Mensajes

[LEER MAS]

Esta semana la empresa CTS-Labs afirmaba haber encontrado 13 vulnerabilidades graves en los chips AMD Ryzen y EPYC, fallos que según podrían ser explotados para acceder a todos los datos de las máquinas con esos procesadores.

CTS Labs salió de la nada y le dio a AMD menos de 24 horas para solucionar los supuestos problemas porque según ellos no creían que de todas formas se pudieran resolver en muchos meses o incluso un año. A Linus Torvalds todo esto le resulta más que cuestionable y no se la cree, le parece que es manipulación para llamar la atención en lugar de verdadero interés en la seguridad.

En una discusión en Google+, el creador de Linux dijo que el mundo de la seguridad había caído a un nuevo nivel, llegando a decir cosas como que si alguien trabaja en seguridad y cree que tiene algo de moral, debería ir tan lejos como añadir a sus tarjetas de presentación la siguiente frase:

LEER MAS: https://www.genbeta.com/seguridad/linus-torvalds-esta-harto-del-drama-que-los-investigadores-de-seguridad-causan-por-bugs-que-no-importan-en-el-mundo-real

Las consecuencias del minado de criptodivisas se están dejando notar en muchos frentes. Ya hemos visto cómo han incrementado el precio de las tarjetas gráficas y el impacto que han tenido en el sector científico y profesional, pero también han tenido efectos negativos en el coste de la electricidad.

El alto consumo energético que representa el minado de criptodivisas es uno de los temas más preocupantes, ya que como vimos en este artículo ha alcanzado los mismos niveles que una economía del G20 y con el paso del tiempo irá cada vez a más.

Esta realidad ha llevado a muchos países a considerar la implantación de medidas concretas para limitar el impacto del consumo energético derivado del minado de criptodivisas. Actualmente uno de los países más afectados es China, ya que en él se encuentran las mayores granjas de minado de monedas digitales como Bitcoin, pero lo cierto es que ni siquiera las pequeñas ciudades se libran de los mineros.

Plattsburgh es uno de los mejores ejemplos y un reflejo claro de la actitud "aprovechada" que mantiene el sector del minado de criptodivisas. Esta pequeña ciudad de Nueva York es conocida por ofrecer electricidad a un precio muy bajo, lo que la convierte en todo un "caramelo" para los mineros, que no han dudado en aprovechar la situación para montar en dicha zona grandes instalaciones dedicadas a la minería de criptodivisas.

La situación se ha vuelto insostenible ya que Plattsburgh tiene un límite energético que estaba siendo sobrepasado por los mineros, lo que acababa encareciendo en gran medida el coste de la electricidad en cantidades que rondaban entre los 100 y los 200 dólares por factura.

Para poner fin a esta situación sin tener que tomar medidas drásticas el gobierno de la ciudad ha dictado una moratoria de 18 meses que afecta a todos aquellos que intenten establecer nuevas granjas de minado de criptodivisas, un primer paso que deja un poco de margen a al ejecutivo para valorar la adopción de futuras medidas que pongan fin a la problematica que ha generado el desembarco "masivo" de empresas en la zona, que no buscan otra cosa que aprovechar los bajos costes de la electricidad sin pensar en nada más.

https://www.muycomputer.com/2018/03/16/minado-criptodivisas-encarece-coste-la-electricidad/

[LEER MAS]

Una vulnerabilidad en el kernel Linux a la hora de comprobar parámetros introducidos por el usuario podría permitir a un atacante escalar privilegios.

El fallo, del cual se ha tenido constancia como en muchos otros casos, a través de los 'commits' al kernel, tiene asignado el CVE-2018-1068. Aún se desconoce completamente el alcance de una posible explotación, aunque tras un rápido vistazo al código de los parches podemos intuir que se trata de algo grave. Básicamente, a través de una llamada del sistema es posible proporcionar al kernel parámetros anómalos. Al no comprobarse su corrección en el lado del kernel terminarían por causar desbordamiento de memoria, y la posibilidad de escribir en memoria del kernel.

Específicamente, el error está relacionado con la estructura de datos 'ebt_entry' y los métodos que operan sobre ésta, que se encuentran en el fichero 'net/bridge/netfilter/ebtables.c'. Al no validar los parámetros que vienen de la parte del usuario, los parámetros anómalos son procesados por código que no espera que sean incorrectos. La forma más simple de explotación es a través del uso de ebtables, una herramienta parecida a iptables pero orientada a la capa de enlace de red (lo que se suele implementar con Ethernet), usando reglas especialmente diseñadas. Esta utilidad hace uso de las llamadas del sistema vulnerables.

LEER MAS: http://unaaldia.hispasec.com/2018/03/desbordamiento-de-memoria-en-el-kernel.html

[LEER MAS]

Un movimiento desesperado para usar el navegador de Windows 10.

Microsoft ha realizado un movimiento que parece desesperado e incluso podría molestar a más de uno. La empresa ha decidido abrir los enlaces de la aplicación de Correo directamente en Edge, aunque no sea tu navegador por defecto.

El cambio ha sido introducido en la versión 17623, disponible a partir de hoy para Windows Insiders. Curiosamente esta información no forma parte de la lista destacada de nuevas opciones, sino del listado general de ajustes.

LEER MAS: https://www.fayerwayer.com/2018/03/microsoft-windows-edge-navegador/

[LEER MAS]

La crisis de los procesadores causada por las vulnerabilidades Meltdown y Spectre es una que continúa causando dolores de cabeza, no solo a Intel, sino a empresas como Microsoft por todos los problemas que ha representado intentar resolver el fallo en Windows.

Por eso la empresa ha lanzado un nuevo programa de recompensas que premiará a cualquier que encuentre la siguiente vulnerabilidad similar, es decir, que tengan que ver con la ejecución especulativa que realizan los procesadores. Las recompensar irán desde 5.000 hasta 250.000 dólares dependiendo de la severidad del bug.

El programa de recompensas funcionará hasta finales de 2018 y se regirá bajo los principios de la divulgación coordinada de vulnerabilidades, es decir que lo que se reporte a la empresa de divulgará de forma coordinada con los demás afectados de manera que haya tiempo suficiente para ejecutar soluciones.

LEER MAS: https://www.genbeta.com/seguridad/microsoft-ofrecera-recompensas-de-hasta-250-000-dolares-a-quien-encuentre-el-proximo-meltdown-o-spectre

[LEER MAS]

Muchos habrán recibido en las últimas semanas el siguiente mensaje: "Estamos celebrando nuestro 60 aniversario y regalando un bono de 60 euros a todos". Encima del texto, el nombre y el logo de Carrefour. Por debajo, una encuesta que invita a los usuarios a responder unas preguntas a cambio de un bono de 60 euros. Sin embargo, no todo es tan bonito como aparenta.

Los piratas informáticos, detrás de esta treta tecnológica, se quedan con los datos de aquellos usuarios que compartan en redes las respuestas de la encuesta. Sobre esto alertó el jueves la Policía Nacional alertó a través de su cuenta de Twitter. "Aquí hay bonos para todos. No piques, no es Carrefour", advierten sobre este bulo, solo uno más de los muchos que proliferan desde hace tiempo.

LEER MAS: https://www.20minutos.es/noticia/3290740/0/policia-nacional-bulo-carrefour/#xtor=AD-15&xts=467263

[LEER MAS]

Facebook se ha visto obligado a disculparse después de pasar horas sugiriendo búsquedas de índole sexual e incluso pedófila esta madrugada en el Reino Unido. No obstante, como Genbeta ha podido comprobar, el grave problema continúa también en español sugiriendo búsquedas verdaderamente alarmantes.

Todo comenzó, como decíamos, este jueves por la noche cuando usuarios británicos de Facebook denunciaron en las redes las sugerencias que la plataforma les devolvía al comenzar a escribir "video of" en su buscador. Los términos que iban apareciendo de forma automatizada sugerían la búsqueda de vídeos de temática violenta, sexual e incluso pedófila. Aparentemente, semejantes recomendaciones se dieron alrededor de las 4 de la madrugada del Reino Unido.

LEER MAS: https://www.genbeta.com/redes-sociales-y-comunidades/ninas-desnudas-en-el-bano-y-chicas-pu-as18-el-preocupante-lado-oscuro-de-las-sugerencias-de-facebook

[LEER MAS]

Durante el Pwn2Own, los 'black hat' hackers rompieron la seguridad de Safari y Microsoft Edge en el primer día de feria. Y por ello no se llevaron datos de sus usuarios, por ejemplo, sino una recompensa de hasta 70.000 dólares porque la intención es resolver problemas de seguridad en pro de la compañía desarrolladora y de sus usuarios, y resolverlos antes de que supongan un riesgo para quienes utilizan el navegador web. Y en la segunda jornada Mozilla Firefox ha 'caído' también, con un fallo de seguridad que ha supuesto 50.000 dólares de recompensa para quien lo ha encontrado.

Otros quizá sí, pero estos fallos de seguridad de Apple Safari, Microsoft Edge y Mozilla Firefox no tienen que preocupar a los usuarios. Esta feria, Pwn2Own, está pensada precisamente para reunir a expertos en seguridad informática que encuentren tales tipos de vulnerabilidad y se las comuniquen de forma privada a las compañías desarrolladoras afectadas. De esta manera, sin que el fallo se haga público, se puede desarrollar una solución y aplicar la protección correspondiente a sus usuarios. Y el incentivo para quienes encuentran los fallos, como comentábamos, son premios como estos 50.000 dólares que se ha embolsado Richard Zhu. Que, por cierto, lleva ya 120.000 dólares recogidos en esta edición del Pwn2Own.

LEER MAS: https://www.adslzone.net/2018/03/16/firefox-vulnerabilidad-pwn2own/

[LEER MAS]

Por si le faltaba algo a R Cable, cuesta abajo y sin frenos en 2017 con 20.000 clientes perdidos, es el dictamen del Jurado de Autocontrol que considera engañosa la publicidad. Todo está relacionado con el uso de términos como "tarifa plana a fijos", "llamadas ilimitadas", "tarifa plana" y "datos ilimitados". Estos conceptos, luego son matizados en las condiciones legales con letra mucho más pequeña. Por suerte para la operadora, este dictamen es sólo un toque de atención realizado por el organismo independiente de autorregulación de la industria publicitaria en España.

Todo esto surge de una reclamación presentada el pasado 7 de febrero por parte de Consumidores en Red por una publicidad difundida a través de la web de la operadora Cable y Telecomunicaciones Galicia, S.A.U, más conocida como R o R Cable. En ella, se promocionan los servicios de internet, televisión y telefonía mediante los denominados "combos" y también el servicio de telefonía móvil por medio de las tarifas MóbilR.

LEER MAS: https://www.adslzone.net/2018/03/16/publicidad-r-cable-autocontrol/

[LEER MAS]

Llevamos mucho tiempo hablando sobre el desbloqueo de los iPhone bloqueados en casos de terrorismo y otros delitos. El iPhone de San Bernardino puso todo el tema sobre la mesa y Apple se encargó de aprovecharlo para destacar la elevada seguridad de sus terminales. Finalmente, después de algunos meses, ya han podido desbloquear estos terminales bloqueados. Hoy, veremos más detalles de GrayKey, la máquina para 'hackear' cualquier iPhone.

Los de Cupertino siempre se han negado a crear una puerta trasera en su seguridad para permitir que organizaciones gubernamentales u otras empresas pudieran conseguir acceso a los terminales bloqueados en caso muy tasados. No obstante, diversas compañías de seguridad se pusieron manos a la obra y el año pasado conocimos más detalles sobre una compañía llamada Grayshift y su dispositivo bautizado como GrayKey.

LEER MAS: https://www.adslzone.net/2018/03/16/graykey-desbloquear-iphone-codigo/