Mensajes

[Kingcope ha vuelto a hacer públicos todos los detalles de un grave fallo de seguridad en OpenSSH de FreeBSD 4, que permite ejecución remota de código. Ha creado un exploit capaz de aprovechar el fallo, y que devuelve una shell al equipo remoto sin necesidad de autenticación. El fallo se encuentra en auth2-pam-freebsd.c, un archivo de hace siete años.]

Kingcope ha vuelto a hacer públicos todos los detalles de un grave fallo de seguridad en OpenSSH de FreeBSD 4, que permite ejecución remota de código. Ha creado un exploit capaz de aprovechar el fallo, y que devuelve una shell al equipo remoto sin necesidad de autenticación. El fallo se encuentra en auth2-pam-freebsd.c, un archivo de hace siete años.

El problema es grave, puesto que permite a un atacante que pueda acceder al SSH de una máquina FreeBSD, ejecutar código como root sin necesidad de autenticarse. El fallo se da en, al menos en FreeBSD 4.9 y 4.11, puesto que estas versiones vienen con OpenSSH 3.5p1 por defecto. Actualmente FreeBSD mantiene solo dos ramas, la 7 y la 8. La rama 4 se descontinuó en 2007 y el fichero problemático desapareció de FreeBSD a partir de la versión 5.2.1.

El problema está en la función pam_thread, a la hora de procesar nombres de usuario muy largos. Tanto SSH versión 1 como SSH versión 2. En versiones más modernas de FreeBSD 5.2.1, ni siquiera existe el archivo afectado auth2-pam-freebsd.c. Kingcope no ha podido determinar aún si el problema está en este OpenSSH de FreeBSD o en la propia librería PAM del sistema operativo.

Durante las pruebas, Kingcope comprobó que si lanzaba el demonio SSH desde consola como root, y proporcionaba un nombre de usuario de más de 100 caracteres de longitud, el demonio moría y se sobrescribía el registro EIP, con lo que se puede llegar a controlar por completo el flujo de instrucciones.

Kingcope (Nikolaos Rangos) suele descubrir importantes vulnerabilidades en FreeBSD y otro software popular. A finales de 2009 encontró un problema de elevación de privilegios FreeBSD. En septiembre de ese mismo año, publicó un exploit funcional que permitía a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tuviera el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permitía provocar una denegación de servicio. También en mayo de 2009, descubrió un grave fallo en WebDAV de IIS.

Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv

FUENTE :http://www.hispasec.com/unaaldia/4637

[Nokia habría decidido aplicar descuentos en los precios de sus smartphones para ganar terreno en un segmento del mercado donde se ha visto superado por sus competidores.]

Publicado el 5 de julio de 2011 por Jaime Domenech

Nokia habría decidido aplicar descuentos en los precios de sus smartphones para ganar terreno en un segmento del mercado donde se ha visto superado por sus competidores.

En concreto, según desvela Reuters, la empresa finlandesa aplicaría en el mercado europeo un descuento de un 15% en el precio de sus modelos de gama alta N8, C7 y E6.

La intención de Nokia es retener a sus usuarios y evitar que estos se trasladen de sus términales antiguos en Symbian a dispositivos basados en Android o iOS.

Para los expertos la medida ofrece serias dudas de cara a su efectividad, ya que consideran que tampoco se trata de descuentos muy elevados.

Además, otros profesionales como la analista de Gartner, Carolina Milanesi, afirman que la bajada de precios debería también afectar a otros modelos antiguos así como a sus próximos lanzamientos.

En ese sentido, desde Nokia esperan con impaciencia la llegada de sus nuevos smartphones con Windows Phone 7, ya que tienen la esperanza de que se conviertan en su tabla de salvación.

vINQulos

DailyTech

FUENTE :http://www.theinquirer.es/2011/07/05/nokia-bajara-los-precios-de-sus-moviles-para-frenar-su-caida.html

[La organización californiana ha logrado desarrollar un nuevo lector para archivos PDF mediante el uso de la programación web, un lanzamiento que se incluye dentro de lo que la empresa ha bautizado como proyecto pdf.js]

Publicado el 5 de julio de 2011 por Jaime Domenech

La organización californiana ha logrado desarrollar un nuevo lector para archivos PDF mediante el uso de la programación web, un lanzamiento que se incluye dentro de lo que la empresa ha bautizado como proyecto pdf.js

Gracias a la nueva tecnología, los desarrolladores podrán renderizar un archivo PDF alcanzando lo que se conoce como "Pixelación perfecta".

Los expertos de Mozilla explican que su herramienta es capaz de leer sin problemas PDFs que presenten gráficos, texto formateado, tablas y hasta diagramas.

El proyecto pdf.js se basa en javascript y el nuevo lenguaje de edición web HTML5,y ofrece compatibilidad con fuentes en formato TrueType, junto a importantes mejoras en el apartado de la carga de gráficos.

La idea de los creadores de pdf.js es que el lector pueda instalarse sin problemas en todos los navegadores y sistemas operativos del mercado que permitan el empleo de HTML5, aunque en esta primera fase sólo podrá usarse con Firefox.

vINQulos

ITProPortal

FUENTE :http://www.theinquirer.es/2011/07/05/mozilla-se-apunta-al-mercado-de-los-lectores-pdf.html

[La herramienta de código abierto phpMyAdmin, empleada para la gestión de bases de datos online, acaba de presentar unas actualizaciones de seguridad que cierran 4 agujeros detectados en la aplicación.]

Publicado el 5 de julio de 2011 por Jaime Domenech

La herramienta de código abierto phpMyAdmin, empleada para la gestión de bases de datos online, acaba de presentar unas actualizaciones de seguridad que cierran 4 agujeros detectados en la aplicación.

Para mantener el equipo seguro, los usuarios deberán descargar en sus equipos las nuevas versiones 3.3.10. 2 o 3.4.3.1 de phpMyAdmin o bien descargarse los parches de seguridad desde la web oficial del programa.

Los expertos de la empresa de seguridad informática Secunia han señalado que se trata de vulnerabilidades que se sitúan en el rango de "muy importantes".

Hablamos de fallos como un agujero en la autenticación con Swekey, que puede emplearse para manipular una sesión, así como una brecha en la herramienta que permitiría introducir código malicioso en el script de configuración.

Además, se han solucionado problemas en lo que respecta al entrecomillado en el código de sincronización del sistema.

Si necesitas poner al día tu sistema puedes descargarte todo lo necesario en la página del proyecto phhpMyAdmin.

vINQulos

h-online

FUENTE :http://www.theinquirer.es/2011/07/05/arreglan-importantes-vulnerabilidades-en-phpmyadmin.html

[Anonymous]

La cúpula del grupo de hacktivistas Anonymous ha encajadado un nuevo golpe. Unas semanas después de que el Ministerio de Interior español anunciara la detención de tres personas a las que se les acusaba de ser los máximos responsables de los ataques de la asociación en España, la Policía italiana ha identificado a miembros de la cúpula italiana, según informaron fuentes policiales.

Las identificaciones permitieron llevar a cabo 32 registros y proceder a la incautación de material informático en Italia y Suiza, donde residía el considerado como cabecilla de la rama italiana de Anonymous, un joven de 26 años.

Gracias a la colaboración de la Policía suiza, los agentes italianos consiguieron confiscar ordenadores y otro material informático en la vivienda del supuesto líder de Anonymous para Italia, un italiano conocido en la Red con el sobrenombre de Phre y que residía actualmente en el Cantón de Tesino (sur de Suiza).

En virtud de esta operación, llamada Secure Italy, han sido denunciadas 15 personas, de edades comprendidas entre los 15 y los 28 años y entre las que hay 5 menores, mientras que otras 36 personas se han visto implicadas en la investigación.

Las autoridades de Italia les acusan de delitos de acceso abusivo a sistema informático, daños a sistema informático e interrupción de servicio público.

Anonymous está detrás de los ataques a las páginas web de empresas como la petrolera Eni y el banco Unicredit, así como del Senado, la Cámara de los Diputados y la Presidencia del Gobierno italiano.

El método que utilizaban estos supuestos piratas informáticos, de quienes se sospecha que facilitaban también apoyo a otros hackers extranjeros, era, según la Policía, el de aprovechar grandes servidores para solicitar servicios y comandos a las páginas web atacadas que bloqueaban el sistema.

"Mientras en el pasado se necesitaban para un ataque informático centenares de chicos que conectándose hacían saltar la página web, hoy se utilizan grandes servidores que bloquean el sistema utilizando aparatos al alcance de todos", indicó el subcomisario Tommaso Palumbo, en declaraciones que recogen los medios italianos.

Según asegura en su página web el diario milanés Corriere della Sera, los investigadores han constatado que los piratas informáticos italianos han facilitado apoyo en algunas ocasiones a los españoles y viceversa.

FUENTE :http://www.20minutos.es/noticia/1102175/0/identifican/cupula/anonymous/

[Elena Valenciano]

Poco, tan sólo unas horas, ha tardado el Gobierno en salir al paso de las informaciones que apuntaban a una supuesta decisión ya tomada para eliminar el canon digital. La secretaria de Política Internacional y Cooperación del PSOE y coordinadora de la campaña socialista para las próximas elecciones generales, Elena Valenciano, asegura que no tiene constancia de esta decisión.

Esta misma mañana leíamos en información publicada por La Vanguardia en la que se citaba a dos fuentes muy próximas al Gobierno, que el plan para la supresión del canon digital ya estaba establecido. Pronto se comenzó a ver esta estrategia como una medida para contrarrestar la impopularidad de la Ley Sinde, que entrará en vigor en las próximas semanas. Incluso hay quien apuntó a un movimiento a la desesperada para lavar la imagen del Ejecutivo socialista de cara a las elecciones generales del próximo año.

Sin embargo, según ha querido desmentir el propio Gobierno, parece que no existe intención de eliminar esta tasa que grava dispositivos y soportes electrónicos para compensar a los artistas. Elena Valenciano, tal y como publica 20minutos.es, ha afirmado que no tiene "noticia" de dicha medida, aunque ha reconocido que el Gobierno sí está trabajando desde hace meses "en la búsqueda de en una fórmula que permita equilibrar la protección de los autores con la protección de los derechos de los internautas".

Es decir: volvemos al mismo punto en el que estábamos. A pesar de la sentencia de octubre de 2010 del Tribunal de Justicia de la Unión Europea en la que se declaraba ilegal este gravamen por ser indiscriminado y abusivo en su actual aplicación, el Gobierno sigue sin modificar el canon digital. Seguidamente fue la Justicia de nuestro país la que asumió la directriz marcada desde Europa y lo declaró ilegal. ¿La respuesta del Gobierno? Nula hasta ahora.

Hace sólo una semana la ministra de Cultura, Ángeles González-Sinde, aseguró que la modificación del canon estaba tardando más de la cuenta dado que "el Gobierno es muy perfeccionista". Por lo tanto, parece que ni siquiera los acontecimientos sucedidos durante los últimos días han servido para modificar la exasperante lentitud del Ejecutivo para modificar una tasa que no está exenta de polémica dado que, según publica La Razón, se han detectado irregularidades en el reparto de las cantidades recaudadas.

¿A qué espera el Gobierno para adoptar una solución que ha sido requerida incluso desde los tribunales?

FUENTE :http://www.adslzone.net/article6380-el-gobierno-desmiente-que-vaya-a-eliminar-el-canon-digital.html

[Cinco días después de que estallara el escándalo, la dirección de la SGAE ha anunciado la creación de una comisión rectora. Neri pierde el cargo. Bautista no.]

Cinco días después de que estallara el escándalo, la dirección de la SGAE ha anunciado la creación de una comisión rectora. Neri pierde el cargo. Bautista no.

Tras el escándalo desatado en la entidad, una comisión rectora se hará cargo de la SGAE. Se constituirá el próximo 12 de julio, fecha en que estaba previsto que se formara el equipo directivo salido de las elecciones a los cargos del organismo, y que el auto del juez ha puesto en entredicho.

La decisión se ha anunciado en una comparecencia celebrada a las cinco de la tarde tras el plantón a la prensa de esta mañana. Víctor Manuel, Ernesto Caballero, Imanol Uribe, Caco Senante y Juan Ignacio Alonso han explicado la línea de actuación del nuevo equipo directivo.

En nombre de los presentes, el cantante Víctor Manuel ha anunciado la apertura de una "investigación interna" cuyas conclusiones quedarán reflejadas en un informe que se comprometen a entregar a la Audiencia. De esa investigación se encargará la "comisión rectora" que asumirá también la "dirección y gestión" de la institución.

La comisión estará integrada por cuatro autores y un editor, y "presidida por un director externo de reconocido prestigio". "Queda en suspenso cualquier nombramiento hasta la emisión del informe", indicó Víctor Manuel en alusión al resultado de las elecciones a la entidad, cuya junta directiva debía quedar constituida el 12 de julio.

También anunció que se aparta de su puesto a José Luis Rodríguez Neri para que la investigación se efectúe "con la máxima libertad, rigor y disciplina", con independencia de su "presunción de inocencia". Sobre Bautista, expresó su "solidaridad" con su familia y con la de "los directores". "La Junta confía en su presunción de inocencia", dijo.

El anuncio llega tras solicitar el juez Ruz el ingreso en prisión eludible bajo fianza de 300.000 euros de José Neri, director de la filial digital de la Sociedad General de Autores y Editores, por un presunto desvío de fondos al parecer "consentido" por el presidente de la SGAE.

Teddy sigue siendo presidente

Lo que sí han confirmado es que Teddy Bautista seguirá presidiendo la entidad. "Teddy queda a disposición de la comisión rectora y de su director", dijo Caco Senante y "la junta designa una comisión rectora que va estar dirigida por una personalidad para hacer una investigación, cuando tenga unos resultados se la presenta a la junta directiva y ésta decide". Víctor Manuel aclaró que "el día 12 no se nombra ni se destituye a nadie", por lo que Bautista seguirá siendo el presidente. "Queda a disposición de la comisión rectora y su director, que serán los que asuman todas las decisiones de la sociedad", insistió.

Además, Víctor Manuel dijo que pese a la sucedido en la junta directiva se sienten "absolutamente legitimados", porque la otra candidatura "tuvieron sus avales, tuvieron los votos que se merecieron recibir y sería una burla para los socios repetir esas elecciones". Caco Senante añadió que además, las elecciones se celebraron con "listas abiertas".

En relación con la demanda presentada en 2007, Senante dijo que "era tan desproporcionada que hacía pensar que no era seria cierta, la cantidad de dinero 400 millones de euros le restó credibilidad a la demanda". "Tenemos la certeza absoluta que 400 millones no son, es una cifra tan desproporcionada que roza lo irreal", añadió.

FUENTE :http://www.libertaddigital.com/internet/2011-07-05/la-sgae-nombrara-una-comision-gestora-para-sustituir-a-teddy-bautista-1276428696/

[Google ha lanzado un órdago en toda regla a Facebook con su nueva red social y la compañía de Mark Zuckerberg ya ha comenzado a defenderse poniendo trabas para que sus millones de usuarios exporten sus contactos a Google+.]

Publicado el 5 de julio de 2011 por Helga Yagüe

Google ha lanzado un órdago en toda regla a Facebook con su nueva red social y la compañía de Mark Zuckerberg ya ha comenzado a defenderse poniendo trabas para que sus millones de usuarios exporten sus contactos a Google+.

De esta forma tratan de impedir un éxodo hacia la nueva plataforma social de Google bloqueando Facebook Friends Exporter, una extensión de Chrome que hasta hace unos días permitía trasladar los contactos de Facebook hacia otros servicios.

Esta extensión existe desde finales del año pasado y funcionaba con normalidad hasta que casualmente ahora Facebook ha decidido bloquearla ya que viola la norma de la red social que impide cualquier aplicación que "recopile datos de los usuarios, contenido o información" de la plataforma.

"Facebook está trabajando duro para no permitirte exportar tus amigos", alerta Mohamed Mansour, uno de los creadores de Facebook Friends Reporter, que ya está trabajando en una nueva versión de la extensión que permita saltarse el bloqueo.

Con este movimiento volvemos a la ya clásica discusión entre Facebook y Google por la propiedad de los contactos.

Y es que Google y Facebook ya andaban a la gresca por la importación de los contactos antes incluso de que el buscador se adentrara en el jugoso negocio de las redes sociales. Google abrió este fuego bloqueando la transferencia de datos de los usuarios de Gmail a la red social y Facebook contestó saltándose esta prohibición y elimando la opción de importar los contactos de Gmail.

Ahí nació la extensión bautizada como "Facebook no es dueño de mis amigos" que permite exportar los contactos de la red social a Gmail en forma de fichero CSV.



vINQulos

Cnet, Facebook Friends Exporter

FUENTE :http://www.theinquirer.es/2011/07/05/facebook-no-quiere-que-te-lleves-tus-amigos-a-google.html

[El recrudecimiento de los ataques cibernéticos de gran alcance preocupa a los gobiernos y a las fuerzas de seguridad de todo el mundo, tanto que se ha abierto el plazo de inscripción para la primera carrera universitaria sobre el arte de la ciberguerra.]

Publicado el 5 de julio de 2011 por Helga Yagüe

El recrudecimiento de los ataques cibernéticos de gran alcance preocupa a los gobiernos y a las fuerzas de seguridad de todo el mundo, tanto que se ha abierto el plazo de inscripción para la primera carrera universitaria sobre el arte de la ciberguerra.

Esta "licenciatura" aún no está disponible en los planes de estudio de España ni de ningún país de Europa, sino en Corea del Sur, un país muy preocupado por los ciberataques que pueden ser lanzados contra sus estructuras críticas y sistemas informáticos desde Corea del Norte.

Al parecer, el ejército surcoreano y la Universidad de este país han firmado un pacto de colaboración para ofrecer una carrera cuyo objetivo será formar a expertos en técnicas de ciberguerra y en defensa ante los posibles ataques.

"Me alegro de que ahora seamos capaces de educar a los futuros guerreros cibernéticos que necesitamos en el ejército", ha afirmado Kim Sang-Ki, jefe del Estado Mayor.

La Universidad de Corea comenzará a ofrecer plazas para la "licenciatura" en ciberguerra a partir del próximo otoño. La carrera constará de cuatro cursos y se admitirá a 30 alumnos, que serán instruidos en tecnología de la información, criptografía, psicología y tácticas de ciberguerra.

Una vez finalizado el ciclo los alumnos obtendrán un título y se unirán a las fuerzas armadas de Corea del Sur como oficiales y suboficiales.

vINQulos

The Korea Herald

FUENTE :http://www.theinquirer.es/2011/07/05/ya-es-posible-licenciarse-en-%e2%80%9cciberguerra%e2%80%9d.html

[Microsoft está hoy de celebración ya que se cumplen quince años desde la creación de la plataforma gratuita de correo electrónico Hotmail, que a pesar de la enorme competencia que supone Gmail ha conseguido llegar a los 360 millones de usuarios.]

Publicado el 5 de julio de 2011 por Helga Yagüe

Microsoft está hoy de celebración ya que se cumplen quince años desde la creación de la plataforma gratuita de correo electrónico Hotmail, que a pesar de la enorme competencia que supone Gmail ha conseguido llegar a los 360 millones de usuarios.

Los responsables de Hotmail han querido echar la vista atrás para rememorar los inicios de este servicio, que fue creado en 1996 por Sabeer Bhatia y Jack Smith.

En su nacimiento la plataforma fue bautizada como "HoTMaiL", destacando en mayúsculas las letras que conforman el lenguaje HTML, pero al año siguiente Microsoft compró el servicio y lo renombró como "MSN Hotmail".

A partir de ahí Hotmail comenzó a crecer y a incorporar nuevas funcionalidades tan básicas como las que permiten dar formato a los mensajes. Después llegó MSN Messenger, el sistema de mensajería instantánea que precisaba una cuenta de Hotmail y que tuvo un gran éxito entre los internautas.

La compañía recuerda como a partir de estos momentos comenzó a surgir la necesidad de ampliar el número de megas para los archivos adjuntos. La mayor parte de los problemas se solucionaron con el servicio de almacenamiento online SkyDrive, que permite pasar de unos pocos megas a 25 GB de capacidad.

En los últimos tiempos la competitividad de sus rivales (en particular de Gmail) ha obligado a Microsoft a seguir implementando novedades en el diseño y en el funcionamiento para intentar no quedarse fuera de la pugna. Una de las últimas mejoras se ha introducido hace apenas unos días y mejora notablemente la velocidad de las principales tareas.

Y así ha ido evolucionando Hotmail hasta hoy, que cuenta con 360 millones de usuarios en el mundo y está traducido a 36 idiomas.



vINQulos

Hotmail (Facebook), Microsoft

FUENTE :http://www.theinquirer.es/2011/07/05/se-cumplen-15-anos-del-nacimiento-de-hotmail.html

Relacionado : https://foro.elhacker.net/noticias/hotmail_mejora_su_velocidad_y_ahora_es_hasta_10_veces_mas_rapido-t332500.0.html