4 de febrero de 2017

EEUU. La energía de la era Trump avanza en contra del mercado, opinión pública y ciencia

La mayoría de los estadounidenses creen que las políticas energéticas deben centrarse en buscar nuevos modelos como los renovables, pero las medidas del presidente van justo en dirección contraria.
Tras tan sólo una semana de presidencia, las opiniones de Donald Trump sobre energía ya están bastante claras. Sin embargo, su punto de vista va en contra de la opinión pública, y también de las fuerzas de mercado que están modelando la industria energética.
Según un nuevo informe del Centro de Investigaciones Pew, el 65% de los estadounidenses cree que el país debería priorizar la creación de formas alternativas de energía como la eólica y la solar. Tan sólo un 27% cree que Estados Unidos deba centrarse más en ampliar el petróleo, el gas natural y el carbón.
Eso está más o menos en línea con los avances del sector energético del país. Las renovables crecen deprisa en términos de capacidad instalada, las emisiones globales de carbono siguen una tendencia descendente y la generación energética a carbón está decreciendo rápidamente (gracias en gran parte a un auge del gas natural). 
Pero estas tendencias parecen totalmente contrarias a la idea del futuro de la energía que el presidente Trump parece estar planeando para el país.
La optimista postura de Trump frente a los combustibles fósiles y su indiferencia respecto a la importancia de frenar las emisiones de carbono se remontan, como poco, a su campaña. En aquel momento hizo declaraciones bravuconas sobre resucitar la industria del carbón y tuiteó que el cambio climático era una "patraña" perpetrada por China (aunque luego dijo que era una broma y que mantiene "la mente abierta" respecto al cambio climático). Sus nombramientos de gabinete incluyen al antiguo CEO de ExxonMobil Rex Tillerson y al antiguo gobernador de Tejas Rick Perry, que anteriormente formó parte de las juntas directivas de dos empresas de oleoductos.
Si existían dudas acerca de hacia dónde iba todo esto, desaparecieron la semana pasada cuando Trump firmó una serie de memorándums ejecutivos para impulsar la producción y el consumo de combustibles fósiles. Dos de los documentos resucitaron el Oleoducto Keystone XL y allanaron el camino para que se termine de construir el Oleoducto de Acceso de Dakota, mientras un tercero ordena que los oleoductos construidos en Estados Unidos empleen acero estadounidense.
Es probable que esto sólo sea el principio de lo que parece ser un cambio sísmico en las políticas energéticas. La administración Obama impulsó investigaciones de energías renovables y elaboró la Ley de Energías Limpias que la Agencia de Protecciones del Medio Ambiente de EEUU (EPA, pos sus siglas en inglés) pudiera límites para las emisiones de carbono. La administración Trump, no tanto: parece estar preparando al Departamento de Energía para que realice cortes radicales, incluida la eliminación de las oficinas que supervisan iniciativas de energías renovables y eficiencia energética. Y el negacionista del cambio climático Myron Ebell, miembro destacado del equipo de transición de Trump, tiene una lista de cosas que quiere que la EPA ya no pueda hacer.
Si esos cambios llegan a producirse, lo harán a pesar de la opinión pública y las tendencias del negocio energético, en lugar de en consonancia con ellos.
Fuente: MIT Technology Review

EEUU. La era Trump traerá menos privacidad y neutralidad para los internautas

El presidente Donald Trump ha elegido a Ajit Pai como nuevo director de la Comisión Federal de Comunicaciones de Estados Unidos (FCC, por sus siglas en inglés). A nadie le sorprende que este antiguo abogado de Verizon se incline por las regulaciones poco precisas, la erosión de la neutralidad de red y las condiciones relajadas de privacidad que benefician a la administración actual.
Hasta ahora, Pai era uno de los comisarios republicanos de la FCC. Fue nombrado en 2012 (dos de los cinco puestos de la agencia suelen otorgarse a representantes del partido político minoritario). Esto implica que su nombramiento como director no requerirá la aprobación del Congreso.
Al igual que Trump, a Pai no le gustan algunas de las regulaciones de la administración Obama. A finales del año pasado, dijo que la comisión necesitaba "encender el cortacésped y eliminar todas las reglas que están impidiendo la inversión, la innovación y la generación de empleo".
De hecho, es famoso por su tendencia de allanar el camino para que las grandes empresas hagan lo que les plazca. Hablando con la BBC, el presidente del grupo de abogados Free Press, Craig Aaron, dijo de Pai que "nunca ha visto una megafusión que no le gustara ni una protección pública que no intentara socavar".
Huelga decir que la industria de telecomunicaciones ya ha empezado a celebrar su nombramiento. Sobre todo AT&T, ya que Pai ha expresado su apoyo para su propuesta de fusión con Time Warner (un acuerdo al que Trump se ha opuesto en el pasado).
Tal vez el principal objetivo de Pai al asumir el cargo sea la neutralidad de red. Una de las regulaciones favoritas de la administración Obama, la Ley de Internet Abierto, promulgada en 2015, fue diseñada para promocionar la competencia y la innovación en los servicios de internet, en parte al impedir que los proveedores de servicios de internet ahoguen, bloqueen o priorizen el tráfico web.
El día que fue adoptada, Pai afirmó: "No sé si este plan será anulado por un tribunal, derribado por el Congreso o revocado por una Comisión futura. Pero sí creo que sus días están contados". Parece seguir manteniendo esta opinión. Si logra derrocarla, como ha explicado nuestro propio Mike Orcutt en el pasado, podrían surgir nuevos tipos de productos y servicios que de otra manera hubiesen sido imposibles.
Por otra parte, Pai parece adoptar una actitud relajada frente a las políticas de privacidad. Por ejemplo, se opuso a las medidas que ahora exigen a los proveedores de servicios de internet a pedir permiso a sus clientes antes de utilizar sus datos.
Pero no todas sus medidas serán tan reaccionarias. Como señala Wired, está entusiasmado con la implementación de servicios inalámbricos en zonas rurales, además de proporcionar ancho de banda rápido y desgravaciones fiscales para la creación de centros de innovación en zonas económicamente desfavorecidas.
Aun así, su forma de dirigir la FCC será muy distinta de la que llevó Tom Wheeler durante cuatro años. Hablando con el Washington Post sobre su salida, Wheeler señaló: "La gente que esperaba que yo actuara de otra manera realmente no me entendía, porque he dedicado toda mi vida profesional a representar a lo emergente frente a lo establecido". Bajo Pai, llegará el turno de los negocios establecidos.
Fuente: MIT Technology Review

TLS 1.3. El protocolo es soportado de forma predeterminada por Mozilla Firefox 51 y Google Chrome 56

El protocolo TLS 1.3 es el futuro de las comunicaciones cifradas y autenticadas punto a punto cuando navegamos por la web. Actualmente este protocolo es soportado por muchas webs, sin embargo, los principales navegadores no lo tenían habilitado aún por defecto, esto ha cambiado ya que las últimas versiones de Mozilla Firefox 51 y Google Chrome 56 ya lo incorporan.
Uno de los puntos fuertes del protocolo TLS 1.3 además de la seguridad extra que incorpora, es que será bastante más rápido que TLS 1.2, tanto en el establecimiento de la conexión como en la reanudación. Actualmente servicios como CloudFare ya han incorporado seguridad el protocolo TLS 1.3 en sus servidores web frontales, por lo que si usas este conocido CDN podrás visitar tu web a través de este nuevo protocolo.
Las últimas versiones de Firefox y Chrome sí soportan el protocolo TLS 1.3
  • Hemos comprobado que las últimas versiones de Mozilla Firefox (versión 51) y de Google Chrome (versión 56) sí soportan este protocolo, y además, lo tienen habilitado por defecto. Gracias a estas nuevas versiones, podremos navegar de manera segura y muy rápida en webs que incorporen este protocolo.
  • Mozilla ha creado una web dedicada exclusivamente a probar si los diferentes navegadores web soportan este protocolo, únicamente tenemos que entrar en la página web https://tls13.crypto.mozilla.org/, si el navegador es capaz de cargar dicha web, significa que sí soporta y tiene activado TLS 1.3, por lo que podremos navegar por Internet con el último protocolo de seguridad. 
  • Este nuevo protocolo TLS 1.3 ya es soportado por los principales navegadores, ahora solo falta que sea soportado por todas las webs, igual que ahora soportan TLS 1.2 para la navegación segura a través de Internet. ¿Quieres conocer la historia del protocolo SSL y TLS?
Fuente: Redes Zone.net

CISCO. Informe de ciberseguridad desvela coste real de brechas de seguridad

Más de un tercio de las organizaciones que sufrieron un ataque de ciberseguridad en 2016 tuvieron pérdidas sustanciales (superiores al 20%) de clientes, ingresos y oportunidades de negocio, según revelan los responsables de seguridad informática.
Tras los ataques, el 90% de dichas organizaciones están mejorando sus tecnologías y procesos de defensa frente a amenazas separando las funciones de seguridad y de TI (38%), mejorando la concienciación de los empleados mediante formación (38%) e implementando técnicas de mitigación del riesgo (37%).
Así se desprende del Informe Anual de Ciber-seguridad 2017 de Cisco, que incluye el Security Capabilities Benchmark Study y cuyas conclusiones se basan en entrevistas a cerca de 3.000 directores de Seguridad (CSOs, Chief Security Officers) y responsables de Operaciones de Seguridad de 13 países.
El coste de ciberamenazas: pérdida de clientes y de ingresos
El Informe Anual de Ciber-seguridad 2017 revela el impacto financiero potencial de los ataques para los negocios, desde pymes hasta grandes empresas. Para más del 50% de las organizaciones que sufrieron una brecha de seguridad, el incidente llegó a divulgarse y fue sometido a la opinión pública. Los procesos de operaciones (parada de sistemas de productividad críticos) y de finanzas fueron los más afectados, seguidos por reputación de marca y retención de clientes.
Para las organizaciones que sufrieron un ataque, las consecuencias fueron sustanciales:
  • El 22% de las organizaciones atacadas perdieron clientes (el 40% perdieron más del 20% de su base de clientes).
  • El 29% perdieron ingresos, y el 38% de este grupo tuvo pérdidas superiores al 20% de los ingresos.
  • El 23% de las organizaciones atacadas perdieron oportunidades de negocio (el 42% perdieron más del 20%).
Operaciones y modelos de ataque
En 2016, la actividad de los ciber-delincuentes se ha profesionalizado aún más. La continua evolución tecnológica, impulsada por la digitalización, crea nuevas oportunidades para los ciber-criminales. Aunque los atacantes siguen utilizando técnicas ya probadas y efectivas, también se apoyan en nuevas aproximaciones que imitan la estructura de “gestión intermedia” de sus objetivos empresariales.
  • Nuevos métodos de ataque simulan las jerarquías corporativas: algunas campañas de malvertising emplearon brokers (o “puertas”) que funcionan como links intermedios, enmascarando la actividad maliciosa. Los atacantes pueden entonces moverse con mayor rapidez, mantener su espacio operativo y evitar la detección.
  • Oportunidad y riesgo asociado al Cloud: el 27% de las aplicaciones Cloud de terceros introducidas por los empleados -con la intención de incrementar su eficiencia y crear nuevas oportunidades de negocio- fueron consideradas como de alto riesgo y generaron preocupaciones de seguridad significativas.
  • El clásico adware (software que descarga publicidad sin el permiso del usuario) ha mantenido su efectividad, infectando al 75 por ciento de las organizaciones investigadas.
  • Por el contario, ha disminuido el uso de grandes exploit kits como Angler, Nuclear y Neutrino -tras la desmantelación de sus creadores en 2016-, aunque les han suplantado pequeños grupos de ciber-delincuentes.
Blindar el negocio y mantener la vigilancia
El Informe 2017 desvela que sólo el 56% de las alertas de seguridad son investigadas, y menos de la mitad de las alertas legítimas son remediadas. Los defensores, aunque confían en sus herramientas de seguridad, se enfrentan a importantes retos de complejidad y carencia de profesionales, dejando brechas en términos de tiempo y espacio operativo que los atacantes pueden utilizar como ventaja. Cisco recomienda los siguientes pasos para prevenir, detectar y mitigar las amenazas y minimizar el riesgo:
  • Convertir la seguridad en prioridad de negocio: la dirección ejecutiva debe promover la seguridad y convertirla en una prioridad.
  • Evaluar la estrategia operativa: revisar las prácticas de seguridad, parcheo y control de puntos de acceso a los sistemas de red, aplicaciones, funciones y datos.
  • Medir la eficacia de seguridad: establecer métricas claras y utilizarlas para validar y mejorar las prácticas de seguridad.
  • Adoptar una estrategia de defensa integrada: convertir la integración y la automatización en una prioridad para incrementar la visibilidad, mejorar la interoperabilidad y reducir el Tiempo de Detección para detener los ataques. De esta forma, los equipos de Seguridad pueden enfocarse en investigar y remediar los ataques más dañinos.
David Ulevitch, vicepresidente y director general de la división de Seguridad en Cisco, declaró:  “Una de las métricas clave del Informe 2017 es el tiempo que se tarda en descubrir y detener la actividad maliciosa. Cisco ha conseguido reducir este ‘Tiempo de Detección’ a tan solo seis horas. Y una de las nuevas métricas es el ‘Tiempo para Evolucionar’, que examina la velocidad con la que los ciber-delincuentes cambian los ataques para ocultar su identidad. Con estas y otras métricas recopiladas en el Informe, y trabajando con las organizaciones para automatizar e integrar su defensa frente a amenazas, podemos ayudarles a minimizar el riesgo operativo y financiero y a que su negocio prospere”.
Fuente: Diarioti.com

EMPRESAS. Confían en su ciberseguridad, aunque estén desprotegidas

Una encuesta realizada por la consultora Accenture, indica que la alta confianza por parte de las compañías las estaría poniendo en riesgo de potenciales ataques Uno de cada tres ciberataques se debe a debilidades en temas de seguridad, sin embargo, las empresas confían en su capacidad de protección.
Una nueva encuesta de seguridad de Accenture concluyó que, en los últimos 12 meses, uno de cada tres ataques se debe a temas de seguridad en las empresas, lo cual equivale a entre dos y tres ataques efectivos al mes. A pesar de esto, la mayoría de los ejecutivos encuestados (75%) confían en su habilidad para proteger a sus compañías de potenciales ciberataques.
En el reporte, llamado “Building Confidence: Facing the Cybersecurity Conundrum”, Accenture entrevistó a 2.000 expertos de seguridad de compañías de ingresos anuales de US$ mil millones, en más de 15 países. La encuesta consultó sobre temáticas y sus percepciones en temas de ciberataques, la efectividad de sus esfuerzos actuales de seguridad, y sus actuales inversiones en seguridad. Asimismo, revela que el tiempo que les toma a las compañías en detectar estas violaciones de seguridad agrava el problema, ya que más de la mitad de los ejecutivos consultados (51%), afirma que les toma meses detectar ataques sofisticados de seguridad, y más de un tercio de los ataques exitosos de seguridad no son detectados. “La transformación digital es y debe ser una realidad para las empresas en tanto constituye una herramienta fundamental para el crecimiento y el aumento de la productividad” agregó Juan Manuel González, Director Ejecutivo, líder de ciberseguridad de Accenture.
Lo que se ha hecho en el pasado no está funcionando
Dejar de lado lo antiguo y adoptar lo nuevo es algo más fácil de decir que de hacer, especialmente cuando se trata de adoptar nuevas tecnologías y herramientas de defensa de ciberataques.
  • Mientras los encuestados por el estudio de Accenture afirman que los ataques internos tienen el impacto más grande, 58% prioriza los controles perimetrales, en vez de enfocarse en las amenazas internas.
  • La mayoría de las compañías no cuenta con la tecnología efectiva para monitorear los ciberataques y está enfocada en riesgos no asociados con las amenazas.
  • Sólo 37% de los consultados dice que confía en su habilidad para desarrollar un monitoreo esencial de posibles ataques de seguridad y 36% sostiene lo mismo respecto de minimizar disrupciones.
Mayor efectividad en la inversión para seguridad
Recientes ciberataques de alto perfil han llevado a las compañías a aumentar sus inversiones en seguridad. Sin embargo, la encuesta muestra que las empresas seguirán invirtiendo en las mismas medidas, en vez de invertir en controles nuevos y diferentes para mitigar las amenazas.
  • Por ejemplo, entre 44% y 54% dice que doblará sus gastos actuales en ciberseguridad, aunque las tecnologías específicas en uso no han detectado ni reducido de forma significativa ataques de seguridad en desarrollo.
  • Estas prioridades incluyen proteger la reputación de la compañía (54%); resguardar la información de la compañía (47%); y proteger la información de los clientes (44%).
  • Sin embargo, pocas compañías invertirán en mitigar sus pérdidas financieras (28%) o en entrenamiento de ciberseguridad (17%).
Fuente: Diarioti.com

WINDOWS. Vulnerabilidad 0-day

Se ha anunciado una vulnerabilidad 0-day en el tratamiento de tráfico SMB que podría permitir a atacantes remotos provocar condiciones de denegación de servicio o incluso potencialmente ejecutar código en sistemas Windows 8.1, 10, Server 2012 y Server 2016.
El problema reside en que Microsoft Windows falla al tratar adecuadamente las respuestas de un servidor que contengan demasiados bytes siguiendo la estructura definida en la estructura de respuesta SMB2 TREE_CONNECT. Conectando a un servidor SMB malicioso, un cliente Windows vulnerable puede sufrir una caída (BSOD) en mrxsmb20.sys. Según la información disponible no queda claro si la vulnerabilidad puede ir mucho más allá de un ataque de denegación de servicio.
La vulnerabilidad fue anunciada por Laurent Gaffié (@PythonResponder), un investigador independiente, que publicó el código para explotar la vulnerabilidad.
SMBv3 0day, Windows 2012, 2016 affected, have fun :) Oh&if you understand this poc, bitching SDLC is appropriate :)https://t.co/xAsDOY54yl— Responder (@PythonResponder) 1 de febrero de 2017
El CERT/CC ha confirmado que el exploit publicado funciona en sistemas Windows 10 y Windows 8.1 totalmente actualizados, así como en las versiones de servidor Windows Server 2016 y Windows Server 2012 R2. Igualmente, Johannes Ullrich (CTO del ISC de SANS) ha publicado un análisis del exploit.
El investigador ha afirmado a través de Twitter que informó del fallo a Microsoft y que aunque la firma disponía del parche desde hace tres meses no lo publicarán hasta el próximo martes 14 (día de las habituales actualizaciones).
Microsoft will release a patch for my SMB bug next patch tuesday. They had a patch ready 3 months ago but decided to push it back....— Responder (@PythonResponder) 30 de enero de 2017
Por el momento Microsoft no ha ofrecido ninguna respuesta, sin embargo es posible que rompa su ciclo regular de actualizaciones si considera la vulnerabilidad verdaderamente crítica y comienza a explotarse públicamente.
Como contramedida se recomienda bloquear las conexiones SMB salientes (puertos TCP 139 y 445 junto con los puertos UDP 137 y 138).
"Pantallazo azul" (BSOD) tras un ataque exitoso. Fuente: Johannes B. Ullrich
Más información:
Fuente: Hispsec

WORDPRESS. Ocultó en su última actualización la corrección de una grave vulnerabilidad

Hace una semana WordPress publicó la versión 4.7.2 de WordPress destinada a solucionar tres vulnerabilidades. Sin embargo, acaba de anunciar que esa versión también corregía una grave vulnerabilidad que podría permitir a usuarios sin autenticar elevar sus privilegios o inyectar contenido.
WordPress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
La publicación original de WordPress informaba sobre tres vulnerabilidades que podrían permitir realizar ataques de cross-site scripting, exponer información o posibilitar la realización de inyección SQL. Pero realmente esta versión también corregía una grave vulnerabilidad en WordPress 4.7 y 4.7.1 que puede permitir a cualquier atacante elevar sus privilegios y modificar el contenido de cualquier publicación o página de un sitio WordPress.
En su último anuncio WordPress confirma que cree en la transparencia y la divulgación de los problemas de seguridad. No a la seguridad por oscuridad. Pero en este caso, afirma que retrasó intencionadamente el anunció de esta vulnerabilidad una semana para garantizar la seguridad de sus usuarios, y dar tiempo a la actualización.
"It is our stance that security issues should always be disclosed. In this case, we intentionally delayed disclosing this issue by one week to ensure the safety of millions of additional WordPress sites."
El problema, que fue descubierto por Sucuri y reportado a WordPress de forma responsable, reside en la API REST. El propio equipo de Securi afirma que el equipo de seguridad de WordPress lo gestionó "extremadamente bien". También confirma que la misma versión 4.7.2 incluye la corrección de otros problemas menos graves.
Do you manage a #Wordpress site or know someone who does? Content Injection Vulnerability in WordPress 4.7 and 4.7.1 https://t.co/EkJgE9SVEa— Sucuri (@sucurisecurity) 1 de febrero de 2017
Securi ha publicado los detalles técnicos del problema que mediante el envío de una petición específicamente manipulada cualquier atacante puede modificar el contenido de una publicación en el sitio web. Tras ello, incluso puede añadir algún pequeño código específico para un plugin para explotar otros fallos que normalmente están restringidos a usuarios con privilegios. Un atacante podrá emplear el compromiso para spam SEO, inyectar anuncios o incluso ejecutar código php. Todo dependerá de los plugins habilitados.
También hay que señalar que debido a la forma en que fue comunicado y corregido, no hay ninguna evidencia de que la vulnerabilidad haya sido aprovechada en ataques reales.
Sin duda este anuncio vuelve a abrir un interesante debate sobre los problemas que deben ser anunciados y como debe realizarse la divulgación de los mismos.
Recomendación
  • En conclusión, si no se tienen activadas las actualizaciones automáticas en WordPress se recomienda la actualización a la versión 4.7.2 tan pronto sea posible, disponible desde: https://wordpress.org/download/
  • O bien desde el dashboard, Actualizaciones (Updates), Actualizar Ahora (Update Now). 
  • Los sitios que soporten actualizaciones automáticas ya deben estar actualizados a la versión 4.7.2 que soluciona el problema.
Más información:
Fuente: Hispasec

ROUTERS NETGEAR. Podría permitir acceder a la clave de administrador

Un investigador de Trustwave ha anunciado una vulnerabilidad que afecta a múltiples modelos de routers Netgear y que podría permitir conseguir de una forma sencilla la contraseña de administrador de la interfaz web del dispositivo.
El problema, descubierto por Simon Kenin de Trustwave, podría permitir a un atacante con acceso al router conseguir acceso a la contraseña de administración. El problema solo puede ser aprovechado de forma remota si la administración está accesible desde Internet, opción desactivada de forma habitual. Sin embargo, cualquiera con acceso a la red en la que se encuentra el dispositivo podrá aprovecharlo, como por ejemplo una WiFi pública en una cafetería, biblioteca o cualquier otro entorno similar que ofrezca este tipo de acceso.
El problema, al que se le ha asignado el CVE-2017-5521, reside en un identificador filtrado a través de un mensaje de error al acceder a la interfaz, que puede emplearse posteriormente para recuperar las credenciales.
Código html del mensaje de error con el identificador que permite recuperar la credencial
Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos, para los que ha publicado actualizaciones de firmware:
  1. R8500
  2. R8300
  3. R7000
  4. R6400
  5. R7300DST
  6. R7100LG
  7. R6300v2
  8. WNDR3400v3
  9. WNR3500Lv2
  10. R6250
  11. R6700
  12. R6900
  13. R8000
  14. R7900
  15. WNDR4500v2
  16. R6200v2
  17. WNDR3400v2
  18. D6220
  19. D6400
  20. C6300
Para estos modelos aun no hay actualizaciones disponibles, por lo que se recomienda asegurarse de que la administración remota no está accesible.
  1. R6200 v1.0.1.56_1.0.43
  2. R6300 v1.0.2.78_1.0.58
  3. VEGN2610 v1.0.0.14_1.0.12
  4. AC1450 v1.0.0.34_10.0.16
  5. WNR1000v3 v1.0.2.68_60.0.93
  6. WNDR3700v3 v1.0.0.38_1.0.31
  7. WNDR4000 v1.0.2.4_9.1.86
  8. WNDR4500 v1.0.1.40_1.0.68
  9. D6300 v1.0.0.96
  10. D6300B v1.0.0.40
  11. DGN2200Bv4 v1.0.0.68
  12. DGN2200v4 v1.0.0.76
En cualquier caso se recomienda consultar la página con el aviso de Netgear para obtener las versiones del firmware actualizadas.
El investigador desvela que ha encontrado más de 10.000 dispositivos vulnerables accesibles de forma remota. Sin embargo el número real de dispositivos afectados puede elevarse a cientos de miles o incluso a más de un millón. Hay que tener en cuenta que cualquier WiFi pública con uno de estos routers puede ser fácilmente atacada. 
"We have found more than ten thousand vulnerable devices that are remotely accessible. The real number of affected devices is probably in the hundreds of thousands, if not over a million."
Simon incide en otros problemas asociados. La costumbre de reutilizar la contraseña puede facilitar una información vital para acceder a otros dispositivos conectados a la red. Igualmente señala la problemática de malware actual como la botnet Mirai, que podría dar lugar a que algunos de los routers vulnerables puedan ser infectados y, finalmente, utilizados también como robots.
Más información:
·        Trustwave SpiderLabs Security Advisory TWSL2017-003: Multiple Vulnerabilities in NETGEAR Routers https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2017-003/?fid=8911
·        Web GUI Password Recovery and Exposure Security Vulnerability http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability
Fuente: Hispasec

Actualización para productos VMware Airwatch

VMware ha publicado actualizaciones para corregir dos vulnerabilidades en productos VMware Airwatch, que podrían permitir evitar la detección de root o conseguir información sensible.
VMware AirWatch es una plataforma de movilidad empresarial que permite acceder con facilidad a las aplicaciones empresariales, proteger los datos corporativos y aumentar la productividad móvil.
Today we've published https://t.co/765j6pkfaC for VMware Airwatch products.— VMware Sec Response (@VMwareSRC) 30 de enero de 2017
VMware publica el primer boletín de seguridad del año (VMSA-2017-0001) que se refiere a dos vulnerabilidades. Una primera, con CVE-2017-4895, en VMware Airwatch Agent para Android que puede permitir que un dispositivo omita la detección de root durante la inscripción. Un atacante podría aprovechar este problema para tener acceso sin restricciones sobre los controles y datos de seguridad locales de Airwatch a través de un dispositivo registrado.
Por otra parte, con CVE-2017-4896, otra vulnerabilidad en Airwatch Inbox para Android podría permitir a un dispositivo rooteado descifrar los datos locales empleados por la aplicación. Un atacante podría aprovechar esto para conseguir acceso no autorizado a datos confidenciales. Afectan a Airwatch Console y Airwatch Inbox.
Recomendación
Más información:
Fuente: Hispasec

VULNERABILIDAD. Acceso a ruta no autorizado en EMC Data Protection Advisor

El aplicativo de administración y monitorización de copias de respaldo EMC Data Protection Advisor tiene una vulnerabilidad cuya explotación podría permitir acceder a información no autorizada, catalogada de Importancia:  4- Alta
Recursos afectados:
  • EMC Data Protection Advisor 6.1.x
  • EMC Data Protection Advisor 6.2
  • EMC Data Protection Advisor 6.2.1
  • EMC Data Protection Advisor 6.2.2
  • EMC Data Protection Advisor 6.2.3 anteriores al parche 446
Detalle e Impacto de la vulnerabilidad  
  • Un atacante podría aaceder a información sensible no autorizada mediante la introducción de datos en parámetros de entrada de la aplicación conteniendo cadenas especialmente diseñadas, lo que además podría permitir ataques adicionales. Se ha asignado el identificador CVE-2016-8211 para esta vulnerabilidad.
Más información
Recomendación
Fuente: INCIBE

CACTI. Vulnerabilidad en la autenticación

Vulnerabilidad del proceso de autenticación de Cacti puede ser aprovechada para que un usuario remoto no registrado evada el sistema de autenticación de la plataforma, catalogada de Importancia: 4 Alta
Recursos afectados:
  • 0.8.8 (Base, a, b, c, d, e, f)
  • 0.8.7 (Base, a, c, d, e, g, h, i)
  • 0.8.6 (Base, a, b, c, d, e, f, f-1, g, i, j, k)
Recomendación
Descargar una versión no afectada por la vulnerabilidad desde la página oficial  http://www.cacti.net/download_cacti.php pudiéndose realizar:
  1. Instalación limpia http://docs.cacti.net/manual:100:1_installation#installation
  2. Actualización http://docs.cacti.net/manual:100:1_installation.3_upgrading#upgrading_cacti .
Detalle e Impacto de la vulnerabilidad  
  • En el proceso de autenticación de un usuario, la validación insuficiente en los datos de entrada permite que se llene la base de datos de logs con mensajes de error si se realizan múltiples intentos con nombres de usuario no registrados en el sistema. Este hecho permite sortear el proceso de autenticación por parte de un usuario no registrado, obteniéndose así el control total sobre la aplicación. Se ha reservado el CVE-2016-2313.
Más información
Fuente: INCIBE

CISCO PRIME HOME. Evasión de autenticación

Se ha publicado una vulnerabilidad en el sistema Cisco Prime Home que podría permitir a un atacante remoto y sin autenticar realizar cualquier tipo de acciones en el sistema afectado con privilegios de administrador, catalogada de importancia :  5  - Crítica
Recursos afectados:
  • Todas las versiones de Cisco Prime Home anteriores desde la 6.3.0.0 a la 6.5.0.1
Detalle e Impacto de la vulnerabilidad  
  • Un error de procesamiento en el control de accesos por roles de URL del entorno gráfico basado en web del Prime Home de Cisco podría permitir a un atacante remoto mandar comandos a la API a través de una URL concreta sin autenticación previa, que se ejecutarían con privilegios de administrador.
Recomendación
  • Cisco ha lanzado la versión 6.5.0.1 que soluciona esta vulnerabilidad.
Más información
Fuente: INCIBE

ESTUDIO. El wifi falla casi el 45% de las veces

La privacidad de la red y el sistema operativo del dispositivo son dos de los factores que determinan el éxito
Un investigador de la Universidad Tsinghua (China) Changhua Pei y varios de sus compañeros: han medido cuánto tiempo tardaron en conectarse a 400 millones de sesiones distintas de wifi. Han utilizado sus datos para averiguar lo que suele fallar y cómo puede evitarse.
Changhau y su equipo recopilaron los datos sobre las conexiones a través de una app para Android llamada Wi-Fi Manager, que registra las diferentes fases involucradas en conectarse a un punto de acceso wifi y cuánto dura cada una de ellas.
Cada conexión wifi implica varios pasos. En el primero, el dispositivo escanea las ondas en busca de puntos de acceso wifi disponibles. Una vez seleccionado un punto de acceso, los dos dispositivos intercambian paquetes de datos. Entonces hay un paso de autenticación, el cual suele requerir una contraseña. El último paso se llama DHCP (siglas procedentes del inglés dynamic host configuration protocol, o protocolo de configuración dinámica de host o anfitrión) y es el que proporciona una dirección IP al dispositivo. (Hay que tener en cuenta que una vez establecida una conexión, el usuario puede ser redirigido a una página de entrada que requiere otra contraseña, algo que el equipo no ha incluido en sus cálculos).
La pregunta que aborda el equipo de Changhau es, en caso de funcionar, cuánto tarda normalmente en conectarse un dispositivo. La respuesta les resultará desgraciadamente familiar a los usuarios de conexiones inalámbricas. Según el trabajo de los investigadores, las conexiones wifi fracasan un asombroso 45 % de las veces. Asimismo, y aunque el tiempo de conectarse varía enormemente, el 15 % de las conexiones tarda más de cinco segundos.
¿Qué falla? El equipo de Changhau empleó un algoritmo de minería de datos para procesar los datos y averiguar qué tipo de factores están asociados con las conexiones fallidas y los largos tiempos de espera.
Los factores que influyen negativamente sobre el tiempo de conexión y el éxito de la misma son varios. Tal vez el más importante sea si la red wifi en cuestión es pública o privada; las redes privadas son notablemente más rápidas además de tener una tasa de éxito mayor.
El sistema operativo del dispositivo es otro factor. El equipo afirma que dispositivos idénticos pero con sistemas operativos distintos pueden mostrar diferencias muy importantes en el tiempo de conexión y señalan especialmente una versión altamente personalizada del sistema operativo Android llamada FlyMe. Los chips tanto en el dispositivo móvil como en el punto de acceso también pueden influir en el tiempo de conexión, al tardar mucho más los chips más lentos.
Tras identificar los factores que ralentizan las conexiones, el equipo ha creado un algoritmo que evitar los problemas más obvios y en consecuencia acelera la velocidad para conectarse. Este algoritmo, por ejemplo, evalúa si los puntos de acceso son públicos o privados. Entonces ignora los públicos y escoge la red privada con la señal más fuerte.
Este enfoque mejora significativamente las conexiones, según el equipo de Changhau. El algoritmo reduce los fallos de conexión a una tasa de tan sólo el 3,6 % y reduce el tiempo de conexión por diez.
Fuente: MIT Technology Review

ERA TRUMP. "EEUU primero" pero con robots chinos

El "EEUU primero" de Donald Trump podría tener que enfrentarse a la espinosa realidad de que la mayor parte de los robots industriales vendrán de China
Desde plataformas petolíferas hasta granjas, cada vez más empresas y sectores en Estados Unidos están incorporando trabajadores robóticos. Eso significa costes más bajos para las empresas, pero también podría suponer una situación incómoda para el nuevo presidente de Estados Unidos. La defensa de los negocios y el populista "Estados Unidos primero" de Donald Trump tendrán que enfrentarse al hecho de que muchas de estás máquinas están hechas en China.
Los robots tienen una larga experiencia en la producción de productos complejos como automóviles y electrónica de consumo. Sin embargo, y a medida que su función en los entornos manufactureros sigue extendiéndose, cada vez están llegando a ámbitos más inesperados. Según Bloomberg, por ejemplo, los pozos petrolíferos se están automatizando cada vez más. Son los robots los que se encargan de unir pesadas tuberías a medida que se introducen en el pozo. Una empresa petrolífera asegura que los pozos que antes necesitaban 20 trabajadores para funcionar pronto podrían hacerlo con cinco.
Mientras tanto, el coste cada vez mayor de la mano de la obra está llevando a algunos agricultores de cultivos intensivos -como las frutas y las verduras frescas- a incorporar robots. Como informan tanto Forbes como Bloomberg, los sistemas robóticos pueden utilizarse en la actualidad para recoger las cosechas o entresacar los plantones y, a pesar de sus altos costes iniciales, luego no exigen sueldo mínimo. También la industria minera está experimentando cambios similares.
Todo parece indicar que están en peligro muchos puestos de trabajo. Aunque es cierto que muchos perfiles tradicionales desaparecerán a causa de los robots, un informe reciente sugirió que probablemente falte todavía un tiempo antes de que los robots engullan los trabajos humanos en masa.
En lugar de centrarse en la automatización en sí, Estados Unidos podría elegir preocuparse por el origen de estos robots. Como señala el periodista Farhad Manjoo en el New York Times, muchas de las máquinas que se utilizarán para automatizar los puestos de trabajo en Estados Unidos estarán fabricadas en China. EEUU no ha invertido a gran escala en el desarrollo de robots comerciales e industriales, pero China ha estado muy ocupado construyendo un ejército de ellos.
Manjoo argumenta que el presidente Trump haría bien en trabajar para aumentar la inversión en las empresas estadounidenses que fabriquen robots industriales. Pero eso no terminaría de encajar con su objetivo declarado de impulsar y proteger el crecimiento del empleo. En su lugar, Trump podría tener que enfrentarse a la paradoja de que su deseo de ayudar a las empresas de Estados Unidos se construirá, al menos en parte, gracias a robots chinos. Y necesitará algo más que un muro para impedir la entrada de estos trabajadores robóticos.

Fuente: MIT Technology Review

BIOMEDICINA. Células inmunes universales (y quizá quimioterapia) curan de leucemia de bebés

Es la primera vez que un paciente recibe células de un donante modificadas genéticamente. Ambos están en remisión, pero los resultados no están claros porque también recibieron quimioterapia.
Unos médicos de Londres (Reino Unido) afirman haber curado la leucemia de dos bebés mediante el primer intento de la historia de tratar el cáncer con células de un donante editadas genéticamente.
Los experimentos, que se realizaron en el Hospital Great Ormond Street de Londres, abren la puerta a terapias celulares que ya estarían listas para usarse. Estas terapias elaboradas con materiales baratos de células universales podrían ser introducidas en las venas de los pacientes al instante.
Este enfoque podría suponer problemas para algunas empresas, incluidas Juno Therapeutics y Novartis, que han gastado decenas de millones de euros desarrollando tratamientos basados en recolectar células sanguíneas del propio paciente, modificarlas y reintroducírselas.
Ambos métodos se basan en editar las células T, los soldados del sistema inmune, para que empiecen a atacar a las células leucémicas.
Los bebés británicos, de 11 y 16 meses de edad, tenían leucemia y se habían sometido a tratamientos previos que fracasaron, según una descripción de sus casos publicada la semana pasada en la revista Science Translational Medicine. El médico y experto en terapias génicas que lideró las pruebas, Waseem Qasim, informó de que ambos niños siguen en estado de remisión.
Aunque los casos atrajeron una amplia cobertura mediática en Gran Bretaña, algunos investigadores creen que, dado que los niños también fueron sometidos a quimioterapia, los resultados no confirman que lo que les ha curado de verdad haya sido el tratamiento. "Da pistas de eficacia pero ninguna prueba", señala el director de inmunoterapia de cáncer del Hospital Infantil de Filadelfia (EEUU), Stephan Grupp, que colabora con Novartis. "Sería estupendo que funcionara, pero simplemente aún no ha sido demostrado", añade.
Los derechos del tratamiento de Londres fueron adquiridos por la empresa de biotecnología Cellectis, y ahora está siendo desarrollado por las empresas farmacéuticas Servier y Pfizer.
Los tratamientos que emplean células T modificadas, también conocidos como CAR-T, son nuevos y aún no se venden comercialmente. Pero han demostrado asombrosos éxitos contra cánceres sanguíneos. En estudios realizados hasta ahora por Novartis y Juno Therapeutics, alrededor de la mitad de los pacientes se cura de forma permanente después de recibir versiones de sus propias células sanguíneas.
Pero comercializar tales tratamientos personalizados plantea unas dificultades logísticas sin precedentes. Grupp dice que Novartis ha equipado un centro de fabricación en Nueva Jersey (EEUU) y que las células de los pacientes han sido transportadas hasta el centro en avión desde 25 hospitales en 11 países, y posteriormente modificadas y enviadas de vuelta rápidamente. Novartis afirma que buscará la aprobación en Estados Unidos para vender su tratamiento de células T a niños este año.
La promesa de la terapia inmune ha atraído enormes inversiones, pero gran parte de los últimos fondos se están enfocando en el enfoque de tratamientos listos para su uso. Entre ellos se encuentran el gigante biotecnológico Regeneron, Kite Therapeutics, Fate Therapeutics y Cell Medica. 
"El paciente podría ser tratado inmediatamente, en lugar de tener que extraerle las células y después fabricarlas", explica la vicepresidenta de desarrollo CAR-T de Cellectis, Julianne Smith, cuya empresa se especializa en proporcionar células universales.
Con el enfoque listo para usar, la muestra de un donante se convierte en "cientos" de dosis que pueden congelarse y almacenarse, según Smith, y añade: "Calculamos que el coste de fabricar una dosis sería de aproximadamente 3.800 euros". Es un precio mucho menor que los más de 45.000 euros que cuesta alterar las células de un paciente y reintroducírselas.
Si los dos tipos de tratamientos llegan al mercado, podrían costar casi medio millón de euros a las aseguradoras de EEUU.
En Estados Unidos y China, los científicos también se apresuran por aplicar la edición génica para desarrollar mejores tratamientos para el cáncer y otras enfermedades.
Fuente: MIT Technology Review

COMPUTACION. El computador cuántico de 2.000 qubits del que dudan los científicos

D-Wave Systems acaba de presentar su producto más avanzado hasta la fecha, pero algunos investigadores son escépticos frente a su robustez y el verdadero valor de sus aportaciones
La empresa de computación cuántica D-Wave Systems ha anunciado que su último dispositivo tiene el doble de capacidad computacional que su modelo anterior, lo que afirma que lo hace increíblemente rápido frente al hardware convencional. Pero a pesar de ello, la empresa se enfrenta a una importante lucha para convencer de su valor a algunos sectores de la comunidad científica.
El nuevo ordenador cuántico 2000Q de D-Wave Systems contiene 2.000 qubits, el equivalente cuántico de los bits binarios. Es el doble que la generación anterior de su hardware, que ya ha encontrado un hogar en laboratorios de Lockheed Martin y una empresa colaborativa entre NASA y Google, entre otros.
El nuevo modelo, según D-Wave Systems, no es nada vago. La empresa ha probado su rendimiento para solucionar problemas muy específicos en los que la computación cuántica resulta especialmente útil, como la optimización. Después, comparó sus resultados con los de otros algoritmos similares que se ejecutaban en dispositivos basados en CPU y GPU. Y afirma que su sistema rinde mejor frente a uno de CPU único y también frente a uno de GPU con más de 2.500 núcleos por un factor de al menos 1.000 en términos de tiempo de computación.
Algunos miembros de la comunidad de computación cuántica se mostrarán escépticos frente a estos resultados. Cuando D-Wave Systems presentó su primer dispositivo, algunos científicos cuestionaron si la computación que ejecuta es verdaderamente cuántica. El año pasado, unos investigadores de Google afirmaron haber demostrado que el dispositivo realmente funciona, pero, como señaló nuestro propio Tom Simonite en ese momento, los algoritmos empleados durante esa demostraciones podrían haber favorecido a D-Wave Systems frente al ordenador convencional al que se enfrentaba.
Y, como explica la revista Nature, los qubits relativamente sencillos empleados por D-Wave Systems (que han permitido a la empresa desarrollar los primeros ordenadores cuánticos comercialmente disponibles) son frágiles, y pierden sus estados cuánticos más fácilmente que los de otros laboratorios. Esto hace que algunos científicos duden de que los dispositivos de D-Wave Systems vayan a llegar nunca a proporcionar el salto exponencial de potencia que promete la computación cuántica.
Aun así, el nuevo ordenador ya tiene comprador. Según D-Wave Systems, una empresa llamada Temporal Defense Systems ya ha comprado un dispositivo 2000Q, valorado en unos 14 millones de euros. Planea utilizarlo para aplicaciones de ciberseguridad. Y numerosos grupos de investigación están utilizando los dispositivos más antiguos de la empresa.
Mientras tanto, otros investigadores (de Google, Microsoft, IBM y muchas universidades) están trabajando duro para desarrollar sus propios ordenadores cuánticos, pero aún no han producido un producto comercial. Por su parte, D-Wave Systems planea seguir duplicando el número de qubits de sus dispositivos cada dos años, digan lo que digan los investigadores.
Fuente: MIT Technology Review