Mensajes

[LEER MAS]

Un matemático kazajo afirma haber encontrado una solución parcial para la ecuación Navier-Stokes sobre la mecánica de fluidos, uno de los siete problemas del milenio lanzados por la Fundación Clay en 2000 y que son premiados con un millón de dólares.

El profesor universitario Mujtarbay Otelbáyev explica su hallazgo en un artículo titulado La existencia de una buena solución de la ecuación Navier-Stokes y publicado por la Revista Matemática kazaja, según informan los medios rusos.

Otelbáyev, director del Instituto Matemático de la Universidad Nacional Euroasiática de Alma Atá, asegura haber encontrado una respuesta satisfactoria y única para el famoso conjunto de ecuaciones en derivadas parciales no lineales que describen el movimiento de cualquier fluido.

LEER MAS: http://www.elconfidencial.com/tecnologia/2014-01-11/un-matematico-kazajo-encuentra-la-solucion-parcial-para-la-ecuacion-navier-stokes_74993/

En los últimos meses se ha detectado un aumento considerable de las entradas disponibles en servidores de resolución de nombres de dominio abiertos. Con el aumento de estas entradas, los piratas informáticos han comenzado también a aprovecharse de ellos y han empezado a utilizarlos para su propio beneficio. El centro japonés JPCERT ha habilitado una plataforma que nos permite comprobar si nuestro servidor o equipo está presente en estas bases de datos y si está siendo utilizado por los piratas para realizar ataques DDoS.

Lo primero que debemos hacer es explicar lo que son las resoluciones de DNS abiertas. Estas resoluciones de nombres de dominio, también conocidas como Open DNS Resolver, son servidores de nombres de dominio de acceso público que ofrecen una resolución de nombres recursivos para direcciones IP no especificadas. Estos servidores son habitualmente utilizados por piratas informáticos para realizar ataques DDoS, lo que supone un riesgo para los usuarios ya que sus direcciones IP quedarán reflejadas en los registros de las víctimas.

Desde la plataforma Open DNS Resolver, el centro japonés JPCERT ha puesto a disposición de los usuarios una página web que permite comprobar fácilmente si un equipo se encuentra dentro de estas bases de datos y, de ser así, facilita información sobre cómo solucionar esto configurando adecuadamente el servidor (si se trata de una página web o un proveedor de servicios, por ejemplo) o cómo configurar correctamente la tarjeta de red para que si los piratas informáticos intentan lanzar un ataque DDoS con nuestra dirección IP, sea nuestro PC quien lo bloquee automáticamente.

http://www.redeszone.net/wp-content/uploads/2014/01/open_dns_foto-655x323.png

Podemos acceder al comprobador desde el siguiente enlace. La comprobación y los pasos para intentar solucionar el hecho de estar presente en duchas bases de datos reducir la repercusión de estos problemas los ofrece la web de forma totalmente gratuita. Bastará con hacer scroll hasta el final de la página y pulsar sobre el enlace "Check Open DNS Resolver". Es una iniciativa para intentar reducir el abuso que los piratas informáticos están llevando a cabo con este tipo de plataformas.

http://www.redeszone.net/2014/01/11/como-comprobar-si-nuestra-ip-pertenece-una-resolucion-de-dns-abierto/

El crecimiento de Google y su sistema operativo Android parece no tener límites. Si ya domina con una notable ventaja la cuota de mercado en dispositivos móviles, tanto smartphones como tablets, el siguiente paso parece ser el sector de los PCs. Y cuentan con motivos y apoyos suficientes como para pensar que podría ser un éxito.

Android es junto con iOS, uno de los sistemas operativos dominantes, incluso en datos de cuota de mercado, supera ampliamente a sus competidores. Sin embargo la ambición de Google parece no tener límites y el siguiente paso en la estrategia de la compañía, es hacerse con el sector de PCs. Los buenos resultados que recientemente están cosechando los chromebooks, unido al interés de dos de los grandes fabricantes de ordenadores a nivel mundial, Lenovo y HP, parecen augurar un buen futuro a Android en este segmento, ¿qué ventajas y puntos a favor tiene?

La compañía HP ha apostado por Android como sistema operativo alternativo para los negocios. Un fin empresarial dedicado a la pequeña industria y que dotaría a los comercios de herramientas suficientes para llevar sus gestiones de la mejor manera. Es de esperar que nuevos equipos de la compañía incorporen alternativamente Android con otras opciones.

Sin duda, una de las ventajas de disponer de Android en el PC sería la integración entre todos los productos dominados bajo el mismo sistema. Así, podríamos usar de manera conjunta y cooperativa nuestro smartphone, tablet, ordenador e incluso nuestro coche. Muchos recalcan que un problema de este crecimiento que está llevando Google, es que llegara a convertirse en el nuevo Microsoft. El dominio absoluto de un mercado, no suele traer consecuencias positivas a los usuarios aunque realmente, no parece que esto pueda llegar a suceder por los grandes competidores que existen actualmente. Eso sí, la amenaza es real para algunos expertos.

Más puntos a favor de Android. La trayectoria de Google es inversa a la de Microsoft. Mientras que los de Redmond empezaron con los PC de sobremesa, los de Mountain View se han extendido desde los sistemas móviles, y este conocimiento a fondo del sector puede aportar un soplo de aire fresco al concepto actual de ordenador. Además, los precios con los que planea llegar al mercado son precios asequibles, que abarquen a la mayor cantidad de posibles clientes, y eso es un factor muy a tener en cuenta, sobre todo en países como España que no pasan por su mejor momento económico.

Por último y más importante, los fabricantes quieren dispositivos con Android. Quieren un sistema que les cubra las espaldas contra Microsoft y Windows, que han tenido el monopolio durante tiempo, y ahora buscan abrir las puertas a otras posibilidades que les dé capacidad para ser ellos quienes elijan.

Fuente: ZDNet

http://www.adslzone.net/article13683-por-que-android-para-pc-podria-ser-un-exito.html

[LEER MAS]

La empresa Samsung se ha unido al fabricante de bicicletas Trek Bikes para desarrollar una bici que permita al usuario recargar el teléfono móvil al tiempo que pedalea. El celular, además, informa de la velocidad de marcha. El proyecto se ha presentado en la feria tecnológica CES que se está celebrando en Las Vegas (EEUU).

Según explica la firma de telecomunicaciones en su página web, Trek ha diseñado dos prototipos para demostrar las "múltiples posibilidades de la integración de 'smartphones' y bicicletas". Los visitantes de la feria ya lo han podido ver y poner en práctica subiéndose a esos dos modelos. Mientras se pedalea, la bicicleta permite cargar el Galaxy Note 3 de Samsung, modelo con el que se ha realizado el proyecto. "Así el ciclista puede disfrutar de recorridos largos sin preocuparse de quedarse sin batería" o de perder la conexión al GPS, a mapas o a otras aplicaciones en marcha.

El teléfono está situado, sin cables, en el manillar. Otra opción es que el ciclista lleve en su muñeca un dispositivo Galaxy Gear. De esta manera, subraya Samsung, el teléfono se conecta a un dispositivo que informa al ciclista de la velocidad de marcha y de sus constantes vitales.

LEER MAS: http://www.elperiodico.com/es/noticias/economia/samsung-trek-bicicleta-feria-ces-vegas-2994970

[LEER MAS]

A un solo clic. Gratis y de pago, aunque cuestan poco (la mayoría, apenas dos euros, como Avisador de radares y AvísaMe). Y al alcance de cualquier conductor. La popularización de los smartphones —el 63% de los españoles ya cuenta con uno, según la Fundación Telefónica— se ha traducido en la multiplicación de aplicaciones para móviles que ofrecen al usuario extensas bases de datos con los cientos de radares colocados por Tráfico en las carreteras. Estos dispositivos legales, muchos actualizados casi en tiempo real y con información aportada por los propios usuarios, permiten esquivar los controles de velocidad. En este caso, la información es poder... evitar una multa.

"Estas aplicaciones están permitidas. Nosotros mismos ofrecemos una", resalta un portavoz de la Dirección General de Tráfico (DGT), que insiste en diferenciar entre tres tipos de instrumentos: los avisadores, los detectores y los inhibidores. Los primeros, "perfectamente legales", son estas aplicaciones para teléfonos inteligentes: una recopilación de datos que se incorpora al smartphone y que, mediante la localización GPS, avisa cuando el vehículo se haya cerca del control de velocidad. Una alerta que ayuda a pisar el freno y eludir la sanción.

LEER MAS: http://politica.elpais.com/politica/2014/01/11/actualidad/1389476192_549178.html

[LEER MAS]

Algo extraño ha pasado hoy con Dropbox. Su portal web se ha desactivado durante unas horas supuestamente por operaciones de mantenimiento "rutinarias", pero un grupo de hackers llamado 1775 Sec ha reivindicado ese cierre a raíz de un ataque en honor al fallecido hace un año Aaron Swartz.

Dropbox, sin embargo, ha comentado que no ha habido ningún ataque, y que ese grupo ha intentado lanzar un engaño. Lo ha hecho en su Twitter oficial y en su blog técnico, donde ha insistido que "ningún factor externo" ha sido responsable de la caída. Los activistas, desde su frente, han insistido en que la caída de la web ha sido cosa suya y que si no solucionaban el agujero de seguridad iban a filtrar datos de usuarios.

Este es el tuit en el que han reivindicado el ataque:

LEER MAS: http://www.genbeta.com/actualidad/la-web-de-dropbox-cierra-por-mantenimiento-pero-un-grupo-de-hackers-reivindica-que-la-han-atacado

[¿Qué ha cambiado en este ataque?]

El pasado diciembre tuvieron lugar diversos ataques distribuidos de denegación de servicio sobre redes de servidores de juegos. Entre ellas, Steam, Origin o Battle.com. Al parecer los ataques fueron atribuidos al grupo DERP Trolling. Al margen de las causas políticas lo interesante es qué usaron para generar el tráfico que provocó el corte o degradación temporal del servicio.

Como sabemos, hay diversos tipos o técnicas de denegación de servicio. Desde un simple paquete modificado para generar un desbordamiento en la pila y desestabilizar el proceso, hasta la generación de un gran volumen de tráfico desde múltiples direcciones que termine por agotar los recursos de los servidores atacados. El ataque ha empleado una técnica de generación de tráfico conocida pero sobre un actor diferente.

Desde hace tiempo uno de los ataques de denegación de servicio más interesantes es la amplificación de respuestas DNS. Esta técnica aprovecha varios factores para generar un tráfico no solicitado de una manera "lícita", es decir, no se aprovecha de la infección de máquinas sino de la falta o descuido de configuración de los servidores DNS de terceros.

Basta hacer un escaneo aleatorio sobre el puerto 53 para detectar servidores DNS y una pequeña prueba para determinar que esos servidores DNS responden o generan una consulta recursiva sobre dominios de terceros. Una consulta sobre un dominio puede generar una respuesta hasta 50 veces mayor que la petición. Es decir, inviertes 10 bytes en una petición y el servidor podría devolverte hasta 500 bytes. Ya tienes la generación de tráfico.

El protocolo DNS funciona sobre el protocolo de transporte UDP que como sabemos no está orientado a conexión y por lo tanto prescinde de lo que se denomina "handshake". Es decir, no necesita confirmación del otro extremo para iniciar una conversación con más detalles. Con UDP pides y te sirven. Esto es importante ya si construimos una petición UDP pero cambiamos el campo origen a otra IP que no sea la nuestra el servidor responderá a esa otra IP.

Ya tenemos dos factores. Podemos generar tráfico gracias al ratio 1:50 petición/respuesta y también podemos falsear la dirección de origen  gracias a UDP. El siguiente factor es encontrar servidores DNS abiertos o que permitan consultas recursivas sobre dominios de terceros. Con un buen grupo de estos servidores y otro grupo que genere las peticiones se tiene la tormenta perfecta para dirigir ese tráfico al objetivo.

¿Qué ha cambiado en este ataque?

Que no se han usado servidores DNS para amplificar las respuestas. En vez de ello los atacantes han usado servidores NTP (Network Time Protocol).

NTP es un protocolo usado principalmente para sincronizar los relojes del sistema operativo. Podemos leer sobre el en las siguientes RFC: http://www.ntp.org/rfc.html.

Los servidores NTP escuchan en el puerto 123 UDP y por cada petición, por ejemplo, de 8 bytes pueden llegar a generar una respuesta hasta casi 60 veces mayor. Pero esta respuesta no es la habitual de un servidor NTP sino que es una característica del protocolo que ahora ha sido parcheada para evitar este tipo de ataques. Curiosamente en la lista de desarrollo de NTP la debilidad ya aparecía en 2010. Por cierto, incluso tiene un CVE asociado, el CVE-2013-5211 y está corregida en la versión 4.2.7 del servidor NTP.

http://bugs.ntp.org/show_bug.cgi?id=1532

Es posible efectuar una petición al servidor NTP para obtener una lista con información de peticiones a modo de registro, una lista denominada Monitor data. Incluso existe un script para nmap que encuentra servidores NTP con esta característica (http://nmap.org/nsedoc/scripts/ntp-monlist.html).  Gracias a esto es posible amplificar la respuesta.

Aunque no es habitual, es posible encontrar organizaciones que usen servidores NTP sobre Internet para sincronizar redes en diferentes localizaciones. Si no es el caso sería recomendable filtrar el tráfico entrante del puerto 123 UDP y por supuesto si se usan servidores NTP actualizar a la versión corregida.

Sobre los servidores DNS abiertos la verdad merece una entrega aparte. Es una constante en nuestras auditorías de seguridad, encontrar un DNS (¡o varios!) de la organización publicado hacia Internet y que permite a terceros su uso sobre cualquier dominio de manera recursiva. Incluso es complicado hacer entender al administrador como eso puede ser usado en contra de la organización para la que trabaja.

Hemos de entender que cuando una víctima recibe tráfico DNS el paquete UDP lleva como origen la IP de nuestra organización, por lo que podemos vernos en la tesitura de tener que responder ante un escenario donde nuestro servidor DNS ha sido usado para un ataque DDoS.

David García
dgarcia@hispasec.com
Twitter: @dgn1729

http://unaaldia.hispasec.com/2014/01/ataques-de-denegacion-de-servicio.html

[LEER MAS]

En la actualidad existen varias herramientas para comprobar el nivel de seguridad SSL TLS de un determinado servidor, de hecho, hay una página web dedicada a este propósito con la que analizaremos de forma fácil y rápida la seguridad de cualquier página web. Ya hemos hablado de ella en otra ocasión, hoy sin embargo os vamos a proporcionar una herramienta para comprobar la seguridad del cliente SSL TLS.

La misma empresa que realiza un completo test a un servidor SSL TLS, también pone a nuestra disposición una herramienta para verificar el nivel de seguridad que tenemos en el cliente SSL TLS. Esta herramienta nos proporcionará información sobre la versión de TLS que está utilizando nuestro cliente (normalmente navegador web) y los cifrados que es capaz de utilizar con el servidor ordenados por orden de preferencia.

LEER MAS: http://www.redeszone.net/2014/01/11/comprueba-el-nivel-de-seguridad-de-ssl-tls-de-tu-navegador-con-esta-herramienta/

[LEER MAS]

Si estáis puestos en el mundillo de las monedas virtuales, ya sabréis que a día de hoy no es rentable minar Bitcoins con GPUs (Tarjetas gráficas) puesto que el gasto eléctrico es mucho mayor que lo que vamos a sacar en la moneda virtual. No obstante, hay otras monedas de menos valor como los Litecoins, que actualmente mucha gente mina con sus tarjetas gráficas. Hemos estado varios días haciendo pruebas de minado de Litecoins, y os vamos a contar si es o no rentable minar Litecoins con GPU a día de hoy.

Comenzaremos diciendo que este artículo está enfocado a personas que ya están informadas sobre lo que son las monedas virtuales, cómo se minan, etc., o al menos que ya conozcan los términos. No se trata de un tutorial. Como decía antes, hemos estado unos cuantos días haciendo pruebas reales de minado de Litecoins, con dos sistemas diferentes, uno equipado con una Gigabyte GTX 770 OC y otro con una AMD Radeon R9 290X de referencia. El resto del sistema es irrelevante, puesto que minamos única y exclusivamente con la potencia de nuestra GPU.

LEER MAS: http://hardzone.es/2014/01/11/es-rentable-minar-litecoins-con-un-pc-normal-dia-de-hoy/

[Fibra óptica]

Revolución en Jazztel, así podríamos definir los cambios que entrarán en vigor en el portfolio de ofertas de la operadora a partir de la próxima semana. En primer lugar, los 100 megas con fibra óptica desaparecen y todos los clientes pasarán a tener 200 megas simétricos, es decir, misma velocidad de bajada y subida. Todo ello manteniendo el mismo precio de 29,95 euros.

También baja de precio el ADSL, por tanto, la medida afectará positivamente a más de un millón de clientes.

Fibra óptica

La operadora estrena el año con novedades muy importantes en sus ofertas de fijo. Comenzamos por la alta velocidad y es que desde la próxima semana, Jazztel dejará de comercializar su oferta de 100/10 Mbps para ofrecer únicamente 200 megas simétricos. Se trata de un movimiento importantísimo que podría obligar a todos sus rivales a reaccionar de forma inmediata. El precio se mantiene en 29,95 euros al mes (cuota e IVA no incluido). (Leer más detalles en RedesZone.net)

También lanza una oferta de 50 megas con fibra óptica por 19,95 euros al mes con 5 megas de subida. Se trata de una modalidad ideal para aquellos que no necesitan tanta velocidad y prefieren ahorrar 10 euros al mes. Ambas ofertas de fibra también tendrán 100 minutos para llamar desde el móvil y 100 megas para navegar sin incremento de precio. Aquellos que además quieran que su oferta convergente disponga de llamadas ilimitadas en el móvil tendrán que pagar 10 euros al mes adicionales.

El ADSL también costará menos

Las ofertas de cobre también sufren cambios y es que por primera vez el ADSL 20 megas baja de precio pasando de 19,95 euros al mes a 15,95 euros. Aquellos usuarios que tengan 20 megas (pagando 19,95 euros) y tengan cobertura de fibra 50 megas serán invitados a migrar de forma automática y sin coste a la nueva tecnología. La única modalidad que no sufre cambios es el VDSL 30 megas.

Así quedarán las ofertas

http://cdn.adslzone.net/pub/adslzone.net/noticias/Jazztel_200.png

Permanencia

La única mala noticia es que la operadora obligará a sus clientes a suscribir un contrato de permanencia mínima en fibra. El incumplimiento será penalizado con 260 euros en bajas anticipadas antes de seis meses y con 130 euros para usuarios que cancelen el servicio antes de un año. Con esta medida la operadora quiere cubrir el alto coste que supone instalar fibra óptica hasta el hogar dentro de los domicilios.

¿Qué os parece el nuevo movimiento de Jazztel?

http://www.adslzone.net/article13714-jazztel-rompe-el-mercado-de-la-banda-ancha-200-mbps-simetricos-desde-2995-euros-al-mes.html