Noticias

Vodafone compra Ono y revoluciona el mercado de las telcos

Sinologic - Mié, 09/04/2014 - 09:35

Vamos a ponernos en situación para el que no esté al tanto:

Tenemos 3 juegos, cada uno con sus propios jugadores y sus propias reglas. Para jugar es necesario pagar una de las pocas licencias que el estado concede a aquellas empresas que quieren hacer negocio.

Para el juego Móvil, tenemos 4 jugadores: Movistar, Orange, Vodafone y Yoigo. Son bastante competitivos y esto ha hecho que las tarifas continúen bajando (sin llegar a nada espectacular) permitiendo que los usuarios puedan llamar desde el móvil con la misma “facilidad” con la que hace 15 años se llamaba desde el fijo.

Para el juego Cable, tenemos básicamente 2 jugadores: Movistar y Ono. Otros jugadores quieren participar pero tanto Movistar como Ono tienen una red bastante extendida con lo que si alguien más quiere participar, o se une a uno de estos jugadores, o se arriesga a no tener clientes por falta de cobertura.

Para el juego Cobre, tenemos un único jugador: Movistar, antiguo monopolio estatal que fue privatizada y cuya infraestructura fue sospechosamente “incluida” dentro de la compra bajo la obligación de “alquilarla” a otras empresas si así lo requieren, de ahí que aparezcan jugadores como Jazztel, Orange y Vodafone que utiliza la infraestructura de Movistar para llegar a todos los usuarios.

Detrás de estos tres juegos, se encuentran los OV (Operadores Virtuales), empresas que utilizan las infraestructuras de unos u otros para ofrecer sus propios servicios, facturación, márgenes comerciales, etc. Todos en cada juego se hace una competencia sana donde no hay un vencedor ni un perdedor, todos son ganadores y tienen a los usuarios bastante bien balanceados entre todas ellas.

No obstante, Vodafone ha dado un golpe sobre la mesa con la compra de una empresa de otro juego, en este caso con la adquisición de Ono por 7.200 millones de euros, (casualmente tiene unos 7,2 millones de clientes, por lo que Vodafone ha pagado unos 1000€ por cada cliente) una cantidad considerable pero bastante razonable para entrar en competencia directa con la mayor empresa de comunicaciones en España: Movistar.

Tras este movimiento, los distintos juegos parecen disputarse por los mismos y seguramente empezaremos a ver compras de empresas para participar en otros juegos: Orange, Jazztel o incluso algunos operadores virtuales o quien sabe, igual algún operador VoIP.

 

 

Categorías: Asterisk

Nokia amplía su gama Lumia

Canal PDA - Mar, 08/04/2014 - 13:47
En el mismo acto en el que Microsoft desvelaba la versión más reciente de su plataforma Windows Phone, Nokia presentó un trío de dispositivos impulsados por este sistema operativo, que también ofrecen “una serie de características exclusivas de Nokia”. En la gama alta, la empresa anunció el Lumia 930 (en la fotografía), que ofrece “la […]
Categorías: PDA / PPC

Carga tu smartphone en tan solo 30 segundos

Todo Pocket PC - Mar, 08/04/2014 - 13:16
Una de las mayores frustaciones que tenemos los usuarios de telefonía móvil es presenciar como los fabricantes se rompen los cuernos inventando pantallas curvas, resoluciones 4K, conectividades 4G y mil y una parafernalias más mientras que algo tan importante como la batería, y por tanto, la autonomía del dispositivo, sólo se han visto actualizar aumentando los miliamperios por hora limitando a 24 horas en el mejor de los casos la vida del dispositivo a pleno rendimiento.

Categorías: PDA / PPC

OpenSSL afectada por una vulnerabilidad apodada Heartbleed

Hispasec - Mar, 08/04/2014 - 11:57
El proyecto OpenSSL acaba de liberar una nueva versión de la librería que corrige una muy curiosa y relativamente grave vulnerabilidad. La han llamado "Heartbleed", algo así como corazón desangrado, el motivo es que el fallo se encuentra en una extensión denominada "Heartbeat" y obviamente los que la han descubierto no han dejado pasar el juego de palabras, veremos la razón.
Heartbeat es una funcionalidad añadida a TLS/DTLS que básicamente permite refrescar una sesión segura sin necesidad de efectuar una renegociación. Entre cliente y servidor se envían mensajes en forma de estructuras muy básicas para asegurarse que el cliente va a seguir enviando peticiones o el servidor sigue ahí para seguir respondiéndolas.
Cuando OpenSSL se decidió a implementar el RFC correspondiente, introdujo un bug en la implementación. Dicho fallo permite leer partes de la memoria del proceso, hasta 64k, tanto en el cliente como en el servidor, dependiendo del punto de vista del atacante. Ese es el motivo del apodo con el que han bautizado la vulnerabilidad.
El problema reside en la función 'dtls1_process_heartbeat' de 'ssl/di_both.c' al no validar correctamente la longitud de la estructura 'ssl3_record_st'. Dicha longitud puede ser manipulada a un valor de 65535 bytes y la parte de datos mucho menor o simplemente 0. Cuando se reserva memoria para construir la respuesta, se hace teniendo en cuenta la longitud indicada por la petición. Posteriormente cuando los datos (que recordemos pueden estar a 0) sean copiados a la respuesta, mediante la función 'memcpy', lo que se van a copiar son datos de la memoria cercana a dicha estructura pero no relacionados con la misma.
Esto es así porque se le está indicando que nuestros datos son de 65535 cuando en realidad hemos enviado una cantidad muchísimo menor o 0. Obviamente, el receptor de la respuesta recibirá los datos en bruto de ese trozo de memoria.
Solo pueden ser leídos 64k como máximo, pero tal y como advierten en la web dedicada al fallo (http://heartbleed.com/) es posible renegociar la conexión una y otra vez y volver a obtener otros 64k reiterativamente aunque de manera no controlada, es decir, no sabemos que parte de la memoria "tocará". Según los descubridores esto les permitió efectuando pruebas de concepto extraer las claves privadas del servidor y diversa información sensible.
Recordemos que OpenSSL es una librería usada en multitud de proyectos y es distribuida en múltiples versiones de Linux, etc. Es decir, actualmente existe un número astronómico de equipos y servidores que podrían estar expuestos a esta vulnerabilidad. Hay que actualizar la librería OpenSSL a la última versión no vulnerable o compilar las fuentes descartando el soporte Heartbeat definiendo la opción -DOPENSSL_NO_HEARTBEATS.
Esta vulnerabilidad está presente desde la versión de OpenSSL que introdujo la implementación con el bug, desde la versión 1.0.1. El fallo fue descubierto por investigadores de la empresa Codenomicon en colaboración con Neel Mehta del equipo de seguridad de Google e independientemente por el equipo de seguridad de la empresa Codenomicon. Tiene asignado el CVE-2014-0160. Podemos leer un análisis técnico (en inglés) aquíy el commit al repositorio Git de OpenSSL del parche en este enlace . El parche se encuentra incluido en la última versión de OpenSSL, la 1.0.1g.
Más información:
The Heartbleed Bughttp://heartbleed.com/
existential type crisis  : Diagnosis of the OpenSSL Heartbleed Bughttp://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
projects / openssl.git / commitdiffhttp://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extensionhttp://tools.ietf.org/html/rfc6520

David Garcíadgarcia@hispasec.comTwitter: @dgn1729
Categorías: Seguridad

Qualcomm habla de los procesadores del futuro en teléfonos de gama alta

Todo Pocket PC - Lun, 07/04/2014 - 16:13
Que Apple presentara un procesador de 64 bits destinado a dispositivos móviles ha acarreado consecuencias. La primera, que la brecha entre teléfonos o tabletas y ordenadores de sobremesa cada vez se reduce más, equiparando las prestaciones de unos y otros de forma que unos años atrás nadie hubiéramos imaginado posible. Y la otra consecuencia ha sido la reacción de los fabricantes de procesadores, que han tenido que poner a toda máquina departamentos de ingeniería para ofrecer soluciones similares para ser
Categorías: PDA / PPC

eXPira el Windows más longevo de Microsoft

Hispasec - Lun, 07/04/2014 - 09:30
Como muchos ya sabrán, el 8 de abril de 2014 Microsoft deja de ofrecer soporte para Windows XP. Esto es, ya no habrá más actualizaciones de seguridad, ni parches para errores no ligados a la seguridad, ni opciones de soporte, etc. A partir del 8 de abril, Windows XP deja de ser un sistema operativo soportado y pasa a la zona roja, sistemas en uso sin soporte oficial y sobre los que aún se invierte para destapar fallos de seguridad.
Lo que fue
XP supuso el bautismo digital de toda una generación. XP nació un 25 de octubre de 2001 con la tarea de suceder a los dos sistemas insignia de la compañía de Redmon: El ampliamente extendido y valorado en el mundo empresarial Windows 2000 y Windows Me, un sistema maldito desde su nacimiento, último heredero del DOS y denostado por casi todos los usuarios de escritorio del precedente Windows 98.
XP fue el primer sistema "para usuarios y empresas" que se basaba en el núcleo NT. Por fin, Microsoft, se deshacía del inmortal DOS y podía ofrecer su “nueva tecnología” a todos los clientes. XP lo tuvo fácil para desterrar a Windows Me (algunos ya ni se acuerdan de su existencia) pero Windows 2000 se le atragantó…
El omnipresente campo de Napa, California, podría pasar por ser la fotografía que más usuarios han tenido de fondo de escritorio en la historia de los ordenadores personales. No hay estadísticas, al menos formales, pero la verde integral cortando con sinuosidad el cálido azul cielo californiano conquistó hasta algunos usuarios del bando "enemigo". Obra de Charles O’Rear, titulada "Bliss" (felicidad).
Sin embargo, algunos administradores y usuarios avanzados no veían con buen agrado que esa felicidad se deslizara en sus escritorios así por las buenas. El nuevo chaval del vecindario iba a tener que demostrar que era algo más que una bonita barra azul y una suerte de coloridos iconos, fuegos de artificio. Algunos terminaron por volver a la solidez y tranquilidad de la espartana interfaz del reciente destronado Windows 2000. Irónicamente, años después, los usuarios harían la misma operación al volver a XP tras el fiasco de experiencia con el malogrado Windows Vista.
Al igual que el ahora prehistórico Windows 95, XP puso otra marca en el sendero de Microsoft. Fue el sistema que llevó a la compañía a dar un giro en el problema de la seguridad. La cada vez más incesante aparición de amenazas, como la explosiva infección del gusano Blaster y las críticas desde todos los frentes sobre la política de seguridad de Microsoft, hicieron que reaccionase tomando medidas y liberando un Service Pack, el SP2, que añadía notables medidas de seguridad a XP.
Podría decirse que SP2 fue el primer paso con acento de Microsoft sobre la protección a los usuarios en general de sus sistemas. SP2 incluía el centro de seguridad, un cortafuegos, DEP (Data Execution Prevention) y actualizaciones activadas por defecto. Estábamos entonces en agosto de 2004.
Lo que es
Windows XP sigue siendo el segundo sistema operativo más instalado de la familia Windows. El primer puesto, con algo más del 50% de cuota, le pertenece a Windows 7. XP aún mantiene un espléndido 18%, llegando a casi el 50% en países como China. Estamos hablando de sistemas operativos en general, incluyendo, según StatCounter, dispositivos móviles. Llama la atención que Windows 8 mantenga una ligeramente discreta cuota de poco más del 7% a 18 meses de su lanzamiento. Si solo hablamos de sistemas de escritorio, las cifras pueden elevarse por encima del 27%.
Muchas empresas se encuentran ahora en una difícil encrucijada al poseer sistemas estables con instalaciones sobre XP, en algunos casos incluso sin paquetes de servicio o parches críticos sin aplicar. Existe un miedo comprensible a “tocar” aquello que funciona, en algunos casos por la completa falta de alternativas en otros por el coste de servicio tras estudiar la migración a sistemas con soporte.
Un sector importante, la banca, ha sido objeto últimamente de titulares en medios generalistas con la problemática de los cajeros automáticos. Dichos sistemas no son más que ordenadores comunes conectados a un hardware especial, una grandísima cantidad de ellos corriendo Windows XP. Hay una preocupación sobre el que pasará, el día después, cuando dichos sistemas crucen la línea de confort que supone el soporte de la compañía.
Lo que no será
No solo se acaba el soporte para Windows XP, también para Office 2003. Sin duda, para Microsoft, Windows XP ha significado uno de sus sistemas operativos de mayor éxito e implantación en todo el mundo.
Según la política de Microsoft, los productos para Empresa y Desarrolladores, entre los cuales se incluyen los sistemas operativos Windows y Microsoft Office, disponen de un mínimo de 10 años de soporte. Windows XP se presentó en el mercado el 25 de octubre de 2001, lo que quiere decir que lleva ya más de 12 años en circulación.
Es evidente el problema de seguridad al que esto nos enfrenta, cientos de millones de ordenadores y sistemas con un software carente de actualizaciones. Se sabe, que muchos atacantes han estado guardando sus exploits 0-day a la espera de la fatídica fecha. Después de ese día podrán lanzar sus ataques con tranquilidad, no habrá actualización posible. Quien sabe que ataques pueden estar en hibernación en el disco duro de un atacante, esperando a la luz verde. Click y no habrá remedio.
Los primeros en ponerse al día han sido un gran número de empresas y gobiernos, para los que la migración ha sido algo casi obligado y para los que Microsoft ha puesto las cosas más sencillas. Realmente se ha notado como la cuota de mercado ha ido descendiendo en los últimos dos años según las compañías iban migrando a los sistemas operativos más modernos de Microsoft.
Para los usuarios domésticos, donde la renovación de un sistema operativo no es tan importante la cosa puede llegar a ser realmente grave. Un usuario final, se puede ver obligado a adquirir una licencia (lo más recomendable será un Windows 7 u 8), con un coste asociado que posiblemente no esté al alcance un usuario medio.
Y aunque a finales de junio de 2008 se dejó de vender, hay que recordar que hace pocos años volvió a incluirse como sistema operativo en muchos netbooks; ya que Microsoft ofreció XP libre de royalties para frenar la implantación de netbooks con sistemas gratuitos como Android o Linux. Aun en la actualidad es posible encontrar netbooks (nuevos) con Windows XP como sistema operativo.
Otro problema que tampoco hay que descuidar es las implicaciones que puede tener para el resto de usuarios, no hay que dejar de lado que estos sistemas puedes ser víctimas sencillas de botnets o similares y ser empleados como fuente de ataques al resto de usuarios.
Lamentablemente a los usuarios que aún siguen con XP, pocas opciones les quedan, migrar a otros sistemas como Android o Linux, actualizar a una versión superior de Windows, cambiar de ordenador, o quedarse expuestos a todo tipo de ataques, malware y problemas.
Eso si, Microsoft va a seguir actualizando, por lo menos durante un tiempo, las firmas para Microsoft Security Essencials, lo que podría ser un bálsamo de alivio para cierto tipo de agujeros (Conficker, parcheado por el boletín MS08-067) que podrían provocar el colapso en algunas redes. Esta carta en la manga es la que se guarda Microsoft para contener epidemias de este tipo. Una cosa es no liberar un parche para evitar ejecución remota de código al visitar una web, el producto estará fuera de soporte y se entiende, pero otra cosa muy diferente es salir en los titulares de la prensa generalista mientras una pandilla de gusanos devora el tráfico de media Internet.
En Hispasec hablamos de XP
En una-al-día como no podía ser menos tratamos en muchas ocasiones a Windows XP y la seguridad de este sistema como punto central:
Antes de la presentación de Windows XP, ya en beta ya empezó a ser una importante fuente de polémica, especialmente a raíz de un tema que aún sigue dando mucho que hablar, el firmado de aplicaciones. una-al-dia (15/04/2001) Windows XP, ¿el final de los virus informáticos?http://unaaldia.hispasec.com/2001/04/windows-xp-el-final-de-los-virus.html
El que seguramente fue el primer fallo importante en Windows WP:una-al-dia (20/12/2001) Importante agujero en Windows XPhttp://unaaldia.hispasec.com/2001/12/importante-agujero-en-windows-xp.html
El primer Service Pack:una-al-dia (13/09/2002) Services Pack para Internet Explorer 6.0 y Windows XPhttp://unaaldia.hispasec.com/2002/09/services-pack-para-internet-explorer-60.html
Incluso dos años después de su presentación, aún seguía siendo el sistema operativo estrella. Uno de los mayores problemas provenía del número de fallos que presentaba la versión instalada por defecto y actualizaciones necesarias para solucionar esa gran cantidad de problemas de seguridad. Algunos de ellos de tal gravedad que podían permitir a un virus o gusano introducirse en el ordenador con solo estar conectado a Internet, operación necesaria para la actualización del sistema. Además, el número y tamaño de las actualizaciones necesarias era tan grande (46 actualizaciones que podían ocupar casi 50 MB) que la ventana de tiempo que transcurría entre la instalación y la actualización fuera tan prolongada que la infección era casi segura. una-al-dia (28/12/2003) Windows XP: sobrevivir al primer díahttp://unaaldia.hispasec.com/2003/12/windows-xp-sobrevivir-al-primer-dia.html
El gusano Sasser fue uno de los que más dio que hablar y más problemas causó a los usuarios, al ser capaz de infectar los sistemas vulnerables automáticamente (al estilo del Blaster) además dejaba una puerta trasera que permitía la intrusión a terceros.una-al-dia (01/05/2004) Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerableshttp://unaaldia.hispasec.com/2004/05/gusano-sasser-infecta-automaticamente.htmluna-al-dia (02/05/2004) Microsoft alerta sobre el gusano Sasser y su nueva variante Sasser.Bhttp://unaaldia.hispasec.com/2004/05/microsoft-alerta-sobre-el-gusano-sasser.html
La publicación del Service Pack 2, también fue un tema controvertido. Especialmente en los primeros meses tras su publicación. Ya que muchas aplicaciones dejaban de funcionar correctamente tras su aplicación (incluyendo antivirus, juegos, herramientas de backup, clientes de FTP, correo, mensajería instantánea, y hasta soluciones de la propia Microsoft). El problema provenía de la activación por defecto del firewall personal.
SP2 no se consideró como una actualización "para”' el sistema operativo, sino más bien como una actualización "de" sistema operativo. una-al-dia (16/08/2004) Aplicaciones incompatibles con el Service Pack 2 para Windows XPhttp://unaaldia.hispasec.com/2004/08/aplicaciones-incompatibles-con-el.htmlEn muchos casos hasta se recomendaba el retraso o bloqueo de la instalación automática del SP2. una-al-dia (20/08/2004) Retrasar la instalación del Service Pack 2 para Windows XPhttp://unaaldia.hispasec.com/2004/08/retrasar-la-instalacion-del-service.html
Y cuatro años después Microsoft se vio obligada a publicar un tercer Service Pack, y aunque no presentaba importante mejoras ni cambios sustanciales (como sí hiciera el SP2) sino por obtener en un solo paquete todas las actualizaciones aparecidas hasta el momento (que podían suponer casi 100 parches para estar al día). una-al-dia (07/05/2008) Service Pack 3 para Windows XP y otras 'macroactualizaciones'http://unaaldia.hispasec.com/2008/05/service-pack-3-para-windows-xp-y-otras.html
Más información:
El 8 de abril de 2014 finaliza el Soporte paraWindows XP SP3 y Office 2003http://www.microsoft.com/es-es/windows/endofsupport.aspx
Top 7 Desktop, Tablet & Console OSs From Feb 2013 to Jan 2014http://gs.statcounter.com/#os-ww-monthly-201302-201401
China Warns of Risks in Plan to Retire Windows XPhttp://nyti.ms/1gjYbmy
XP - the operating system that will not diehttp://www.bbc.com/news/technology-26432473
una-al-dia (11/08/2003) W32/Blaster, un gusano con una alta incidenciahttp://unaaldia.hispasec.com/2003/08/w32blaster-un-gusano-con-una-alta.html
una-al-dia (15/04/2001) Windows XP, ¿el final de los virus informáticos?http://unaaldia.hispasec.com/2001/04/windows-xp-el-final-de-los-virus.html
una-al-dia (20/12/2001) Importante agujero en Windows XPhttp://unaaldia.hispasec.com/2001/12/importante-agujero-en-windows-xp.html
una-al-dia (13/09/2002) Services Pack para Internet Explorer 6.0 y Windows XPhttp://unaaldia.hispasec.com/2002/09/services-pack-para-internet-explorer-60.html
una-al-dia (28/12/2003) Windows XP: sobrevivir al primer díahttp://unaaldia.hispasec.com/2003/12/windows-xp-sobrevivir-al-primer-dia.html
una-al-dia (01/05/2004) Gusano Sasser infecta automáticamente sistemas Windows 2000 y XP vulnerableshttp://unaaldia.hispasec.com/2004/05/gusano-sasser-infecta-automaticamente.html
una-al-dia (02/05/2004) Microsoft alerta sobre el gusano Sasser y su nueva variante Sasser.Bhttp://unaaldia.hispasec.com/2004/05/microsoft-alerta-sobre-el-gusano-sasser.html
una-al-dia (16/08/2004) Aplicaciones incompatibles con el Service Pack 2 para Windows XPhttp://unaaldia.hispasec.com/2004/08/aplicaciones-incompatibles-con-el.html
una-al-dia (20/08/2004) Retrasar la instalación del Service Pack 2 para Windows XPhttp://unaaldia.hispasec.com/2004/08/retrasar-la-instalacion-del-service.html
una-al-dia (07/05/2008) Service Pack 3 para Windows XP y otras 'macroactualizaciones'http://unaaldia.hispasec.com/2008/05/service-pack-3-para-windows-xp-y-otras.html

David Garcíadgarcia@hispasec.comTwitter: @dgn1729

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

Mensajes más interesantes de la semana (31 Marzo - 06 Abril)

PDA Expertos - Lun, 07/04/2014 - 07:00
El resumen semanal de los mejores posts en el Foro de PDAExpertos.com
Categorías: PDA / PPC

Botnets simples, baratas y silenciosas

Hispasec - Dom, 06/04/2014 - 09:31
Pensemos por un momento el coste en tiempo que ha de invertir un delincuente en fabricar su botnet. Primero necesita infectar una gran masa de usuarios, luego va a precisar de un troyano y un agente que permanezca residente en los equipos de las víctimas y por supuesto una infraestructura para coordinar todos los nodos de la involuntaria red. A todo esto hay que sumarle el factor tiempo.
Una botnet requiere de un mantenimiento, actualizaciones periódicas y sostener su población, siempre en caída, por culpa de los amigos informáticos y administradores precavidos. Por supuesto, luego está la competencia y la poca facilidad que tiene el mercado para anunciar sus servicios en canales establecidos ("Se alquila botnet a buen precio, rebajas a grupos. Razón aquí."). Eso es una verdadera inversión en I+D, ingeniería social, arquitectura distribuida y marketing, no está al alcance de cualquiera. Complejo ¿verdad?
El verano pasado, Jeremiah Grossman y Matt Johansen de White Hat Security, dieron una charla en la Black Hat USA sobre lo fácil y relativamente barato que podría resultar un ataque de denegación de servicio distribuido inyectando Javascript o HTML especialmente "horneado", de manera legal, a través de las redes de publicidad en linea (léase, AdSense y otros). Esto es así, pagas, metes tu código en la red publicitaria y te sientas a ver como cae la víctima.
El código Javascript incluiría un bucle para generar visitas continuas mientras esté cargada la página. Una vez el visitante cierra el navegador o pestaña deja de "atacar". Es una técnica sigilosa, ya que no deja huella puesto que no hay infección. Ellos advirtieron del peligro, un vector interesante, silencioso y bastante barato.https://media.blackhat.com/us-13/us-13-Grossman-Million-Browser-Botnet.pdf
Hace unos días, en el blog deIncapsula, escribían una crónica sobre un peculiar ataque DDoS que afectó a uno de sus clientes. Esto no es ninguna novedad, este tipo de ataques se sufre a diario, algunas veces como parte de una estrategia, como método de chantaje o simplemente como protesta. Lo novedoso procedía de como se había generado un tráfico de 20 millones de peticiones desde 22.000 navegadores, cifras de Incapsula. 
El origen: No revelan el domino, pero Incapsula habla de un sitio dentro del top 50 de Alexa cuyo modelo de negocio se basa en el contenido de vídeo. Estar en el top 50 de Alexa asegura tráfico, mucho tráfico, tanto que podría generar una condición de denegación de servicio si un tercero recibe referencias directas desde este sitio, algo parecido al efecto Slashdot.
Los atacantes encontraron una vulnerabilidad de Cross-site scripting (XSS) almacenado en dicho sitio. Esto les permitía dos cosas: Inyectar código Javascript y que este código permaneciera en el servidor, sin necesidad de distribuirlo en un enlace o formulario, esperando que alguien visitase la página donde carga dicho script. En dicho caso, les permitía inyectar código en una etiqueta "img" asociada al perfil del usuario.
Cada vez que alguien visitaba un vídeo colgado por este perfil (de los atacantes, obviamente) cargaba un script dentro de un iframe invisible que comenzaba a generar visitas hacia el sitio que querían tirar. Tal y como dicen los de Incapsula, visitar un perfil y salir dura unos segundos, pero ¿Cuantas visitas podrían generarse cuando se está viendo un vídeo de varios minutos?.
Como vemos no hace falta una gran inversión intelectual, de tiempo y dinero para crear una herramienta útil para atacar. Los atacantes unieron de una manera simplista pero muy efectiva varios conceptos sencillos: una vulnerabilidad que permitía ejecutar código arbitrario en el cliente, un sitio con un gran tráfico y algo de ingeniería social ¿Un vídeo turbio quizás? (No preguntéis, efectivamente está en el top 50 de Alexa).

David Garcíadgarcia@hispasec.com
Twitter: @dgn1729
Categorías: Seguridad

Microsoft soluciona una vulnerabilidad en Xbox Live descubierta por un niño de 5 años

Hispasec - Sáb, 05/04/2014 - 21:40
Kristoffer Von Hassel, un niño de 5 años de San Diego descubrió una sencilla forma desaltarse la protección del servicio Xbox Live de su padre. Microsoft ha reconocido y solucionado el problema. 
No podemos imaginar la cara que pondría el padre al ver como su hijo de cinco años estaba jugando con la Xbox a juegos de su perfil protegidos con contraseña. No tardó en descubrir el truco que empleaba su hijo. El niño introducía una contraseña erronea en la pantalla de autenticación, lo que daba lugar a una segunda pantalla de verificación de contraseña que evitaba simplemente llenando el campo con espacios.
El padre de Kristoffer, que curiosamente trabaja en seguridad informática, se quedó sorprendido de la sencillez del fallo, que reportó a Microsoft. La compañía ha solucionado el problema y ha reconocido a Kristoffer en su sitio web en una lista de desarrolladores de seguridad que ayudan a hacer más seguros sus servicios online.
Microsoft ha recompensado a Kristoffer con cuatro juegos gratis, una suscripción annual a Xbox Live y 50 dólares.
Más información:
5-year-old Ocean Beachboy exposes Microsoft Xbox vulnerabilityhttp://www.10news.com/news/5-year-old-ocean-beach-exposes-microsoft-xbox-vulnerability
Security Researcher Acknowledgments for Microsoft Online Serviceshttp://technet.microsoft.com/en-us/security/cc308589.aspx


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Apple anuncia un nuevo evento para el 2 de junio

Todo Pocket PC - Vie, 04/04/2014 - 13:33
Salvo que haya un anuncio-sorpresa antes del 2 de junio, ésta va a ser la fecha fijada para la próxima gran presentación de novedades en el terreno del software y del hardware de Apple, en el marco de la world Wide Developers Conference. Este evento, de carácter anual, se dedica a los desarrolladores y al mundo de la prensa en general.

El año pasado se presentó la nueva versión del sistema operativo OS X, Mavericks, y también el controvertido y renovado hasta la médula
Categorías: PDA / PPC

Microsoft recupera Age of Mythology, con una edición extendida

Todo Pocket PC - Vie, 04/04/2014 - 13:14
Pocas veces veréis que hablamos de juegos para ordenador en esta casa pero hay ocasiones en que es inevitable, bien sea por la repercusión del mismo, bien sea porque estamos hablando de una de esas joyas intemporales a las que puedes jugar siempre que te apetezca ya que para ellos no pasa el tiempo.

Un juego que cumple ambas condiciones es Age of Mythology, el juego de estrategia de Microsoft presentado un ya lejano 2002 de la mano de Ensemble Studios. Hay quien aún
Categorías: PDA / PPC

Microsoft publicará cuatro boletines de seguridad el próximo martes

Hispasec - Vie, 04/04/2014 - 12:54
Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 8 de abril. En esta ocasión, Microsoft publicará cuatro boletines (del MS14-017 al MS14-020) que corregirán múltiples vulnerabilidades en diversos sistemas. Con estas actualizaciones, Microsoft da por finalizado el soporte para Windows XP y Office 2003, esto es, estas son los últimos parches para ambos.
Entre estos boletines, dos han sido calificados como críticos y corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en los sistemas operativos Windows, en Microsoft Office y en Internet Explorer. Según se ha confirmado la actualización con MS14-017, incluirá la corrección final para el 0-day en para Microsoft Word, en relación al tratamiento de archivos RTF y del que ya efectuamos un análisis. También podemos esperar que la actualización para Internet Explorer incluya la solución para las vulnerabilidades presentadas en el Pwn2Own.
Los dos boletines restantes son de nivel importante y están relacionados con problemas de seguridad relacionados con ejecución remota de código en los sistemas operativos Windows y Office.
Como es habitual, Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.
Desde Hispasec se informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.
Más información:
Microsoft Security Bulletin Advance Notification for April 2014http://technet.microsoft.com/en-us/security/bulletin/ms14-apr
Advance Notification Service for the April 2014 Security Bulletin Releasehttp://blogs.technet.com/b/msrc/archive/2014/04/03/advance-notification-service-for-the-april-2014-security-bulletin-release.aspx
una-al-dia (24/03/2014) Microsoft publica una alerta por una vulnerabilidad 0-day en Wordhttp://unaaldia.hispasec.com/2014/03/microsoft-publica-una-alerta-por-una.html
una-al-dia (16/03/2014) Los principales navegadores caen en el Pwn2Own 2014http://unaaldia.hispasec.com/2014/03/los-principales-navegadores-caen-en-el.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Qualcomm innova para optimizar el uso del espectro con MU-MIMO para WiFi

Canal PDA - Vie, 04/04/2014 - 10:31
Qualcomm Incorporated (NASDAQ: QCOM) ha anunciado que su subsidiaria, Qualcomm Atheros, Inc., ya está distribuyendo la primera solución Qualcomm VIVE 4-stream 802.11ac con MIMO (MU-MIMO) multi usuario para mejorar el rendimiento Wi-Fi en el creciente número de dispositivos conectados en casas, oficinas y espacios públicos. Mejorada con la innovadora tecnología de Qualcomm Atheros basada en […]
Categorías: PDA / PPC

FI-LAB, el laboratorio experimental que ayuda a los desarrolladores a afrontar los retos FI-WARE

Canal PDA - Vie, 04/04/2014 - 09:49
FI-Lab es el laboratorio de innovación de FI-WARE disponible en la nube para desarrolladores donde pueden experimentar con todas las posibilidades que ofrecen las tecnologías FI-WARE. El éxito de este ecosistema de innovación se basa en su punto más diferencial: es un entorno abierto a todo el mundo, tanto a los desarrolladores, donde pueden testar […]
Categorías: PDA / PPC

Rainbow de Wiko: rendimiento impecable en siete vibrantes colores

Canal PDA - Vie, 04/04/2014 - 09:29
La marca europea de smartphones Wiko presenta Rainbow, un nuevo terminal fresco y divertido que no deja de lado la potencia y la funcionalidad, ya que dispone de un procesador de cuatronúcleos, 1 Gb de RAM, cámara de 8 MP y pantalla IPS de 5 pulgadas HD. Como el propio nombre indica, podrás elegir el […]
Categorías: PDA / PPC

Vodafone España anuncia el lanzamiento en exclusiva de Samsung Galaxy S5 Gold

Canal PDA - Vie, 04/04/2014 - 09:17
Vodafone España anuncia la disponibilidad en exclusiva de Samsung Galaxy S5 Gold que está disponible en venta anticipada desde hoy en la Tienda Online de Vodafone. También está disponible Samsung Galaxy S5 en blanco y en negro. Además, los clientes que lo adquieran en Vodafone disfrutarán en exclusiva de la edición de 32GB (16GB de […]
Categorías: PDA / PPC

Nuevo récord de mensajes en WhatsApp

Canal PDA - Jue, 03/04/2014 - 13:53
WhatsApp transportó 64.000 millones de mensajes en 24 horas, demostrando así que el servicio de mensajería sigue creciendo tras aceptar ser adquirido por Facebook por un importe de 19.000 millones de dólares. En un tuit oficial, la empresa asegura haber gestionado el envío de 20.000 millones de mensajes entrantes y la recepción de 44.000 millones […]
Categorías: PDA / PPC

Telefónica conectará los coches Tesla con M2M

Canal PDA - Jue, 03/04/2014 - 13:50
Telefónica proporcionará la conectividad M2M de los coches eléctricos Tesla Model S en Europa. Tesla se convierte así en el primer cliente conocido del consorcio M2M World Alliance. Telefónica es una de las ocho operadoras que forman parte de la alianza, que ofrece servicios M2M globales a clientes empresariales. El servicio ofrecerá navegación, música en […]
Categorías: PDA / PPC

HearthStone, el nuevo juego de Blizzard, disponible para iPad

Todo Pocket PC - Jue, 03/04/2014 - 13:17
HearthStone, el nuevo juego de cartas made in Blizzard ya está disponible para iPad, si vives en Australia, Canadá o Nueva Zelanda. En caso que vivas en el país de la pandereta deberás esperar unos pocos días a que la descarga esté disponible, según Blizzard, "muy pronto".

¿Qué tiene de especial HearthStone como para merecer una mención en Todo Pocket PC? Pues que es de Blizzard, esa empresa que todos los proyectos que arranca suelen ser grandes éxitos,
Categorías: PDA / PPC

Un fallo en iOS 7.1 permite anular la función de "Buscar mi iPhone"

Hispasec - Jue, 03/04/2014 - 11:01
Se ha descubierto un fallo en iOS 7.1 (la última versión del software para iPhone o iPad) que podría permitir anular la función de encontrar el teléfono (o la tableta) en caso de pérdida o robo. 
El fallo, reportado por Miguel Alvarado (@idevicehelpus) puede permitir a cualquiera con acceso físico al dispositivo borrar la cuenta iCloud del propietario sin necesidad de escribir la contraseña. Se ha publicado un vídeo en el que muestra todo el proceso.

https://www.youtube.com/watch?v=Lvbter05UpA
El proceso consiste en acceder al panel de iCloud en Ajustes y pulsar "Eliminar Cuenta" mientras se deseactiva la opción de "Buscar mi iPhone". Ambas acciones deben realizarse de forma simultánea, en caso de activar el error el teléfono muestra dos cuadros de diálogo ninguno de los cuales pueden emplearse realmente.
Tras ello, solo falta reiniciar el teléfono, volver a las opciones de iCloud en Ajustes y eliminar la cuenta, en esta ocasión ya no se preguntará la contraseña.
Más información:
Delete iCloud Account from iPhone without Password iOS 7.1https://www.youtube.com/watch?v=Lvbter05UpA


Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categorías: Seguridad
Distribuir contenido