Mensajes

Los investigadores de seguridad de Qualys han realizado un análisis detallado de una máquina de rayos X como aquellas utilizadas en aeropuertos, embajadas, tribunales y otros edificios gubernamentales. Ellos afirman haber encontrado una manera de engañar a los dispositivos.

Billy Rios y Terry McCorkle han realizado sus experimentos en el Rapiscan 522B. Cabe destacar que Rapiscan es uno de los tres fabricantes que proporcionan escáneres para la Administración de Seguridad del Transporte de EE.UU. (TSA).

Según Wired, los investigadores han encontrado una manera de explotar la función de Proyección de Imagen de la Amenaza (TIP) del escáner para reemplazar objetos peligrosos con imágenes de otros inofensivos.

El sistema TIP está integrado en todos los escáneres. Se utiliza principalmente para capacitar a los operadores de rayos X, ya que permite a los supervisores plantar imágenes de objetos de contrabando en equipajes en los aeropuertos.

Normalmente, no puedes acceder a la funcionalidad TIP a menos que tengas las credenciales de inicio de sesión correctas, pero Rios y McCorkle han logrado eludir la autenticación mediante la explotación de una vulnerabilidad de Inyección SQL.

El dispositivo probado por los expertos ejecuta Windows 98. Otros modelos funcionan con Windows XP. En cualquier caso, ambos sistemas operativos ya no son soportados con parches y actualizaciones, así que son obsoletos.

Al acceder a TIP, un atacante podría reemplazar la imagen de una bolsa que contiene objetos ilegales con una foto de una que tiene sólo cosas usuales.

Según los representantes de Rapiscan y la TSA, hay algunos factores que mitigan este tipo de ataques.

Por ejemplo, Rapiscan dice el controlador probado por Rios y McCorkle es diferente de aquel vendido a la TSA. Además, la compañía niega la existencia de la vulnerabilidad explotada por los expertos para eludir la contraseña de supervisor. Lo más probable es que el dispositivo probado por los investigadores haya sido mal configurado, según Rapiscan.

El vicepresidente ejecutivo de la compañía, Peter Kant, dice que el ataque descrito por los expertos no funciona porque es imposible superponer algo en la pantalla del operador. Al parecer, hay un algoritmo que le indica al sistema cómo usar cada imagen.

Por otro lado, los investigadores sostienen que podrían manipular el algoritmo puesto que cada imagen va acompañada de un archivo que le da indicios a TIP sobre cómo usarlo. Además, han encontrado un archivo que contiene todas las credenciales de operador en texto claro, así que realmente no es tan difícil para un actor malicioso obtener acceso a la información.

Los representantes de la TSA tampoco están convencidos de que no haya una amenaza real. También dicen que el software TIP usado por ellos es diferente de la versión comercial, y no es fácil para alguien que ponga sus manos en la variante utilizada por la agencia.

"La Agencia utiliza sus propias bibliotecas y ajustes. Además, los sistemas 522B no están conectados a red actualmente", explicó el portavoz de la TSA, Ross Feinstein.

http://news.softpedia.es/Expertos-en-seguridad-muestran-como-pueden-los-hackers-enganar-las-maquinas-con-rayos-X-426432.html

[LEER MAS]

Adobe ha anunciado que Adobe Shockwave Player 12.0.9.149 está disponible para su descarga. La versión más reciente parchea un par de agujeros de seguridad críticos que podrían ser explotados por los ciberdelincuentes para secuestrar remotamente sistemas que ejecutan software vulnerable.

Adobe Shockwave Player 12.0.7.148 y las versiones anteriores para Windows y Macintosh se ven afectadas.

LEER MAS: http://news.softpedia.es/Adobe-actualiza-Shockwave-Player-12-para-corregir-vulnerabilidades-de-corrupcion-de-la-memoria-426247.html

[Ceguera o desorientación]

El FBI, la policía federal de Estados Unidos, ha anunciado este martes que premiará con 10.000 dólares de recompensa a quienes den información que favorezca el arresto de personas que apunten con láser a aviones.

Este programa regional se desarrollará durante sesenta días en doce oficinas regionales del FBI, entre las que se incluye a la ciudad de Nueva York, la cual ha sufrido un aumento del 39% de incidentes causados por láser entre el 2012 y el 2013.

En el área de Nueva York hubo 52 incidentes causados por el láser en el 2010, mientras que en el 2013 la cifra ascendió a 99.

A escala nacional se ha dado un aumento superior al 1.100% en ataques deliberados contra aviones desde el año 2005, momento en el que el FBI comenzó a rastrear este tipo de crímenes.

Ceguera o desorientación

Según informó la oficina federal, muchos pilotos sufren cegueras o desorientación después de ser apuntados por un láser, lo que puede causar accidentes graves.

Las personas con información sobre estos ataques podrán llamar a un número del FBI y permanecer anónimos, beneficiándose de una recompensa de 10.000 dólares por aportar pistas que conduzcan al arresto de personas implicadas en estos incidentes.

Las otras oficinas del FBI que participarán en el programa, además de la de la ciudad de Nueva York, serán las de Albuquerque, Chicago, Cleveland, Houston, Los Ángeles, Filadelfia, Phoenix, Sacramento, San Antonio, San Juan, y la Oficina de Campo de Washington.

http://www.elperiodico.com/es/noticias/internacional/fbi-ofrece-10000-dolares-por-informacion-sobre-ataques-con-laser-los-aviones-3094991

[LEER MAS]

Cinco aplicaciones de empresas españolas están nominadas este año a los Mobile Premier Awards, los más prestigiosos del campo, organizados por la plataforma App Circus. Los galardones, cuya entrega se celebra el próximo 24 de febrero en Barcelona en paralelo a la feria Mobile World Congress, son tres: el Best App Award, a la mejor aplicación, el Best Audience Award, a la más votada por el público y el Big Impact Award, a la aplicación que tiene un mayor impacto en la vida de las personas. No incluyen dinero en metálico.

LEER MAS: http://tecnologia.elpais.com/tecnologia/2014/02/10/actualidad/1392063557_232945.html

El Gobierno de Estados Unidos ha lanzado este miércoles el llamado Marco de Seguridad Cibernética, con normas voluntarias para ayudar a las empresas de sectores cruciales para la economía, como el transporte, el financiero o la atención sanitaria, a protegerse mejor contra los ciberataques.

Hace exactamente un año el presidente de EEUU, Barack Obama, emitió un decreto para instruir al Instituto Nacional de Estándares y Tecnología a desarrollar el marco presentado este miércoles, que contiene directrices que las empresas no tienen obligación de adoptar.

"Las amenazas cibernéticas representan uno de los peligros más graves para la seguridad nacional", ha destacado Obama en un comunicado divulgado por la Casa Blanca.

El Marco de Seguridad Cibernética, que "refleja el buen trabajo de cientos de empresas, varias agencias federales y colaboradores de todo el mundo", es también "un gran ejemplo de cómo el sector privado y el Gobierno pueden, y deben, unirse para enfrentar este reto compartido", agregó el presidente.

A su juicio, las amenazas en el ciberespacio "son serias y evolucionan constantemente", pero si se enfrentan "con eficacia" es posible "garantizar que internet siga siendo un motor de crecimiento económico y una plataforma para el libre intercambio de ideas".

"No existe una fórmula mágica en ciberseguridad", admitió hoy un alto funcionario estadounidense en una conferencia telefónica con periodistas, pero al menos las normas voluntarias lanzadas hoy son "una herramienta flexible" para que las empresas puedan protegerse de una mejor manera.

El Congreso de EEUU ha sido incapaz hasta ahora de aprobar un proyecto de ley sobre seguridad cibernética.

Por ello, Obama volvió a instar a los legisladores a "avanzar" al respecto para proteger al país, la privacidad y las libertades civiles.

http://www.elmundo.es/tecnologia/2014/02/12/52fbc5cbe2704e960f8b4578.html

[LEER MAS]

La Comisión Europea ha planteado este miércoles cambios en la gestión mundial de Internet para asegurar un proceso "más transparente" y "plural", que defienda los derechos y libertades de los usuarios, después de los últimos escándalos de espionaje revelados desde Estados Unidos.

"Los dos próximos años serán fundamentales para rediseñar el mapa global de la gestión de Internet y Europa debe contribuir a ello de manera creíble. Debe jugar un papel fuerte en la definición de los próximos pasos a dar", ha asegurado la vicepresidenta del Ejecutivo comunitario y responsable de Telecomunicaciones, Neelie Kroes, en referencia a las negociaciones sobre gobernanza en la red previstas en distintos foros internacionales.

LEER MAS: http://tecnologia.elpais.com/tecnologia/2014/02/12/actualidad/1392207688_385702.html

Microsoft ha negado que esté omitiendo de su buscador Bing webs críticas con el Gobierno chino como ocurre con páginas dedicadas al Dalai Lama. Microsoft lo achaca todo a un fallo técnico.

GreatFire.org, un grupo de defensa de la libertad de expresión con sede en China, dijo en un comunicado el martes que Bing filtraba resultados en inglés y en chino de términos como "Dalai Lama", el líder espiritual tibetano exiliado.

Microsoft reconoció que un fallo en el sistema había eliminado algunos resultados de búsqueda para usuarios de fuera de China. Casualmente esos fallos técnicos ocurren siempre con páginas molestas para el régimen chino. Ya en años anteriores, Microsoft había sido acusado de censurar la llamadas a través de Skype.

"Debido a un error en nuestro sistema, se activó una notificación de eliminación de resultados internacionales señalados en el informe, pero los resultados en sí mismos estaban y están inalterados fuera de China", señaló Stefan Weitz, director de Bing, en un comunicado enviado por correo electrónico a Reuters.Weitz no dijo si el error se había corregido.

Microsoft envió una versión abreviada de la declaración a los medios de comunicación con sede en China, donde omite toda referencia a GreatFire.org. "Había demasiados puntos en la declaración original", dijo una portavoz de Microsoft en China.

El Partido Comunista de China considera la censura clave para mantener su control del poder, pues reconoce que los medios sociales ofrecen una plataforma para que los ciudadanos se quejen, y son por tanto un disparador potencial de malestar social.

Todas las empresas de Internet que operan en China cumplen con los requisitos del Gobienro sobre la censura en Internet. Por ese motivo, hace años que Google se retiró del país y se estableció en Hong Kong. En el caso de Microsoft, siempre ha mostrado su deseo de implantarse en el país, en donde ha llegado a acuerdos con el Gobierno para limitar el pirateo masivo de su software.

Pese a la autodefensa de Microsoft, el miércoles GreatFire le contestó confirmando sus acusaciones de censura. Y pide una informe transparente internacional de su buscador Bing. "Es el momento de que Microsoft retire su política de censura internacional en el buscador Bing tanto dentro como fuera de China".

http://tecnologia.elpais.com/tecnologia/2014/02/12/actualidad/1392196627_656825.html

[LEER MAS]

Cuando llegó a París diciendo que era comunista, a Lucio Urtubia, el albañil navarro que estuvo a punto de hacer quebrar el banco estadounidense Citibank en los 70 después de falsificar 200.000 cheques de viaje para financiar la lucha armada de varios movimientos de izquierda latinoamericanos, sus colegas, entre ellos Albert Camus o André Breton, le dijeron que era anarquista: "Yo no lo sabía".

Hoy, la aldea global está plagada de criptoanarquistas que probablemente nunca hayan oído hablar de una palabra que designa una ideología minoritaria que, sin embargo, está detrás de algunos de los hitos más relevantes de la historia reciente de la red, desde el bitcoin y su paraíso de droga en el ciberespacio, Silk Road; pasando por Wikileaks y el caso Edward Snowden, hasta el auge de la transmisión de archivos mediante P2P y su manifestación más popular, la piratería, en este caso fuera de la ley.

LEER MAS: http://www.elconfidencial.com/tecnologia/2014-02-12/la-ideologia-que-sustenta-wikileaks-pirate-bay-o-el-bitcoin_87965/

[LEER MAS]

Puede que a los que pasamos frente al ordenador gran parte del día nos choque, pero cada vez se navega más desde dispositivos móviles. Y no lo digo yo, sino que en el informe The Digital Consumer, que ha publicado Nielsen recientemente, se demuestra esta afirmación con cifras: los usuarios pasan una media de 34 horas y 17 minutos al mes frente a su teléfono (con navegadores u otras aplicaciones) mientras que si hablamos de la navegación desde un ordenador el tiempo cae a 27 horas y 3 minutos mensuales.

Además, el tiempo que pasamos en nuestros teléfonos es mayor ahora que en 2012, con casi 10 horas más cada mes, mientras que el tiempo frente al ordenador ha caído casi 2 horas. Si bien se trata de datos obtenidos por Nielsen en Estados Unidos, confirman las cifras que estamos viendo procedentes de otras fuentes (por ejemplo, cuando hablábamos de cómo el crecimiento de Facebook desde el móvil estaba creciendo a pasos agigantados).

LEER MAS: http://www.genbeta.com/movil/internet-cada-dia-es-mas-movil-pasamos-mas-tiempo-con-el-smartphone-que-frente-al-ordenador

No falta semana en que nuevas variantes de malware para Android sean noticia. Sus creadores buscan las fórmulas más efectivas para intentar engañar a los usuarios y que éstos instalen sus aplicaciones y obtener de alguna manera un beneficio económico. Los métodos, cada vez más sofisticados aprovechan temas de actualidad, temas candentes para atrapar a los usuarios más descuidados o con menos conocimientos.

El juego, creado por el vietnamita Don Nguyen se basa en una dinámica e interfaz realmente simples, el objetivo, conducir a un pájaro a través de un túnel formado con tubos que recuerdan a los de Mario Bross. El éxito ha sido brutal y el nivel de adicción que provoca en algunos usuarios, preocupante. Hasta 100.000 euros costaba en eBay un iPhone 5s cuya mayor peculiaridad era contar con el desaparecido videojuego instalado. Ante tales acontecimientos, una avalancha de copias de Flappy Bird ha hecho acto de presencia. Peces, perros, cerdos, pollos, abejas, ballenas o murciélagos sustituyen al pájaro original con sistemas similares.

http://www.adslzone.net/content/uploads/2014/02/flappy-bird-download-malware-premium-text-message-1-287x300.jpg

Tal y como nos cuentan los compañeros de MovilZona, la compañía Trend Micro ha lanzado un aviso en el que informa que ha descubierto en diferentes repositorios oficiales de Android aplicaciones como estas que esconden malware y estafas. El mecanismo se pone en marcha al ejecutar la aplicación, mostrando un aviso en el que solicita conectarse a un servidor remoto de Google, piden que ingresemos tanto el número de teléfono como como el operador, correo electrónico y contraseña de la cuenta de Google, originando una solicitud de envío de SMS que contacta con los odiados servicios de SMS Premium.

Otro modus operandi alternativo es que a aquellos usuarios que ya tienen instalada la aplicación (no la original, por supuesto) muestra una ventana de actualización de la misma en la que solicita permisos que utilizarán con fines similares. Como pautas a seguir, no confíes en aplicaciones clones, principalmente si tienen como nombre Flappy Bird y menos aún si observas algún comportamiento extraño de la misma como los que acabamos de describir, usa la lógica y dirígete a las tiendas oficiales de aplicaciones si quieres una versión alternativa.

La aplicación original era gratuita y las cifras sobre los ingresos que reportaba a su creador tenían como única fuente la publicidad. Tal y como el propio creador ha declarado, la razón de retirar el videojuego es que se ha visto superado por el éxito de una aplicación que considera demasiado adictiva.

http://www.adslzone.net/2014/02/12/cuidado-con-descargar-clones-de-flappy-bird-podrian-contener-malware/