.0, 12.2.1.1, 12.2.1.2, 12.2.1.3
  36. Oracle GlassFish Server, versiones 3.0.1, 3.1.2
  37. Oracle Healthcare Master Person Index, versión 4.x
  38. Oracle Hospitality Cruise AffairWhere, versiones 2.2.5.0, 2.2.6.0, 2.2.7.0
  39. Oracle Hospitality Cruise Fleet Management, versión 9.0.2.0
  40. Oracle Hospitality Cruise Materials Management, versión 7.30.564.0
  41. Oracle Hospitality Cruise Shipboard Property Management System, versión 8.0.2.0
  42. Oracle Hospitality Guest Access, versiones 4.2.0, 4.2.1
  43. Oracle Hospitality Hotel Mobile, versión 1.1
  44. Oracle Hospitality OPERA 5 Property Services, versiones 5.4.2.x through 5.5.1.x
  45. Oracle Hospitality Reporting y Analytics, versiones 8.5.1, 9.0.0
  46. Oracle Hospitality Simphony, versiones 2.6, 2.7, 2.8, 2.9
  47. Oracle Hospitality Suite8, versiones 8.10.1, 8.10.2
  48. Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
  49. Oracle Hyperion BI+, versión 11.1.2.4
  50. Oracle Hyperion Financial Reporting, versión 11.1.2
  51. Oracle Identity Manager, versión 11.1.2.3.0
  52. Oracle Identity Manager Connector, versión 9.1.1.5.0
  53. Oracle Integrated Lights Out Manager (ILOM), versiones anteriores a 3.2.6
  54. Oracle iPlanet Web Server, versión 7.0
  55. Oracle Java SE, versiones 6u161, 7u151, 8u144, 9
  56. Oracle Java SE Embedded, versión 8u144
  57. Oracle JDeveloper, versiones 12.1.3.0.0, 12.2.1.2.0
  58. Oracle JRockit, versión R28.3.15
  59. Oracle Managed File Transfer, versiones 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
  60. Oracle Outside In Technology, versión 8.5.3.0
  61. Oracle Retail Back Office, versiones 13.2, 13.3, 13.4, 14.0, 14.1
  62. Oracle Retail Clearance Optimization Engine, versión 13.4
  63. Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
  64. Oracle Retail Markdown Optimization, versiones 13.4, 14.0
  65. Oracle Retail Point-of-Service, versiones 6.0.x, 6.5.x, 7.0.x, 7.1.x, 15.0.x, 16.0.0
  66. Oracle Retail Store Inventory Management, versiones 13.2.9, 14.0.4, 14.1.3, 15.0.1, 16.0.1
  67. Oracle Retail Xstore Point of Service, versiones 6.0.11, 6.5.11, 7.0.6, 7.1.6, 15.0.1
  68. Oracle Secure Global Desktop (SGD), versión 5.3
  69. Oracle SOA Suite, versión 11.1.1.7.0
  70. Oracle Transportation Management, versiones 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2
  71. Oracle Virtual Directory, versiones 11.1.1.7.0, 11.1.1.9.0
  72. Oracle VM VirtualBox, versiones anteriores a 5.1.30
  73. Oracle WebCenter Content, versiones 11.1.1.9.0, 12.2.1.1.0, 12.2.1.2.0
  74. Oracle WebCenter Sites, versiones 11.1.1.8.0, 12.2.1.2.0
  75. Oracle WebLogic Server, versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0
  76. PeopleSoft Enterprise FSCM, versión 9.2
  77. PeopleSoft Enterprise HCM, versión 9.2
  78. PeopleSoft Enterprise PeopleTools, versiones 8.54, 8.55, 8.56
  79. PeopleSoft Enterprise PRTL Interaction Hub, versión 9.1.00
  80. PeopleSoft Enterprise PT PeopleTools, versiones 8.54, 8.55, 8.56
  81. PeopleSoft Enterprise SCM eProcurement, versiones 9.1.00, 9.2.00
  82. Primavera Unifier, versiones 9.13, 9.14, 10.x, 15.x, 16.x
  83. Siebel Applications, versiones 16.0, 17.0
  84. Solaris Cluster, versiones 3.3, 4.3
  85. SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones anteriores a XCP 1123
  86. SPARC M7, T7, S7 based Servers, versiones anteriores a 9.7.6.b
  87. Sun ZFS Storage Appliance Kit (AK), versión AK 2013
  88. Tekelec HLR Router, versión 4.x
Recomendación
  • Aplicar los parches correspondientes según el/los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.
Detalle e Impacto de las vulnerabilidades
  • Esta actualización resuelve un total de 252 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección siguiente.
Más información
Fuente: INCIBE

IMAGEMAGICK. Vulnerabilidad de denegación de servicio

Se ha reportado una vulnerabilidad en ImageMagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante provocar condiciones de denegación de servicio.
Como ya hemos comentado anteriormente, ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
En el problema reportado, con CVE- 2017-15281, debido a un error al ejecutar ‘./magick convert %file% /dev/null’ en determinados archivos podría causar un salto en memoria debido a valores no inicializados. Esto podría ser aprovechado por un atacante remoto para provocar una denegación de servicio (cierre de la aplicación) a través de archivos especialmente manipulados.
Recursos afectados
  • Este problema afecta a las versiones anteriores a la 7.0.7-6
Recomendación
Fuente: Hispasec

Multiples vulnerabilidades en JanTek JTC-200

Se han reportado dos vulnerabilidades en dispositivos JanTek JTC-200, un convertidor TCP/IP a RS-232/485/422, half/full duplex. Las vulnerabilidades están consideradas de gravedad alta y podrían permitir a un atacante remoto ejecutar código arbitrario en el dispositivo.
El dispositivo JTC-200 es un convertidor TCP/IP a RS-232/485/422, half/full duplex, que presenta soporte para TCP, IP, UDP server/cliente y ademas cuenta con una interfaz web de gestión. Es un dispositivo ampliamente utilizado en el sector industrial y de telecomunicaciones.
En el primer problema, con CVE-2016-5789, en el que debido a un error de validación, un atacante remoto con los mismos permisos que la víctima, podría inducir a la víctima con sesión activa la ejecución de peticiones maliciosas (CSRF).
Como hemos comentado en otras ocasiones, CSRF es una técnica que permitiría realizar peticiones HTTP sin una correcta validación. Por ejemplo, imaginemos que un usuario se encuentra validado en una página que necesita autenticación. Desde el navegador, visita otra web que esconde una petición HTTP hacia esa página que necesita validación. Esa petición HTTP, en forma de enlace, se carga por la víctima sin saberlo y realiza una acción sobre la página en la que se encuentra autenticada. Esto sería un fallo de CSRF por parte de la página que necesita autenticación, puesto que no valida correctamente que las peticiones provengan de su propio dominio. Para impedir esto, las páginas suelen introducir un sistema de control que impide que una petición desde otra web sea válida.
En el segundo problema, con CVE-2016-5791, en el que un atacante remoto podría valerse de un error de autenticacion para ejecutar código arbitrario a través de una shell de Busybox Linux accesible desde Telnet.
Las dos vulnerabilidades han sido reportadas por Karn Ganeshan y afectan a todas las versiones de JanTek JTC-200.
En la página web del fabricante este producto figura como discontinuado, de hecho para finales de este año se espera el lanzamiento del nuevo modelo JTC-300, desconocemos si por ahora se van a tomar medidas para paliar estas fallas de seguridad.
Recomendación
Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:
Fuente: Hispasec

ACCENTURE. Deja expuestos 4 servidores con datos sensibles de clientes y compañía

El pasado 17 de septiembre, el director del departamento de investigación de ciberamenazas Chris Vickery, descubrió cuatro instancias de Amazon Web Services (AWS) expuestas sin ningún tipo de protección. Los servidores en la nube eran propiedad de Accenture, una importante empresa dedicada a dar servicios de consultoría y outsourcing tecnológico.
Cualquiera que tuviera la dirección web de estos servidores tenía acceso a todo tipo de información relacionada con su plataforma en la nube: Accenture Cloud Platform. Credenciales, certificados, claves criptográficas y datos privados sobre sus clientes estuvieron al descubierto por una mala configuración de la plataforma de Amazon.
Las cuatro instancias de AWS estaban administradas por el usuario 'awsacp0175' y se correspondían con los subdominios:
acp-deployment, que contenía credenciales para servicios de uso interno, ficheros de configuración y un fichero en texto plano con la clave para acceder al administrador de 'Amazon Web Services'.
acpcollector, contenía información de mantenimiento, claves de la VPN y logs de eventos y operaciones realizadas por Accenture en los distintos servidores.
acp-software, contenía dumps de cientos de gigas con claves de acceso, correos electrónicos privados, registros sobre eventos e incidentes, IDs JSession y credenciales de acceso a las cuentas de Google y Azure de Accenture. Además se consiguieron recuperar alrededor de 40.000 contraseñas en texto plano de una copia de seguridad almacenada en esta misma máquina.
acp-ssl, utilizado como almacén de claves contenía credenciales y claves criptográficas que se suponen para desencriptar las comunicaciones entre Accenture y sus clientes.
Aunque los servidores fueron asegurados al día siguiente de dar el aviso, la información expuesta, en malas manos podría haber sido utilizada para realizar otros ataques dirigidos hacia la propia compañía o a sus clientes.
Accenture sin embargo, defiende en un comunicado a eWEEK que ninguno de sus clientes está en riesgo y que la información expuesta no podría ser utilizada para acceder a sus sistemas.
Más información:
Fuente: Hispasec

FACEBOOK E INSTAGRAM. Experimentan una caída mundial que afecta a varios países

Las redes sociales Facebook e Instagram, el miércoles 11 de octubre, sufrieron una caída de sus servicios que ha afectado a varios países. De acuerdo con portales especializados en este tipo de incidencias, como Down Detector o Outage Report, los problemas de funcionamiento de estas plataformas están teniendo especial incidencia en territorios como Estados Unidos o Reino Unido.
Facebook e Instagram, ambas parte de la matriz encabezada por Mark Zuckerberg, han experimentado este miércoles por la tarde una caída de sus servicios a nivel mundial que, pese a no afectar a la totalidad de sus usuarios, sí ha tenido especial impacto en países como Estados Unidos o Reino Unido.
Portales especializados como Down Detector o Outage Report han registrado un incremento del número de problemas de funcionamiento informados por parte de usuarios de esta red social, que ha alcanzado varios miles desde primera hora de la tarde de este miércoles. En la mayoría de los casos, los sitios web de estas redes sociales no podían ser cargados o actualizados, aunque también se ha detectado que esta caída ha afectado a determinadas funciones, como es el caso de la carga de imágenes a Facebook.
Tal y como se muestra en los citados portales, la caída del servicio de estas redes sociales no ha tenido especial incidencia en España. Outage Report ha contabilizado menos de 44 alertas procedentes de usuarios españoles.
La compañía estadounidense ha reconocido la situación a varios medios internacionales como el Daily Express o el Washington Examiner. A través de un portavoz, la empresa se ha declarado "consciente" de los problemas de acceso que afectan a "algunas personas" y ha asegurado que se encuentra "trabajando para devolver las cosas a la normalidad lo más rápidamente posible".
Fuente: Europa Press

WHATSAPP. Permite a usuarios compartir ubicaciones en tiempo real con contactos

La aplicación de mensajería instantánea WhatsApp ha anunciado una nueva función para su 'software' a través de la que los usuarios podrán compartir su ubicación en tiempo real en un chat. La compañía propiedad de Facebook ha garantizado que esta característica está protegida por un cifrado de extremo a extremo.
WhatsApp ha anunciado este martes a través de su blog oficial que su 'app' dispondrá de una función para compartir la ubicación en tiempo real entre aquellos contactos que se desee. Esta nueva característica está protegida por un cifrado de extremo a extremo y permite al usuario elegir con quién y durante cuánto tiempo se quiere compartir. Además, es posible dejar de compartir la ubicación en cualquier momento.
Esta nueva función se incluye dentro de la opción 'Ubicación' del menú de 'Adjuntar' de los chats individuales o de grupo. Hasta el momento, el usuario solo podía enviar una ubicación estática, pero la nueva característica de WhatsApp aparecerá con una opción de 'Ubicación en tiempo real'. Pulsado este botón, habrá que seleccionar el tiempo que se desea compartir y seleccionar 'Enviar'.
Cada contacto seleccionado podrá ver la ubicación en tiempo real enviada en un mapa. Además, si más de una persona ha compartido esta información, se podrán ver todas las localizaciones en tiempo real en el mismo mapa.
WhatsApp ha confirmado que esta nueva funcionalidad estará disponible en su 'app' tanto para Android como para iOS "en las próximas semanas".
Fuente: Europa Press

AMAZON. Lanza nuevo servicio de productos reacondicionados certificados Amazon Renewed

Amazon ha anunciado este jueves el lanzamiento de su nuevo servicio de productos reacondicionados certificados Amazon Renewed, que permitirá a sus clientes adquirir dispositivos electrónicos de alta calidad con un ahorro de hasta el 40 por ciento.
Todos los productos que cuentan con el Certificado Reacondicionado en Amazon Renewed están ofrecidos por minoristas de Amazon o por vendedores cualificados, y cumplen con los estándares de calidad, como ha asegurado la compañía en un comunicado.
Los productos certificados cuentan con una garantía de un año, durante el cual el cliente podrá devolver o reemplazar el producto defectuoso, o realizar la sustitución de piezas sin gastos de envío. Esta garantía se suma a los derechos legales de los clientes.
Entre los productos reacondicionados disponibles en Amazon.es se encuentran: iPhone 6s Gris Espacial 16GB Libre (Reacondicionado Certificado), por 419,90 euros (-13%); Samsung Galaxy S5 Blanco 16GB Libre (Reacondicionado Certificado), por 201,59 euros (-28%); o Kindle Voyage, pantalla de 6" HD Wi-Fi (Reacondicionado Certificado), por 169 euros (-11%).
Fuente: Europa Press