You are here

Noticias

Orange ofrece conexión a Internet gratis a familias con escasos recursos

Canal PDA - Wed, 13/09/2017 - 11:20
En línea con su voluntad de extender todos los beneficios de la revolución digital a cada vez más personas Orange lanzará en octubre el programa Gigas Solidarios. El objetivo de esta iniciativa es dotar de conexión a Internet gratuita durante un año a familias que se encuentren en situación de vulnerabilidad socioeconómica y que cuenten […]
Categories: PDA / PPC

Vodafone estrena nueva edición de Fast Forward Sessions con más de 500 nuevas plazas

Canal PDA - Wed, 13/09/2017 - 11:01
Fast Forward Sessions inicia una nueva etapa el próximo 5 de octubre en Valencia. En esta edición, el objetivo de las sesiones se centra en sacar el máximo beneficio de la digitalización para que los negocios sigan creciendo, una vez que su transformación digital ya está en marcha.El formato del evento es flexible, dinámico y […]
Categories: PDA / PPC

Huawei lanza seis innovadoras soluciones Cloud para empresas

Canal PDA - Wed, 13/09/2017 - 10:29
En el marco del Huawei Connect, celebrado la semana pasada en Shanghái, Joy Huang, vicepresidente de la línea de producto TI de Huawei, anunció el lanzamiento de seis innovadoras soluciones Cloud concebidas para ayudar a las empresas en su transformación digital. Estas nuevas soluciones incluyen innovaciones en hardware, software, datos, conexión, arquitectura y nube híbrida.“La […]
Categories: PDA / PPC

DNI: se abre el plazo para la cuarta ronda centrada en la monetización

Canal PDA - Wed, 13/09/2017 - 10:07
Desde su lanzamiento, nuestro fondo europeo de €150 millones para el apoyo a la innovación en el sector de las noticas, ha dado 73,5 millones de euros a 359 proyectos interesantes en el campo del periodismo digital en 29 países. Diseñamos el Fondo para proporcionar ayudas sin condiciones a las empresas del sector de las […]
Categories: PDA / PPC

Así se elige el nombre de un coche

Canal PDA - Wed, 13/09/2017 - 09:06
¿Cómo escogen los padres el nombre de su bebé? La mayoría empiezan barajando varias opciones. Miran que refleje las cualidades que les gustaría que tuviera el pequeño y que sea fácil de pronunciar. Algunos incluso comprueban que no se repita en su entorno más cercano y prácticamente todos terminan por escuchar las opiniones de la […]
Categories: PDA / PPC

The Future Is Here: iPhone X

Canal PDA - Tue, 12/09/2017 - 21:44
Apple today announced iPhone X, the future of the smartphone, in a gorgeous all-glass design with a beautiful 5.8-inch Super Retina display, A11 Bionic chip, wireless charging and an improved rear camera with dual optical image stabilisation. iPhone X delivers an innovative and secure new way for customers to unlock, authenticate and pay using Face […]
Categories: PDA / PPC

iPhone 8 & iPhone 8 Plus: A New Generation of iPhone

Canal PDA - Tue, 12/09/2017 - 21:10
Apple today announced a new generation of iPhone: iPhone 8 and iPhone 8 Plus. The new iPhone features a new glass and aluminium design in three beautiful colours made out of the most durable glass ever in a smartphone, Retina HD displays and A11 Bionic chip, and is designed for the ultimate augmented reality experience. […]
Categories: PDA / PPC

Apple Watch Series 3 Brings Built-in Cellular, Powerful New Health & Fitness Enhancements

Canal PDA - Tue, 12/09/2017 - 21:07
Apple today introduced Apple Watch Series 3, adding built-in cellular to the world’s number one watch. Whether users are out for a run, at the pool or just trying to be more active throughout their day, Apple Watch Series 3 with cellular allows them to stay connected, make calls, receive texts and more, even without […]
Categories: PDA / PPC

El Apple TV 4K trae la magia del cine a casa con 4K y HDR

Canal PDA - Tue, 12/09/2017 - 20:14
Apple ha presentado hoy el Apple TV 4K diseñado para ofrecer una experiencia de cine increíble en casa. El Apple TV 4K, compatible tanto con 4K como con Alto Rango Dinámico (HDR), muestra imágenes mucho más nítidas y definidas, colores más realistas e intensos, y un nivel de detalle aún mayor en escenas tanto oscuras […]
Categories: PDA / PPC

BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación

Hispasec - Tue, 12/09/2017 - 18:30

La empresa Californiana de seguridad para dispositivos IoT Armis ha descubierto un total de 8 vulnerabilidades bautizadas todas ellas bajo el nombre de BlueBorne. Todas ellas afectan a la implementación del protocolo Bluetooth de, al menos los sistemas operativos Android, IOS, Linux y Windows, y podrían permitir a un atacante infectar un dispositivo de forma remota y que esta infección se propague a otros dispositivos, con el único requisito de que tengan el modo visible activado y sin necesidad de autorización ni autenticación. 


Las vulnerabilidades han sido identificadas con los siguientes CVEs:
  • CVE-2017-0781 CVE-2017-0782, CVE-2017-0783 y CVE-2017-0785 para dispositivos Android.
  • CVE-2017-1000251 y CVE-2017-1000250 para Linux
  • CVE-2017-8628 en Windows. 
Lo más preocupante de BlueBorne es la facilidad de propagación y la cantidad de dispositivos potencialmente vulnerables. Estaríamos hablando de que un dispositivo infectado podría utilizar su conectividad Bluetooth para dotar al malware de funciones de gusano e infectar a todos los dispositivos con los que se vaya cruzando. Esto, unido a la dificultad de actualización que ofrecen algunos dispositivos dotados de Bluetooth, podría provocar un impacto pocas veces visto. Hay que tener en cuenta que Bluetooth lleva implantandose en dispositivos desde hace más de 10 años, y muchos de ellos están descontinuados y no tienen soporte.

La empresa ha compartido pruebas de concepto para las plataformas Linux, Windows y Android:

Linux
Windows
Android
Lo descubridores publicarán en breve una aplicación Android a través de Google Play para que los usuarios puedan comprobar si son vulnerables a esta vulnerabilidad. Mientras tanto, la idea más sensata es desconectar el Bluetooth de nuestros dispositivos.
Más información:
BlueBorne Technical White Paper
http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper.pdf

Fernando Ramírezframirez@hispasec.com@fdrg21
Categories: Seguridad

Seat será la primera marca en Europa que integra Amazon Alexa en sus vehículos

Canal PDA - Tue, 12/09/2017 - 12:52
Seat será la primera marca de automóviles de Europa en integrar en sus vehículos el servicio de voz interactivo Amazon Alexa. Así lo ha anunciado la marca española en el marco del Salón del Automóvil de Fráncfort. El servicio interactivo por control de voz estará disponible a finales de este año en los modelos León […]
Categories: PDA / PPC

Todos los coches de Volkswagen tendrán versión eléctrica antes de 2030

Canal PDA - Mon, 11/09/2017 - 19:04
Volkswagen pisa el acelerador hacia la electrificación total. Mathias Müller, presidente del grupo alemán de automoción, ha asegurado este lunes en Frankfurt que las marcas del consorcio habrán lanzado 80 vehículos con propulsión eléctrica para el año 2025, con vistas a que cinco años después, cada uno de los aproximadamente 300 modelos que ofrecerán en […]
Categories: PDA / PPC

Cross site Scripting persistente en CodeMeter

Hispasec - Sun, 10/09/2017 - 10:20
Se ha encontrado una vulnerabilidad en Wiby CodeMeter,  que podría ser aprovechada para provocar ataques XSS de tipo persistente. La vulnerabilidad ha sido descubierta por Benjamin Kunz Mejri de Evolution Security GmbH.

CodeMeter es una solución de seguridad para editores de software y fabricantes de dispositivos inteligentes, combinando la protección, seguridad y emisión de licencias para software. Es ampliamente utilizado en el sector industrial, siendo sus variantes compatibles con un gran número de controladores, dispositivos y ordenadores: desde microcontroladores sencillos o dispositivos móviles e incluso controladores lógicos programables (PLC), además de ordenadores personales y servidores.
Como hemos comentado en otros boletines, un ataque Cross-Site Scripting o XSS se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código JavaScript.
Dentro del XSS existen dos tipos, el persistente y el no persistente. Con el XSS no persistente se consigue que, mediante una URL especialmente modificada, en la web afectada se obtenga otro resultado.
El otro tipo, y el que afecta al error comentado en este boletín, es el XSS persistente, que puede resultar bastante más peligroso. Este tipo de ataques se producen igualmente al no comprobar los datos de entrada en una web, normalmente formularios y quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, esta cargará ese código.
El problema, con CVE-2017-13754, se debería a un error de validación de entrada en el campo ‘server Name’ de las herramientas avanzadas del módulo ‘time server’. Los archivos afectados por este problema son `ChangeConfiguration.html` (donde se inyecta el payload),` time_server_list.html` y `certified_time.html` (en estos dos, donde se ejecuta el problema). Este error podría ser aprovechado por un atacante remoto inyectar código web malicioso a través de Scripts especialmente manipulados.
Este problema afecta a las versiones anteriores a la 6.50b.Se recomienda actualizar a versiones superiores.
Más información:
Wibu CodeMeterhttp://www.wibu.com/es/codemeter.html
Wibu Systems CodeMeter 6.50 - Persistent XSS Vulnerabilityhttps://www.vulnerability-lab.com/get_content.php?id=2074

Juan Sánchezjasanchez @ hispasec.com
Categories: Seguridad

MongoDB, el nuevo filón del Ransomware

Hispasec - Sat, 09/09/2017 - 09:00
Es posible que el Ransomware afecte a cientos de miles de usuarios de "a pie" o incluso cifre carpetas compartidas de redes corporativas donde la pérdida de ciertos archivos podría suponer una sobredosis de ibuprofeno a los sysadmins. Pero eso, económicamente, podemos suponer que no reporta un gran beneficio al filibusterismo digital. 
El lucro está realmente donde se encuentran los dineros, los cuartos, la pasta, el peculio, en definitiva, la riqueza. ¿Porqué cifrar las fotos del último verano o los informes TPS cuando puedes paralizar el departamento de ventas de una multinacional? ¿y donde de encuentra el corazón de todo ese andamiaje digital que sustenta el aparato de negocio? Las Bases de Datos amigo, las bases de datos. Ahí es donde tenemos el tesoro de la corona, años enteros de amasamiento binario, transacciones, datos, cifras, etc, etc, etc.
Así que, con la cantinela de costumbre, se traza el rumbo, se izan las velas y se dan guiñas a la crujía hasta enfocar un buen puerto abierto y tranquilo, ahí tenemos un 27017. Abrimos los cartapacios y consultamos las cartas: MongoDB. Ahora toca cargar las piezas con un buen amasijo de contraseñas por defecto y "bum", tras unas pocas andanas la plaza se rinde y capitula. Victoria fácil y desmeritoria. A los pies, gigas y gigas de petróleo eléctrico, el botín es nuestro.
No hace falta ni cifrar. Ahora se extrae la base de datos cuidadosamente, trozo a trozo. Luego se borra por completo y se deja una nota de rescate: 1000 maravedíes a cambio de esta fabulosa fortuna. Suyo, el cybercrooker de turno. No pasa mucho tiempo cuando empiezan a sonar los timbres de los teléfonos del departamento técnico. No pasa mucho tiempo más cuando después de un reseteo la cosa sigue sin funcionar. Algo falla, los datos ya no están ahí.
Bases de datos secuestradas asomando en Shodan

Estos ataques se vienen produciendo desde enero de este año, cuando se reportó el secuestro progresivo de miles de bases de datos. No solo MongoDB, por supuesto, pero era significativo su porcentaje, que alcanzaba hasta un 56% del total de secuestros a manos de varios grupos organizados. Nada de zero-days, ni sofisticadas APT, palos y piedras: basta con probar un juego de contraseñas y clack, acceso permitido. Incluso algunas instalaciones ni tan siquiera poseían contraseña.
Poco a poco, los grupos organizados dieron cuenta de este nuevo filón y se fueron sumando a la fiesta, soltando automatismos que iban escudriñando la red en busca de objetivos. Una auténtica cadena de producción, donde todo es un proceso, desde la infección o ataque al propio pago. Podríamos hablar ya de un perfecto RaaS (Ransomware as a Service), la industrialización del pecado por omisión o desidia de algunas organizaciones, que movidos por la fiebre del low-cost reducen la planificación y despliegue al mínimo imprescindible.
Un trabajo que merece la pena atender, es el de los investigadores Víctor GeversNiall Merrigan y Dylan Kats. Se han dedicado a recopilar información sobre los ataques, transacciones, grupos involucrados, campañas, etc. Toda la información está disponible públicamente en una hoja de cálculo. En ella puede observarse una curiosa anotación "These are actors that have been found deleting databases without exfiltrating the data first. This means that they are unable to produce data even if ransom is paid". Es decir, que incluso pagando no hay datos de vuelta; algo que se observa con toda variante de Ransomware.


En este sentido, otro de los puntos reseñables en los datos acumulados es que los delincuentes "hacen caja". Si observamos las transacciones en bitcoins vemos flujos de pequeñas cantidades que han sido abonadas en un intento, muchas veces en vano, de recuperar los datos sustraídos. Esto podría haber hecho que los ataques repunten y que últimamente se observe una nueva oleada de secuestros.
Con el Internet de las cosas que parecen no importarnos lo más mínimo se han creado lucrativas botnets para extorsionar mediante denegaciones de servicio selectivas. Se han levantado granjas clandestinas de criptominado y ahora tenemos servicios publicados a la ligera, con datos valiosos protegidos por contraseñas (donde las hay) triviales. 
Justo aquí, en este bloque, tradicionalmente hemos puesto una serie de medidas para paliar semejantes agujeros. ¿Pero vale la pena el esfuerzo? ¿De verdad le interesa la seguridad a alguien que deja expuesto los datos del negocio a una distancia de 8 caracteres? Yo asumo que no. El mal rato dura lo que tardan los datos en reconstruirse o los seguros en responder o incluso puede que ese golpe termine por cargarse el negocio y apaga y vámonos, quien sabe. 
MongoDB ha publicado una guía de prácticas seguras y una checklist preciosa, algo es algo. Un solo administrador competente echa una mañana en bastionizar con esos documentos una instalación de MongoDB, pero claro eso ya sale caro, ya no es low-cost, ni un veterano ni una mañana en "perder" el tiempo arreglando algo que "funciona"...



David García@dgn1729dgarcia@hispasec.com




Más información
Massive Wave of MongoDB Ransom Attacks Makes 26,000 New Victimshttps://www.bleepingcomputer.com/news/security/massive-wave-of-mongodb-ransom-attacks-makes-26-000-new-victims/
How to Avoid a Malicious Attack That Ransoms Your Datahttps://www.mongodb.com/blog/post/how-to-avoid-a-malicious-attack-that-ransoms-your-data






Categories: Seguridad

Sennheiser amplía su atmósfera sonora en IFA 2017

Canal PDA - Fri, 08/09/2017 - 10:34
Sennheiser, compañía especializada en soluciones de sonido y comunicación, ha estado presente en la feria IFA, que se ha celebrado en Berlín (Alemania) entre el 1 y el 6 de septiembre, presentando sus nuevas soluciones y productos en materia de audio. En concreto, el fabricante expuso sus productos en el stand 202 (Hall 1.2), donde […]
Categories: PDA / PPC

Nuevas versiones de seguridad de Django

Hispasec - Fri, 08/09/2017 - 10:00
La Django Software Foundation ha publicado nuevas versiones de seguridad de las ramas Django 1.11 y 1.10, que soluciona una vulnerabilidad de cross-site scripting.

Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.

La vulnerabilidad, identificada con el identificador CVE-2017-12794, se produce sólo cuando se tiene el modo debug activado (DEBUG = True) y podría permitir a un atacante remoto llevar a cabo ataques de cross-site scripting contra la página de retorno de error 500 que devuelve el framework.

Django Software Foundation ha publicado las versiones Django 1.11.5 y 1.10.8 de Django que soluciona la vulnerabilidad. Las actualizaciones están disponibles desde la página oficial de Django.
Django 1.11.5https://www.djangoproject.com/m/releases/1.11/Django-1.11.5.tar.gzDjango 1.10.8https://www.djangoproject.com/m/releases/1.10/Django-1.10.8.tar.gz


También se encuentran disponibles los parches en github o a través del aviso publicado:https://www.djangoproject.com/weblog/2017/sep/05/security-releases/

Más información:Django security releases issued: 1.11.5 and 1.10.8https://www.djangoproject.com/weblog/2017/sep/05/security-releases/Fernando Ramírezframirez@hispasec.com
@fdrg21
Categories: Seguridad

Telefónica figura un año más en el top 9 de los líderes en sostenibilidad del sector telco a nivel mundial, según el DJSI 2017

Canal PDA - Thu, 07/09/2017 - 17:22
Telefónica se sitúa un año más entre las nueve compañías líderes en el mundo por criterios de sostenibilidad dentro del sector de las telecomunicaciones, según el prestigioso índice Dow Jones Sustainability Index (DJSI). En su revisión anual, la agencia de rating que evalúa la gestión de la sostenibilidad de las empresas, -RobecoSAM- ha valorado a […]
Categories: PDA / PPC

Telefónica inaugura su nueva Movistar Store Barcelona

Canal PDA - Thu, 07/09/2017 - 13:31
Telefónica inaugura hoy una nueva tienda de referencia en el corazón comercial y empresarial de Barcelona. El espacio se encuentra en un local ubicado en el número 570 de la Avenida Diagonal, en su intersección con la calle Muntaner. La nueva Movistar Store Barcelona es un espacio abierto a la Diagonal, con una gran pantalla […]
Categories: PDA / PPC

8 razones para actualizarte tecnológicamente esta temporada

Canal PDA - Thu, 07/09/2017 - 12:51
Tras el verano arrancamos una nueva temporada que, con Fnac, promete ser muchísimo mejor. ¿Cuántas veces te has dicho: necesito un portátil con un almacenamiento ultrarrápido, mayor rendimiento, más ligero o con un sistema de gráficos que facilite realmente tus tareas? ¿Qué tal comenzar estrenando ordenador? Pues es el momento. Del 7 al 18 de […]
Categories: PDA / PPC

Cellnex amplía su presencia en Holanda comprando Alticom

Canal PDA - Thu, 07/09/2017 - 12:19
La española Cellnex ha comprado por 133 millones de euros en efectivo la firma holandesa Alticom, titular de 30 emplazamientos de telecomunicaciones de largo alcance que prestan servicio a todos los operadores de los Países Bajos, con KPN a la cabeza. La red de emplazamientos de Alticom está compuesta por torres de gran altura con […]
Categories: PDA / PPC

Pages

Subscribe to Bytecoders aggregator