Mensajes

[los usuarios poco precavidos también se encuentran en las filas de empresas como Apple, Google, IBM, Oracle, Samsung, la NASA o la Universidad de Stanford]

A mediados de julio le echamos un vistazo a unos datos más que curiosos relacionados con las contraseñas, una información gracias a la que llegamos a la conclusión de que mucha gente opta por elegir contraseñas demasiado obvias y muy poco seguras. Recupero un ejemplo: tras examinar los datos de las 4.600.000 cuentas hackeadas en LinkedIn el pasado mes de junio, vimos que las tres contraseñas más usadas eran "link", "1234", y "work". Pues bien, descubrimos con estupor que los usuarios poco precavidos también se encuentran en las filas de empresas como Apple, Google, IBM, Oracle, Samsung, la NASA o la Universidad de Stanford, por poner algunos ejemplos.

Sí, amigos, si alguno de vosotros ha usado alguna vez la cadena "123456" como contraseña puede estar tranquilo: algunos ingenieros de las empresas más importantes del planeta también lo han hecho. La información aparece a raíz del descubrimiento de una serie de logs en los servidores del Institute of Electrical and Electronic Engineers en los cuales aparecían los nombres de usuario y contraseña de 99.979 miembros de esta organización profesional en texto plano y de forma pública (el número total de miembros del instituto según el informe de 2011 es de 415.000).

Radu Dragusin, un recién graduado que actualmente ejerce como asistente en la Universidad de Copenhague, encontró el pasado 18 de septiembre la nada desdeñable cifra de 100GB de logs con todos estos datos que, según él, han estado durante al menos un mes expuestos de forma pública. Tras un análisis de esta información, Dragusin nos lanza una serie de gráficos de entre los que quiero destacar el de las contraseñas usadas (principalmente porque, como decía al principio, entre estas casi 100.000 cuentas se encuentran las de algunos empleados de las empresas mencionadas al principio). Atentos:



La contraseña más usada es "123456" (271 veces), seguida de "ieee2012" (270 veces) y las tremendas "12345678" (246 veces), "123456789" (222 veces) y "password" (109). Esta última me encanta.

Por último cabe decir que desde el IEEE se ha reconocido el incidente relacionado con el acceso a los logs sin cifrado y aseguran que, tras la correspondiente investigación, el problema ha sido resuelto. En estos momentos están enviando notificaciones a aquellos usuarios cuyas cuentas se han visto comprometidas.

Vía | ArsTechnica
Más información | IEEE log

FUENTE :http://www.genbeta.com/seguridad/empleados-de-empresas-como-apple-google-ibm-y-mas-tambien-usan-contrasenas-poco-recomendables

[vuelta al monopolio]

Movistar Fusión está en el punto de mira de sus principales competidores. Vodafone ha confirmado que tomará medidas legales con el fin de impedir que la oferta que integra banda ancha y servicios móviles no prospere ante el riesgo de vuelta al monopolio en telecomunicaciones.

El próximo 1 de octubre se estrena Movistar Fusión pero los operadores rivales de la compañía quieren obstaculizar su lanzamiento. Así se desprende de las últimas declaraciones de Vitorio Colao, consejero delegado de Vodafone, quien ha confirmado que el operador alternativo acudirá a Bruselas puesto que considera que el resto de compañías del sector no pueden hacer frente a la oferta presentada por Movistar.

"Según nuestros cálculos, la oferta de Telefónica no es replicable. Pedimos una mayor transparencia a la Comisión del Mercado de Telecomunicaciones (CMT) respecto a sus cálculos, porque no coinciden con los nuestros", ha afirmado Colado en declaraciones recogidas por Europa Press. El directivo considera que se podría volver a una situación de "remonopolización" de las telecomunicaciones en nuestro país que impediría competir al resto de operadores.

"Lo importante es asegurar la competencia y queremos ofrecer lo mismo que puede dar Telefónica, lo que sería beneficioso para los clientes", explicó Colao, quien ve en la actuación de Telefónica "un claro ejemplo de lo que no se debe hacer". Ante esta situación, el directivo ha insistido en que hay que "evitar el desequilibrio competitivo" y que una posible solución podría pasar por la separación funcional. Ésta ya se da en otros mercados como el británico, donde los grandes operadores son separados en dos compañías independientes. Por un lado, una da en exclusiva servicios mayoristas y de interconexión al resto de operadores en igualdad de condiciones, mientras que la otra se dedica a servicios minoristas.

La CMT dio el visto bueno a Movistar Fusión

En cualquier caso, el camino de Vodafone parece dirigir a Bruselas si quiere obstaculizar la nueva oferta de su competidor. Hace unos días la CMT dio luz verde al servicio autorizando su lanzamiento. El regulador fue muy claro en su resolución al considerar que las nuevas ofertas "pueden ser replicadas por otros operadores utilizando los servicios mayoristas actualmente disponibles", aunque durante los primeros meses en los que se comercialice Movistar Fusión analizará las condiciones con el fin de comprobar si sigue siendo replicable.

FUENTE :http://www.adslzone.net/article9552-vodafone-acudira-a-bruselas-para-tratar-de-bloquear-movistar-fusion.html

[Alemania lo ha vuelto a hacer: su gobierno desaconseja el uso deInternet Explorer después de descubrirse el grave fallo de seguridad que estaba siendo aprovechado por atacantes. No es la primera vez que lo hace y no siempre con este navegador. ¿Tiene fundamento su recomendación?]

Alemania lo ha vuelto a hacer: su gobierno desaconseja el uso deInternet Explorer después de descubrirse el grave fallo de seguridad que estaba siendo aprovechado por atacantes. No es la primera vez que lo hace y no siempre con este navegador. ¿Tiene fundamento su recomendación?

A principios de septiembre de 2008 Google lanza su nuevo navegador Chrome. Una semana después, la red se inunda de comentarios sobre todos los aspectos de esta nueva aplicación y en particular sobre su seguridad. Muchos comentarios, exploits y aclaraciones después, el gobierno alemán desaconsejó explícitamente el uso de este navegador. Es cierto que comenzó con mal pie. La Oficina Federal para la Seguridad de la Información alemana desaconsejó abiertamente el uso del navegador Chrome en un importante informativo televisado. Tuvo mucho que ver su problema de privacidad.

A principios de 2010 es noticia en todos los medios que el gobierno alemán (ahora unido al francés) recomiendan no usar Internet Explorer como navegador, a raíz de los ataques perpetrados desde el gobierno Chino contra Google aprovechando una vulnerabilidad previamenta desconocida del navegador de Microsoft.

En marzo de 2010, Mozilla publica oficialmente la versión 3.6.2 del navegador Firefox que soluciona (entre otros) un fallo de seguridad que estaba siendo aprovechado por atacantes desde hacía un mes. En esta ocasión el gobierno alemán recomendó no usar el navegador hasta que el fallo fuese corregido.

Las noticias sobre Internet Explorer siempre tuvieron más cobertura en los medios, pero todos han sido"desaconsejados" por el gobierno alemán en algún momento.

¿Cuándo abandonar el uso de un programa?

Es importante aclarar varios conceptos, para eliminar prejuicios e ir más allá de los titulares.

• 0-day no es cualquier vulnerabilidad recién encontrada, como se suele denominar. Un 0-day debe llamarse a la vulnerabilidad grave que se descubre cuando está siendo aprovechada por atacantes. Por tanto, alguien conoce no solo su existencia sino cómo aprovecharla y es más... lo está haciendo no se sabe bien desde cuándo. Este es el peor escenario posible y bajo el que debemos barajar la posibilidad abandonar temporalmente el uso de unprograma. Una vulnerabilidad recién descubierta publicada sin parche es eso: una vulnerabilidad sin parche que, probablemente en breve, será aprovechada por atacantes pero no se tiene constancia de que eso esté ocurriendo.
• El consejo es siempre temporal. Los programas evolucionan. Chrome empezó con mal pie en la seguridad y la privacidad para acabar siendo el navegador con más vulnerabilidades en número... pero el más seguro en conjunto. Internet Explorer camina hacia un navegador (por fin) en las antípodas de su eterna versión 6, y Opera está tardando en adoptar las mejores prácticas de seguridad, cuando históricamente siempre fue puntero. Los programas y las circunstancias cambian. Ylo inteligente es saber adaptarse. Si estos consejos fueran permanentes, no nos quedaríaya software para usar.
  
  

Una vez contextualizado: ¿se debe abandonar el uso del programa o intentar mitigar su impacto? Pues depende de las necesidades y las circunstancias. Muchos portales internos o redes corporativas sólo funcionan con Internet Explorer, lo que puede impedir su abandono. En estos casos hay que luchar por mitigar el problema de seguridad con mayor ahínco hasta que exista parche. Bien deshabilitando (si es posible) una funcionalidad que lo provoque, bien tomando medidas más "agresivas" (meter en una sandbox de terceros al navegador durante un tiempo, si es que no se usa ya esa medida habitualmente). Los usuarios tienen diferentes necesidades, y no vale con abandonar como apestados a los que no pueden migrar. Es necesario proporcionarles información para que puedan decidir..

Si, por el contrario, se es libre para cambiar, se puede utilizar durante ese tiempo otro navegador. Sin embargo el problema se agrava con otro tipo de software, como Java por ejemplo. No existen demasiadas alternativas. Microsoft lanzó una máquina virtual Java propia que resultó un fiasco en seguridad, además de conseguir escaso éxito y grandes problemas con la justicia. La abandonó en 2003 (aunque le dio soporte hasta 2007). IBM tiene su propio JRE, pero no es tan popular y comparte buena parte del código. ¿Qué ocurre cuando aparece un 0-day como el de hace unas semanas en la máquina virtual Java de Oracle? No cabe más que el abandono temporal o limitar y vigilar extraordinariamente su uso asumiendo un riesgo adicional si no se tiene más remedio.

Ante problemas tan graves como están causando vulnerabilidades en Java, Flash o Adobe PDF Reader en los últimos años, quizás sería útil también un llamamiento público para vigilar su uso cuando se den las circunstancias de peligro descritas.

Conclusiones

En general, al lanzar un mensaje de este tipo es necesario ser cuidadoso con el lenguaje. Por ejemplo, el gobierno recomendaba a los usuarios que buscasen una alternativa al navegador Internet Explorer de Microsoft, "para garantizar su seguridad". Esta afirmación es peligrosa, y puede llevar a equívocos.Evidentemente ningún navegador "garantiza la seguridad" sino que en lo posible y dada la situación (como siempre ocurre en seguridad) el uso de alternativas que no están siendo atacadas en estos momentos minimiza el riesgo. Pero también minimiza el riesgo (ahora y siempre) seguir usando cualquier navegador o programa si se aprovechan y se entienden a las medidas de seguridad que implementa o que se le pueden añadir.

En definitiva, no sabemos qué programa, ni de qué forma, puede estar siendo atacado en estos momentos. Recomendar el abandono de un navegador cuando aparezca un 0-day puede ser efectivo para alertar a los usuarios, pero es necesario hacerlo de forma completa y sistemática (no solo con los navegadores), cuidando al mensaje y siempre que exista un peligro real... en definitiva, un trabajo de alerta a tiempo completo.

De lo contrario, lo que se conseguirá con mensajes de este tipo descontextualizados es fomentar la eterna y absurda lucha de ideologías sobre el software, que con su ruido, no aporta demasiado en cuestión de seguridad.

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/abandonar-un-programa-por-sus-0-days

[Movistar Fusión]

La compañía presidida por Cesar Alierta continúa obteniendo buenos número con Movistar Fusión, incluso antes de que el producto haya sido lanzado. Muchas han sido las personas que ya han hecho una reserva para que a partir del día 1 del próximo mes sean migrados al nuevo servicio, gracias al cual los usuarios pueden ahorrarse entre un 20% y un 40% con respecto a sus facturas actuales de servicios Movistar.

Sin embargo, el lanzamiento del nuevo producto no satisface el deseo de muchos de los usuarios. En un primer momento indicábamos que únicamente se ofrecerían modalidades de ADSL y FTTH en Movistar Fusión. Sin embargo, en la Comunidad Movistar, un moderador ha confirmado que únicamente habrá una modalidad disponible de VDSL de hasta10 megas.

Por lo tanto los clientes actuales de 30 megas que quieran acogerse a las ofertas que ofrece Movistar Fusión deberán renunciar a los 30 megas de velocidad de bajada.

¿Deberían incluir la modalidad actual de 30 megas bajo VDSL en Movistar Fusión?



Algunos usuarios se han quejado y han mostrado su disconformidad con la medida adoptada argumentando que en el caso de Movistar Fusión Fibra la velocidad es de 100 megas. Sin embargo, en el caso de los clientes de VDSL será necesario un cambio de perfil para poder contratar el producto.

¿La modalidad referencia son 10 megas?

Parece claro que las pretensiones de la operadora española es que con el lanzamiento del producto se generalicen las conexiones de 10 megas, y que éstas comiencen a ser un referente en la banda ancha española. A pesar de todo, existirán aún muchos usuarios que no podrán optar a velocidades mayores a 6 o incluso sólo 1 mega por las limitaciones que existen en las líneas de cobre.

¿Que debería mantenerse en la modalidad Movistar Fusion VDSL?

Ya que está confirmado que existirá una modalidad con VDSL, el siguiente punto a confirmar es si los usuarios de esta tecnología podrán seguir disfrutando de los canales en Alta Definición en Movistar Imagenio. A priori, ésto debería ser posible y no debería de existir ningún problema para que los usuarios puedan disponer de ellos. Sin embargo, habrá que ver el día 1 cual es la configuración final de cada producto.

Siendo clientes de VDSL, ¿perderías velocidad para ganar en ahorro?

FUENTE :http://www.redeszone.net/2012/09/26/movistar-fusion-solo-existira-una-modalidad-vdsl-de-10-megas/

[móviles Galaxy]

Samsung se verá obligada a reforzar la seguridad de algunos de los modelos de su familia de móviles Galaxy al haberse descubierto un agujero de seguridad que permite eliminar de forma remota toda la información acumulada en los dispositivos.

El buque insignia de la firma coreana en el mercado de los smartphones, el Samsung Galaxy S3, ha sido uno de los equipos afectados por la vulnerabilidad descubierta en algunos de los terminales de la compañía. Según ha comunicado el investigador en seguridad Ravi Borgaonkar, tanto el móvil de gama alta junto al resto de equipos con la interfaz TouchWiz se encuentran bajo la amenaza de este fallo hasta que el fabricante acabe subsanándolo.

Tal y como ha mostrado el investigador en vídeo en la conferencia Ekoparty, toda la información que el usuario acumule en su terminal podría ser borrada de forma remota con el envío de un código html a través de NFC, códigos QR o SMS Push que fuerza al equipo a marcar el código de reseteo de forma automática. Borgaonkar ha advertido del peligro de esta vulnerabilidad porque no solo borra los datos del terminal sino que puede afectar a la tarjeta SIM. Además, se trata de un proceso irreversible, por lo que si el código se ejecuta en un equipo ya no podrá recuperarse la información perdida.

En un principio parecía que el Galaxy S2 era el único móvil de la compañía asiática bajo peligro, pero el investigador mostró cómo otros modelos como el Galaxy S3 del operador estadounidense AT&T y el Galaxy S Advance también contaban con esta vulnerabilidad. Por el momento Samsung se encuentra trabajando con el fin de arreglar el problema, aunque no ha comunicado de forma oficial qué equipos están afectados por este fallo de seguridad.

Como solución temporal en las manos de los usuarios de estos terminales está el deshabilitar la ejecución automática de enlaces así como ser muy cautos a la hora de abrir aquellos que le resulten desconocidos. En caso contrario, podrían perder toda la información almacenada en su equipo como las aplicaciones, datos de sus contactos o imágenes tomadas con la cámara del móvil.

FUENTE :http://www.adslzone.net/article9551-fallo-de-seguridad-permite-resetear-de-forma-remota-el-samsung-galaxy-s3.html

[denegaciones de servicio a las centralitas de voz de banca telefónica]

Un investigador ha demostrado poder realizar denegaciones de servicio a las centralitas de voz de banca telefónica mediante técnicas que abusan de los algoritmos de procesamiento de tonos de entrada en el teléfono (DTMF, Dual-tone multi-frequency). Incluso se puede llegar a obtener información sensible.

Muchas empresas y entidades utilizan sistemas automáticos para gestionar las llamadas de sus clientes. Se denominan IVR (Interactive Voice Response) y permiten bajo determinados servicios informatizados atender a sus clientes, redireccionándolos a un operador o agente comercial o facilitándoles datos personales y gestionar promociones, todo de forma automática.

LEER MAS : http://unaaldia.hispasec.com/2012/09/ataques-las-centralitas-de-voz-de.html

[No hace mucho estaba haciendo un pequeño script para actualizar e instalar unos paquetes y programas en Ubuntu para un gran amigo y compañero.]

No hace mucho estaba haciendo un pequeño script para actualizar e instalar unos paquetes y programas en Ubuntu para un gran amigo y compañero.

Es de esas cosas que por uno u otro motivo vas dejando hasta que te das cuenta que el tiempo se hecha encima.

La historia es que lo quise hacer de modo gráfico, utilizando Zenity (del que os hable no hace tanto) por aprender sobre todo. Pero me tocaba un poco la moral el tener que darle permisos desde nuestra denostada terminal, ya que es algo confuso para los noveles y pierde la esencia de hacerlo todo con ventanitas.

Como no soy un maestro de nada, se me ocurrió preguntar "a mis mayores" y a san Google, pero nadie daba con la solución. Bueno, si, con gksu, que efectivamente sirve para eso y nos mostraría algo así:



Pero no deja de ser un lío, además, no quiero que el usuario utilice root para esta tontería.

Entonces, ¿como hago para que esa orden se comporte como un simple sudo y no como root?

Pues tampoco era tan difícil, solo hay que añadirle esto a la misma:

gksu -s -l "$0″

-s hace que el comando anterior se comporte como sudo
-l te lo muestra en pantalla
"$0″ toma al usuario por defecto



¿Veis la diferencia?

Si en tu script no necesitas que el usuario siga como tal, solo hay que añadir un && exit al final de la linea y ya está.

Espero que os sirva para vuestras cosas.

FUENTE :http://linuxzone.es/2012/09/25/tip-dar-permisos-a-un-script-en-modo-grafico/

[descargar]

Piriform anuncia la disponibilidad para descargar de CCleaner 3.23.1823, una nueva versión de su indispensable herramienta para el mantenimiento y optimización del sistema. En esta nueva versión de CCleaner se mejora el rendimiento en Windows 8, se mejora el uso de memoria y el tiempo de apagado, se añade la limpieza de Google Chrome DNS Prefetch, se añade la limpieza periódica y de temporales de Google Chrome, se mejora la seguridad en la eliminación de archivos, se producen diferentes mejoras en la herramienta de Inicio, se agrega soporte para GooglePlus, se incoporan pequeñas mejoras en la interfaz gráfica de usuario y se solucionan algunos pequeños errores detectados en versiones anteriores del programa. ¿ A qué esperas para actualizar a esta nueva versión de CCleaner?.

CCleaner es sin duda alguna uno de los programas gratuitos para el mantenimiento del sistema más populares del planeta, por su sencillez en el uso y la eficacia en sus resultados.

CCleaner incopora interesantes herramientas que permiten la limpieza del registro, el borrado de archivos temborales e innecesarios, incluye un gestor de inicio, un desinstalador de programas y la posibilidad de restaurar sistema desde el mismo programa.



CCleaner se encuentra disponible en español y es compatible con Windows 2000, XP, Vista, Windows 7 y con el nuevo sistema operativo de Microsoft: Windows 8, tanto en versiones 32 como 64 bits.

Se puede descargar CCleaner 3.23.1823 gratis desde el siguiente enlace:

Descarga CCleaner

FUENTE :http://www.softzone.es/2012/09/25/ccleaner-3-23-1823-con-mejoras-de-rendimiento-en-windows-8/

[nueva vulnerabilidad en la máquina virtual Java de Oracle]

Se ha descubierto una nueva vulnerabilidad en la máquina virtual Java de Oracle, afectando a las versiones 5, 6 y 7. Esta permitiría a un atacante ejecutar código fuera del sandbox de Java en cualquier máquina que ejecute un applet o una aplicación especialmente programada para ello.

En principio esta vulnerabilidad se manifiesta en cualquier navegador ejecutándose en cualquier versión de Windows, OS X, Linux y Solaris, aunque sólo ha sido testeada en Windows 7 totalmente parcheado y en su edición de 32 bits. Lo que se permite es, a grandes rasgos, la ejecución en el navegador de un applet o aplicación especialmente manipulado, y éste sea capaz de ejecutar código saltándose la protección de la máquina virtual (el sandbox), adquiriendo los mismos privilegios que el usuario que ejecutó el navegador.

No obstante no se han obtenido pruebas de que nadie esté explotando esta vulnerabilidad, por lo que podemos estar "más o menos tranquilos", al menos hasta que Oracle lance una actualización que la parchee (ya sabe de la vulnerabilidad y de cómo se hace patente), dentro de, se supone, 3 semanas. Mientras, la recomendación habitual: desactivar la VM de Java para todos los sitios Web excepto para aquellos en los que confiemos específicamente.

Vía | Ars Technica
Más información | Computer World
Imagen | Oracle PR

FUENTE :http://www.genbeta.com/seguridad/descubierta-nueva-vulnerabilidad-en-java-permite-la-ejecucion-remota-de-codigo-malicioso

[su propio colectivo el que les empuje a dejar España]

Ya venían haciéndolo desde hace años, dadas las condiciones más favorables que se ofrece a los enfermeros en el exterior, pero a partir de ahora será su propio colectivo el que les empuje a dejar España. En vista de las previsiones de empleo que asoman para los próximos años en este sector, esta parece ser la mejor, si no la única, alternativa.

El Consejo General de Enfermería ata los últimos flecos para poner en marcha un nuevo programa, denominado 'Euronursing', que "exportará" enfermeras y enfermeros españoles a países extranjeros. Así lo ha anunciado el presidente del consejo, Máximo González Jurado, que aseguró que, en en una reunión mantenida ayer con países del grupo Eures (red europea para el empleo y la movilidad de trabajadores), se han ofertado 13.000 plazas para su ocupación inmediata.

"No se puede tener la mejor fábrica de enfermeros de toda Europa para que se queden en el paro", ha dicho González Jurado, que ha calificado la situación de "muy grave".

Aunque es un sector que goza de una tasa de desempleo muy inferior a la de otros colectivos (6,83%), ese porcentaje se ha duplicado en tan sólo un año y la crisis económica ha hecho empeorar sus condiciones de trabajo: la inmensa mayoría (99%) trabaja con contratos temporales y los empleados a tiempo parcial se han incrementado de un 30% a un 35% en dos años.

"No hay perspectivas de una mejoría porque el problema es que se están cerrando hospitales. Es una ratonera. 16. 375 enfermeros desempleados a los que hay que sumar los 9.000 que se graduarán este año. Es un disparate", ha lamentado del presidente del consejo.

Por eso, aunque ha asegurado que se trata de una medida "coyuntural" y que no responde al modelo que se debería implantar en España, la exportación de enfermeros para trabajar en terceros países es, al menos por ahora, una forma de dar salida a la "crítica" situación de la profesión.

Entre los países que más demanda reclaman se encuentran Reino Unido y Alemania, que oferta contratos de larga duración. Pero también otros como Francia, Bélgica, Holanda, Austria, Suiza, Irlanda, Italia, Luxemburgo y los países escandinavos. Fuera de Europa, el mayor demandante es Estados Unidos y Arabia Saudí, quien reclama hasta 100.000 enfermeros. No obstante, González Jurado ha mostrado sus reticencias a negociar con este último país dadas "las condiciones para las mujeres" que allí existen.

Según el Consejo General de Enfermería, el programa pretende dar asesoría y formación tanto en idiomas como en el sistema sanitario del país receptor a quienes decidan acojerse a él. Además, se quiere negociar las condiciones laborales que tendrán los enfermeros con cada país y realizar un seguimiento posterior para garantizar su cumplimiento. Ahora, el consejo negocia para conseguir el beneplácito del Gobierno y que los gastos de formación corran a cargo de los países receptores.

FUENTE :http://www.publico.es/espana/442918/espana-se-prepara-para-exportar-a-mas-de-13-000-enfermeros