Mensajes

[12.000 euros y un fallo de seguridad no corregido]

No es la primera vez que hablamos en este mes de problemas de seguridad detectados en los servidores fabricados por la compañía. En una ocasión anterior pudimos ver como eran los servidores HP Proliant los que se veían afectados por un problema de seguridad. En este caso, son los servidores de backup de la compañía los que están afectados por una puerta trasera por un fallo en la sesión SSH que se establece.

Este es un problema de seguridad que ha despertado las críticas de expertos en seguridad ya que parece ser que la propia compañía fue alertada del fallo de seguridad hace tres semanas y aún no se han tomado medidas para solucionarlo. Algo similar que lo que ha sucedido con el problema de los servidores HP Proliant que hemos mencionado con anterioridad.

En este caso, el problema consiste en que se ha encontrado una sesión SSH oculta gracias a la cual introduciendo como usuario y contraseña HPSupport se puede acceder al sistema de gestión como administrador, teniendo todos los privilegios para modificar parámetros y configuraciones.

12.000 euros y un fallo de seguridad no corregido

Los expertos en seguridad claman contra los responsables de HP y justifican sus quejas diciendo que se trata de un sistema que a los usuarios les cuesta 12.000 euros y que no se puede permitir que existan fallos de seguridad de esta envergadura y que puedan poner en juego la seguridad de los datos alojados en el sistema de discos duros del servidor.

Desde compañías de seguridad recuerdan que HP sufrió un problema de características similares hace más de tres años y que sucedió lo mismo que sucede ahora: pasividad por parte de la compañía.

Fuerza bruta en el caso de no estar la contraseña por defecto

Tal y como comentábamos con anterioridad, en el caso de no conocer la contraseña por defecto del sistema, el atacante podría emplear la fuerza bruta para hacerse con ella, ya que el usuario es el mismo que hemos indicado anteriormente.

De momento no existe ninguna solución a este problema, ya que como puntualizan en algunas páginas especializadas, la contraseña no se puede cambiar, algo que sí que se podía hacer en el fallo de seguridad que se detectó en estos sistemas hace tres años.

Fuente | The H Security

http://www.redeszone.net/2013/06/26/detectado-backdoor-en-los-servidores-de-backup-de-hp/

En los pasados días han sido detectados varios fallos de seguridad en el router Linksys X3000 de Cisco. Estos fallos han sido detectados por el investigador Michael Messner.

Las principales vulnerabilidades encontradas han sido de cross-site scripting, permiso para ejecutar código remoto a través de inyección de comandos y también nos permitiría cambiar la contraseña actual sin preguntar la actual ni confirmarla.

La inyección de comandos es posible gracias a la ausencia de validación en el contenido suministrado por el usuario en los parámetros ping_ip y add_account_password.  Tampoco existe verificación en la validación de los parámetros ping_ip de la página Diagnostics.asp, sortby de la página DHCPTable.asp y submit_button dela página WanMAC.asp.

El fallo de cambio de contraseña permite a un atacante remoto cambiar la contraseña del router sin necesidad de conocerla. En caso de que esto ocurra debemos hacer un hard-reset al router para volver a la configuración por defecto mediante el botón trasero.

Estas vulnerabilidades se encuentran activas por el momento en el firmware 1.0.04 e inferiores. El firmware 1.0.05 lanzado a finales de abril de 2013 soluciona dichos fallos como podemos leer en las notas de versión.

Si disponemos de un router Linksys X3000 es más que recomendable actualizar a la última versión disponible del router ya que mejora la estabilidad a la vez que soluciona los fallos mencionados anteriormente. Podemos descargar la actualización desde la página web de Cisco.

Actualizar Cisco Linksys X3000

Actualizar el Cisco Linksys X3000 es sencillo, en primer lugar debemos acceder a su interfaz a través del navegador en nuestro caso con la IP 192.168.1.1.

Una vez dentro debemos abrir el menú Administración > Actualización de firmware

http://www.redeszone.net/wp-content/uploads/2013/06/x3000_update_foto_1-655x382.png

Pulsaremos sobre el botón "Seleccionar archivo" y cargaremos el firmware que nos hemos descargado con anterioridad desde la web de Cisco. Una vez añadido pulsamos sobre el botón "Iniciar actualización".

http://www.redeszone.net/wp-content/uploads/2013/06/x3000_update_foto_2-655x378.png

Una vez finalizada la actualización el router se reiniciará y ya estará actualizado y sin los bugs citados anteriormente. Es recomendable que después de la actualización hagamos un RESET al router para borrar todos los parámetros.

http://www.redeszone.net/2013/06/26/detectadas-varias-vulnerabilidades-en-el-linksys-x3000/

Blizzard ha confirmado que la casa de subastas de su juego World of Warcraft ha sido hackeada y una gran cantidad de cuentas se han filtrado debido a una vulnerabilidad de la aplicación móvil Armory.

La popularidad de World of Worcraft ha disminuido en los últimos años y hora ha surgido un nuevo escándalo después de que la compañía haya confirmado que la casa de subastas del juego fue hackeada por personas malintencionadas que hicieron un montón de transacciones no autorizadas aprovechando un error en la aplicación móvil Armory.

Esta vulnerabilidad permitió a los hackers tomar el control de muchas cuentas legítimas y gastar el oro del juego en objetos sin valor en la casa de subastas, básicamente implcándose en lavado de dinero.

"Ha habido un aumento no-autorizado reciente en las cuentas de inicio de sesión de World of Warcrafta través de nuestra página web y de la aplicación móvil Armory de World of Warcraft", dijo Blizzard en su página web.

"Estamos en proceso de notificar a cualquier titular de cuenta que no utilizaba un autenticador y cuya cuenta mostraba signos de acceso no autorizado. Si estás en este grupo, recibirás un correo electrónico que describe cómo restablecer tu cuenta", según los desarrolladores.

Dado que la vulnerabilidad fue encontrada en la aplicación móvil Armory de World of Warcraft, el acceso ha sido limitado temporalmente mientras los equipos de Blizzard están investigando el problema.

Lamentablemente, parece que los hackers alteraron incluso cuentas de World of Warcraft que tenían autenticadores de Blizzard, ya que muy pocos jugadores están reportando faltas de oro de su juego, a pesar de utilizar todos los métodos de seguridad proporcionadas por Blizzard.

Hasta ahora no se ofrecieron detalles sobre la vulnerabilidad o sobre cómo trata Blizzard de resolver este grave problema de seguridad.

http://news.softpedia.es/Se-suspende-el-acceso-a-Armory-tras-el-hackeo-de-la-casa-de-subastas-de-World-of-Warcraft-363315.html

Los sitios web oficiales de la oficina presidencial de Corea del sur, la oficina de coordinación de políticas de gobierno y varios otros sitios web pertenecientes a organizaciones gubernamentales y multimedia han sido hackeadas recientemente.

Los responsables de este hackeo pretenden formar parte del movimiento Anonymous.

"El gobierno puede confirmar un ataque cibernético llevado a cabo por unos hackers no identificados que cerraron varias páginas, incluida la de Blue House", anunciaron los representantes del Ministerio de Ciencia del país.

Los hackers publicaron el siguiente mensaje en los sitios web atacados: "Somos Anonymous. Somos Legión. No perdonamos. No olvidamos".

Según la Agencia de noticias Yonhap, los sitios web han sido desconectados y los administradores tratan de restaurarlos.

Los representantes del ejército de Corea del Sur aseguran que los hackers no intentaton penetrar en las redes militares.

http://news.softpedia.es/Varias-webs-gubernamentales-de-Corea-del-Sur-hackeadas-por-un-grupo-que-usa-la-firma-de-Anonymous-363240.html

Durante la próxima efición de DEF CON, una de las conferencias de hacking más importantes del mundo, se celebrarán varias presentaciones interesantes y una de ellas será realizada por el ingeniero de seguridad de Twitter, Charlie Miller, y el director de Inteligencia de Seguridad de IOActive, Chris Valasek.

Los expertos en seguridad mostrarán cómo hackear el bus de una Red de Área de Control y las Unidades de Control electrónico (ECU) de un coche.

"Esta presentación examinará algunos controles en dos automóviles modernos desde el punto de vista de un investigador de seguridad. Primero cubriremos las herramientas y el software necesarios para analizar un bus de una Red de Área de Control (CAN) y en segundo lugar presentaremos un software que muestra cómo se pueden leer y escribir en el bus de dicha CAN", se lee en el resumen de la presentación.

Miller es famoso por sus hacks en iOS y Android, mientras que Valasek es renombrado por identificar múltiples vulnerabilidades en el administrador de Windows. El hecho de que los dos se unieron y decidieron estudiar la seguridad de los coches modernos definitivamente será muy interesante.

El hackeo de coches no es un tema nuevo, y varios trabajos de investigación han sido publicados en los últimos años sobre este tema.

Ahora que muchos coches están conectados a Internet, los expertos han comenzado a centrarse más en los riesgos asociados con los sistemas informáticos integrados en vehículos.

Miller dijo en Twitter que su discurso es similar a lo que ya ha sido presentado por otros, aunque también se revelarán detalles adicionales y se lanzarán herranuebtras que podrán utilizarse para realizar esta tarea.

La DEF CON 21 se llevará a cabo en Las Vegas del 1 al 3 de agosto.

http://news.softpedia.es/Investigadores-mostraran-en-DEF-CON-21-como-hackear-un-coche-363322.html

La versión preliminar de Windows Vista 8.1 será lanzada oficialmente mañana, por lo que la mayoría de los usuarios de Windows 8 ya están buscando en la web detalles sobre cómo implementar la actualización correctamente.

La documentación oficial que se filtró recientemente en la web revela que los usuarios de Windows 8 deben hacer el cambio a la versión preliminar de Windows 8.1 a través de la Windows Store porque es la manera más segura, más fácil y más rápida para hacerlo.

También se ofrecerán ISOs separadas a los que quieran establecer una configuración de arranque dual e instalar la versión preliminar de Windows 8.1 en una partición diferente.

"Hay dos formas de instalar la versión preliminar de Windows 8.1: a través de la Windows Store y a través de imágenes ISO", escribió la compañía.

"Si estás ejecutando Windows 8 en uno de los 13 idiomas en que está disponible la versión preliminar, te recomendamos que descargues la versión preliminar de la Windows Store. Cuando instalas la actualización desde la tienda, no puedes crear medios de instalación, pero tienes que descargar la Preview directamente desde la Windows Store", añadió.

"Si estás ejecutando Windows RT, la única forma de actualizar es a través de la tienda, mientras que si ejecutas Windows 8 y no utilizas uno de los 13 idiomas disponibles en la versión preliminar, tendrás que instalar usando la imagen ISO. Si ejecutas Windows 8 Enterprise, tendrás que instalar la versión preliminar usando la ISO", concluyeron los representantes de la empresa.

En otras palabras, se recomienda que los usuarios obtengan la versión preliminar de Windows 8.1 de la tienda, con algunas excepciones: los que ejecutan RT o Enterprise y los consumidores que quieran arranque dual e instalación en una partición limpia.

Cabe señalar que si decides instalar la versión preliminar de Windows 8.1 desde una ISO dedicada, tendrás que introducir una clave de producto, es decir, la que has recibido cuando compraste Windows 8. La actualización a través de la tienda no requiere clave.

http://news.softpedia.es/Como-instalar-correctamente-la-version-preliminar-de-Windows-8-1-363393.html

[Venta legal si el muerto tuviera papeles]

Que se vende absolutamente de todo por internet hace tiempo que lo sabemos, incluso ataúdes. Pero ésta es la primera vez en que alguien decide sacar a la venta un féretro con un muerto dentro. El protagonista de esta historia es un hombre en Iowa, Estados Unidos, que puso a la venta un ataúd de roble en el portal Craiglist, pero se olvidó de mencionar que tenía un esqueleto en su interior.

El osado vendedor, llamado David Bugstrum, tenía una deudas con hacienda y decidió deshacerse de parte del patrimonio de la antigua orden de Odd Follows, una organización de la que es miembro y que se dedica a ayudar a los más desfavorecidos. El ataúd se ha utilizado hasta hace bien poco por los miembros de la asociación para realizar rituales de representación de la muerte. Al parecer, tan particular objeto fue donado por un médico fallecido en la década de 1880 aunque no se ha podido determinar a quién pertenecen los restos óseos.

Venta legal si el muerto tuviera papeles

Cuando las autoridades tuvieron noticia de tan insólita venta se pusieron a investigar la procedencia de los huesos y han determinado que pertenecen a un varón que debió fallecer a principios del siglo XX. Lo que más sorprende del caso es que la policía ha autorizado la venta del féretro pero no así la de los huesos porque "al no estar identificados no es legal su venta". El agente de policia Michael Roberts ha puntualizado, sim embargo, que "si por el contrario supiésemos de quién se trata, al tener los documentos de origen, y con el tiempo transcurrido no habría problema en llevar a cabo la venta".

http://www.lavanguardia.com/sucesos/20130625/54376265049/venden-ataud-internet-muerto-dentro.html

Ouya se considera un triunfo de la comunidad, una alternativa a los gigantes del mundo del videojuego con la nube como aliada, o sea, Sony, Nintendo y Microsoft. La consola nació como la idea de un grupo de desarrolladores que decidieron buscar financiación a través de Kickstarter, una sitio de financiación colectiva. En pocas semanas consiguieron su objetivo: 8 millones de euros para construir el aparato, aunque inicialmente solo pedían 700.000.

La propuesta era interesante: por menos de 100 euros los primeros inversores se hacían con una de las primeras unidades además de reconocimiento por su apoyo. Desde hace dos meses comenzó el envío y desde hoy cualquiera puede comprar una a través de Internet, siempre que la dirección de entrega sea en Estados Unidos, Reino Unido y Canadá. Esta restricción no existía para financiar el proyecto, pero ha sido precisamente la parte más polémica, pues muchos de los inversores siguen esperando su unidad, justo cuando sale a la venta.

Las primeras unidades, ofrecidas a través de Amazon, se han agotado a las pocas horas. Lo mismo ha sucedido con los mandos de control adicionales. A pesar de costar la mitad del precio de la consola, se ha terminado con el abasto.

Desde la industria se ha visto con escepticismo. Los tres grandes del sector consideran que se dirigen a un nicho de mercado que no existe, un grupo de indies con la ilusión por un mercado con precios más ajustados e innovación.

Ouya tiene varias peculiaridades. Por ejemplo, que los juegos son gratis. El catálogo inicial parte con 170 títulos. Solo se cobra por complementos y expansiones, pero dentro de la propuesta inicial va incluida la promesa de horas de diversión sin tener que pagar. Otra peculiaridad es que al frente de la empresa está una mujer, Julie Uhrman, en un mundo tradicionalmente muy masculino.

El aparato no destaca por su hardware. El diseño es cuidado, un cubo pulido en cuya parte trasera tiene los puertos USB y para conectarse por cable a la Red. La idea es que se supla la potencia del aparato central, con procesador Tegra 3, muy común en tabletas de última generación, con conexión constante a Internet para contar así con la potencia de servidores adicionales. El paquete va a compañado de un solo mando, aunque permite jugar con un límite de cuatro.

Por esta cantidad no se pueden esperar grandes despliegues. Solo tendrá ocho gigas de memoria interna, soportará hasta cuatro, inalámbricos, y está pensanda para descargar los juegos de Internet y, sobre todo, jugar en línea.

Durante E3, la feria anual de videojuegos, supieron explotar su simpatía para suplir la escasez de medios. En lugar de contar con una zona dentro del recinto plantaron un tráiler en el aparcamiento de enfrente. Desde primera hora de la tarde hasta la puesta de sol permitían probar las primeras unidades mientras invitaban a cervezas. En ese caso, más que dirigirse al consumidor final, trataban de ganarse el favor de desarrolladores.

Curiosamente, el círculo se cierra en donde nació la consola. Kickstarter se está inundando con proyectos para recaudar fondos y crear videojuegos en este formato. Se puede encontrar un rompecabezas con aires de rol, una especie de Tetris, un peculiar pinball, un título de disparos en el espacio, una aventura gráfica pixelada al estilo de la vieja escuela hasta una interpretación del Risk con carros blindados. Entre los estudios que ya trabajan en esta plataforma destaca Double Fine.

http://tecnologia.elpais.com/tecnologia/2013/06/25/actualidad/1372180687_982096.html

[Turismo en Pamplona]

El desarrollador de juegos sociales Zynga lanza 'Running With Friends' para iPhone, iPad, y iPod Touch, se trata de un juego social de acción en 3D en el que jugadores de todo el mundo pueden abrirse paso por las calles de Pamplona, sede de los encierros anuales de San Fermín, mientras tratan de superar la velocidad y la puntuación de sus amigos.

Travis Boatman, vicepresidente del área móvil de Zynga señala que "con el lanzamiento de 'Running With Friends' hemos logrado combinar toda la diversión de un juego de carreras con las funciones sociales de nuestra red With Friends".

Ofrece funciones de interacción social y carreras de alta velocidad como piezas clave del juego.

Turismo en Pamplona

Una de las ventajas este desarrollo es que permite descubrir la ciudad de Pamplona y visitar los escenarios de la fiesta en 3D.

Running With Friends es un proyecto diseñado en colaboración con Eat Sleep Play, los creadores del juego Twisted Metal.  Eat Sleep Play ha creado un motor 3D personalizado, además de dotar al juego de excelentes gráficos y una mayor interacción social. Running With Friends está disponible en el App Store para iPhone, iPad y iPod touch y pronto en Google Play.

http://www.elperiodico.com/es/noticias/tecnologia/juego-basado-los-sanfermines-2437700

Qué mejor manera de promocionar una causa que contar con una foto de Beyoncé patrocinándola. Eso es lo que pensaron los internautas cuando decidieron usar fotos de varios famosos y manipularlas para introducir mensajes de apoyo a las manifestaciones que sacuden las calles de Brasil hace más de dos semanas.

La imagen de Beyoncé con una camiseta que dice: "No es solo por los 20 céntimos. #Change Brasil" –en referencia al aumento de las tarifas del transporte que alimentaron las protestas- ha dado la vuelta al mundo a golpe de tuit. La red social tiene poca memoria y no recuerda, sin embargo, que hace dos años la cantante usó esa misma imagen para mostrar su apoyo a Haití.

El engaño, revelado por el portal de noticias UOL, se descubre fácilmente con una búsqueda en images.google.com. El buscador identifica fotografías parecidas a las introducidas y así uno ve que la servilleta con mensaje de la cantante Rita Ora es un apetecible emparedado de tres pisos.

Tampoco es real la foto de Rihanna, una de las primeras en divulgarse, en la que parece que seãnala uno de los lemas más populares de las manifestaciones pero en la que, en realidad, solo se está quejando de un cartel de "Prohibido fumar" en el backstage de su último concierto en Londres. Falsas son también las imágenes de Lady Gaga, Arnold Schwarzenegger, Kate Perry o Mark Zuckerberg. Personalidades que, por cierto, no hacen mención alguna a la causa brasileña en sus perfiles.

El lema de la supuesta campaña viral con la etiqueta #changebrazil hace referencia al aumento de 20 céntimos en las tarifas de transporte público de varias ciudades en Brasil. Esas monedas se han convertido ya en el símbolo de una serie de protestas que reflejan el descontento de decenas de miles de brasileños insatisfechos con sus infraestructuras, sus servicios públicos, su sistema político y la corrupción, mientras su país ultima los fastos para recibir el Mundial el año que viene. Las redes se llenaron de comentarios en los que los internautas brasileños demostraban su agradecimiento a las celebrities y repercutió en medios y blogs de todo el mundo, incluido El País.

El montaje ha sido un intento de aprovechar la tendencia de algunos famosos de involucrarse en determinadas causas a través de sus perfiles en las redes sociales. Brasil ya contó con el apoyo de Lady Gaga, que colgó una foto suya rezando por las 242 víctimas del incendio que asoló una discoteca en Santa María, un municipio del sur del país, el pasado mes de enero. El apoyo de la cantante estadounidense esa vez sí fue de verdad.

http://elpais.com/elpais/2013/06/25/gente/1372153024_266034.html