2 de agosto de 2015

TOR. La privacidad de la red se ha visto comprometida mediante la biometría del tecleo

Un grupo de investigadores de seguridad ha desarrollado un nuevo software capaz de comprometer por completo la privacidad de la red Tor. 
Este nuevo software se basa en la biometría del tecleo que analiza cómo pulsamos las teclas. Según los científicos cada usuario tiene unas características únicas al escribir: pausas, tiempos entre teclas, velocidades variantes, etc. Esta información puede utilizarse perfectamente para saber si un usuario entra en una web, si vuelve a entrar en ella o si entra en otra que también está controlada.
Los investigadores de seguridad afirman que el programa necesita solo 10 minutos de entrenamiento y tras él ya sería capaz de empezar a identificar al individuo mediante su biometría del tecleo. Este programa podría funcionar en páginas web pequeñas (siendo más fácil de identificar a los usuarios) o en páginas web a gran escala que, aunque tarde un poco más, finalmente también terminarían por conocer e identificar a todos los usuarios que se conectan a ella.
La biometría del tecleo no es algo nuevo, sino que lleva utilizándose desde la segunda guerra mundial donde identificaban a quién mandaba los mensajes en morse por cómo escribía, la velocidad a la que lo hacía y los errores que cometía. La única diferencia con los sistemas actuales es el entorno en el que se utiliza.
Keyboard Privacy, un plugin para protegernos de la biometría de tecleo
  • Al igual que ocurre siempre, cuando la seguridad y la privacidad de los usuarios se ve comprometida siempre aparece alguna herramienta que nos ayude a recuperar, dentro de lo posible, nuestra seguridad y privacidad iniciales.
  • Aunque a simple vista es muy complicado protegerse de la biometría de tecleo es posible “engañar” a este tipo de software utilizando sólo una extensión para Google Chrome: Keyboard Privacy.
  • Esta sencilla extensión almacena en la caché del sistema las pulsaciones y las transmite a la web a un ritmo pseudo-aleatorio. De esta manera cualquier sistema de biometría del tecleo quedará confuso y será mucho más complicado que nos identifique.
  • La extensión es gratuita y se puede descargar desde la Chrome Store ( https://chrome.google.com/webstore/detail/keyboard-privacy/aoeboeflhhnobfjkafamelopfeojdohk  )
Fuente: We Live Security
Publicado por en
Etiquetas: ,

ESPAÑA. La 'tasa Google' costará 10 millones de euros a los medios y editores españoles

 El pasado mes de diciembre se produjo el cierre de Google News en España motivado por un reciente cambio en la legislación que obligaba a los agregadores de noticias a pagar un canon (la "tasa Google") a los editores por enlazar sus contenidos. Ahora, un informe ha demostrado lo que ya se veía a venir: dicha restricción va a costar 10 millones de euros a los medios de comunicación españoles.
A finales del año pasado y debido a la introducción de la "tasa Google" o canon AEDE en la Ley de Propiedad Intelectual, España se convirtió en el primer país del mundo en el que se cerró el servicio de indexación de noticias de Google News. Si bien los editores ya preveían un impacto negativo, un informe elaborado por la consultora Nera para la Asociación Española de Editoriales de Publicaciones Periódicas (AEEPP) ha acabado de confirmar un daño irreparable en el sector.
Según el estudio, las compañías van a dejar de ingresar 10 millones de euros debido a este cambio legislativo, que ha supuesto un descenso del tráfico procedente de Google y otros agregadores de noticias de en torno a un 6 por ciento en todo el sector, y hasta un 14 por ciento en las publicaciones pequeñas. Como resultado de la misma ley, los consumidores experimentarán una menor variedad de contenidos y verán frenado el desarrollo de nuevas plataformas en Internet.
"Parece claro que la reforma obedece a los intereses de un grupo particular de editores que, ante el deterioro de su negocio, han buscado obtener una fuente adicional de ingresos por parte de uno de los gigantes del Internet, aun en detrimento del resto de editores", reza uno de los textos del estudio.
Así, el informe concluye que no hay justificación alguna para la introducción del canon AEDE, que además atenta contra la libertad de empresa al ser de obligado cumplimiento por todos los editores, y anima a las empresas a presentar dichos resultados ante el gobierno a fin de que reconsidere el artículo, dado que el reglamento que desarrollaría la ley se encuentra aún pendiente.

Fuente: Europa Press
Publicado por en
Etiquetas:

WHATSAPP. Fallo de seguridad permite robar chats y contactos de los iPhone

Debido a un problema de seguridad relacionado con el servicio de mensajería instantánea WhatsApp, un informático ha descubierto un fallo en la aplicación que permite a cualquiera extraer todos los contactos y el contenido de los chats de los teléfonos iPhone.
El informático que ha revelado esta vulnerabilidad en el sistema operativo de iOS es Ahmed Lekssays, un estudiante marroquí de 19 años que estudia ingeniería informática en la prestigiosa Universidad de Al Akhawayn. Según recoge la revista TelQuel, el marroquí consiguió en numerosas ocasiones acceder a cuentas de WhatsApp y robar todo su contenido, tanto las conversaciones como la agenda de contactos, únicamente equipado con un iPhone y un ordenador Linux.
El estudiante que ha hecho pública la vulnerabilidad en WhatsApp, explicó lo fácil que es acceder a las conversaciones de la aplicación y también muestra cómo puedes acceder a ellas. Ahmed Lekssays además afirmó que dicho fallo en la seguridad no ha sido corregido en la última actualización e incluso que pudo realizar esta operación con teléfonos bloqueados protegidos con claves de acceso. El joven ya ha advertido a WhatsApp del problema para que sea subsanado lo antes posible.
Al parecer el problema no es del sistema operativo iOS sino de la aplicación de mensajería que no protege las conversaciones de forma segura por más encriptada que estén por parte de iOS. Y aquí está el verdadero problema de seguridad porque cualquiera puede acceder a estos dispositivos y después hacer lo que quiera con las conversaciones que puedas mantener, y con el contenido compartido a través de la aplicación.
Fuente: Europa Press
Publicado por en
Etiquetas:

CCN-CERT. Lanza una completa guía de seguridad para WordPress

CCN-CERT está siempre buscando la mejor forma de mantener al día a los usuarios de Internet sobre las amenazas que aparecen en la red y facilitando una serie de consejos con los que evitar que los sistemas o los servicios que utilizamos caigan en manos de piratas informáticos.
WordPress es uno de los sistemas más utilizados para crear páginas web de contenido dinámico. Los piratas informáticos son conscientes de ello y constantemente buscan vulnerabilidades o fallos de seguridad que les permitan acceder sin permiso a dichas plataformas. Para evitar que esto ocurra CCN-CERT ha publicado una completa guía gratuita con una serie de consejos y recomendaciones con los que proteger los portales de WordPress y configurarlos correctamente para evitar que los piratas informáticos puedan aprovechar errores de configuración.
Esta guía, a la que se puede acceder de forma gratuita desde el siguiente enlace, abarca prácticamente todos los aspectos que debemos tener en cuenta a la hora de montar, configurar y administrar un portal con WordPress.
Consejos para proteger WordPress según la guía de CCN-CERT

  • Lo primero de lo que nos habla en la guía es de la historia de la plataforma y de cómo instalarla desde cero o actualizarla a una nueva versión. Debemos tener siempre actualizada la plataforma para evitar que nos ataquen a través de vulnerabilidades que hayan sido publicadas para esta plataforma.
  • Esta guía también nos facilita una serie de consejos para proteger las bases de datos de nuestro blog y evitar que los piratas informáticos puedan dañar los datos a través de ellas.
  • CCN-CERT nos da también una serie de consejos para instalar de forma segura los plugins y evitar comprometer nuestro portal instalando plugins maliciosos o defectuosos. También recomiendan revisar los permisos, activar las actualizaciones automáticas y realizar copias de seguridad periódicas para poder recuperar la web en caso de un posible ataque.
  • Para finalizar, otra serie de consejos adicionales para proteger los portales de WordPress es blindar la cuenta de administrador dejando al resto de usuarios con permisos limitados y eliminar la información de la versión del blog para evitar que los atacantes puedan buscar posibles vulnerabilidades que aún no hayan sido reparadas.
  • Sin duda una guía de obligatoria lectura para todos aquellos que tengan bajo su responsabilidad un blog, una web o un portal basado en WordPress.

Fuente: Redeszone.net
Publicado por en
Etiquetas:

DOT. El primer smartwatch en Braille para ciegos

Dot, es un reloj inteligente en braille para que personas con discapacidad visual puedan recibir información en su muñeca.
Una startup coreana, que se encuentra buscando ayuda en plataformas de financiación, está desarrollando la idea que principalmente se basa en el braille, y su sistema de comunicación por puntos con relieve, y en lugar de tener una pantalla táctil, en la superficie de lo que sería la parte principal del reloj, tenemos una matriz de puntos.
Así que este smartwatch para invidentes cuenta con un lector de E- Braille integrado en la esfera, de manera que el usuario puede recibir información en tiempo real directamente en su muñeca. La pantalla estaría formada por cuatro grupos con seis puntos cada una, suficiente para mostrar cuatro caracteres braille a la vez.
Para obtener los textos, se sincroniza a través de Bluetooth 4 con un terminal con conectividad para tener acceso a internet. Por otra parte la batería tiene una autonomía de unos 5 días.
En cuanto al coste los desarrolladores de Dot aseguran que el precio será inferior a 300 dólares, lo que es realmente bajo si lo comparamos con otros sistemas portátiles de lectura E-Braille que pueden llegar a costar alrededor de los 2.000 dólares.
Dot saldrá a la venta en EEUU aproximadamente para Diciembre, pudiendo solicitar más información en la página del fabricante.
Fuente: Popular Science
Publicado por en
Etiquetas:

ANDROID. Nueva vulnerabilidad. Suma y sigue

Malos tiempos para Android, porque el otro día nos enteramos de la noticia del "Apocalipsis" Android  por la vulnerabilidad StageFright que podía provocar el compromiso del dispositivo solo con recibir un vídeo malicioso. Ahora nos encontramos con una nueva vulnerabilidad en el tratamiento de vídeo MKV que podría inutilizar el dispositivo.
 El problema, descubierto por investigadores de Trend Micro, podría dejar el dispositivo (móvil o tableta) aparentemente muerto: en silencio, sin posibilidad de realizar llamadas y sin respuesta de la pantalla. La vulnerabilidad afecta a sistemas con Android 4.3 (Jelly Bean) hasta la versión más actual, Android 5.1.1 (Lollipop).
 Según el equipo de investigadores la vulnerabilidad fue reportada a finales de mayo, pero a esta fecha el equipo Android Engineering Team no ha publicado ninguna actualización en el código del Android Open Source Project (AOSP).
 La vulnerabilidad reside en un desbordamiento de entero en el servicio Mediaserver, empleado por Android para indexar los archivos multimedia del dispositivo. Este servicio no puede tratar adecuadamente vídeos maliciosos en formato Matroska (generalmente con extensión MKV). Cuando el proceso abre un archivo MKV específicamente manipulado, el servicio se detendrá y con él, todo el sistema operativo.
 La vulnerabilidad puede explotarse de dos formas, bien a través de una aplicación maliciosa instalada en el dispositivo o de un sitio web específicamente creado. En ambos casos, tanto la aplicación, como el sitio web, tratarán de reproducir el vídeo malicioso provocando la caída del sistema.
 Será necesario apagar el móvil y volverlo a encender para recuperar la funcionalidad, pero el problema puede ser mucho más grave si la aplicación con el archivo MKV incrustado se registra para iniciarse en cada inicio del dispositivo. Lo que llevará al bloqueo del sistema cada vez que se encienda el móvil.  Día de la marmota versión Android.
 En ese caso será necesario iniciar el dispositivo en "modo seguro" y desinstalar la aplicación maliciosa (probablemente la última o una de las últimas instaladas).

 El inicio en modo seguro dependerá del dispositivo:
Iniciar en modo seguro en Nexus, Sony, LG, HTC…
  • Mantener pulsado el botón de apagado hasta que aparezca la ventana con el menú de apagar, en ese menú mantener pulsado el botón de apagar hasta que muestre una nueva ventana. Aceptar que el teléfono se reinicie en modo seguro.
Iniciar modo seguro en Samsung y algunos LG y HTC…
  • Apagar completamente el dispositivo y arrancarlo de nuevo. Cuando aparezca la pantalla del fabricante mantener pulsado el botón de bajar volumen hasta que termine de arrancar.
 En cualquier caso aparecerá "Modo seguro" en la esquina inferior izquierda de la pantalla.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

APPLE. Apple iTunes y App Store, las facturas no son buenas

Una vulnerabilidad en el sistema de facturación de iTunes y App Store podía permitir el secuestro de sesión, ataques de phishing persistente, redirección a fuentes externas y la manipulación persistente de módulos de servicio afectados o conectados.
 El problema fue descubierto por el investigador de seguridad Benjamin Kunz Mejri de Vulnerability Lab que lo comunicó de forma responsable a Apple, que ya lo ha solucionado. De tal forma que el investigador a publicado los detalles y la prueba de concepto, incluyendo un vídeo en el que muestra el problema. https://www.youtube.com/watch?v=iPvmrFgvpDQ
 El problema reside en una vulnerabilidad de validación de entradas en las aplicaciones web oficiales de los servicios online de la App Store como de iTunes Store de Apple. La vulnerabilidad podría permitir a atacantes remotos inyectar su propio código script malicioso en la aplicación.
 Apple iTunes y App Store toman el nombre del dispositivo del usuario que realiza la compra. Pero un atacante remoto puede manipular el valor del nombre mediante un cambio con código script. Después el atacante podrá comprar cualquier artículo de la App Store o de iTunes.
 Durante este procedimiento el servicio toma el valor del dispositivo y lo codifica con condiciones incorrectas. En el contexto de la cuenta del vendedor se ejecuta el código script inyectado implementado erróneamente en la factura. De esta forma se obtiene la ejecución de código script en la factura de Apple.
 Los atacantes remotos pueden manipular el bug mediante la interacción a través de contextos persistentes manipulados a otras cuentas de usuario de Apple Store. La factura se presenta a ambas partes (comprador y vendedor) lo que representa un riesgo significativo para los compradores, vendedores o para los desarrolladores o administradores de Apple.
 No se ha confirmado exactamente cuando Apple corrigió el problema, pero considerando que la actualización más reciente de iTunes fue el pasado 30 de junio, podemos pensar que fue en ese momento cuando se solucionó.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

WINDOWS 10. Llega a 190 países, entre ellos España

Windows 10 ya está aquí. La actualización gratuita del sistema operativo de Microsoft está disponible, desde este miércoles 29 de julio, en 190 países, incluído España, para los usuarios de Windows 7 y Windows 8/8.1, además de para aquellos que compren nuevos PC y nuevas tabletas.
En la actualidad hay de 2.000 dispositivos y configuraciones preparadas para recibir el nuevo sistema operativo. La nueva Tienda de Windows y el Kit de Desarrollo de Software de Windows (SDK) también están disponibles desde hoy.
Este miércoles, además, a lo largo de todo el día se llevarán a cabo eventos con motivo del lanzamiento de Windows 10 en 13 ciudades, entre las que se encuentra Madrid.
Asimismo, Microsoft ha querido enlazar a la llegada de Windows 10 una campaña  llamada #UpgradeYourWorld, de un año de duración. Se trata de una propuesta que quiere homenajear a todas las personas y organizaciones que ayudan a mejorar el mundo.
La compañía quiere dar a cada usuario la oportunidad de dar a conocer sus planes para mejorar el mundo a través del 'hashtag' y les invita, además, a que voten por aquella organización sin ánimo de lucro a la que, junto con otras nueve, Microsoft apoyará para que puedan lograr sus metas. Los usuarios podrán votar a través de Instagram, Facebook o Twitter, mencionando en una publicación a la ONG elegida junto con los 'hastags' #UpgradeYourWorld y #vote.

Fuente: Europa Press
Publicado por en
Etiquetas:

ACTUALIZACION. 14 millones de dispositivos actualizados a Windows 10 en 24 horas

Los primeros usuarios que han recibido el nuevo Windows son los denominados Windows Insiders, es decir, aquellas personas que durante meses han estado probando las versiones preliminares del sistema operativo.
La versión estable de Windows 10 para ordenadores y tabletas, y también aquella otra que está orientada a los dispositivos conectados que conforman el fenómeno del Internet de las Cosas, han pasado sus primeras 24 horas de disponibilidad.
Según ha revelado Microsoft, el sistema operativo Windows 10 se encuentra instalado en al menos 14 millones de dispositivos. Ahora lo que queda por ver es si mantiene el ritmo de actualización y qué cifra es capaz de alcanzar este software a medida que pase el tiempo.
Sin lanzar ningún tipo de previsión, ni a corto ni a largo plazo, el gigante de Redmond ha recordado que la entrega de Windows 10 a los usuarios se está realizando de forma paulatina, por fases. Y es que sus creadores aducen querer garantizar experiencias satisfactorias para todos, cuidando compatibilidades y demás.
Las primeras personas que han recibido la actualización de Windows son los denominados Windows Insiders. Esto es, aquella gente que durante meses ha estado probando las versiones preliminares de Windows 10.
En cuestión de días, o puede que de semanas, el nuevo Windows se irá extendiendo a quienes cuenten con ordenadores Windows 7 y Windows 8.1 y ya hayan reservado la descarga gratuita.
Lo único que hay que hacer es esperar hasta que Microsoft notifique acerca de dicha descarga de software en el dispositivo de destino.

Fuente: Silicon Week.es
Publicado por en
Etiquetas:

WINDOWS. De sus activadores y peligros

En ESET han querido analizar uno de los activadores piratas más conocidos. Lo primero que han hecho ha sido buscarlo en Google y, pese a la facilidad para encontrarlo, han visto que hay algunas páginas (concretamente el tercer resultado, aunque en nuestras pruebas ha sido el sexto) que publicitan la herramienta como si se tratara de algo oficial de Microsoft.
Si accedemos a ella (según la URL y el puesto en el que aparece en Google debería ser una web fiable) podemos ver lo sencillo que es descargar la herramienta, sin embargo, si decidimos hacerlo estaremos exponiendo seriamente la seguridad de nuestro Windows. Nosotros, como hacemos siempre, hemos querido probar. Hemos descargado un zip, en cuyo interior había otro zip que ya nos permitía extraer un fichero .exe.
Al hacerlo hemos podido ver cómo nuestro antivirus (en nuestro caso Avast ya que ESET no funciona correctamente en Windows 10) también nos ha detectado una amenaza.
Sin duda esto esconde algo más oscuro que un simple activador de Windows. Y este no es el único activador de Windows que supone un peligro para nuestro ordenador
Aunque ESET nos ha enseñado esta amenaza oculta en esta herramienta no es la única. Existen un gran número de activadores diferentes, tanto para los productos de Microsoft como para prácticamente cualquier programa. Todas estas herramientas son de código cerrado y no se sabe ni quién las ha creado ni qué existe en el código fuente que ejecutamos, en la mayoría de las ocasiones, con permisos de administrador.
La red está llena de gente que se aprovecha del trabajo de los demás. Ya sea creando y distribuyendo un activador como modificando dicho activador e incluyendo sus propias líneas con el fin de lucrarse por algo en lo que realidad no ha participado. Si queremos tener la garantía de permanecer seguros en la red debemos utilizar siempre software original o, si no podemos pagar las licencias, optar por software gratuito o de código abierto.
Fuente: We Live Security
Publicado por en
Etiquetas:

WINDOWS 10. Funcionalidades y capacidades técnicas

El nuevo sistema operativo de Microsoft destaca por su carácter universal, al unificar bajo un mismo paraguas las plataformas para PC, tableta, smartphone y demás dispositivos informáticos.
Windows 10 ya se encuentra disponible para los usuarios como Windows 10 Home y Windows 10 Pro, un par de ediciones que son compatibles con ordenadores de escritorio, portátiles, aparatos 2-en-1 y las propias tabletas. Y a partir del próximo hoy sábado día 1 de agosto, quienes busquen licencias por volumen para empresas de cierto tamaño e instituciones educativas serán capaces de descargar Windows 10 Enterprise y Windows 10 Education a través del Volume Licensing Service Center. Aunque ahí no se queda la cosa.
Microsoft ha desarrollado otras tres versiones de Windows 10 para cubrir el segmento smartphone y el Internet de las Cosas: Windows 10 Mobile, Windows 10 Mobile Enterprise y Windows 10 IoT Core. Windows 10, como sistema operativo que quiere abarcarlo todo, podrá usarse en la consola Xbox One, en wearables, en Microsoft HoloLens, en Surface Hub y hasta en la placa de bajo coste Raspberry Pi, como bien indica Serna.
Llegan las aplicaciones universales
  • La universalidad de Windows 10 se deja sentir, como es lógico, en el apartado de las aplicaciones. Sus usuarios dispondrán de Windows Store para adquirir las aplicaciones más típicas y los juegos, para canciones, para películas y para programas de televisión que los desarrolladores sólo tendrán que subir una vez. Se trata de contenido que acepta el uso tradicional con periféricos y, al mismo tiempo, es compatible con las modernidades del ecosistema táctil, lo cual facilita enormemente la creación de aplicaciones por parte de los fabricantes.
  • La plataforma cloud Microsoft OneDrive es la que se encarga de llevar a cabo las sincronizaciones necesarias para que todo funcione conforme a las reglas de esta propuesta. Así que, al final, la sensación que le quedará al usuario multidispositivo es la de estar gestionando un solo dispositivo durante todo el rato. El acceso a la actividad, así como la disponibilidad de los datos personales, se ofrecen desde todas aquellas máquinas Windows 10 que uno posea.
Cortana, Microsoft Edge y otras características clave
  • Entre las funcionalidades que trae consigo Windows 10 cabe destacar Cortana. Este asistente personal permite relacionarse con el PC mediante comandos de voz o texto, ya sea para buscar documentos almacenados en algún rincón, para hacer consultas web, para resolver dudas urgentes, para redactar emails e ir introduciendo rectificaciones sobre la marcha o para gestionar asuntos de agenda como el recordatorio de un vuelo ya reservado, por ejemplo.
  • También destaca Microsoft Edge, que no es solo un nuevo navegador desarrollado por Microsoft, si no que se orienta hacia tres direcciones principales:
  1. Por una parte, se relaciona con Cortana para satisfacer las peticiones de los internautas.
  2. Por otro lado, potencia el contenido sobre el resto de los elementos que componen una web mediante un modo lectura que borra las distracciones.
  3. Y en tercer lugar, introduce la toma de notas sobre las páginas, a mano o no.
Los usuarios “disfrutarán del nuevo navegador”,  porque “está totalmente escrito desde cero, es mucho más rápido y potente”, aunque eso sí, Internet Explorer sigue disponible para explorar contenido en contextos heredados.
Resto de características de Windows 10
  • Su carácter gratuito para personas que parten de Windows 7, Windows 8.1 o Windows Phone 8.1.
  • En una mayor seguridad. En la existencia de un Action Center para ordenadores que va recogiendo notificaciones. O en abrazar el futuro, como refleja la solución de autenticación biométrica Windows Hello, basada en las huellas dactilares, cara e iris de cada persona. Pero también se distingue por no rechazar cosas que triunfaron en el pasado, como la transparencia de Aero Glass.
  • Nuevas funcionalidades. Como la creación de escritorios virtuales, la unificación de las tiendas de compra en una sola o el hecho de que Windows 10 ahora sea un sistema operativo como servicio (con todo lo que ello supone)” .
  • Las nuevas notificaciones Toast del sistema ahora permiten interactuar con ellas directamente, pudiendo mostrar imágenes, botones, responder a mensajes…”,
  • Y además vuelve el añorado menú de inicio.
Fuente: Silicon Week.es
Publicado por en
Etiquetas: ,

HP. Ayuda a las empresas en su migración a Windows 10

HP lanza una serie de servicios empresariales compatibles con el nuevo sistema operativo lanzado por Microsoft.
HP ha presentado un nuevo paquete de servicios para Windows 10, el nuevo sistema operativo de Microsoft. HP pretende ayudar a las empresas a controlar sus costes y a acelerar su paso hacia la nueva plataforma. El lanzamiento incluye las soluciones HP Test Drive Services for Windows 10, HP Transformation Services for Windows 10, HP Roadmap Service for Windows 10 y HP WebApp Accelerator Service for Internet Explorer 11.
HP Test Drive Services for Windows 10 permite a los clientes considerar una migración mediante la prueba del nuevo sistema operativo con un grupo de usuarios de control. Con la validación previa del entorno, los responsables TI son capaces de perfilar su estrategia informática dirigida al usuario final, equilibrar el ritmo de esa migración, de la introducción de la virtualización, al mismo tiempo que reducen el riesgo y el coste.
Durante la prueba de funcionamiento, un grupo seleccionado de usuarios pasarán a utilizar un nuevo dispositivo con Windows 10 como equipo de trabajo principal. El paquete consistirá en un PC o tablet, con Windows 10 ya instalado, además de los servicios de transformación que incluyen la migración de los datos del usuario, de sus configuraciones y la garantía de que todos disponen de las aplicaciones centrales que necesitan en el nuevo dispositivo.
HP Transformation Services for Windows 10 está formado por un conjunto completo de herramientas para evaluar, diseñar, implementar, desplegar y dar soporte a Windows 10 como parte de una transformación del puesto de trabajo digital. El servicio creará e integrará la infraestructura de apoyo, transformará las aplicaciones de cliente y web para el nuevo entorno, construirá imágenes de sistemas operativos y gestionará el despliegue.
HP Roadmap Service for Windows 10 forma parte de los HP Advisory Services para Microsoft ecosystem. Un servicio de asesoramiento basado en workshops proporcionará una hoja de ruta base para la implementación de Windows 10 en la organización con mejoras en áreas clave como es la productividad, la seguridad y la manejabilidad, así como en el diseño de cómo Windows 10 puede ajustarse a una mayor oportunidad de trasformación del puesto de trabajo digital.
Por último, HP WebApp Accelerator Service for Internet Explorer 11 es un servicio de implementación y migración para garantizar que las aplicaciones web críticas de la organización creadas para versiones heredadas de Internet Explorer continúan funcionado de forma efectiva en los navegadores y sistemas operativos más recientes.

Fuente: Silicon Week.es
Publicado por en
Etiquetas:

INFORME. Estudio de HP revela que todos los smartwatches son vulnerables

HP ha publicado un informe sobre la seguridad en los smartwatches o relojes inteligentes según la cual todos los dispositivos analizados se ven afectados por algún problema de seguridad.
HP ha dado a conocer los resultados de una evaluación que confirma que los smartwatches con funcionalidades de red y comunicaciones representan una nueva puerta de ataques. El estudio realizado por HP Fortify encontró que el cien por cien de los relojes evaluados contienen importantes vulnerabilidades, incluyendo autenticación insuficiente, falta de cifrado y problemas de privacidad.
HP ha realizado su estudio sobre 10 relojes inteligentes y sus aplicaciones móviles para iOS y Android, si bien en ningún momento del estudio se mencionan los relojes analizados,
HP considera que la similitud en los resultados de los 10 smartwatches analizados constituye un buen indicador del estado actual en materia de seguridad de los relojes inteligentes.
Los problemas más sencillos y comunes descritos en el informe incluyen:
  1. Insuficiente autorización o autenticación de usuario. Todos los relojes fueron emparejados con una interfaz móvil que carecía de autenticación de dos factores y la capacidad de bloquear las cuentas después de varios intentos fallidos de contraseña. Tres de cada diez, el 30 por ciento, eran vulnerables a la obtención de la cuenta. Esto es, un atacante podría obtener acceso al dispositivo y los datos a través de una combinación de políticas débiles de contraseñas, falta de bloqueo de cuentas y enumeración de usuario.
  2. Carencia de comunicaciones cifradas. El cifrado de las comunicaciones se considera crítico dado que se está transmitiendo información personal. Todos los relojes evaluados implementaban comunicaciones cifradas mediante SSL/TLS, sin embargo cuatro de ellos eran vulnerables a un ataque POODLE.
  3. Interfaces inseguras: tres de los smartwaches evaluados (30%) utilizaban interfaces web basados en la nube, que además se veían expuestos a problemas de enumeración de cuentas. El mismo porcentaje en lo que se refería a las aplicaciones móviles.
  4. Firmware/software inseguro. Un 70% de los relojes inteligentes probados presentaban problemas en la protección de las actualizaciones del firmware, incluyendo transmisión de actualizaciones de firmware y archivos de actualización sin cifrar. Sin embargo, para evitar la instalación de firmware malicioso muchas actualizaciones estaban firmadas.
  5. Problemas de privacidad. Todos smartwatches recogen algún tipo de información personal, como nombre, dirección, fecha de nacimiento, peso, sexo, frecuencia cardíaca y otros datos sobre la salud del usuario. Dada la posibilidad de enumeración de cuentas y la utilización de contraseñas débiles en algunos productos, la exposición de esta información personal es un motivo de preocupación.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas: ,

HONEYWELL TUXEDO TOUCH. Detectadas múltiples vulnerabilidades

Maxim Rupp ha reportado múltiples vulnerabilidades en todas las versiones de Honeywell Tuxedo Touch. Estos errores permitirían a un atacante remoto eludir restricciones de seguridad y realizar ataques de cross-site request forgery (CSRF).
Tuxedo Touch de Honeywell es un controlador que integra la automatización de la vivienda y la empresa. Ofrece la capacidad de utilizar control de voz, permitiendo una serie de tareas, como por ejemplo el ajuste de los termostatos, controlar las luces, cerrar las puertas y mucho más. Los usuarios pueden ver cámaras, controlar el sistema de seguridad, la iluminación, las cerraduras y los termostatos, y recibir alertas por video y correo electrónico activadas por eventos de forma remota.
Los errores se detallan a continuación:

  1. CVE-2015-2847: En el que debido a un error de autenticación en la interfaz web (usa JavaScript), un atacante remoto podría eludir restricciones de seguridad a través de la interceptación y anulación de peticiones de tipo 'USERACCT'.
  2. CVE-2015-2848: Como hemos comentado varias veces, Cross-site Request Forgery (CSRF) es una técnica que permite realizar peticiones HTTP a usuarios no autorizados a través del aprovechamiento de algún error en la validación de estas peticiones, o incluso la falta de dicha validación. En este caso un atacante remoto podría realizar determinadas acciones con los mismos permisos que el usuario que ha sido víctima del ataque, incluso con la posibilidad de obtener acceso a comandos de dispositivos controlados por Tuxedo Touch Controller.

Recursos afectados
  • Todas las versiones anteriores a 5.2.19.0 se encuentran afectadas.
Recomendación


Más información:


Fuente:H ispasec
Publicado por en
Etiquetas:

BIND. Denegación de servicio

Se ha identificado una vulnerabilidad en BIND que puede ser explotada para provocar una denegación de servicio, catalogada de Importancia: 4 - Alta
Recursos afectados
Las versiones de BIND afectadas son:
  • 9.1.0 hasta 9.8.x
  • 9.9.0 hasta 9.9.7-P1
  • 9.10.0 hasta9.10.2-P2
Detalle e impacto de la vulnerabilidad
  • El fallo se produce por la gestión incorrecta de consultas TKEY. En el caso de que un atacante remoto envíe un paquete especialmente diseñado para explotar la vulnerabilidad, se desecandenará una serie de errores que provocarán el cierre del servicio.
  • Se ha reservado el identificador CVE-2015-5477.
Recomendación
  • Se recomienda aplicar el parche más cercano dependiendo de la versión en uso. Los parches publicados disponibles en http://www.isc.org/downloads/ y son los siguientes:

  1. BIND 9 version 9.9.7-P2
  2. BIND 9 version 9.10.2-P3
Más información
Fuente: incibe.es
Publicado por en
Etiquetas:

BIND 9 . Lanza actualización que corrige Denegación de servicio en todas las versiones

ISC ha liberado una nueva versión del servidor DNS BIND. Esta versión corrige un error en todas las versiones de BIND 9, que podría causar una denegación de servicio a través de consultas especialmente manipuladas.
 El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
Detalle e Impacto potencial de la vulnerabilidad corregida
  • El problema, con CVE-2015-5477, reside en el tratamiento incorrecto de consultas TKEY, que podría permitir a un atacante provocar condiciones de denegación de servicio que provocará el cierre del servicio named con un fallo "REQUIRE.
  • Se ven afectadas todas las versiones de BIND 9 desde BIND 9.1.0 (incluido) hasta BIND 9.9.7-P1 y BIND 9.10.2-P2.
Recomendación
 Más información:
Fuente: Hispasec
Publicado por en
Etiquetas:

CITRIX XENSERVER. Actualización de seguridad

Vulnerabilidad en Citrix XenServer posibilita a un administrador de una HVM comprometer el host, catalogada de Importancia: 4 - Alta
Recursos afectados
  • XenServer 6.5
  • XenServer 6.2.0
  • XenServer 6.1.0
  • XenServer 6.0.2
  • XenServer 6.0
Las implementaciones que sólo tienen máquinas paravirtualizadas (PV) no se ven afectadas
Detalle e Impacto potencial de la vulnerabiladad
  • Citrix XenServer hace uso de QEMU para la virtualización hardware. Un error de desbordamiento de memoria dinámica en QEMU al procesar comandos ATAPI permite a un administrador de una máquina virtual HVM (Hardware Virtual Machine) compromenter el host.
Recomendación
  • Dependiendo de la versión afectada, aplicar la actualización correspondiente. Las descargas de las actualizaciones pueden encontrarse en los enlaces especificados en la seccion siguiente
Más información
Fuente: incibe.es
Publicado por en
Etiquetas:

FLASH. ¿Por qué y como desinstalarlo de Windows, Linux o Mac OS X ?

En los últimos tiempos Adobe Flash se está convirtiendo muy a su pesar en uno de los protagonistas indiscutibles de la actualidad en el mundo del software, y ya sea por las constantes vulnerabilidades que se le encuentran o por la manera en la que algunas grandes empresas empiezan a prescindir de él, su muerte a día de hoy parece inevitable.
Por ello, a día de hoy, la mayoría de los navegadores han empezado a dejar a Flash de lado, utilizándolo sólo cuando hace falta y restringiendo el código no probado que este puede ejecutar. Pero aun así, eliminarlo de nuestros equipos puede hacer que estos vayan más rápidos y ahorren batería, por lo que si estabais pensando en dar el paso y eliminar Adobe Flash de vuestros ordenadores nosotros hoy os ayudaremos diciéndoos cómo hacerlo.
Desinstalar Flash en Windows 8 y 10
Desinstalar en W10
  • En Windows 10 el proceso comienza escribiendo Agregar o quitar programas, aunque también podréis hacerlo entrando al nuevo menú de configuración, haciendo click sobre sistema y entrando en la sección de Programas y características. Una vez ahí se nos irán mostrando las aplicaciones por tamaño, y sólo tendremos que buscar Adobe Flash Player para desinstalarlo.
Desinstalar del resto de windows
  • Desinstalar Flash Player en Windows es bastante sencillo, de hecho lo único que tenéis que hacer es desinstalarlo como cualquier otra aplicación. Para eso en Windows 8 sólo tendréis que pulsar la tecla Win, escribir Programas y características y pulsar Enter. Una vez en la sección de desinstalación de aplicaciones sólo tendréis que hacer doble click sobre Adobe Flash Player y seguir los pasos del proceso para eliminarlo de vuestro equipo.
  • Pero si ninguno de estos pasos os convence o simplemente queréis estar totalmente seguros de eliminar Flash para siempre, Adobe ha puesto a nuestra disposición un desinstalador (.https://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html ) Lo único que tendremos que hacer es descargarlo, ejecutarlo y seguir los pasos del proceso de eliminación.
Desinstalar Flash en OS X
  • Tal y como comentaron hace unos meses nuestros comentarios de Applesfera, los desinstaladores que podemos descargar de la web de Adobe para Mac OS X de 10.1 a 10.3, o para las versiones a partir de 10.4 son la solución más cómoda con la que los usuarios de Apple pueden deshacerse Flash en sus diferentes equipos.
  • Lo único que tendréis que hacer es pulsar en el icono Manzana del menú superior y a continuación en Acerca de este Mac para saber vuestra versión, bajaros la aplicación correspondiente para vuestro equipo, aseguraros de haber cerrado vuestro navegador y ejecutar la aplicación para iniciar el proceso de desinstalación de Flash Player. ¿No es sencillo?
Desinstalar Flash en Linux
  • La familia de distribuciones de GNU/Linux es tan extensa que puede parecer complicado encontrar un método unificado para eliminar Flash, pero nada más lejos de la realidad, porque si hay algo que casi todas comparten es la simplicidad y comodidad que aporta el tener cada uno sus propias tiendas de aplicaciones o centros de software.
  • De esta manera, sólo tendremos que acceder al centro de software de nuestras diferentes distribuciones y, en la pestaña de software instalado buscar Adobe Flash. En algunas será fácil de encontrar a primera vista, pero en otras como la de Ubuntu lo más rápido será utilizar el buscador para encontrar el término flash.
  • Evidentemente también se puede realizar esta misma operación escribiendo una simple línea en el terminal de nuestra distro, pero teniendo en cuenta que en cada una de ellas habrá que utilizar unos comandos diferentes, si no sois unos usuarios experimentados lo mejor será que recurráis a los centros de software como os acabamos de decir.
Desinstalar Flash en Chrome o Firefox
Chromeflash
  • La versión de Flash en Chrome y Firefox está bastante más controlada, y debería ser más estable y segura que la versión de escritorio. Aun así, si lo que queréis es evitar ser el objetivo de cualquier exploit o vulnerabilidad, eliminarla de vuestros navegadores también es una tarea bastante sencilla, y sólo tendréis que seguir un par de pasos para conseguirlo.
  • En el caso de Chrome podéis hacerlo entrando directamente a la sección de plugins escribiendo chrome://plugins en la barra de navegación. Una vez ahí sólo tendréis que pulsar a Inhabilitar, para que deje de funcionar, aunque si lo volvéis a necesitar para alguna página en concreto siempre tendréis la opción de volverlo a habilitar a vuestro antojo.
Fireflash
  • Si sois usuarios de Firefox el proceso es prácticamente el mismo, sólo que a lo que tendréis que escribir en la barra de direcciones es about:addons. Una vez en la página de plugins, al lado de Flash tendréis una pestaña desplegable en la que podréis seleccionar las opciones de activarlo siempre, preguntar para activar o no activar nunca.
Fuente: Genbeta.com
Publicado por en
Etiquetas:

OZO. La cámara de realidad virtual de Nokia

Junto con otras cámaras de realidad virtual que están apareciendo en el mercado, Nokia sorprende ahora con su nueva OZO, lo que muestra que la compañía finlandesa todavía sigue innovando.
GoPro y Samsung han demostrado que los vídeos panorámicos de 360º ya no son algo reservado para unos pocos y que sólo pequeñas compañías están desarrollando. Ambas compañías han apostado por sus propios dispositivos para que los creadores empiecen a grabar contenidos para los visores de realidad virtual.
Pero quizás de entre todas las compañías que podrían lanzar al mercado una cámara como éstas, de la que menos se esperaba podría ser Nokia. El destino de la empresa finlandesa ha estado puesto en duda desde que aparecieron los rumores de compra por parte de Microsoft, y a pesar de que Nokia no podrá vender smartphones hasta 2016, la empresa ya ha anunciado su interés por volver al sector.
Aunque Nokia parece que no quiere quedarse únicamente en los smartphones, su nueva cámara OZO, una cámara esférica capaz de tomar fotos y grabar vídeos panorámicos de 360º, presenta una alternativa muy interesante. Ocho sensores rodean su forma esférica junto con ocho micrófonos, por lo que capta tanto imágenes como sonido envolvente.
Lo mejor de la cámara OZO es que permite visualizar los vídeos en tiempo real con un visor de realidad virtual, así como generar una versión de baja resolución en tan sólo unos minutos, para que los creadores puedan comprobar los vídeos prácticamente al momento.
A su vez cuenta también con la opción de generar contenido en alta resolución tras un postprocesado intenso en el que se une las imágenes de todos los sensores, tal como hacen otras cámaras similares. Nokia no ha dado detalles de precio ni de fecha de lanzamiento de la cámara OZO, pero podría llegar en el cuarto trimestre de este año.
Fuente: Itespresso.es
Publicado por en
Etiquetas:
Suscribirse a: Entradas (Atom)