Mensajes

[Opera Software ha publicado dos boletines de seguridad referentes a sendas vulnerabilidades que afectan a su navegador Opera. Éstas podrían ser explotadas de forma remota para revelar información sensible y ejecutar código arbitrario.]

Opera Software ha publicado dos boletines de seguridad referentes a sendas vulnerabilidades que afectan a su navegador Opera. Éstas podrían ser explotadas de forma remota para revelar información sensible y ejecutar código arbitrario.

La primera vulnerabilidad, considerada crítica, se debe a un error de falta de comprobación de tamaño cuando Opera almacena la respuesta en un buffer, tras una petición HTTP. Esto podría causar un desbordamiento de memoria que podría ser aprovechado por un atacante remoto para provocar una denegación de servicio, e incluso ejecutar código arbitrario.

La otra vulnerabilidad es considerada de severidad baja. Se debe a un fallo al manejar las páginas de error que podría permitir determinar la existencia de archivos locales, revelando información que no debería ser accesible por estas páginas.

Por el momento no se ha asignado ningún identificador CVE a estas vulnerabilidades.

Ambas afectan a las versiones de Opera inferiores a la 12.11, que ha sido lanzada para corregir estas vulnerabilidades. Se puede descargar desde la página oficial.

Más información:

Advisory: HTTP response heap buffer overflow can allow execution of arbitrary code http://www.opera.com/support/kb/view/1036/

Advisory: Error pages can be used to guess local file paths http://www.opera.com/support/kb/view/1037/

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/ejecucion-de-codigo-arbitrario-en-opera-12

[Joshua Hill, más conocido como p0sixninja, afirma que sólo es necesario encontrar 2 exploits más para completar el jailbreak untethered y permanente para el iPhone 5, iPad Mini, iPad 4 y el resto de dispositivos de Apple con chip A5 y A6.]

Joshua Hill, más conocido como p0sixninja, afirma que sólo es necesario encontrar 2 exploits más para completar el jailbreak untethered y permanente para el iPhone 5, iPad Mini, iPad 4 y el resto de dispositivos de Apple con chip A5 y A6.

Hace ya más de una semana que dimos la noticia de que Joshua Hill, más conocido en el universo "jailbreaker" como p0sixninja, estaba cerca de conseguir un jailbreak untethered, universal y permanente para los productos Apple con chip A5 y A6, o lo que es lo mismo, para iPhone 5, iPhone 4S, iPod Touch y los nuevos iPad y iPad Mini.

De nuevo, p0sixninja deja pistas de cómo va su trabajo en Twitter
Pese a que no se ha hecho ningún comunicado oficial de cómo está el proyecto desde ese momento, de su Twitter y las conversaciones con otros usuarios se desprende que p0sixninja está haciendo grandes progresos al respecto y recientemente publicaba que "realmente sólo es necesario encontrar 2 exploits para el Bootroom (de los chips A5 y A6) para que sea (el jailbreak) untetethered de por vida" a lo que añadía "cada vez es más difícil encontrarlos o Apple al añadir nuevas protecciones, blinda más los exploits".

Aún no hay fecha para la publicación de los hallazgos de p0sixninja
Lo cierto es que aún no se ha pronunciado sobre cuando liberará el resultado de su trabajo para que se pueda crear, a partir de el, un software tipo RedSn0w con el que hacer el jailbreak a los dispositivos iOS más recientes. Sin embargo, la espera parece que valdrá la pena de cumplirse la promesa del desarrollador.

Un jailbreak a nivel de bootrom no se ve desde 2010 con el iPhone 4
Un jailbreak  permanente lleva sin ser visto desde 2010, con el iPhone 4, y es algo que Apple sólo puede solucionar si cambia el hardware. Si bien el jailbreak que se consigue en un principio siempre es tethered, es muy fácil convertirlo en untethered, es decir, sin necesidad de reiniciar el terminal conectado al ordenador. En esta ocasión, otros pesos pesados del jailbreak como @Musclenerd no han dicho nada al respecto de las afirmaciones de p0sixninja, pese a que se mantuvieron en su momento bastante escépticos ante las promesas de éste.

Como ya dijimos en la anterior ocasión, mantenemos siempre un ojo puesto en las cuentas de twitter de todos estos hackers para ver si pronto se anuncia el esperado jailbreak de iPhone 5 o iPad Mini. Sin embargo, todas las apuestas están en que hasta que Apple no libere iOS 6.1, estos intrépidos desarrolladores no desvelarán sus nuevas cartas.

FUENTE :http://www.movilzona.es/2012/11/23/novedades-sobre-el-jailbreak-universal-para-iphone-5-ipad-y-ipad-minihttpstwitter-comp0sixninja/

[La SGAE, junto a otras entidades de gestión de derechos de autor, sigue su cruzada para volver a la antigua fórmula del canon digital como compensación a los artistas por la copia privada. Estas sociedades ven a la industria tecnológica como la beneficiada por parte del Gobierno.]

La SGAE, junto a otras entidades de gestión de derechos de autor, sigue su cruzada para volver a la antigua fórmula del canon digital como compensación a los artistas por la copia privada. Estas sociedades ven a la industria tecnológica como la beneficiada por parte del Gobierno.

No es un discurso nuevo pero aquellos que lo sostienen creen que conseguirán imponer sus directrices al Ejecutivo. Las principales gestoras de derechos de autor españolas (AGEDI, AIE, AISGE, DAMA, EGEDA, SGAE y VEGAP) han publicado un manifiesto en el que insisten en su rechazo absoluto al "actual modelo de canon digital" que se encamina a cumplir su primer año después de ser aprobado.

Recordemos que el Gobierno de Mariano Rajoy optó por cambiar la fórmula de compensación a los autores, que antes se basaba en grabar dispositivos y soportes electrónicos y que ahora pasa por ser una partida en los Presupuestos Generales del Estado. Entre sus nuevas características, además de ser una tasa completamente indiscriminada ya que recae en todos los ciudadanos hagan o no copias privadas de contenidos con copyright, está la menor recaudación que supone para las entidades dicha partida.

Las gestoras no han dudado en repetir sus mismos argumentos: la industria tecnológica, en la que se engloban fabricantes de tabletas, móviles, reproductores musicales o PC es la "verdadera beneficiaria" de la copia privada y el impacto que tiene en la llamada "piratería". Por este motivo, señala a este sector como el que debería afrontar el pago del canon digital "como hasta ahora" ya que con la nueva fórmula creen que ni siquiera han bajado sus precios por lo que han aumentado sus ingresos.

"El Gobierno únicamente ha conseguido efectos contrarios a los que supuestamente perseguía al condonar 115 millones de euros anuales a las multinacionales del sector tecnológico, principalmente extranjeras, pero no reduce el déficit público", señala el texto. Por este motivo, considera que con la eliminación del canon concebido como en los últimos años "se perjudica a todos los ciudadanos, quienes tendrán que pagar la compensación, y a los miles de creadores que se han visto privados de sus legítimos derechos".

Así pues, parece que la SGAE al menos ha cambiado el objetivo en su punto de mira. Lejos de criminalizar a los usuarios como antaño, cuando no dudaba en considerarles responsables de las pérdidas de los autores, ahora es la industria tecnológica su nuevo enemigo y de ésta considera que está "empobreciendo el sector cultural del país".

FUENTE :http://www.adslzone.net/article10008-la-sgae-carga-contra-los-fabricantes-de-moviles-tabletas-y-pc.html

[La polémica sigue rodeando la nueva web del Senado, estrenada hace apenas dos semanas. Tras las críticas de los expertos por el alto precio pagado por el rediseño, casi medio millón de euros, que califican de desproporcionada y que cuadruplica el precio medio de este servicio, ahora es el Comité Español de Representantes de Personas con Discapacidad (Cermi) el que ataca. Según un informe elaborado por esta organización, la nueva página "no cumple estrictamente con los mandatos legales y reglamentarios, vigentes en España, que obligan a que las páginas de las instituciones públicas sean plenamente accesibles". Un portavoz de la Cámara alta asegura que la institución está tomando nota de las deficiencias que apunta el documento para "subsanarlas lo antes posible".]

La polémica sigue rodeando la nueva web del Senado, estrenada hace apenas dos semanas. Tras las críticas de los expertos por el alto precio pagado por el rediseño, casi medio millón de euros, que califican de desproporcionada y que cuadruplica el precio medio de este servicio, ahora es el Comité Español de Representantes de Personas con Discapacidad (Cermi) el que ataca. Según un informe elaborado por esta organización, la nueva página "no cumple estrictamente con los mandatos legales y reglamentarios, vigentes en España, que obligan a que las páginas de las instituciones públicas sean plenamente accesibles". Un portavoz de la Cámara alta asegura que la institución está tomando nota de las deficiencias que apunta el documento para "subsanarlas lo antes posible".

El informe del Cermi, titulado Accesibilidad en el sitio web del Senado en España, destaca que aunque la nueva página ha sido desarrollada teniendo en cuenta los principales criterios de accesibilidad, "se han detectado barreras", en algunos casos de carácter grave, que dificultan o no permiten el acceso a los contenidos o funcionalidades implementadas por parte de todos los usuarios en igualdad de condiciones. Entre ellas, el documento destaca la presencia de elementos imágenes con carga informativa sin un contenido alternativo adecuado, objetos multimedia sin un desarrollo accesible, errores en la estructura de encabezados, enlaces que no se entienden fuera de contexto; documentos PDF no accesibles, textos con contraste de color insuficiente o tamaños absolutos en propiedades de hojas de estilo.

Por ello, el presidente del Cermi, Luis Cayo Pérez, ha enviado una carta al presidente del Senado, Pío García Escudero, en la que le pide que corrija estos defectos de accesibilidad "lo antes posible", siguiendo las comprobaciones y pautas contenidas en el informe, al tiempo que ofrece su colaboración para resolver estos problemas y "garantizar el acceso de todos los ciudadanos a los diferentes servicios y aplicaciones que ofrece, con independencia de la forma de navegación y su discapacidad". El Senado, de momento, da acuse de recibo y asegura que "está trabajando en ello".

FUENTE :http://sociedad.elpais.com/sociedad/2012/11/23/actualidad/1353670692_176229.html

[Un joven azerbayano de 21 años ha logrado ser contratado como entrenador por un equipo de fútbol de la liga de su país gracias a su habilidad con el videojuego Football Manager.]

 Publicado el 23 de noviembre de 2012 por Jaime Domenech   

Un joven azerbayano de 21 años ha logrado ser contratado como entrenador por un equipo de fútbol de la liga de su país gracias a su habilidad con el videojuego Football Manager.

Hablamos de Vugar Huseynzade, que hace un par de semanas sustituyó a Kamaran Ismaylov como entrenador del FC Baku, un equipo de la primera división de Azerbayán.

El protagonista de esta historia nunca había estado al frente de un equipo de fútbol, pero lleva desde 2002 jugando con éxito al Football Manager.

Según parece, el joven estudió el bachillerato en Suecia y entre 2010 y 2012 estuvo en la Universidad de Boston, donde se graduó en Administración de Empresas.

Terminada la carrera regresó a Azerbayán y entró a trabajar como asesor del FC Baku hasta que los directivos del club comprobaron su destreza con el Football Manager y decidieron darle la oportunidad de entrenar a su equipo.

Además, se da la casualidad de que Huseynzade se impusó a Jean Pierre Papin, mítico jugador francés de los 90 y al que todas las quinielas situaban como nuevo entrenador del club.

vINQulos

TheNextWeb  http://thenextweb.com/shareables/2012/11/23/playing-football-manager-helped-this-21-year-old-become-club-manager-for-a-professional-football-team/

FUENTE :http://www.theinquirer.es/2012/11/23/su-destreza-con-el-football-manager-le-ayuda-a-conseguir-empleo-de-entrenador.html

[Aunque las noticias casi apocalípticas sobre virus y otras amenazas no dejan de repetirse, aún quedan unas cuantas empresas que se mantienen sin usar antivirus para proteger sus equipos corporativos. Según un estudio de B2B Internacional que acaba de hacer público Kaspersky, el 26% de las empresas españolas todavía no ha implementado este sistema de protección básico, lo que deja a 1 de 4 compañías sin sistemas básicos de protección ante los virus.]

Aunque las noticias casi apocalípticas sobre virus y otras amenazas no dejan de repetirse, aún quedan unas cuantas empresas que se mantienen sin usar antivirus para proteger sus equipos corporativos. Según un estudio de B2B Internacional que acaba de hacer público Kaspersky, el 26% de las empresas españolas todavía no ha implementado este sistema de protección básico, lo que deja a 1 de 4 compañías sin sistemas básicos de protección ante los virus.

Un 74% de las firmas españolas sí emplea antivirus en los ordenadores de la empresa, mientras que un 21,5% sólo usa esta herramientas para algunos equipos considerados clave en la red corporativa. Tras esta medida, lo más popular en las empresas españolas como medida de protección ante el malware es la gestión continua de parches y actualizaciones de software.

Tras estas dos medidas, se posicionan el uso de una estructura de red que separe a las más importantes de las menos, el mantenimiento de una política y una preparación para la recuperación de datos en caso de accidente y el establecer diferentes niveles de jerarquía en el acceso a la red.

Además, ha crecido en popularidad la cifrado de datos. Las empresas optan cada vez más por cifrar sus datos para evitar el robo de información corporativa confidencial. Frente a los datos del mismo informe en 2011, este campo ha crecido en importancia de un 7% a un 44%.

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/el-25-de-las-empresas-espanolas-no-usa-antivirus

[A partir de ahora ya no será posible utilizar PayPal para pagar por acceso a servicios de Usenet.]

A partir de ahora ya no será posible utilizar PayPal para pagar por acceso a servicios de Usenet.

Diario Ti: El servicio de pagos online PayPal ha destacado por su política restrictiva frente a los sitios dedicados al intercambio ilegal de películas, música, software y juegos.

En varias oportunidades, PayPal se ha negado a gestionar pagos dirigidos a sitios que, a su juicio, se dedican a la piratería de propiedad intelectual. La empresa también ha bloqueado pagos dirigidos a organizaciones "controvertidas", como por ejemplo Wikileaks, aunque no ha tenido inconveniente alguno en aceptar pagos dirigidos al Ku Klux Klan.

Incursionando además en política internacional, PayPal destacó además en septiembre de 2011, cuando intentó aplicar leyes estadounidenses en Europa, exigiendo boicot de productos cubanos en tiendas europeas.

Sin embargo, hasta ahora el gigante de los pagos online no había bloqueado empresas de conectividad, que ofrecen servidores de gran capacidad utilizados en Usenet, antigua red que destacó por sus "grupos de noticias". En los últimos años, Usenet se ha convertido en una herramienta atractiva para piratas, debido a la gran velocidad de conexión, y ausencia de reglas.

Sin embargo, para tener acceso a Usenet es preciso pagar, y es precisamente este eslabón en el que PayPal se niega a participar.

Como una reacción punitiva, PayPal ha congelado durante 180 días las cuentas de XSUsenet, EasyUsenet y Usenet4U. A partir de ahora, estas empresas no podrán ofrecer PayPal como servicio de pago para sus clientes.

Naturalmente, continúa siendo posible utilizar Usenet como foro de discusión. Claro está, puede deducirse que el principal interés de los usuarios que pagan por el servicio no es participar en foros, sino intercambiar archivos, legítimos o no.

Fuente: TorrentFreak

LEIDO EN :http://www.diarioti.com/noticia/PayPal_congela_cuentas_de_piratas/33470#

[Los foros de hacking clandestinos están inundados con todo tipo de fallos de día cero, muchos de los cuales pueden utilizarse para atacar millones de usuarios habituales de Internet. Un ejemplo perfecto es la vulnerabilidad de día cero de Yahoo! Mail identificada por el periodista e investigador de seguridad Brian Krebs.]

Los foros de hacking clandestinos están inundados con todo tipo de fallos de día cero, muchos de los cuales pueden utilizarse para atacar millones de usuarios habituales de Internet. Un ejemplo perfecto es la vulnerabilidad de día cero de Yahoo! Mail identificada por el periodista e investigador de seguridad Brian Krebs.

Por Eduard Kovacs · Traducido por Ancuta Rotaru

Según Krebs, los detalles de la vulnerabilidad son vendidos por un hacker egipcio por 700$ (550€). Al parecer, el ataque se basa en una vulnerabilidad persistente cross-site scripting (XSS) en yahoo.com.

Estos tipos de agujeros de seguridad implican generalmente ingeniería social – el atacante debe convencer a una víctima para hacer clic en un vínculo – pero en la mayoría de los casos eso no es un problema para los ciberdelincuentes.

Si el ataque tiene éxito, el hacker obtiene acceso a las cookies de la víctima e, implícitamente, a su cuenta.

En la mayoría de los casos, las cuentas de Yahoo comprometidas se utilizan para distribuir malware, convencer a los usuarios para enviar dinero y atraer a los internautas a otros sitios maliciosos.

El hacker que vende el exploit, llamado TheHell, afirma que el precio de una vulnerabilidad de seguridad es generalmente de 1.100$ (850€) a 1.500$ (1.170€). Sin embargo, también destaca el hecho de que él venderá los detalles sólo a "personas de confianza" para asegurarse de que el agujero de seguridad no sea parcheado pronto.

Krebs ha notificado a los representantes de Yahoo! sobre la existencia de la vulnerabilidad. Actualmente está tratando de encontrar la ubicación exacta de la falla.

El proceso de corrección es fácil, siempre que logren localizar la URL exacta.

Las vulnerabilidades XSS son muy comunes hoy en día porque muchos desarrolladores web no filtran correctamente las entradas de los usuarios. El problema es aún más grave con los fallos persistentes (almacenados) porque, como destaca el hacker egipcio, éstos no son bloqueados por los filtros XSS integrados en los navegadores web como Internet Explorer o Chrome.

A continuación , he incluido el vídeo de prueba de concepto publicado por el hacker (reproducido y publicado en YouTube por Brian Krebs):

http://www.youtube.com/watch?feature=player_embedded&v=iBXvebXo-F4

FUENTE : http://news.softpedia.es/Hacker-egipcio-vende-un-fallo-de-dia-cero-de-Yahoo-Mail-or-700-550-Video-309222.html

[La idea fue de Google, pero Microsoft ya prepara su propia versión de Project Glass.]

La idea fue de Google, pero Microsoft ya prepara su propia versión de Project Glass.

Diario Ti: Las gafas en cuestión consisten de un visor que proporciona al usuario diversos elementos de información mientras asiste, por ejemplo, a un evento deportivo o artístico.

El dispositivo fue dado a conocer, indirectamente, mediante una solicitud de patente publicada el 22 noviembre por la Oficina de Patentes y Marcas de EE.UU.

En su descripción de la solicitud de patente, Microsoft indica que el dispositivo no ha sido concebido para uso cotidiano, mientras el usuario se desplaza. Se concentra, más bien, en eventos en vivo, tratando de mejorar la experiencia del usuario presentando elementos multimedia que complementan la acción que está desarrollándose en el escenario o campo deportivo.

Esta descripción en si define el producto como mucho más simple que las gafas de Google, debido a que presupone que el usuario permanecerá en un lugar determinado, eliminándose así el riesgo de seguridad que implica caminar mientras se está leyendo información en una pantalla situada frente a los ojos.

Según UnWiredView.com, la solicitud de Microsoft fue presentada en mayo de 2011. Esto implica que se desconocen los avances que haya tenido el proyecto en el año y medio que ha transcurrido desde la presentación de la solicitud de patente.

La diferencia entre el proyecto de Microsoft y Project Glass de Google, es que el gigante de las búsquedas ya se dispone a lanzar una versión comercial del producto.

FUENTE :http://www.diarioti.com/noticia/Microsoft_prepara_sus_propias_gafas_de_realidad_aumentada/33469#

[Los expertos en seguridad online de Symantec presentaron sus estimaciones sobre lo que sucederá en materia de ciberseguridad el año próximo sobre la base de las tendencias registradas en el rubro en el transcurso de este año.]

Los expertos en seguridad online de Symantec presentaron sus estimaciones sobre lo que sucederá en materia de ciberseguridad el año próximo sobre la base de las tendencias registradas en el rubro en el transcurso de este año.

1. Los conflictos cibernéticos se volverán comunes

De acuerdo con Symantec, a partir de 2013 en adelante, los conflictos entre naciones, organizaciones y personas ocuparán un rol prominente en el mundo cibernético.

El espionaje puede tener mucho éxito y puede negarse cuando se lleva a cabo en línea. Cualquier nación o estado que no haya entendido esta situación ha podido ver diversos ejemplos en los últimos dos años.

Las naciones o grupos organizados de personas continuarán utilizando tácticas cibernéticas para intentar dañar o destruir información o fondos de sus objetivos. En 2013 veremos el equivalente cibernético de lo que antes era una guerra de espadas, donde las naciones, organizaciones e incluso grupos de personas utilizan ataques cibernéticos para mostrar su fuerza y "enviar un mensaje determinado".

Además, es probable que se vean más ataques relacionados con conflictos dirigidos a personas y/o grupos no gubernamentales, tales como partidarios de cuestiones políticas o miembros de grupos minoritarios en conflicto. Un ejemplo actual de esto es cuando grupos de hackers se molestan con una persona o empresa.

2. Ransomware en crecimiento

El ransomware, amenaza que deshabilita funciones de una computadora, va más allá de intentar engañar a sus víctimas: trata de intimidarlas y acosarlas. Si bien este "modelo de negocio" ya se ha intentado anteriormente, ha sufrido las mismas limitaciones que el secuestro en la vida real: no existía un buen modo de cobrar el dinero.

Ahora, los cibercriminales han descubierto una solución para este problema: utilizar métodos de pago en línea. Así, sin la necesidad de estafar a la gente para que entregue su dinero, podemos esperar que los métodos de extorsión se vuelvan más efectivos y destructivos.

3. Dispositivos móviles y madware

El adware móvil o madware es algo molesto que interrumpe la experiencia del usuario y puede llegar a exponer detalles de ubicación, información de contacto e identificadores de dispositivos a cibrcriminales.

El madware, se cuela en los teléfonos de usuarios cuando descargan una aplicación y suele transformarse en el envío de alertas emergentes a la barra de notificaciones de dispositivos móviles, agregando íconos en los dispositivos, cambiando los ajustes del navegador y/o obteniendo información personal.

En los últimos nueve meses, el número de aplicaciones que incluyen las formas más agresivas de madware ha aumentado 210 por ciento.

Como la información sobre la ubicación y el dispositivo puede obtenerse en forma legítima mediante redes publicitarias -porque ayuda a los anunciantes a dirigir la publicidad de forma adecuada según el perfil del usuario- es probable que se registre un aumento en el uso de madware en la medida que cada vez más empresas busquen incrementar sus ingresos a través de publicidad móvil. Esto incluye un enfoque más agresivo y potencialmente malicioso hacia la monetización de las aplicaciones móviles "gratuitas".

4. Las transacciones financieras en las redes sociales y los nuevos riesgos

Los consumidores depositan mucha confianza en las redes sociales y comparten en ellas detalles personales, al tiempo que gastan dinero en créditos de juego o enviamos regalos a nuestros amigos. A medida que estas redes comienzan a encontrar nuevas maneras de generar dinero y monetizar sus plataformas, permitiendo a sus miembros comprar y enviar regalos reales, los cibercriminales también generarán nuevas formas de preparar y realizar ataques.

En este sentido, se prevé un aumento en los ataques que usan malware para robar datos relacionados con pagos en redes sociales y engaños para que los usuarios de redes sociales compartan detalles de sus cuentas y otros datos personales y potencialmente valiosos.

Estos podrían incluir avisos y mensajes de regalos falsos que soliciten el domicilio postal u otra información personal. Si bien parecería inofensivo dar información no financiera, los cibercriminales venden y comercializan esta información entre ellos para combinarla con datos que ya tienen del usuario y así crear un perfil de usuario que pueden utilizar para obtener acceso a otras cuentas del mismo usuario.

5. A medida que los usuarios se vuelquen más a dispositivos móviles y servicios en la nube, también lo harán los atacantes

En 2013 las plataformas móviles y los servicios en nube podrán convertirse en uno de los grandes objetivos de alto riesgo para ataques. El rápido aumento de malware que se dio en Android en 2012 lo confirma.

En la medida que los dispositivos móviles continúen entrando y saliendo de las redes corporativas, almacenando datos y usando servicios en la nube, aumentará la posibilidad y el riesgo de ataques dirigidos a este segmento. Además, la instalación de aplicaciones en esos equipos también implica el riesgo de descargar malware o código malicioso.

En 2013, la tecnología móvil continuará avanzando y creando, en consecuencia, nuevas oportunidades para los cibercriminales.

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/las-alertas-de-seguridad-de-2013