Mensajes

[Contenido de la carta]

Más de 100.000 descargas en dos días han hecho saltar las alamas. Bien es cierto que Cody Wilson, creador de la pistola imprimible Liberator, no se oculta. Él mismo se ha encargado de proclamar el éxito de su invento.

Los patrones, de descarga gratuita, se publicaron el lunes. El jueves el Departamento de Estado se puso en contacto con Wilson a través de una carta para indicarle que debe dar de baja tanto esos planos como los de otras nueve armas de fuego que se encuentran en la página Defcad.org.

El gobierno argumenta que no respeta las leyes de tráfico de armas internacionales y le da un trato similar al de un exportador sin licencia. "Esto significa que se los datos tienen que dejar de estar accesibles de inmediato", se incida en la carta. De lo contrario tendrá que hacer frente a la ley.

Según el creador, el pasado martes España lideraba la lista de descargas. Sin embargo, los poseedores, escasos, de una impresora en tres dimensiones no lo tienen fácil para convertir los planos en un objeto. La impresora de este tipo más popular, MakerBot, no es compatible con los requisitos para fundir las partes del arma y después montarla.

Este estudiante de Derecho de Austin (Texas) ha explicado por correo electrónico a la revista Forbes que se pliega a la petición: "Vamos a quitar todo los datos, pero quizá no sea posible que desaparezcan del todo. Podemos quitarlo de nuestros servidores pero no de Internet".

Tanto Mega, el servicio de descargas sucesor de Megaupload, como Pirate Bay ofrecen los planos a través de sus servidores. A pesar de la carta oficial, Wilson no lo considera una amenaza. "Estamos llegando a generar la conversión que anhelo. ¿Por qué no hay un régimen claro? ¿Se puede tener una control sobre el tráfico de armas en la era de Internet y las impresoras en tres dimensiones?" dice en la revista.

El inventor se compara con Philip Zimmermann, el inventor del código de cifrado de correo PGP, que se enfrentó a un proceso similar al considerar que era una amenaza contra la seguridad estatal. El matiz está en que el primero hacía programas informáticos y Wilson armas con aplicación en el mundo real.

Contenido de la carta

United States Department of State

Bureau of Political-Military Affairs

Offense of Defense Trade Controls Compliance

May 08, 2013

In reply letter to DTCC Case: 13-0001444

[Cody Wilson's address redacted]

Dear Mr. Wilson,

The Department of State, Bureau of Political Military Affairs, Office of Defense Trade Controls Compliance, Enforcement Division (DTCC/END) is responsible for compliance with and civil enforcement of the Arms Export Control Act (22 U.S.C. 2778) (AECA) and the AECA's implementing regulations, the International Traffic in Arms Regulations (22 C.F.R. Parts 120-130) (ITAR). The AECA and the ITAR impose certain requirements and restrictions on the transfer of, and access to, controlled defense articles and related technical data designated by the United States Munitions List (USML) (22 C.F.R. Part 121).

The DTCC/END is conducting a review of technical data made publicly available by Defense Distributed through its 3D printing website, DEFCAD.org, the majority of which appear to be related to items in Category I of the USML. Defense Distributed may have released ITAR-controlled technical data without the required prior authorization from the Directorate of Defense Trade Controls (DDTC), a violation of the ITAR.

Technical data regulated under the ITAR refers to information required for the design, development, production, manufacture, assembly, operation, repair, testing, maintenance or modification of defense articles, including information in the form of blueprints, drawings, photographs, plans, instructions or documentation. For a complete definition of technical data, see 120.10 of the ITAR. Pursuant to 127.1 of the ITAR, it is unlawful to export any defense article or technical data for which a license or written approval is required without first obtaining the required authorization from the DDTC. Please note that disclosing (including oral or visual disclosure) or tranferring technical data to a foreign person, whether in the United States or abroad, is considered an export under 120.17 of the ITAR.

The Department believes Defense Distributed may not have established the proper jurisdiction of the subject technical data. To resolve this matter officially, we request that Defense Distributed submit Commodity Jurisdiction (CJ) determination requests for the following selection of data files available on DEFCAD.org, and any other technical data for which Defense Distributed is unable to determine proper jurisdiction:

    Defense Distributed Liberator pistol
    .22 electric
    125mm BK-14M high-explosive anti-tank warhead
    5.56/.223 muzzle brake
    Springfield XD-40 tactical slide assembly
    Sound Moderator – slip on
    "The Dirty Diane" 1/2-28 to 3/4-16 STP S3600 oil filter silencer adapter
    12 gauge to .22 CB sub-caliber insert
    Voltlock electronic black powder system
    VZ-58 sight

DTCC/END requests that Defense Distributed submits its CJ requests within three weeks of the receipt of this letter and notify this office of the final CJ determinations. All CJ requests must be submitted electronically through an online application using the DS-4076 Commodity Jurisdiction Request Form. The form, guidance for submitting CJ requests, and other relevant information such as a copy of the ITAR can be found on DDTC's website at http://www.pmddtc.state.gov.

Until the Department provides Defense Distributed with the final CJ determinations, Defense Distributed should treat the above technical data as ITAR-controlled. This means that all such data should be removed from public access immediately. Defense Distributed should also review the remainder of the data made public on its website to determine whether any additional data may be similarly controlled and proceed according to ITAR requirements.

Additionally, DTCC/END requests information about the procedures Defense Distributed follows to determine the classification of its technical data, to include aforementioned technical data files. We ask that you provide your procedures for determining proper jurisdiction of technical data within 30 days of the date of this letter to Ms. Bridget Van Buren, Compliance Specialist, Enforcement Division, at the address below.


Office of Defense Trade Controls Compliance

PM/DTCC, SA-1, Room L132

2401 E Street, NW

Washington, DC 20522

Phone 202-663-3323 begin_of_the_skype_highlighting 202-663-3323 end_of_the_skype_highlighting

We appreciate your full cooperation in this matter. Please note our reference number in any future correspondence.

Sincerely,

Glenn E. Smith

Chief, Enforcement Division

http://tecnologia.elpais.com/tecnologia/2013/05/10/actualidad/1368191997_872985.html

Relacionado: https://foro.elhacker.net/noticias/california_podria_prohibir_la_impresion_de_pistolas_3d-t389854.0.html

La empresa de seguridad G Data ha detectado un nuevo ataque informático llamado Beta Bot que utiliza la ingeniería social para conseguir privilegios de administrador y desactivar el antivirus de los ordenadores. Este nuevo programa malicioso cuesta 500 euros y ofrece a los ciberdelincuentes una extensa lista de funciones, unas habituales en este tipo de sistemas como los ataques DDoS y diversas funciones para el robo de datos y otras más nuevas como la posibilidad de desactivar los programas antivirus instalados en los ordenadores de las víctimas.

Según varios foros clandestinos el Beta Bot es capaz de desactivar hasta 30 programas de seguridad diferentes, pero desde G Data aseguran que sus usuarios están protegidos en cuanto a este ataque que cada día gana más adeptos.

Aunque gran parte de los programas maliciosos pueden funcionar sin privilegios de administrador, Beta Bot debe escalar sus privilegios si desea desactivar el software de seguridad instalado y para tener éxito necesita la validación del propio usuario.

Para ello el programa, una vez que se ha ejecutado el código malicioso, actúa mostrando una primera ventana en el idioma del sistema. Tiene función multilingüe así que puede aparecer en varios idiomas, incluido el español. En este mensaje se alerta de un problema en el disco duro y advierten al usuario de una posible pérdida de datos. Beta Bot permite elegir entre "Restaurar archivos" o "Restaurar archivos y realizar una comprobación de disco".

Cualquiera de las dos opciones seleccionadas por el usuario activará el Control de Cuentas de Usuario y una ventana solicitará una elevación de privilegios aparentemente en nombre de Windows, lo que suele ser aceptado por la mayoría de los usuarios.

Llegados a este punto se produce el engaño y Beta Bot ya tiene todos los privilegios necesarios para actuar en el equipo y desactivar el antivirus, deteniendo procesos, deshabilitando claves de registro o incluso las actualizaciones automáticas marcadas por defecto.

http://www.laflecha.net/canales/seguridad/noticias/alerta-por-un-malware-que-ataca-a-los-antivirus

Si eres de los que se quejan por lo incómodo que puede ser iniciar sesión con el método de los dos pasos, vete preparando porque esto puede ser sólo el principio. Google planea reforzar el proceso de identificación en sus cuentas de usuario de aquí al 2018, y lo hará con métodos de autenticación más estrictos. En palabras de la misma Google, no les importa que la identificación sea más pesada si eso aumenta drásticamente la seguridad.

Esos métodos pasarían por códigos generados por nuestros teléfonos móviles, que servirían para autorizar una solicitud de inicio de sesión; y por pedir un inicio de sesión repetido si el usuario intenta hacer alguna operación delicada e importante como transferir una gran cantidad de dinero.

La compañía se beneficiaría del hecho que los usuarios tienen más de un dispositivo identificado con una cuenta de usuario encima (como mínimo un ordenador y un smartphone), y podría pedir la confirmación de una acción hecha desde un terminal desde otro. Por ejemplo: si queremos pagar 400 euros usando Google Wallet desde nuestro ordenador, el sistema nos pediría la contraseña y después nos exigiría que autorizásemos la compra desde el móvil.

A todo esto vendrían ligados los avances en autenticación de las plataformas móviles, como los gestos al desbloquear móviles Android o los basados en imágenes que hay en Windows Phone; y los chips NFC para verificar que dos dispositivos están uno al lado de otro. El documento con el que Google ha presentado esta iniciativa también menciona los lectores de huella dactilar, componentes que podrían estar integrados en las pantallas a medio plazo.

Básicamente, Google comprende que la gran mudanza a la nube que estamos viviendo tiene que venir ligada a unas medidas de seguridad mucho más reforzadas que una simple contraseña para iniciar sesión. A medida que pasen los años iremos viendo todas estas mejoras.

Vía | ZDNet

http://www.genbeta.com/seguridad/google-endurecera-sus-sistemas-de-autenticacion-durante-los-proximos-cinco-anos

El sitio web oficial de la Academia Militar de Bangladesh (bma.mil.bd) ha sido hackeado y deteriorado. Curiosamente, el sitio ha sido atacado por dos colectivos independientes.

http://news.softpedia.com/images/news-700/Website-of-Bangladesh-Military-Academy-Hacked.png

HackRead informa que un hacker argelino conocido como fantasma-dz ha alterado el sitio, agregando una página web de desfiguración a "bma.mil.bd/gh.html".

Sin embargo, mientras revisaba el sitio web desfigurado, he observado que la página principal también ha sido modificada por un grupo diferente, llamado Biang Kerox Team.

Biang Kerox Team parece ser un grupo hacktivista indonesio.

"Amamos este país, pero odiamos el sistema existente. Solamente una palabra... OPONENTE!", dice una traducción aproximada del mensaje publicado por los hackers en el sitio militar de Bangladesh.

Actualmente, ambas páginas de desfiguración están todavía en línea.

Además del sitio de la Academia Militar de Bangladesh, Biang Kerox Team también ha deteriorado más de 700 sitios web comerciales suizos hoy.

http://news.softpedia.es/Hackean-el-sitio-web-de-la-Academia-Militar-de-Bangladesh-352025.html

Un aviso de seguridad publicado por Adobe el miércoles revela que una vulnerabilidad crítica ha sido identificada en ColdFusion. El fallo puede ser explotado por un usuario no autorizado para obtener remotamente archivos almacenados en un servidor.

ColdFusion 10, 9.0.2, 9.0.1, 9.0 y versiones anteriores para Windows, Macintosh y Linux se ven afectados.

Adobe advierte que un exploit para el error ya ha sido visto en la web.

Se espera que una actualización para el agujero de seguridad sea lanzado el 14 de mayo. Mientras tanto, los usuarios pueden protegerse contra los ataques mediante la restricción del acceso público a los siguientes directorios: CFIDE/administrator, CFIDE/adminapi and CFIDE/gettingstarted.

Las vulnerabilidades de ColdFusion son explotadas a menudo por los ciberdelincuentes para hackear empresas. El hackeo de Linode, por ejemplo, se basó en un agujero de seguridad de ColdFusion parcheado recientemente.

Además de esta actualización de ColdFusion, el 14 de mayo, Adobe también parcheará un error de seguimiento en Reader y Acrobat.

http://news.softpedia.es/Adobe-advierte-acerca-de-una-vulnerabilidad-critica-en-ColdFusion-352079.html

[Orange será la siguiente]

A partir del próximo mes de julio podremos navegar en Madrid a través del móvil a velocidades que oscilarán entre 15 y 35 megas reales. El Long Term Evolution (LTE) será una realidad comercial, y Yoigo será la primera operadora en ofrecer esta tecnología sin incrementar el precio de sus tarifas.

Después de varias pruebas piloto, el 4G estará disponible a partir del próximo verano. La filial de Telia Sonera lanzará su red móvil ultrarrápida en la Comunidad de Madrid con 405 estaciones base y llegará al 37 por ciento de la población a finales de 2013.

Los planes de la cuarta compañía móvil son muy ambiciosos. En 2014, planea ofrecer LTE en el 75% del territorio nacional cambiando por completo la experiencia de uso de sus abonados. Navegaremos tres o cuatro veces más rápido y habrá otras mejoras significativas, como un descenso de la latencia. Esto significa que las conexiones móviles podrían servir perfectamente para jugar online igual que con una conexión de banda ancha fija.

Orange será la siguiente

La filial de France Telecom también ha anunciado que lanzará LTE en otoño. Esto significa que habrá dos operadores móviles con capacidad de ofrecer alta velocidad. Vodafone y Movistar todavía no han concretado sus intenciones pero es evidente que tendrán que sumarse al carro para no perder posicionamiento en el mercado. En 2014 habrá un despliegue masivo y es que la tecnología ha llegado para quedarse, igual que ha sucedido con la migración del ADSL a la fibra óptica.

Samsung ha sido la compañía que más carne en el asador ha puesto en el LTE de Yoigo. La firma coreana acompañó a la operadora en la presentación y anunció la llegada de smartphones compatibles con esta tecnología por menos de 200 euros.

Un precio asequible que tiene como objetivo popularizar el LTE entre los usuarios. Otras firmas como Sony, Nokia, HTC o Apple también tienen modelos en el mercado capaces de conectar con la cuarta generación.

No habrá tarifas ilimitadas de datos

A diferencia de la evolución de las tarifas de voz móviles, no veremos propuestas ilimitadas en el mercado de datos. Yoigo confirmó que actualmente sus clientes consumen de media 500 megas y que con LTE esperan que el consumo se dispare hasta 3 GB. El futuro de los operadores móviles pasa por cobrar las franquicias de datos mientras que la voz tiende a ser gratuita.

Probablemente sea un problema importante para los operadores móviles virtuales que apuestan por regalar internet a cambio de cobrar un consumo mínimo por las llamadas de teléfono.

http://blogs.elconfidencial.com/tecnologia/tecno-zone/2013/05/09/el-4g-una-revolucion-que-acabara-con-las-tarifas-planas-de-datos-4855

[Más información]

Greg MacManus ha descubierto y publicado un grave fallo de seguridad (CVE-2013-2028) en nginx, cuando se procesan peticiones HTTP "por bloques" (chunked transfer) que puede permitir a un atacante ejecutar código arbitrario.

Nginx es un servidor web, open source y desarrollado casi íntegramente en el lenguaje C, lo que le proporciona un alto rendimiento aprovechando al máximo los recursos del sistema. Una prueba de ello es que viene por defecto instalado en algunas distribuciones para Raspberry Pi. También puede realizar la función de servidor Proxy inverso para HTTP, SMTP, POP3 e IMAP.

El error descubierto produce un desbordamiento de memoria intermedia basada en pila que generaría en una denegación de servicio del servidor. Al ser un desbordamiento de memoria, se podría producir una ejecución de código arbitrario en el lado del servidor con los permisos del servidor nginx.

Para solucionar el error se han incluido una comprobación para que el ta tamaño no sea inferior a 0 al realizar esta petición, en el archivo 'src/http/ngx_http_parse.c'

+ if (ctx->size < 0 || ctx->length < 0) { + goto invalid; + } +

El fallo se ha descubierto en las versiones 1.3.9 (de noviembre de 2012) y 1.4.0 y corregidos en la 1.5.0 y la 1.4.1 respectivamente.

Como contramedida si no se desea actualizar el servidor por alguna razón, se puede incluir este código en cada uno de los bloques "server" de la configuración:

if ($http_transfer_encoding ~* chunked) { return 444; }

que evita que se use el tipo de transferencia por bloques.

Se puede actualizar a las nuevas versiones desde su página de descargas.

Más información:

nginx download http://nginx.org/en/download.html

nginx - patch.2013.chunked http://nginx.org/download/patch.2013.chunked.txt

nginx security advisory (CVE-2013-2028) http://mailman.nginx.org/pipermail/nginx-announce/2013/000112.html

http://www.laflecha.net/canales/seguridad/noticias/ejecucion-de-codigo-arbitrario-en-servidores-nginx

Imágenes del móvil de uno de los sospechosos presentadas este jueves en una rueda de prensa en Nueva York. / REUTERS (LUCAS JACKSON)  http://ep01.epimg.net/internacional/imagenes/2013/05/09/actualidad/1368128137_318083_1368128775_noticia_normal.jpg

Un gran asalto a decenas de cajeros en pleno corazón de Manhattan, con tarjetas del tipo Mastercard como arma. En la operación participaron, que se sepa en este momento, ocho individuos. Son solo los integrantes de una célula en EE UU. Siete de ellos están bajo arresto. Pero los investigadores advierten de que se trata de un crimen financiero mucho más complejo y de dimensión global. El motín se valora en un total de 45 millones de dólares.

La fiscalía comparó lo sucedido como algo similar a un flashmob planetario, por la manera masiva en la que se ejecutó la operación. El mapa de Nueva York que mostraron las autoridades estaba lleno de puntos, que indicaban donde los individuos fueron ejecutando uno a uno el asalto. Por hacerlo sencillo, los responsables de la trama criminal accedieron a los sistemas de entidades en Oriente Medio para hacerse con datos de las tarjetas de débito. Se cree que el centro operativo está fuera de EE UU.

Esa información se pasaba después a los individuos que ejecutaban el asalto al pie de cajero, con tarjetas emitidas por el National Bank of Ras Al-Khaimah de Emiratos Árabes y del Bank of Muscat en Oman. En total se hicieron 40.500 operaciones de retirada de dinero en 27 países. Es el mayor robo en cajero que se ha visto, dicen las autoridades en EE UU. "En lugar de pistolas y máscaras, esta organización utilizó ordenadores y programas maliciosos", informó la fiscal neoyorquina Loretta Lynch.

El objetivo del ataque fueron tarjetas de débito prepagadas. Los autores del asalto lograron manipular el límite con el que se podía sacar dinero del cajero, por lo que se teme tuvieron un acceso importante a los sistemas de los bancos. Así los equipos que tenían en la calle podían sacar la mayor cantidad de dinero posible antes de que el sistema se bloqueara. Mastercard asegura que su red nunca estuvo en compromiso, aunque esta trabajando con la investigación para ayudarle a desmantelar la trama.

El primer asalto se ejecutó a finales de diciembre del año pasado, en el que se robaron cerca de cinco millones de dólares. Y actuaron de nuevo en febrero, donde las pérdidas se estiman en 40 millones. En total se calcula actuaron en 36.000 cajeros automáticos. En Nueva York en concreto se retiraron casi tres millones dólares en sendos golpes, lo que según Lynch lo convierte en el segundo mayor robo bancario en la historia de la ciudad.

Como señalan los expertos en crímenes financieros de este tipo, los hackers solo necesitan encontrar una vulnerabilidad en el sistema para causar daños de millones de dólares en tan solo un par de días. "Las nuevas tecnologías y el rápido crecimiento de Internet eliminó las fronteras tradicionales del crimen financiero", señaló por su parte Steven Hughes, uno de los agentes que participaron en la operación de derribo de la trama.

La investigación sigue abierta porque no está aún claro si hay más células operativas en otras ciudades en EE UU. De los ocho acusados en EE UU, uno fue asesinado el 27 de abril en la República Dominicana. No se sabe si la muerte está relacionada con este crimen financiero, indicó Lynch. La investigación del ciberataque financiero está teniendo lugar en una quincena de países, entre ellos España, Canadá y Japón.

http://internacional.elpais.com/internacional/2013/05/09/actualidad/1368128137_318083.html

[Seguir leyendo]

Jennie Lamere es de New Hampshire (EE UU), tiene 17 años y ha inventado una herramienta que elimina -a demanda- de Twitter los spoilers sobre series y programas de televisión. Su padre también es desarrollador.

En tiempos de audiencia social, segunda pantalla y enriquecimiento de contenido, hay quien se pierde un día el capítulo de su serie favorita y le gustaría poder acceder a su timeline de Twitter sin toparse con las menciones y comentarios de los demás sobre lo que ocurre. Lo mismo pasa con los partidos de fútbol, a veces es imposible no enterarse.

Esto está concebido para emisiones en directo, que es cuando una mayoría de gente se 'reúne' en redes sociales para hablar sobre lo que está sucediendo en la pantalla. Véanse un Pesadilla en la Cocina o un episodio de Homeland cualquiera (aunque a estas alturas el tema de las series importadas y exitosas no aplique aquí, ya me entendéis).

Seguir leyendo: http://blogs.20minutos.es/140-y-mas/2013/05/09/spoilers-en-twitter-una-chica-de-ee-uu-desarrolla-una-herramienta-que-los-elimina/

 Publicado el 9 de mayo de 2013 por Antonio Rentero   

Nunca había dado una rueda de prensa y la primera vez que lo hace es para negar que su empresa está colaborando con el gobierno Chino a la hora de espiar las actividades de las agencias gubernamentales estadounidenses, para quien no representa una amenaza.

Ren Zhengfei es el fundador y director general de la empresa china Huawei Technologies y sus primeras palabras en más de un cuarto de siglo que lleva sin dirigirse a la prensa han ido dirigidas a defender su posición como empresa de fiar, a pesar de las acusaciones de falta de transparencia en algunas de sus actividades, incluso se le ha acusado de estar implicada en algunos cyberataques que ha sufrido últimamente el Pentágono o la propia Casa Blanca, recayendo las sospechas en una unidad secreta de expertos informáticos militares chinos.

La rueda de prensa se ha celebrado en Nueva Zelanda, donde Huawei ha ganado un concurso para construir la red de conexión 4G-LTE así como de redes de banda ultraancha. Zhengfei pone de relieve que en la actualidad las redes de comunicaciones existentes en USA carecen de instalaciones en las que haya dispositivos de su marca, no habiendo vendido sus productos por el momento a los principales operadores estadounidenses, al Gobierno o a ninguna agencia de seguridad del país, por lo que afirma no entender de dónde provienen esos rumores que por otra parte le están perjudicando seriamente hasta el punto de que no hace mucho que se ha quedado sin conseguir un jugoso contrato para desarrollar las redes de comunicaciones gubernamentales de Australia o Canadá.

En cuanto a presencia mundial de empresas suministradoras de equipamiento para operadores de comunicaciones, Huawei es la segunda por detrás de la sueca Ericsson, pero las precauciones por parte de las autoridades del país norteamericano le están impidiendo asentarse allí como desearía. Con un valor en bolsa de 35.000 millones de dólares, es asimismo la quinta empresa mundial en fabricación de teléfonos móviles, compitiendo con HTC , LG y Nokia en pos de Samsung y Apple.

El presidente de Huawei ha confesado que si ha decidido dirigirse a los medios por primera vez en 26 años es en un afán de transparencia.

vINQulo

Reuters

http://www.theinquirer.es/2013/05/09/el-director-de-huawei-rompe-26-anos-de-silencio-no-estamos-espiando-a-usa-no-somos-una-amenaza.html