Mensajes

[Más información]

Oracle se ha pronunciado sobre la seguridad de Java y la gestión de sus applets. Como responsable de una inmensa mayoría de las infecciones a través del navegador, es interesante conocer qué planes tiene la compañía para este producto en el futuro.

Oracle debe tomar cartas en el asunto. Desde principios de 2013 ha comenzado una estrategia para mejorar la seguridad de Java en el navegador, pero el tiempo se le echa encima. Además, Oracle es una compañía que no se caracteriza por dinamizar sus productos. Es muy conservadora y en seguridad, siempre ha supuesto un considerable desastre que les ha acarreado una fama de la que les cuesta librarse. El desarrollador jefe de Java, Nandini Ramani, ha escrito un post hablando del futuro de la seguridad en Java, sus planes y una pequeña valoración del estado del producto.

Si en 2012 se cerraron 58 vulnerabilidades, en lo que llevamos de 2013 (solo la mitad) ya se han solucionado 97. Ramani achaca este incremento a que desde la compra del producto a Sun, Java está ahora sometido a los estrictos estándares de seguridad de Oracle. De hecho explica que se están usando más "herramientas automáticas" para "abarcar más código" y evitar así que se introduzcan nuevas vulnerabilidades.

Los números no son definitivos para valorar la seguridad. Como ya se ha mencionado, Chrome en cantidad de vulnerabilidades corregidas es un desastre pero se puede considerar el navegador más seguro por otros factores. En este caso el problema es además de la cantidad, la calidad: fallos graves y muy relevantes que han sido corregidos muy tarde, que siguen siendo tremendamente explotados, que son sencillos de aprovechar por los atacantes, o que han surgido en forma de 0day. El problema no es que corrija gran cantidad de fallos (que puede considerarse algo positivo y bien visto) sino que la "calidad" de estos fallos es muy atractiva para los atacantes. De esos casi 100 fallos en 2013, se explotan activamente muy pocos, apenas media docena, que son muy efectivos entre las víctimas.

Así que a partir de octubre, Oracle publicará parches de forma coordinada con el resto de sus productos. Cuatro veces al año y cada tres meses. Esta medida va en línea con la que adoptó hace poco y en la que se propuso una nueva estrategia de numeración de sus versiones. Ramani también afirma lo que ya veníamos avisando que tendría que pasar tarde o temprano. Terminará por bloquear por defecto los applets no firmados y los autofirmados. En Java 7 u21 se introdujo algo positivo: estar firmado ya no significaba necesariamente salir de la sandbox. Así que siguen peleando en este aspecto para que la criptografía sea realmente útil en su modelo de seguridad.

También parece que van a modificar su pobre modelo de lista negra de applets. Se trata de un fichero de texto plano que se descarga con cada nueva versión. Van a dinamizarlo publicando actualizaciones diarias. Esto es curioso puesto que hasta ahora, se actualizaba muy de vez en cuando. Apenas contiene 40 bloqueados en estos momentos y la cifra no ha variado demasiado en los últimos años. Esto terminará en la activación del Online Certificate Status Protocol (OCSP) por defecto. Por último, entre otras medidas, planean un sistema de seguridad que sea más útil para un administrador, y le permita elegir durante la instalación qué nivel de seguridad proporcionar.

En el apartado de servidor, debido a la mala fama que le está otorgando el Java "de cliente" en las empresas, separarán claramente el "Server JRE" para que los administradores de servidores no tengan miedo de instalar su parte servidora debido a los problemas en el plugin (parte cliente), y reducir así el vector de ataque.

Estas son medidas lógicas, cuyas carencias ya veníamos criticando en una-al-día desde hace tiempo como fallos básicos en la seguridad en conjunto de Java y los applets. Al menos se muestra la voluntad de cambio, aunque sea tarde y en un periodo no determinado (probablemente necesite todo 2013 para realizar estos movimientos).

Más información:

Maintaining the security-worthiness of Java is Oracle's priority https://blogs.oracle.com/security/entry/maintaining_the_security_worthiness_of

http://www.laflecha.net/canales/seguridad/noticias/oracle-desvela-el-futuro-de-la-seguridad-de-java-en-el-navegador

Quedan menos de tres semanas para que Microsoft lance la vista previa de Windows 8.1 y las noticias sobre la actualización han ido caldeando el ambiente. Ya hemos visto cómo funciona y también sabemos cómo va a ser el proceso: desde la tienda de aplicaciones y debiendo reinstalar todos los programas. Más de uno esperará a la versión final por este motivo.

¿Hasta cuando la espera? Puede que el calendario de lanzamiento se comprima, ya que la versión RTM (Release to Manufacturing) podría debutar el 1 de agosto, adelantando la fecha inicialmente prevista (finales de agosto o principios de septiembre). La información no proviene de fuentes oficiales, sino de Paul Thurrott, quien ha señalado esa fecha como probable en Twitter.

Sí, es un rumor, pero Thurrott se ha caracterizado en el pasado por el acierto en este tipo de predicciones, suele estar muy bien informado. Si Windows 8.1 RTM se adelanta, significa que la vista previa está madura y próxima a la versión final, y tal vez más usuarios se animen a probar la vista previa, a pesar de los inconvenientes.

Microsoft tendrá poco más de un mes para corregir problemas detectados por los usuarios. Ya veremos qué ocurre cuando se celebre la conferencia de desarrolladores a finales de este mes. Tal vez Microsoft indique entonces la fecha oficial para el lanzamiento de Windows 8.1 RTM.

Vía | Paul Thurrott

http://www.genbeta.com/windows/windows-8-1-rtm-puede-adelantar-su-lanzamiento-al-1-de-agosto

A la luz de los numerosos informes en los que el Gobierno de Estados Unidos es acusado de espiar a los ciudadanos estadounidenses, algunos hackers de Anonymous han decidido intervenir. En una declaración publicada en Pastebin, afirman que han obtenido acceso a algunos documentos privados de la NASA "acerca del espionaje".

"Anonymous ha obtenido algunos documentos que 'ellos' no quieren que veas, y a su disgusto, nosotros los hemos encontrado y vamos a mostrártelos. Estos documentos demuestran que la NSA os está espiando, y no sólo a los estadounidenses. Están espiando a los ciudadanos de más de 35 países diferentes", afirmaron los hackers.

"Estos documentos contienen información sobre las empresas involucradas en GiG y Prism", agregaron.

Sin embargo, sus afirmaciones son inexactas. El Gobierno estadounidense quiere que los ciudadanos vean los documentos que los hackers afirman haber obtenido.

La mayoría de ellos son documentos viejos puestos a disposición del público en varios sitios web del Gobierno de Estados Unidos.

Así que, o bien alguien está tratando de arruinar la reputación de Anonymous, o bien simplemente están buscando atención, aunque no se mencionó el nombre de ningún hacker y no hay ningún enlace a cuentas de redes sociales en la declaración.

http://news.softpedia.es/Hackers-de-Anonymous-afirman-haber-robado-documentos-privados-de-NSA-359300.html

El año pasado, los investigadores de seguridad descubrieron una nueva pieza de malware diseñada principalmente para atacar los sistemas de los usuarios de Internet rusos. Según los expertos, la amenaza, apodada Bicololo, ha evolucionado.

ThreatTrack Security identificó una nueva versión del malware en un sospechoso sitio ruso de aplicaciones para Android. El elemento malintencionado estaba disfrazado de uno de los productos de la compañía, VIPRE Antivirus.

Después de analizar el sitio de aplicaciones, los expertos han determinado que su único objetivo es distribuir malware disfrazado de software, juegos, películas y música. Para hacer que parezca más legítimo, los logotipos de varias empresas de seguridad son expuestos en el sitio web.

Cuando el usuario presione el botón para descargar el falso antivirus, recibe un archivo que contiene un ejecutable, "_vipre.exe", y un archivo de texto.

Una vez ejecutado, el archivo ejecutable implementa otros archivos maliciosos. El archivo HOSTS en el sistema infectado es modificado para asegurarse de que cada vez que las víctimas visiten un sitio web específico, como my.mail.ru, odnoklassniki.ru, ok.ru, m.odnoklassniki.ru o vk.ru, sean llevadas a las correspondientes páginas de phishing.

Jovi Umawing de ThreatTrack Security informa que las páginas de phishing están bien diseñadas.

Detalles técnicos adicionales con respecto a esta variante de Bicololo están disponibles en el blog de ThreatTrack Security.

http://news.softpedia.es/Nueva-variante-del-malware-Bicololo-se-hace-pasar-por-una-aplicacion-antivirus-legitima-359387.html

[Seguir leyendo:]

Una de las tareas más odiosas a la hora de configurar un sistema es la instalación de actualizaciones. Desde Windows Update hay que descargarlas e instalarlas en el sistema lo cual lleva un buen rato junto a sus reinicios obligatorios, pero ¿qué ocurre si no disponemos en estos momentos de una conexión a internet?. Por defecto Windows no permite que las actualizaciones sean almacenadas en una memoria para instalarlas en otro equipo.

Gracias a la aplicación Portable Update podemos descargar todas las actualizaciones de Windows e instalarlas en cualquier equipo de forma rápida y sencilla desde un simple USB.

El funcionamiento de la aplicación es sencilla: debemos ejecutarla en un equipo con Windows y conexión a internet. Automáticamente el programa descargará todas las actualizaciones que se encuentren disponibles para Windows y las almacenará en una carpeta de caché creada por la aplicación. Copiando el programa junto a dicha carpeta a un USB podremos instalar las actualizaciones descargadas en el equipo de destino.

Podemos descargar Portable Update desde su página web principal. Portable Update es compatible con todas las versiones de Windows desde Windows XP hasta Windows 8 incluyendo las versiones de servidor ya que utiliza la API de Windows Update.

Una vez descargado en nuestro equipo lo ejecutamos y veremos una ventana similar a la siguiente.

Seguir leyendo: http://www.redeszone.net/2013/06/07/como-actualizar-windows-offline-desde-un-usb-con-portable-update/

Microsoft ha lanzado Bing Translator para Windows 8, una aplicación con interfaz Modern UI que brinda soporte de traducción para más de 40 idiomas. Aunque el producto se puede emplear sin problema en un equipo de escritorio, los dispositivos portátiles son los grandes beneficiarios de sus características.

La más destacable es su capacidad de acceso a la cámara del dispositivo, con la que podremos capturar un texto y la aplicación traducirá éste al idioma que queramos. Esta funcionalidad es especialmente útil cuando viajamos a otros países, acompañados de una tableta animada por Windows 8.

http://img.genbeta.com/2013/06/opciones-bing-translator.jpg

La conexión a Internet en otras plazas no es problema, ya que Bing Translator para Windows 8 es capaz de funcionar sin conexión. Para ello debemos descargar el paquete de traducción que deseemos. A título de ejemplo, el correspondiente a Español-Inglés (con traducción en ambos sentidos), requiere casi 122 MB de almacenamiento. El modo fuera de línea es menos preciso que cuando la aplicación funciona con conexión.

Cuando ejecutamos la aplicación tenemos ante nosotros una pantalla con una caja para introducir texto, flanqueada por las etiquetas de los idiomas que vamos a emplear como fuente y destino de la traducción. Aquí se pueden incluir términos simples o frases enteras. Mientras realiza la tarea, veremos una pequeña animación.

http://img.genbeta.com/2013/06/bing-translator-windows-8-traducci%C3%B3n-contexto.jpg

Si lo que deseamos es traducir un fragmento de documento o su totalidad, copiar y pegar texto no resulta práctico. Para este propósito es más sencillo seleccionar (con el ratón o el dedo), el texto que deseamos traducir, desplegar la barra lateral derecha y pulsar sobre el control "Compartir", donde aparecerá Bing Translator como opción. Una vez pulsado sobre este último, se desplegará una banda en la zona derecha de la pantalla, con el texto original resaltado y su traducción.

Web | Descarga http://www.genbeta.com/herramientas/microsoft-ha-lanzado-bing-translator-para-windows-8

http://www.genbeta.com/herramientas/microsoft-ha-lanzado-bing-translator-para-windows-8

 Publicado el 7 de junio de 2013 por Antonio Rentero   

Llevamos una década con ocasionales informaciones relativas a los progresos de tal o cual grupo de investigación en torno a algún sistema que permita hacer que un objeto o una persona sean invisibles. Hemos asistido incluso a demostraciones de eficacia bastante limitada y no perdemos la ilusión con que algún día veamos algo parecido a lo que aparece en las películas de Harry Potter. La buena noticia es que quizá no tengamos que esperar demasiado.

Objetos pequeños o invisibilidad sólo desde un punto de vista eran, hasta ahora, las exiguas demostraciones de una tecnología en la que tanto las instituciones académicas como los laboratorios privados (por no hablar de los departamentos de Defensa) tienen gran interés.

Los vídeos demostrativos permiten comprobar las limitaciones actuales de estas tecnologías pero según un artículo recientemente publicado por un investigador de la Universidad de Rochester (Nueva York, USA) ya se habría logrado enfoque necesario para conseguir resultados auténticamente definitivos, a falta de perfeccionarlos, para conseguir hacer invisibles objetos de cualquier tamaño en cualquier rango del espectro luminoso.

El éxito provendría de olvidar todo lo relativo a metamateriales milagrosos capaces de curvar la luz y en su lugar se ha trabajado con lentes y espejos. Creando una malla con los mismos alrededor de aquello que se pretende convertir en invisible aprovechando una técnica que, de manera menos avanzada y más limitada pero igualmente efectiva han empleado desde hace mucho tiempo los magos en sus trucos... con lo que casi volvemos al tema Harry Potter.

http://www.theinquirer.es/wp-content/uploads/2013/06/Large-cloaks.png

Ahora se habría conseguido escalar este esquema de lentes y espejos adaptándolos a una "capa" de tamaño variable capaz de servir para objetos de distintos tamaños. Por el momento la limitación se reduciría a que su funcionamiento sólo opera desde una dirección para el observador, con lo que por el momento su utilidad se circunscribiría a aplicaciones como aviones espía o satélites espía, que al estar situados a una altura tan elevada podrían aprovechar esta circunstancia de la "invisibilidad unidireccional".

http://www.theinquirer.es/wp-content/uploads/2013/06/Large-cloaks-II.png

La "capa de invisibilidad" está compuesta por microlentes y microespejos que redirigen la luz "ocultando" el objeto que cubre la "capa" y mostrando al observador lo que hay detrás del mismo de manera que el objeto a ocultar parece no estar ahí. En la foto sobre estas líneas podéis ver un ejemplo en el que la mitad derecha de la silla ha sido sometida a ese proceso, parece haber desaparecido y podemos ver perfectamente lo que tiene detrás, aunque en realidad la silla está ahí.

vINQulo

Technology Review

http://www.theinquirer.es/2013/06/07/la-capa-de-la-invisibilidad-estaria-mas-cerca-de-lo-que-pensabamos.html

[Sin parodias digitales]

Entre los perfiles falsos de Twitter de los presidentes autonómicos, los de la titular de Castilla-La Mancha, María Dolores de Cospedal, y Cataluña, Artur Mas, se llevan la palma con más de quince falsos álter ego cada uno y compiten en popularidad con Espeonza Aguirre, en alusión a la exdirigente madrileña.

Son sólo tres ejemplos de las múltiples cuentas que caricaturizan a los dirigentes autonómicos en la red social, que tienen miles de seguidores y tuitean tanto o más que los líderes regionales en sus perfiles oficiales.

Diez de los diecisiete presidentes autonómicos tienen un falso perfil en la red social de intercambio de información por excelencia, donde acumulan además miles de seguidores que retratan con humor su día a día.

Entre las que parodian a la presidenta de Castilla-La Mancha figura Cospedal sin ti, cuyos seguidores, obviamente críticos con su gestión, contrastan con los de Cospedal Contigo, que, también obviamente, la apoyan.

La también secretaria general del PP aparece en otro falso perfil como Loli Of Cospedal "presidenta de Castilla-La Mancha y de mi comunidad de vecinos. Y algún día también de España, en ello estoy", un diario humorístico de sus intervenciones públicas y en un crítico "Virgen Mª de Cospedal".

En la misma línea, Artur Mas tiene más de quince perfiles con su nombre, entre ellos el que subtitula "Lo peor de ser presidente de Catalunya es que me están creciendo las entradas. Lo mejor las cestas de navidad" o "retallArtur Mas" que explica "Me vengo de un español que me hacía bullying en el colegio".

No obstante, Cospedal y Mas no son los únicos que tienen varias cuentas fingidas en Twitter. Así, los seguidores de Espeonza Aguirre son más de 253.000, 90.000 más que la real de la propia Esperanza Aguirre.

El fake (falso) de la madrileña y su latiguillo "me desorino" se han hecho populares por tuits tales como "Madre mía, si la solución soy yo, ¡imaginaos cómo es el problema! ¡¡JAJAJA!! Soy una regeneratrix", que fue retuiteado (compartido en la red social) por más de tres mil usuarios.

Tras la dirigente popular, al presidente gallego, Alberto Núñez Feijóo, aluden al menos cinco cuentas con su nombre, sin actividad y con pocos seguidores, mientras que su perfil oficial cuenta con más de 5.500 followers pese a no haber publicado ningún comentario desde el pasado 21 de octubre. Un caso similar es el del lehendakari Íñigo Urkullu, con cuatro perfiles sin uso en su nombre.

El falso Twitter del presidente extremeño, José Antonio Monago, —quien no tiene cuenta oficial desde que publicara por error una puntuación de un juego—, le describe como "presidente de Extremadura y de los extremeños, Fake como la copa de un pino. ¿Y qué? ¿el de verdad lo hace mejor? Aquí tenemos cullons".

El presidente valenciano, Alberto Fabra, también posee varios perfiles en la red social, además del oficial. Entre ellos están Con Alberto Fabra, de apoyo al dirigente, y "Alberto I El Fabra, president de la Barbaritat Valenciana", que parodia su figura.

Por su parte, Paulino Ribero caricaturiza así al presidente canario: "Rivero va con V, Ribero va con B y HUMOR va con H. Esta es una cuenta de parodia, no te equivoques. Ornitólogo aficionado".

En la misma línea, Joserra Bauzá está lleno de críticas a las políticas del presidente balear, José Ramón Bauzá.

También el murciano Ramón Luis Valcárcel tiene su parodia en la red social —Ramón Luih Valcárcel— que dice "en la huerta crecí y muchas hogazas comí".

Asimismo, el presidente de la Junta de Andalucía, José Antonio Griñán (uno de los políticos más tuiteros) tampoco se salva de la parodia y su identidad digital es modificada para llegar a Peppe Grinan y comentar la actualidad andaluza.

La presidenta navarra, Yolanda Barcina, tiene una cuenta oficial sin actividad aunque sí con seguidores y otro perfil con su mismo nombre que no es el oficial, también con seguidores.

Sin parodias digitales

Para evitar confusiones, el presidente del Principado de Asturias, Javier Fernández, que cuenta con un Twitter oficial gestionado por su equipo, precisa que sus mensajes personales aparecen firmados como "Javier" pese a que no hay perfiles falsos con su nombre.

El madrileño Ignacio González tampoco sufre las parodias de las redes sociales y es en su perfil oficial, en el que también le acompaña su equipo, donde los tuiteros pueden seguirle.

Luisa Fernanda Rudi, presidenta de Aragón, tuitea con bastante frecuencia desde su cuenta oficial, mientras que el perfil del presidente castellanoleonés, Juan Vicente Herrera, tiene una cuenta, pero no tiene tuits ni foto.

De los presidentes de Cantabria y La Rioja, Ignacio Diego y Pedro Sanz, respectivamente, no figura aparentemente ningún tipo de perfil en Twitter, ni real ni ficticio.

http://www.20minutos.es/noticia/1837674/0/falsos-perfiles-de-twitter/presidentes-autonomicos/parodias-twitter/

[Lejos de acabar con el P2P]

GazelleGames y Underground Gamer han cerrado sus puertas esta semana ante posibles problemas legales. Los dos famosos trackers de BitTorrent especializados en videojuegos han tomado esta difícil decisión en previsión de fuertes sanciones para sus administradores en EEUU.

Torrentfreak informa sobre los últimos cierres de trackers de la red P2P BitTorrent. El primero de ellos, GazelleGames, ha decidido cerrar de forma permanente después de tres años online. Se trataba de uno de los trackers privados de la red con más usuarios y estaba especializado en videojuegos. Aunque no se conoce de forma específica el número de usuarios se contabilizaban por miles, los cuales se encontraron con un sorprendente mensaje en la web de inicio posteado por sus administradores.

La noticia se conoce días después del cierre de otro tracker similar, Underground Gamer. En este caso los detalles exactos del cierre no se conocen aunque también se especula que podría ser por las amenazas de un grupo relacionado con la industria cultural y del entretenimiento. En este caso el servicio parece suspendido de forma temporal, por lo que sus creadores podrían reactivarlo en un futuro.

Los cierres se han producido después de que bitGamer hiciese lo propio meses atrás. Los primeros indicios apuntan a la Asociación del Software de Entretenimiento (ESA en sus siglas en inglés) como responsable de las amenazas legales, que podría haber contratado a un grupo antipiratería para actuar en nombre de otras famosas compañías del sector entre las que se cita a Electronic Arts.

Lejos de acabar con el P2P

No obstante, a pesar de estos cierres y las presiones de esta industria contra los trackers cabe preguntarse qué efecto tendrá a nivel global. Cuesta creer que el fenómeno P2P vaya a paralizarse por acciones tan puntuales a pesar de la importancia de estos servicios. Los miembros de los mismos a buen seguro encuentran acomodo en las innumerables alternativas que existen en la Red, por lo que es llamativo que las grandes compañías sigan realizando estos ímprobos y fútiles esfuerzos en su persecución contra el peer to peer en lugar de ofrecer servicios legales y asequibles a los que con toda seguridad sacaría mayor rentabilidad económica.

http://www.adslzone.net/article11759-las-amenazas-de-la-industria-acaban-con-dos-conocidos-trackers-de-bittorrent.html

Publicado el 7 de junio de 2013 por Antonio Rentero

Un simple 7 en un cartel de enormes dimensiones en el Centro Moscone de San Francisco, donde tendrá lugar desde el lunes la conferencia anual de desarrolladores de Apple, sería el indicio que permitiría obtener esa conclusión.

Venía rumoreándose desde hace tiempo y en los últimos tiempos incluso han existido filtraciones del aspecto que tendrían los iconos en la nueva versión del sistema operativo para móviles de Apple.

De hecho en el propio logotipo del WWDC 2013 algunos han querido ver un atisbo de la remodelación gráfica de la actualización de iOS y quizá no anden desencaminados puesto que si ese estilizado 7 del cartel debe servirnos como pista podríamos hablar por una reorientación hacia la estilización y la simplificación del interfaz de usuario, algo por lo que hace meses que es está apostando, especialmente desde que se confirmó que Jonathan Ive, responsable de diseño de Apple y padre de sus estilizados productos, se había situado al frente de la remodelación del grupo encargado de la interfaz humana de manejo de iOS responsabilizándose de la búsqueda de un nuevo aspecto y funcionamiento del sistema operativo.

En pocos días ese solitario 7 desvelará por fin todos sus secretos.

vINQulo

MacStories

http://www.theinquirer.es/2013/06/07/se-confirma-que-ios7-se-presentara-en-wwdc-2013.html