Mensajes

Microsoft se ha tomado en serio el mejorar la seguridad de IE y de su sistema operativo Windows. Para ello, hace un mes anunció un programa de recompensas para quienes detectaran fallos de seguridad importantes en sus programas o servicios.

La primera persona en recibir esta recompensa por parte de Microsoft ha sido un empleado de Google, Ivan Fratric, que ha detectado una vulnerabilidad importante en Internet Explorer 11 (problema de corrupción de memoria), la cual ya está siendo solucionada por Microsoft. Este empleado de Google es conocido por Microsoft al ser el ganador de otros premios como el pasado Microsoft Bluehat Prize con 50.000 dólares.

Con este tipo de recompensas, Microsoft pretende mejorar la seguridad y el rendimiento de sus productos, sobretodo en el ámbito de los navegadores de internet, ya que Internet Explorer está siendo víctima de muchas vulnerabilidades y críticas por parte de los usuarios. Mejorando Internet Explorer 11 pretende volver a ponerse a la altura de Google Chrome y Firefox, los navegadores más utilizados a día de hoy.

Microsoft no es la primera empresa que decide pagar a la gente que encuentre fallos en sus sistemas, por ejemplo, Facebook ya sacó un programa de recompensas hace varios años en los que recompensaba a los usuarios que detectaran fallos de seguridad en su red social, solucionando así varias vulnerabilidades y pudiendo mejorar la privacidad de los perfiles.

http://www.redeszone.net/wp-content/uploads/2013/07/microsoft_dinero_8.1-655x281.jpg

Actualmente, el programa de recompensas de Microsoft se compone de 3 categorías:

    11.000 dólares por publicar vulnerabilidades en Internet Explorer 11
    50.000 dólares por dar ideas sobre técnicas defensivas que permitan proteger a los usuarios de Windows.
    100.000 dólares por reportar técnicas de explotación frente a las medidas de seguridad que incorpora Windows 8.1

Ivan Fratric ha sido el primer participante que ha ganado el premio, dentro de la categoría de Internet Explorer 11. Se puede obtener más información en el blog de Microsoft sobre el programa de recompensas.

¿Crees que estas técnicas mejorarán la seguridad de Windows? ¿Podrá Internet Explorer recuperar cuota de mercado?

http://www.redeszone.net/2013/07/15/microsoft-paga-a-un-empleado-de-google-por-un-bug-en-ie11/

Las compañías están constantemente pidiendo a Google que elimine los resultados de búsqueda sobre todo tipo de contenido que vulnere las leyes de derechos de autor. La productora HBO, conocida por emitir la famosa serie "Juego de Tronos" ha enviado un comunicado a Google en el que, entre otras cosas, pide a Google que elimine resultados referentes a VLC, el famoso reproductor multimedia.

Estas peticiones se realizan a través de la Digital Millennium Copyright Act (DMCA), tal como podemos ver en el mensaje que aparece al buscar determinados resultados en Google que ya han sido bloqueados por el buscador.

http://www.softzone.es/wp-content/uploads/2013/07/DMCA_Foto_1.png

Estas peticiones se realizan al buscador con la intención de que la música y las películas sean más difíciles de descargar de forma ilícita, por lo que las compañías emiten estas peticiones buscando proteger su patrimonio. En el último año, Google ha eliminado cerca de 15 millones de resultados de su buscador, pero las empresas aún siguen emitiendo más peticiones.

Una de las últimas en hacerlo ha sido HBO. La productora se enfrenta al mayor número de descargas ilegales registradas en la historia de internet sobre su serie Juego de Tronos. Su gran éxito, unido al auge de la visualización de series en el PC y el pequeño número de sitios disponibles para ver series y películas online llevan a esta serie a ser una de las más descargadas de la historia de las series.

En uno de los últimos resultados enviados al buscador de Google para eliminar los resultados correspondientes a Juego de Tronos se ha colado una entrada referente al famoso reproductor libre VLC.

http://www.softzone.es/wp-content/uploads/2013/07/vlc-got.png

Junto al polémico resultado de VLC, la productora ha pedido eliminar otras entradas totalmente ajenas a ella, como descargas de capítulos de la serie de anime Naruto y juegos como Prince of Persia 5. Este hecho lleva a cuestionar si las empresas se preocupan realmente por sus propios productos o si están intentando entorpecer en lo máximo posible el libre intercambio de contenidos reportando todo lo que no les parezca adecuado que se encuentre en dichas redes.

El ejemplo de VLC es un hecho con el que se debería prestar más atención a las peticiones de la DMCA y, bajo ningún concepto, automatizar el bloqueo de las peticiones. Lo de HBO puede haber sido un simple error, pero puede haber otras compañías que abusen de dicha ley para su propio beneficio y que los únicos perjudicados sean los administradores de diferentes webs.

Desde Google han asegurado que, por el momento, todas las peticiones se revisan y se comprueban con el fin de no eliminar de sus resultados material que no deba ser eliminado. Con esto pretende evitar abusos e infracciones por parte de las empresas.

¿Qué opinas de este hecho por parte de HBO? ¿Es un simple error o puede ser algo más de lo que los usuarios de internet debamos preocuparnos? ¿Se debería establecer un control más estricto para la DMCA?

http://www.softzone.es/2013/07/15/hbo-pide-por-error-a-google-eliminar-los-resultados-de-vlc/

Uno de los mayores sellos discográficos de música Dance del mundo, Kontor Records, ha diseñado una curiosa forma de reproducir música en el iPhone. Back to Vinyl-The Office Turntable es una aplicación que permite volver a la época de los vinilos. Es una nueva forma de reproducir música de forma poco convencional.

http://www.youtube.com/watch?feature=player_embedded&v=PCS5wgZWzE4

Los vinilos han vuelto con fuerza, no solo a las pistas de baile sino también al iPhone. Una nueva aplicación permite pinchar vinilos desde el 'smartphone' de Apple. Lo diferente de esta propuesta consiste en tener vinilos en lugar de CD, para crear un ambiente mucho más retro y que esté más ligado a la música electrónica.

Además, en la misma caja donde se envía el disco, hay una plataforma que hace de base de tocadiscos y que, al posicionar el móvil sobre ella se convierte en un reproductor.

En la actualidad, las compañías discográficas se enfrentan a una crisis debida a la piratería y a la gran oferta de productos a la hora de promocionar artistas. Con esta app, el sello discográfico pretende diseñar otra forma de tener música.

http://www.iblnews.com/story/78044

[LEER MAS]

El pasado martes, Microsoft lanzaba una serie de actualizaciones de seguridad para su sistema Windows 7. Aparentemente los parches corregían únicamente problemas de inestabilidad y optimizaban determinados módulos del sistema, pero una de las actualizaciones está generando multitud de problemas a todos los usuarios de Windows 7.

La actualización denominada bajo el nombre MS13-057 está generando multitud de problemas a los usuarios de Windows 7 (y algunos usuarios de Windows XP) a la hora de tener que renderizar vídeo. La actualización está generando errores al intentar ver vídeos descargados de Youtube o al utilizar software de Adobe, entre otros casos.

LEER MAS: http://www.softzone.es/2013/07/15/multitud-de-fallos-con-las-ultimas-actualizaciones-de-windows-7/

[Facebook: "A los usuarios no les importa cuánta gente ve cada post"]

Existe la creencia (errónea) de que lo que compartimos en Facebook llega a todos nuestros amigos, cuando esto realmente no es así. Existe un algoritmo, de nombre Edgerank, que utiliza distintos parámetros para decidir qué muestra y a quién, con el fin de sólo hacer llegar las actualizaciones de cada usuario sólo a los más afines. Lo mismo ocurre con las páginas: aunque tengan X seguidores, los mensajes enviados sólo llegarán a una pequeña parte.

La semana pasada, Buzzfeed se hacía eco de un estudio de la Universidad de Stanford en el que se investigaba precisamente la importancia de estos números. A pesar de todo, llegaron a la conclusión de que los usuarios piensan que sus actualizaciones alcanzan a menos gente de lo que ocurre en la realidad.

Entonces, si los mensajes llegan a más amigos de los que pensábamos, ¿cuál es el problema? ¿Por qué Facebook no muestra el alcance (número de usuarios que ven un determinado mensaje) en las cuentas personales, mientras que sí es una cifra que sí ofrecen a las páginas, por ejemplo? En Buzzfeed aún fueron más allá y titularon el artículo al que hacíamos referencia anteriormente como "El número que Facebook no quiere que veas".

Una posible explicación aparece en el estudio de Stanford: los usuarios pueden tender a rebajar sus expectativas sin ser conscientes de ello. De esta forma, si una actualización tiene pocos "me gusta" o pocos comentarios, lo más cómodo para el usuario es pensar que la habrá visto poca gente por el Edgerank, porque no están online en ese momento o por el motivo que sea.

Negándose ofrecer estos datos de alcance en las cuentas personales, Facebook evita además hacer que un usuario se avergüence o se sienta mal al ser ignorado por sus amigos. Si un post en cuestión no tiene "me gusta" ni comentarios, muy posiblemente sea porque a tus amigos no les importa lo más mínimo, y no porque no lo hayan visto. Como decíamos, es bastante más cómodo vivir en la ilusión de que poca gente ha visto una actualización en cuestión y de ahí la poca repercusión que ha tenido.

Facebook: "A los usuarios no les importa cuánta gente ve cada post"

Por supuesto que todo esto que hemos comentado hasta ahora es el punto de vista de los investigadores que han realizado el anterior estudio, pero ¿qué dice Facebook? Ante el revuelo que causó el artículo original, y aunque no suele ser habitual, un ingeniero de la red social utilizó su perfil personal para ofrecer más información, tal y como recogen en TechCrunch.

¿Por qué, según Facebook, no muestran las cifras de alcance en las cuentas personales? La respuesta es mucho más sencilla y no necesita ningún estudio: simplemente dicen que a los usuarios no les importa cuánta gente de sus amigos ve una actualización. Según este ingeniero, el número de "me gusta" sí que es algo que la gente quiere saber, y entonces se muestra. El alcance, al contrario, no.

Esto cambia con las páginas, donde sus dueños sí que quieren conocer cuánta gente está leyendo los mensajes. Por eso el alcance sí que es visible para los administradores justo bajo cada actualización.

Facebook no hace nada por casualidad

¿Quién tiene razón? En mi opinión, ambos. Que un usuario publique cosas, sean vistas por mucha gente y nadie interactúe con ellas tiene que ser sumamente frustrante para él y puede llevarle a reducir su participación en la red social, algo que obviamente Facebook no quiere que suceda. Además, y como bien dice Facebook, es una métrica que realmente aporta poco en una cuenta personal.

En una página, las cosas cambian. Los amigos pasan a ser seguidores, por lo que se elimina ese componente "personal" del asunto, y el que una actualización sea vista por poca gente puede conllevar a que el administrador decida gastar dinero en publicidad para darle más visibilidad. Todo encaja. A fin de cuentas, y como es de esperar en una empresa de estas características y con tantos usuarios, todo lo que hace Facebook es por alguna razón en concreto, nada está ahí por casualidad.

http://www.genbeta.com/redes-sociales/importa-cuanta-gente-lee-lo-que-publicas-en-facebook

El FSO, Servicio federal de protección, surgido de la ex KGB, lanzó una licitación para la compra de 20 máquinas de escribir.

Esta decisión fue tomada luego de "los escándalos de WikiLeaks, las revelaciones de Snowden, así como las informaciones según las cuales el primer ministro Dmitri Medvedev fue escuchado durante la cumbre del G20 en Londres", explicó a un diario una fuente del servicio.

"Fue decidido utilizar más documentos en papel", según la misma fuente.

Según las otras fuentes citadas por el diario, los servicios de inteligencia así como el ministerio de defensa utilizan siempre máquinas de escribir.

"Desde el punto de vista de la seguridad, todo tipo de telecomunicación electrónica es vulnerable. Se puede captar cualquier información desde un computador", según el diputado y ex-director del FSB (ex-KGB) Nikolai Kovalev.

"El medio más primitivo se debe privilegiar: la mano humana o la máquina de escribir", añadió interrogado por Izvestia.

http://www.noticiasdot.com/wp2/2013/07/12/rusia-compra-mquinas-de-escribir-para-protegerse-del-ciberespionaje/

Viajar a al extranjero nos obliga a pasar por la incómodas aduanas, encaminadas a minimizar los riesgos para la seguridad del país que visitamos. En la nueva era digital, muchas de las amenazas se encuentran en los dispositivos móviles, como smartphones o tablets. Por ello, la Policía del Reino Unido tiene la potestad de descargar todos los datos de nuestro smartphone. Las autoridades británicas afirman que este procedimiento es crítico para combatir el terrorismo, aunque son muchas las voces que se han alzado contra él.

El diario The Telegraph ha publicado un informe en el que advierte que los datos de los teléfonos móviles de los viajeros a Reino Unido pueden ser incautados por la Policía en la aduana. Las autoridades británicas pueden incautar su terminal móvil a cualquier pasajero amparándose en las leyes antiterroristas, además de poder descargar todos los datos personales que este aloje en su dispositivo. Esto es posible en las aduanas aéreas y marítimas de las islas británicas.

La libertad es tal que los funcionarios de aduanas de Reino Unido no deben ni siquiera motivar su sospecha, ya que la Ley les ampara totalmente y les permite apoderarse del dispositivo móvil. También pueden retener la información que se encuentra en el dispositivo durante todo el tiempo que sea necesario. Los datos que pueden ser retenidos y descargados por la Policía incluyen los registros de llamadas, los contactos junto con sus fotos y los destinatarios de los mensajes de texto y el correo electrónico, aunque no el contenido de estos.

Las autoridades británicas han explicado que la información descargada de los teléfonos móviles incautados ha resultado crucial para la detención y posterior puesta a disposición judicial de varios sospechosos de terrorismo. Hasta 60.000 personas tuvieron que permitir el examen de sus teléfonos móviles durante el año 2012.

http://www.adslzone.net/article12053-cuidado-si-viajamos-a-reino-unido-la-policia-puede-descargar-los-datos-de-nuestro-smartphone.html

En un aviso de seguridad, HP ha admitido la existencia de una vulnerabilidad en sus sistemas de almacenamiento StoreVirtual, que podría ser explotada para acceder al dispositivo de forma remota. La compañía prevé lanzar un parche el 17 de julio.

Pocas semanas después de haber admitido un backdoor en sus servidores de backup StoreOnce, HP ha confirmado la existencia de un mecanismo similar en sus sistemas de almacenamiento StoreVirtual, el cual permite a un usuario remoto acceder al sistema operativo. La compañía asegura que la función es para dar soporte remoto a los clientes, pero reconoció que también podría ser un vector de ataque. De momento no se puede desactivar el mecanismo, aunque HP planea lanzar un parche el 17 de julio.

"Ha sido identificada una vulnerabilidad potencial de seguridad en HP StoreVirtual Storage. Esta vulnerabilidad podría ser explotada para acceder al dispositivo sin autorización de forma remota", señala HP en el comunicado. "Todos los sistemas en HP StoreVirtual Storage están equipados con un mecanismo que permite al soporte de HP acceder al sistema de operativo si el cliente proporciona el permiso y el acceso oportunos. Esta funcionalidad no se puede desactivar hoy en día".

HP aclara que el mecanismo de soporte no concede en ningún caso acceso a datos de usuario almacenados en el sistema, sino al sistema de operativo subyacente, llamado LeftHand OS.

Noticias relacionadas:

- HP parchea una vulnerabilidad detectada en sus impresoras

- HP completa su oferta de seguridad HP NX con tres nuevos dispositivos

- HP WebInspect 10.0 ayuda a las empresas a desarrollar aplicaciones web seguras

Autor: Hilda Gómez
Fecha: 15/07/2013

http://www.csospain.es/HP-detecta-un-vector-de-ataque-potencial-en-sus-si/sección-alertas/noticia-133849

En las últimas horas se ha detectado una nueva vulnerabilidad en la red social profesional Linkedin que permite a un atacante publicar y compartir contenido en nombre de otros usuarios mediante una técnica conocida como clickjacking. El problema aún no ha sido solucionado y afecta a todos los usuarios de la red social.

Narendra Bhati ha sido el analista de seguridad que ha detectado esta vulnerabilidad en el servicio Linkedin. Clickjacking es una técnica que se encarga de engañar al usuario para hacer click sobre un elemento que, de lo normal, no lo haría. Para ello consta de una capa transparente que se sitúa encima de un elemento sobre el que si que vayamos a hacer click, así, al hacer click sobre el elemento real, estaremos haciendo click sobre un falso elemento que podrá realizar diferentes acciones, por ejemplo, publicar un contenido en nuestra red social como en este caso.

http://www.redeszone.net/wp-content/uploads/2013/07/LinkedIn_clickjacking_vulnerability-655x280.jpg

Para protegernos antes esto debemos instalar un plugin en nuestro navegador que bloquee los scripts que se ejecutan sin consentimiento, por ejemplo, en Firefox podemos utilizar la extensión NoScript y en Chrome podemos instalar ScriptSafe para poder evitar lo máximo posible caer en este tipo de ataques.

También debemos fijarnos siempre en lo que publicamos y compartamos para evitar este tipo de acciones. Acciones más seguras es revisar el código del elemento que vamos a pulsar para ver si, en verdad, corresponde al link o de lo contrario está suplantado. Los responsables de Linkedin ya tienen conocimiento de este fallo y están trabajando para poder poner una solución a esta vulnerabilidad lo antes posible.

Hace pocas semanas os alertábamos de algo similar detectado en el plugin Flash de Google Chrome. Con ello se conseguía engañar al usuario para que, al hacer click sobre un enlace, lo único que conseguía era activar la webcam y el micrófono para ser espiado por el atacante. En el caso de Linkedin el atacante engaña al usuario para que publique links o imágenes en su nombre haciendo click sobre un link oculto.

http://www.redeszone.net/2013/07/15/vulnerabilidad-clickjacking-detectada-en-linkedin/

[Siempre que usamos un dispositivo cargando estamos corriendo un riesgo]

En ocasiones ocurren hechos y situaciones que nos resultan difíciles de imaginar pero que aún así suceden. Uno de estos casos ha ocurrido recientemente, estamos hablando de la muerte de una joven china de 23 años de edad que ha muerto tras recibir una descarga eléctrica mientras utilizaba su iPhone 5 cuando este se estaba cargando, tal y como ha afirmado la familia de la joven a varios medios de comunicación. Apple, por su parte, después de tener conocimiento de lo ocurrido con la joven, ha iniciado un proceso de investigación para saber por qué se ha producido algo así con uno de sus dispositivos.

La hermana mayor de Ma Ailun, la fallecida, exigió una explicación a Apple a través de su cuenta en Sina Weibo, una popular red social de China muy similar a Twitter. Por otro lado, también instó a la población a no usar sus dispositivos móviles mientras están cargando para evitar que les pueda ocurrir lo mismo que a su hermana.

Según un informe publicado por Sina Tech, Apple habría emitido un comunicado expresando sus condolencias a la familia sobre el desafortunado incidente y en el que además se ha comprometido a investigar las causas del incidente a fondo. Por otro lado, la compañía estadounidense ha informado que cooperará con las autoridades sobre el asunto con el fin de esclarecer lo ocurrido.

Por otro lado, el China Daily ha publicado otro informe en el que se refleja que la policía local ha confirmado que la muerte de Ma Ailun se produjo por una electrocución, aunque aún no han determinado si el iPhone 5 ha sido clave en la causa de la muerte o no.

Siempre que usamos un dispositivo cargando estamos corriendo un riesgo

Por su parte, un informe publicado por South China Morning Post, los expertos advierten de que siempre existe un riesgo a la hora de usar un dispositivo móvil mientras éste se está cargando, ya sea un teléfono móvil, una máquina de afeitar o una batidora, por ejemplo. Pero no sólo eso, sino que en el mismo informe, uno de los expertos quiere dejar claro que las circunstancias en las que ha sucedido este incidente aún no están del todo claras, por lo que no hay que aventurarse a sacar conclusiones antes de tiempo.

Apenas había pasado una semana desde que Apple lanzó el iPhone 5 cuando el dispositivo llegaba a China a través del mercado gris, y junto a él su correspondiente falsificación. El mercado gris, para aquellos que no lo conozcan, hace referencia a la venta de mercancías realizada a través de canales de distribución distintos a los autorizados por el fabricante, en este caso Apple. Las mercancías vendidas en el mercado gris no son ilegales, pero el hecho de que se venda a través de un distribuidor no autorizado puede no tener ninguna relación comercial con el fabricante e incluso tratarse de productos falsificados, algo que también ha ocurrido con el iPhone 5 en China.

En relación a esto, la hermana mayor de Ma Ailun publicó a través de Weibo que el dispositivo se compró el pasado mes de diciembre y que aún tenía garantía. La familia de la joven ha entregado el teléfono a las autoridades para que puedan llevar a cabo su investigación y descubrir las causas de lo sucedido.

http://www.movilzona.es/2013/07/15/una-joven-muere-electrocutada-por-un-iphone-5-segun-varios-medios-chinos/