miércoles
COMUNIDAD DE SOFTWARE LIBRE DE LA UTPL
IA, UTPL, Rommel, Robotica
loco team loja,
rommac,
software libre,
utpl,
utplinux
lunes
Implicaciones de seguridad en la implantación de IPv6
Implicaciones de seguridad en la implantación de i pv6
View more presentations from Rommel .
IA, UTPL, Rommel, Robotica
ipsec,
ipv4vsipv6,
ipv6,
seguridad
Google Hacking
IA, UTPL, Rommel, Robotica
busquedas interesantes,
google hacking,
hacking,
informacion critica,
seguridad,
vulnerabilidades
sábado
NAVEGACIÓN SEGURA
Navegando por la red me encontré esta información que me pareció muy buena y la quise compartir "Para navegar e interactuar por Internet en forma segura, le invitamos a ver los videos explicativos sobre las situaciones de riesgo más usuales y las recomendaciones sobre cómo actuar frente a ellas para prevenir y evitar daños."
Navegación Segura
Read full story
Navegación Segura
15 Curiosidades de los hackers
1. El término moderno hacker fue acuñado por el famoso matemático John Nash, considerado una mente brillante.
2. Uno de los primeros hackers fue descubierto en 1972.
3. Ian Murphy fue el primer hacker condenado. Se infiltró a las computadoras de la empresa AT&T en 1981 y cambió los horarios permitiendo a los usuarios obtener descuentos en sus llamadas nocturnas.
4. Kevin Mintick fue el hacker más buscado de Estados Unidos, por cometer crimenes contra IBM; DEC y Pacific Bell.
5. Gary McKinnon realizó el hackeo más grande en la historia militar de todos los tiempos. En 2001 y 2002 se infiltró a las computadoras de la NASA, el Ejército, la Armada y la Fuerza Aérea de los Estados Unidos. Se excusó argumentando que buscaba evidencias de objetos voladores no identificados (OVNI).
6. Albert González recibió la sentencia más grande en la historia de los hackers. Fue condenado a 20 años por violar tarjetas de crédito y débito; el robo ascendió a 200 millones de dólares.
7. Estados Unidos posee la mayor cantidad de ordenadores que envían más spam con 13.1%; le sigue India con 7.3% y en el tercer sitio se ubica Brasil con 6.8%.
8. Las escuelas de piratería informática virtual le generan a China ingresos 40 millones de dólares anuales.
9. Alrededor del mundo, los "piratas informáticos" han robado un trillón de dólares pertenecientes a derechos de propiedad intelectual.
10. En 2009, el 43% de 2 mil 100 negocios sobrevivieron a los ataques realizados por hackers.
11. Una de cada tres compañías se vio afectada por hackers. El 81% de los profesionistas admitieron que sus sistemas son vulnerables, razón por la que el 17% de los ataques realizados resultaron exitosos.
12. En promedio, las centrales eléctricas reciben miles de tentativas de ataques por parte de "piratas electrónicos" cada año. Entre éstas se encuentran las extorsiones y el terrorismo. Millones de centrales son exhortadas cada año.
13. El Departamento de Defensa de Estados Unidos contrata 250 hackers por año para defenderse de cyber-amenazas.
14. En 2009, el pentágono gastó seis mil millones en sistemas computacionales de seguridad. Lo que dentro de cinco años ascenderá a 15 o 30 mil millones de dólares.
15. Las redes sociales como Facebook y Myspace son los portales más hackeados alrededor del mundo. Información personal como números telefónicos son blanco de los "terroristas cibernéticos".
Read full story
2. Uno de los primeros hackers fue descubierto en 1972.
3. Ian Murphy fue el primer hacker condenado. Se infiltró a las computadoras de la empresa AT&T en 1981 y cambió los horarios permitiendo a los usuarios obtener descuentos en sus llamadas nocturnas.
4. Kevin Mintick fue el hacker más buscado de Estados Unidos, por cometer crimenes contra IBM; DEC y Pacific Bell.
5. Gary McKinnon realizó el hackeo más grande en la historia militar de todos los tiempos. En 2001 y 2002 se infiltró a las computadoras de la NASA, el Ejército, la Armada y la Fuerza Aérea de los Estados Unidos. Se excusó argumentando que buscaba evidencias de objetos voladores no identificados (OVNI).
6. Albert González recibió la sentencia más grande en la historia de los hackers. Fue condenado a 20 años por violar tarjetas de crédito y débito; el robo ascendió a 200 millones de dólares.
7. Estados Unidos posee la mayor cantidad de ordenadores que envían más spam con 13.1%; le sigue India con 7.3% y en el tercer sitio se ubica Brasil con 6.8%.
8. Las escuelas de piratería informática virtual le generan a China ingresos 40 millones de dólares anuales.
9. Alrededor del mundo, los "piratas informáticos" han robado un trillón de dólares pertenecientes a derechos de propiedad intelectual.
10. En 2009, el 43% de 2 mil 100 negocios sobrevivieron a los ataques realizados por hackers.
11. Una de cada tres compañías se vio afectada por hackers. El 81% de los profesionistas admitieron que sus sistemas son vulnerables, razón por la que el 17% de los ataques realizados resultaron exitosos.
12. En promedio, las centrales eléctricas reciben miles de tentativas de ataques por parte de "piratas electrónicos" cada año. Entre éstas se encuentran las extorsiones y el terrorismo. Millones de centrales son exhortadas cada año.
13. El Departamento de Defensa de Estados Unidos contrata 250 hackers por año para defenderse de cyber-amenazas.
14. En 2009, el pentágono gastó seis mil millones en sistemas computacionales de seguridad. Lo que dentro de cinco años ascenderá a 15 o 30 mil millones de dólares.
15. Las redes sociales como Facebook y Myspace son los portales más hackeados alrededor del mundo. Información personal como números telefónicos son blanco de los "terroristas cibernéticos".
IA, UTPL, Rommel, Robotica
curiosidades,
hacker
miércoles
CUPA 2010 2da EDICIÓN
IA, UTPL, Rommel, Robotica
CUPA 2010,
ISummit,
loja,
Tecnologias Avanzadas
jueves
¡Con la contraseña no alcanza!
Cuando creó su cuenta de Facebook, seguramente tuvo cuidado de utilizar una contraseña segura, ¿verdad? Por ejemplo, alternó entre mayúsculas y minúsculas, utilizó números, no comparte la misma contraseña con otros sitios como por ejemplo Gmail o Hotmail, y nadie más que usted la conoce. Con todas esas precauciones, se garantiza que nadie puede acceder a sus datos… ¿o no?
Lamentablemente, la cosa no es tan sencilla: con una variación de una técnica de ataque conocida, es posible acceder a todos los datos de la cuenta de Facebook de cualquier usuario, sin conocer la contraseña.
Como siempre, debe haber un engaño de por medio que le permita al atacante acceder a su información personal y la de sus contactos, pero lo novedoso de esta técnica es que el tipo de engaño necesario es sorprendentemente fácil de conseguir.
El nombre que recibe esta técnica es “cross-site identification” o CSID, y se trata de generar, en primer lugar, que usted ingrese a un sitio elegido por el atacante mientras que está logueado en Facebook (o cualquiera de las otras redes sociales que son vulnerables (por ejemplo, Orkut).
De esta manera, el atacante aprovecha que usted ya había ingresado la contraseña, para engañar a la red social y solicitar el envío de información como si usted mismo lo estuviera haciendo.
Por supuesto, en ningún momento durante el ataque es posible detectar esta actividad, y lamentablemente esta operación no deja rastros.
En cuanto al sitio necesario para el engaño, es necesario que genere una motivación para que el usuario acceda a hacer clic en algún enlace o una imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el hacker, sino que se puede utilizar un sitio legítimo para realizar el ataque.
¿Qué se puede hacer para evitar caer en esta nueva técnica? Las mayores posibilidades de evitar un ataque de cross-site identification recaen en los sitios de las redes sociales, ya sea mejorando el diseño de sus interfaces, aumentando la seguridad de las aplicaciones y fortaleciendo las políticas de entrega de datos personales de los usuarios.
Sin embargo, podemos citar algunas recomendaciones que siempre es necesario tener en cuenta, y que pueden ayudar a protegerse también de este tipo de ataque:
Fuente: Global Crossing
Read full story
Lamentablemente, la cosa no es tan sencilla: con una variación de una técnica de ataque conocida, es posible acceder a todos los datos de la cuenta de Facebook de cualquier usuario, sin conocer la contraseña.
Como siempre, debe haber un engaño de por medio que le permita al atacante acceder a su información personal y la de sus contactos, pero lo novedoso de esta técnica es que el tipo de engaño necesario es sorprendentemente fácil de conseguir.
El nombre que recibe esta técnica es “cross-site identification” o CSID, y se trata de generar, en primer lugar, que usted ingrese a un sitio elegido por el atacante mientras que está logueado en Facebook (o cualquiera de las otras redes sociales que son vulnerables (por ejemplo, Orkut).
De esta manera, el atacante aprovecha que usted ya había ingresado la contraseña, para engañar a la red social y solicitar el envío de información como si usted mismo lo estuviera haciendo.
Por supuesto, en ningún momento durante el ataque es posible detectar esta actividad, y lamentablemente esta operación no deja rastros.
En cuanto al sitio necesario para el engaño, es necesario que genere una motivación para que el usuario acceda a hacer clic en algún enlace o una imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el hacker, sino que se puede utilizar un sitio legítimo para realizar el ataque.
¿Qué se puede hacer para evitar caer en esta nueva técnica? Las mayores posibilidades de evitar un ataque de cross-site identification recaen en los sitios de las redes sociales, ya sea mejorando el diseño de sus interfaces, aumentando la seguridad de las aplicaciones y fortaleciendo las políticas de entrega de datos personales de los usuarios.
Sin embargo, podemos citar algunas recomendaciones que siempre es necesario tener en cuenta, y que pueden ayudar a protegerse también de este tipo de ataque:
- En las redes sociales acepte invitaciones solamente de gente conocida.
- Configure siempre las preferencias de seguridad y privacidad de su perfil. Puede tomar algo de tiempo, pero realmente ¡vale la pena para protegerse!
- Utilice aplicaciones en las redes sociales solamente cuando conozca el origen, es decir, quién es el autor o la empresa que la distribuye, y qué hace exactamente.
- Al otorgar acceso a sus datos personales, tanto a una aplicación como a la red social en sí, evalúe las consecuencias potenciales de la decisión. La recomendación es probar primero con la opción de denegar accesos, y habilitarlos si se comprueba que son necesarios.
- No habilite las opciones que le permiten mantenerlo logueado durante mucho tiempo en un sitio. Es preferible ingresar la contraseña varias veces; generalmente, esta opción se presenta como “no cerrar mi sesión”, “mantenerme logueado”, “keep my session alive” o algo por el estilo.
- Cuando deje de utilizar una página que requiere de una contraseña (ya sea una red social, su correo o el home-banking), siempre asegúrese de desconectarse. Típicamente existe una opción llamada “sign out”, “log out”, “salir” o similar.
Fuente: Global Crossing
IA, UTPL, Rommel, Robotica
contraseñas,
facebook,
inseguridad,
redes sociales
miércoles
Nueva herramienta forense: SIFT Worstation 2.0 de SANS
SIFT Workstation 2.0 fue desarrollado por Rob Lee y distribuido como parte del plan de estudios de Computación Forense del SANS Institute.
El SIFT Workstation de SANS es un appliance VMware que está pre-configurado con todas las herramientas necesarias para realizar una investigación forense digital detallada.
Esta nueva versión fue rehecha completamente sobre Ubuntu con muchas herramientas adicionales y capacidades que pueden igualar a cualquier suite moderna forense.
Reseña de SIFT Workstation 2.0:
Sistemas de archivos que soporta :
(Para la descarga de SIFT Workstation 2.0 es necesario tener una cuenta del portal de SANS.)
Fuente: Segu-Info
El SIFT Workstation de SANS es un appliance VMware que está pre-configurado con todas las herramientas necesarias para realizar una investigación forense digital detallada.
Esta nueva versión fue rehecha completamente sobre Ubuntu con muchas herramientas adicionales y capacidades que pueden igualar a cualquier suite moderna forense.
- VMware Appliance
- Listo para tareas forenses
- Compatibilidad cruzada entre Linux y Windows
- Herramientas forenses pre-configuradas
- Una laboratorio portátil en su estación de trabajo que puede usar para sus investigaciones
- Opción de instalación autónoma via (.iso) o uso mediante VMware Player/Workstation
Sistemas de archivos que soporta :
- Windows (MSDOS, FAT, VFAT, NTFS)
- MAC (HFS)
- Solaris (UFS)
- Linux (EXT2/3)
- The Sleuth Kit (File system Analysis Tools)
- log2timeline (Timeline Generation Tool)
- ssdeep & md5deep (Hashing Tools)
- Foremost/Scalpel (File Carving)
- WireShark (Network Forensics)
- Vinetto (thumbs.db examination)
- Pasco (IE Web History examination)
- Rifiuti (Recycle Bin examination)
- Volatility Framework (Memory Analysis)
- DFLabs PTK (GUI Front-End for Sleuthkit)
- Autopsy (GUI Front-End for Sleuthkit)
- PyFLAG (GUI Log/Disk Examination)
(Para la descarga de SIFT Workstation 2.0 es necesario tener una cuenta del portal de SANS.)
Fuente: Segu-Info
IA, UTPL, Rommel, Robotica
herramienta forense,
sans
Twitter modificará los tweets de sus usuarios como ´medida de seguridad´
La compañía cambiará los enlaces que se envían como mensajes directos para protegerse del spam y los renombrará con el estándar twt.tl.
Los crecientes ataques de hackers a Twitter y el aumento del número de spam y malware en la plataforma de microblogging han impulsado a la compañía a tomar medidas para proteger a sus usuarios.
Así, la firma acaba de anunciar que, como medida de seguridad, modificará los tweets de sus clientes. En concreto, los cambios se harán extensibles a los links adjuntados en los mensajes directos que se envían a otros usuarios, que desde ahora pasarán a codificarse bajo el shortener nativo twt.tl, según señalan en su blog oficial.
En realidad se trata de una forma de estandarizar estos microcorreos y `reenvasarlos´para que se puedan identificar como `limpios´ por los propios adeptos a la red social y por los responsables de seguridad de la misma. Sin embargo, existen algunas voces critican que Twitter meta mano en las actualizaciones y las cambie a placer, algo que de seguir sucediéndose en un futuro podría perjudicar a otros acortadores como bit.ly.
Twitter ha probado esta característica durante los últimos días, aunque su implantación se irá haciendo de forma paulatina.
Los crecientes ataques de hackers a Twitter y el aumento del número de spam y malware en la plataforma de microblogging han impulsado a la compañía a tomar medidas para proteger a sus usuarios.
Así, la firma acaba de anunciar que, como medida de seguridad, modificará los tweets de sus clientes. En concreto, los cambios se harán extensibles a los links adjuntados en los mensajes directos que se envían a otros usuarios, que desde ahora pasarán a codificarse bajo el shortener nativo twt.tl, según señalan en su blog oficial.
En realidad se trata de una forma de estandarizar estos microcorreos y `reenvasarlos´para que se puedan identificar como `limpios´ por los propios adeptos a la red social y por los responsables de seguridad de la misma. Sin embargo, existen algunas voces critican que Twitter meta mano en las actualizaciones y las cambie a placer, algo que de seguir sucediéndose en un futuro podría perjudicar a otros acortadores como bit.ly.
Twitter ha probado esta característica durante los últimos días, aunque su implantación se irá haciendo de forma paulatina.
Fuente: ITexpresso
martes
Nueva técnica de ataque informático afecta actualizaciones de Adobe, Java y Windows
Para los piratas informáticos nada es imposible. Es por eso que la última técnica de hackeo de estos individuos se basa en un software maligno que re-escribe los programas de actualización de aplicaciones muy conocidas ¿Las víctimas en esta oportunidad? Nada menos que Adobe, Windows y Java, entre otras.
Java es un aplicación afectada
Pese a que los usuarios están advertidos sobre el Phishing que últimamente han empleado los piratas web para sacar información valiosa (como claves de tarjetas de crédito y otros), éstos han ideado nuevas formas de controlar los computadores segun contaron en The Register.
Lo último en estas técnicas es un malware disfrazado de actualizaciones, lo que representa un grave peligro para los cibernáutas quienes confían en las que realizan de forma automática los desarrolladores.
Este nuevo desafío para la seguridad de las empresas, según afirman desde Bkis Security, afecta a las actualizaciones de grandes empresas como Adobe, DeepFreeze, Java, Windows, etc. Por este motivo, los usuarios deben tener cuidado a la hora de actualizar sus servicios y descargarlos desde las páginas web originales.
Frente a este problema, el director y experto de Bkis Security, Nguyen Minh Duc, aseguró que “de análisis que hemos realizado, encontramos que este malware está escrito en Visual Basics (un lenguaje de programación de Microsoft), y emula programas populares. Sumado a esto, cuando es ejecuta, los malwares activan los servicios DHCP client, DNS client, Network Share y abren puerto para recibir comandos de los hackers
IA, UTPL, Rommel, Robotica
adobe,
java,
nueva tecnica
miércoles
¿Qué es STRIDE?
Contar además con un completo análisis de las amenazas que pueden darse una vez que el producto esté funcionando sirve para diseñar una aplicación que esté preparada para "defenderse o resistir". Esto es el nuevo matiz que hay que aprender. Hacer una aplicación utilizando "programación defensiva", es decir, pensar en los "casos de uso", pero también en los "casos de abuso".
La herramienta SDL Threat Modeling Tool proporciona las siguientes características:
* Integración: Un sistema de seguimiento de los problemas detectados durante el análisis.
* Automatización: orientación e información en la elaboración de un modelo de seguridad para la aplicación en desarrollo.
* Análisis STRIDE por elemento del sistema: guía de análisis de amenazas y mitigación de los vectores de ataque STRIDE.
* Informes: Actividades sobre el diseño de la seguridad y ensayos en la fase de análisis y verificación.
STRIDE es un acrónimo que resume 6 categorías de amenazas: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. Dado que cada categoría tiene un conjunto específico de medidas de seguridad que las puede evitar, una vez que se analizan las amenazas y las clasificamos, ya podemos saber que será necesario para mitigarlas. Voy a explicar cada una de las categorías aglutinadas bajo el acrónimo STRIDE:
* S - Suplantación (Spoofing) Un ataque de suplantación se produce cuando un atacante se hace pasar por alguien que no es.
* T - Manipulación (Tampering)La manipulación ataques se producen cuando el atacante modifica los datos en tránsito.
* R - Repudio (Repudiation)
Negar la autoría de una acción o evento en los sistemas de información.
* I - Revelación de información (Information Disclosure)
Cuando la aplicación revela información sensible de forma no controlada debido a un error en la programación o un fallo en la configuración del servicio o aplicación.
* D - Denegación de servicio (Denial of Service)
Introducción de información maliciosa que logre la saturación o el bloqueo de la aplicación y de los servicios que esta proporciona generando como consecuencia la caída de la aplicación o el sistema informático.
* E Elevación de privilegios (Elevation of Privilege) Una elevación de privilegios se produce cuando un atacante tiene la capacidad para obtener privilegios que normalmente no tendrían. Esto se logra mediante la alteración o ataque a la aplicación obteniendo unos niveles de acceso mayores de los inicialmente otorgados, saltándose así la política de control de acceso predefinida.
Con mucho ingenio, la gente de Microsoft ha sacado un juego llamado Elevation of Privilege (EoP) card game que plantea al programador los diferentes escenarios de amenazas para que piense en ellos y cómo evitarlos.
Las cartas del juego las podéis descargar aquí. El resto de información sobre esta herramienta de análisis de requisitos de seguridad puede ser obtenida en The Microsoft SDL Threat Modeling Tool.
Fuente: Segu - Info
Read full story
La herramienta SDL Threat Modeling Tool proporciona las siguientes características:
* Integración: Un sistema de seguimiento de los problemas detectados durante el análisis.
* Automatización: orientación e información en la elaboración de un modelo de seguridad para la aplicación en desarrollo.
* Análisis STRIDE por elemento del sistema: guía de análisis de amenazas y mitigación de los vectores de ataque STRIDE.
* Informes: Actividades sobre el diseño de la seguridad y ensayos en la fase de análisis y verificación.
STRIDE es un acrónimo que resume 6 categorías de amenazas: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. Dado que cada categoría tiene un conjunto específico de medidas de seguridad que las puede evitar, una vez que se analizan las amenazas y las clasificamos, ya podemos saber que será necesario para mitigarlas. Voy a explicar cada una de las categorías aglutinadas bajo el acrónimo STRIDE:
* S - Suplantación (Spoofing) Un ataque de suplantación se produce cuando un atacante se hace pasar por alguien que no es.
* T - Manipulación (Tampering)La manipulación ataques se producen cuando el atacante modifica los datos en tránsito.
* R - Repudio (Repudiation)
Negar la autoría de una acción o evento en los sistemas de información.
* I - Revelación de información (Information Disclosure)
Cuando la aplicación revela información sensible de forma no controlada debido a un error en la programación o un fallo en la configuración del servicio o aplicación.
* D - Denegación de servicio (Denial of Service)
Introducción de información maliciosa que logre la saturación o el bloqueo de la aplicación y de los servicios que esta proporciona generando como consecuencia la caída de la aplicación o el sistema informático.
* E Elevación de privilegios (Elevation of Privilege) Una elevación de privilegios se produce cuando un atacante tiene la capacidad para obtener privilegios que normalmente no tendrían. Esto se logra mediante la alteración o ataque a la aplicación obteniendo unos niveles de acceso mayores de los inicialmente otorgados, saltándose así la política de control de acceso predefinida.
Con mucho ingenio, la gente de Microsoft ha sacado un juego llamado Elevation of Privilege (EoP) card game que plantea al programador los diferentes escenarios de amenazas para que piense en ellos y cómo evitarlos.
Las cartas del juego las podéis descargar aquí. El resto de información sobre esta herramienta de análisis de requisitos de seguridad puede ser obtenida en The Microsoft SDL Threat Modeling Tool.
Fuente: Segu - Info
Zero Day recompensa a los investigadores de seguridad informática
Zero Day Initiative, es un programa que investiga las vulnerabilidades de los sistemas informáticos, ya sean Sistemas operativos, dispositivos como laptops, smarthphone, navegadores y software en general. Este es un programa fundado por TippingPoint, para recompensar a los investigadores de seguridad por divulgar vulnerabilidades responsablemente.
Zero Day que inicia sus actividades en el 2005 tiene como objetivos: Aprovechar metodologías y experiencias de los expertos, alentar a informes responsables y romper con la mala reputación de los Hackers, y proteger los sistemas de información contra intrusiones.
¿Como funciona?
La idea es proporcionar información exclusiva a cerca de vulnerabilidades nuevas o no corregidas, luego se valida la información para supervisar aspectos económicos y éticos. El pago a los colaboradores depende del tipo de vulnerabilidad y puede ir creciendo si lo descubierto es mas crítico de lo esperado. Aquí les dejo el proceso detallado:
1. Un investigador descubre una vulnerabilidad.
2. El investigador inicia sesión en el portal seguro de ZDI y envía la vulnerabilidad para su verificación y valuación.
3. Se genera una ID del caso, que permite al investigador identificar la vulnerabilidad de forma exclusiva y rastrearla a lo largo del portal seguro de ZDI.
4. TippingPoint verifica la vulnerabilidad y decide si desea hacer una oferta.
5. TippingPoint hace una oferta para la vulnerabilidad. La oferta se envía al investigador por correo electrónico.
6. El investigador acepta la oferta, asignando exclusividad de la información a TippingPoint.
7. Se le paga al investigador mediante un cheque, una transferencia electrónica o Western Union. TippingPoint notifica al proveedor del producto afectado y los filtros de protección de IPS se distribuyen a los clientes de TippingPoint.
8. Después TippingPoint comparte el aviso anticipado de los detalles de la vulnerabilidad a los otros proveedores de seguridad antes de la divulgación pública.
9. TippingPoint y el proveedor del producto afectado coordinan la divulgación pública mediante una recomendación de seguridad una vez que la corrección está lista. Se le otorga al investigador todo el crédito por el descubrimiento de la vulnerabilidad o éste puede elegir permanecer anónimo ante el público.
Muy interesante esta propuesta, la persona experta en seguridad que nos informó sobre esta forma de monetizar las habilidades de los hackers, nos indicó que es el sistema que mejor paga y mas serio. Además que tu trabajo será conocido y nadie se llevará tus créditos.
Si estas interesado accede a Zero Day Initiative, también encontraras preguntas frecuentes para despejar las dudas.
Fuente: Segu - Info
Read full story
Zero Day que inicia sus actividades en el 2005 tiene como objetivos: Aprovechar metodologías y experiencias de los expertos, alentar a informes responsables y romper con la mala reputación de los Hackers, y proteger los sistemas de información contra intrusiones.
¿Como funciona?
La idea es proporcionar información exclusiva a cerca de vulnerabilidades nuevas o no corregidas, luego se valida la información para supervisar aspectos económicos y éticos. El pago a los colaboradores depende del tipo de vulnerabilidad y puede ir creciendo si lo descubierto es mas crítico de lo esperado. Aquí les dejo el proceso detallado:
1. Un investigador descubre una vulnerabilidad.
2. El investigador inicia sesión en el portal seguro de ZDI y envía la vulnerabilidad para su verificación y valuación.
3. Se genera una ID del caso, que permite al investigador identificar la vulnerabilidad de forma exclusiva y rastrearla a lo largo del portal seguro de ZDI.
4. TippingPoint verifica la vulnerabilidad y decide si desea hacer una oferta.
5. TippingPoint hace una oferta para la vulnerabilidad. La oferta se envía al investigador por correo electrónico.
6. El investigador acepta la oferta, asignando exclusividad de la información a TippingPoint.
7. Se le paga al investigador mediante un cheque, una transferencia electrónica o Western Union. TippingPoint notifica al proveedor del producto afectado y los filtros de protección de IPS se distribuyen a los clientes de TippingPoint.
8. Después TippingPoint comparte el aviso anticipado de los detalles de la vulnerabilidad a los otros proveedores de seguridad antes de la divulgación pública.
9. TippingPoint y el proveedor del producto afectado coordinan la divulgación pública mediante una recomendación de seguridad una vez que la corrección está lista. Se le otorga al investigador todo el crédito por el descubrimiento de la vulnerabilidad o éste puede elegir permanecer anónimo ante el público.
Muy interesante esta propuesta, la persona experta en seguridad que nos informó sobre esta forma de monetizar las habilidades de los hackers, nos indicó que es el sistema que mejor paga y mas serio. Además que tu trabajo será conocido y nadie se llevará tus créditos.
Si estas interesado accede a Zero Day Initiative, también encontraras preguntas frecuentes para despejar las dudas.
Fuente: Segu - Info
IA, UTPL, Rommel, Robotica
recompenza,
seguridad
Súper hacker revelará 20 nuevos agujeros de MacOS
El conocido experto en seguridad informática Charlie Miller ha detectado 20 nuevas vulnerabilidades en el sistema operativo de Apple y se propone revelarlas la próxima semana.
Charlie Miller tiene un estatus legendario en círculos de hackers. Entre sus logros se cuenta haber hackeado MacOS X en cuatro oportunidades y haber vulnerado además el sistema iPhone OS. Según Forbes, Miller se propone revelar 20 agujeros de seguridad de Mac OS X durante la conferencia de seguridad informática CanSecWest, a iniciarse el 24 de marzo.
Miller dice haber detectado 20 procedimientos que pueden ser aprovechados por ciberdelincuentes para intervenir un sistema Macintosh mediante un archivo PDF infectado visualizado por Safari en un sitio web maligno.
El experto recalca ante Forbes que su intención no es ufanarse de sus habilidades, sino demostrar lo fácil que es encontrar bugs (errores de programación) vulnerables en software de uso corriente. Miller describe un procedimiento denominado "dumb fuzzing" mediante el cual compara cuatro aplicaciones de software: Adobe Reader, Apple Preview, Microsoft PowerPoint y Open Office de Oracle, ejecutando un script propio que sistemáticamente induce errores de funcionamiento en el software, detectando a la vez las posibilidades de intervenir la aplicación precisamente mediante los errores generados.
Luego de haber ejecutado el programa de "dumb fuzzing" durante tres semanas en cada aplicación, Miller concluyó que Apple Preview generó 20 bugs explotables, contra 3 y 4 en Adobe Reader, PowerPoint y OpenOffice.
A juicio de Miller, sus conclusiones demuestran que Apple no se toma en serio la seguridad y que no adopta medidas elementales de detección de errores de seguridad. Miller dice sentirse "conmocionado" de que Apple no haga pruebas similares, agregando que la única habilidad suya ha sido "la paciencia".
Apple se negó a comentar ante Forbes los hallazgos ni comentarios de Miller.
Fuente: Diario Ti
Read full story
Charlie Miller tiene un estatus legendario en círculos de hackers. Entre sus logros se cuenta haber hackeado MacOS X en cuatro oportunidades y haber vulnerado además el sistema iPhone OS. Según Forbes, Miller se propone revelar 20 agujeros de seguridad de Mac OS X durante la conferencia de seguridad informática CanSecWest, a iniciarse el 24 de marzo.
Miller dice haber detectado 20 procedimientos que pueden ser aprovechados por ciberdelincuentes para intervenir un sistema Macintosh mediante un archivo PDF infectado visualizado por Safari en un sitio web maligno.
El experto recalca ante Forbes que su intención no es ufanarse de sus habilidades, sino demostrar lo fácil que es encontrar bugs (errores de programación) vulnerables en software de uso corriente. Miller describe un procedimiento denominado "dumb fuzzing" mediante el cual compara cuatro aplicaciones de software: Adobe Reader, Apple Preview, Microsoft PowerPoint y Open Office de Oracle, ejecutando un script propio que sistemáticamente induce errores de funcionamiento en el software, detectando a la vez las posibilidades de intervenir la aplicación precisamente mediante los errores generados.
Luego de haber ejecutado el programa de "dumb fuzzing" durante tres semanas en cada aplicación, Miller concluyó que Apple Preview generó 20 bugs explotables, contra 3 y 4 en Adobe Reader, PowerPoint y OpenOffice.
A juicio de Miller, sus conclusiones demuestran que Apple no se toma en serio la seguridad y que no adopta medidas elementales de detección de errores de seguridad. Miller dice sentirse "conmocionado" de que Apple no haga pruebas similares, agregando que la única habilidad suya ha sido "la paciencia".
Apple se negó a comentar ante Forbes los hallazgos ni comentarios de Miller.
Fuente: Diario Ti
viernes
Cómo los organismos de seguridad se infiltran en las redes sociales
Un documento interno del Departamento de Justicia de los EEUU menciona la actividad que realizan agencias como el FBI en sitios como facebook, MySpace, LinkedIn y twitter
Todos los organismos de seguridad estadounidenses se han sumergido en los servicios de redes sociales de internet, registrándose con nombres y datos falsos para comunicarse con gente sospechosa y buscar información de actividades ilegales, según un documento interno del Departamento de Justicia que pone sobre el tapete una cantidad de posibles conflictos entre el derecho a la privacidad y la lucha contra la delincuencia.
El documento, obtenido por la Electroning Frontier Foundation de San Francisco invocando la ley de libertad de información, deja en claro que los agentes de las fuerzas de seguridad se conectan con las redes sociales e intercambian mensajes con sospechosos, con amigos o parientes de estos, y revisan información privada, incluidos comentarios de la gente, fotos y videos.
La incursión en la red tiene varios usos: les permite, por ejemplo, ver si lo que un sospechoso dice allí coincide con lo que le dijo a la policía.
Los mensajes de twitter son particularmente delatores, ya que tienden a revelar el lugar donde se encontraba una persona a determinada hora.
Fotos de una jornada de compras excesivas pueden alimentar las sospechas de que una persona estuvo involucrada en un robo.
Los organismos de seguridad nacionales, estatales y municipales coordinan sus incursiones en la red con el servicio secreto, el FBI y otras dependencias del gobierno para evitar conflictos.
"Uno puede armar tremendo lío en una investigación si dos agencias investigan a la misma persona y comienzan a hacer cosas que resultan contraproducentes", comentó el detective Frank Dannahey, de la policía de Rocky Hill, Connecticut, especialista en operaciones encubiertas.
Las redes sociales contienen una cantidad de información personal, incluidas fotos, videos y audio, que pueden suministrar datos importantes en una investigación de un delito.
El documento del Departamento de Justicia dice que los portales como facebook, twitter, MySpace, LinkedIn y otros similares son de gran valor para las investigaciones, pero "no habla de ningún mecanismo que garantice que el gobierno los usa en forma responsable", sostuvo Marcia Hoffman, abogada de la Electronic Frontier Foundation, una organización que defiende las libertades civiles.
Funcionarios del Departamento de Justicia afirman que las incursiones en internet están regidas por ciertas normas, pero no dicen cuáles son esas normas.
Antecedentes
No hace mucho, una mujer de Missouri fue enjuiciada por usar una cuenta en MySpace con datos falsos para hostigar a otra persona. Eso es básicamente lo mismo que están haciendo las autoridades ahora, aunque con diferentes motivos.
La mujer, Lori Drew, se hizo pasar por un niño adolescente que coqueteaba por internet con una vecina de 13 años. La niña se ahorcó en octubre del 2006 luego de recibir un mensaje en el que el amigo virtual le decía que el mundo se vería mejor sin ella.
Un jurado la condenó por varias violaciones de las reglas de MySpace sobre la creación de cuentas con datos falsos, pero un juez anuló los veredictos el año pasado por considerar que las leyes son demasiado vagas.
"¿Si un agente viola las normas de un portal, incurre en una actividad ilegal?", plantea el documento del Departamento de Justicia.
Casi todos los portales estipulan que el usuario no puede difundir datos ni información falsa.
Un ex fiscal especializado en temas de internet, Marc Zwillinger, considera que los investigadores tienen derecho a actuar en forma encubierta en internet, del mismo modo que lo hacen en el mundo real, incluso si violan las normas de los portales. Pero que hay un límite para todo.
"Tiene que haber una buena supervisión para que los agentes no se pasen de la raya", manifestó Zwillinger.
A veces ni hace falta una operación encubierta para encontrar a alguien que ha cometido un delito, pues las personas cometen torpezas increíbles, como cuando un sospechoso de fraude que era buscado por las autoridades puso fotos en facebook que indicaban que estaba dándose la gran vida en México.
La policía determinó el sitio exacto donde se encontraba y pidió su detención. El individuo, Maxi Sopo, fue arrestado y está a la espera de su deportación.
Fuente: InfoBae
Read full story
Todos los organismos de seguridad estadounidenses se han sumergido en los servicios de redes sociales de internet, registrándose con nombres y datos falsos para comunicarse con gente sospechosa y buscar información de actividades ilegales, según un documento interno del Departamento de Justicia que pone sobre el tapete una cantidad de posibles conflictos entre el derecho a la privacidad y la lucha contra la delincuencia.
El documento, obtenido por la Electroning Frontier Foundation de San Francisco invocando la ley de libertad de información, deja en claro que los agentes de las fuerzas de seguridad se conectan con las redes sociales e intercambian mensajes con sospechosos, con amigos o parientes de estos, y revisan información privada, incluidos comentarios de la gente, fotos y videos.
La incursión en la red tiene varios usos: les permite, por ejemplo, ver si lo que un sospechoso dice allí coincide con lo que le dijo a la policía.
Los mensajes de twitter son particularmente delatores, ya que tienden a revelar el lugar donde se encontraba una persona a determinada hora.
Fotos de una jornada de compras excesivas pueden alimentar las sospechas de que una persona estuvo involucrada en un robo.
Los organismos de seguridad nacionales, estatales y municipales coordinan sus incursiones en la red con el servicio secreto, el FBI y otras dependencias del gobierno para evitar conflictos.
"Uno puede armar tremendo lío en una investigación si dos agencias investigan a la misma persona y comienzan a hacer cosas que resultan contraproducentes", comentó el detective Frank Dannahey, de la policía de Rocky Hill, Connecticut, especialista en operaciones encubiertas.
Las redes sociales contienen una cantidad de información personal, incluidas fotos, videos y audio, que pueden suministrar datos importantes en una investigación de un delito.
El documento del Departamento de Justicia dice que los portales como facebook, twitter, MySpace, LinkedIn y otros similares son de gran valor para las investigaciones, pero "no habla de ningún mecanismo que garantice que el gobierno los usa en forma responsable", sostuvo Marcia Hoffman, abogada de la Electronic Frontier Foundation, una organización que defiende las libertades civiles.
Funcionarios del Departamento de Justicia afirman que las incursiones en internet están regidas por ciertas normas, pero no dicen cuáles son esas normas.
Antecedentes
No hace mucho, una mujer de Missouri fue enjuiciada por usar una cuenta en MySpace con datos falsos para hostigar a otra persona. Eso es básicamente lo mismo que están haciendo las autoridades ahora, aunque con diferentes motivos.
La mujer, Lori Drew, se hizo pasar por un niño adolescente que coqueteaba por internet con una vecina de 13 años. La niña se ahorcó en octubre del 2006 luego de recibir un mensaje en el que el amigo virtual le decía que el mundo se vería mejor sin ella.
Un jurado la condenó por varias violaciones de las reglas de MySpace sobre la creación de cuentas con datos falsos, pero un juez anuló los veredictos el año pasado por considerar que las leyes son demasiado vagas.
"¿Si un agente viola las normas de un portal, incurre en una actividad ilegal?", plantea el documento del Departamento de Justicia.
Casi todos los portales estipulan que el usuario no puede difundir datos ni información falsa.
Un ex fiscal especializado en temas de internet, Marc Zwillinger, considera que los investigadores tienen derecho a actuar en forma encubierta en internet, del mismo modo que lo hacen en el mundo real, incluso si violan las normas de los portales. Pero que hay un límite para todo.
"Tiene que haber una buena supervisión para que los agentes no se pasen de la raya", manifestó Zwillinger.
A veces ni hace falta una operación encubierta para encontrar a alguien que ha cometido un delito, pues las personas cometen torpezas increíbles, como cuando un sospechoso de fraude que era buscado por las autoridades puso fotos en facebook que indicaban que estaba dándose la gran vida en México.
La policía determinó el sitio exacto donde se encontraba y pidió su detención. El individuo, Maxi Sopo, fue arrestado y está a la espera de su deportación.
Fuente: InfoBae
IA, UTPL, Rommel, Robotica
infiltran,
redes sociales,
seguridad
lunes
Pwn2Own 2010: entrevista con Charlie Miller
Pwn2Own es una competencia famosa que se desarrolla en la CansecWest Conference. Cada año hay una gran recompensa para los investigadores que encuentren fallas explotables en los navegadores populares y sistemas operativos (SO) y también en dispositivos móviles como el iPhone. Los últimos dos años el campeón de la competencia Pwn2Own fue Charlie Miller (0xcharlie en Twitter), uno de los cazadores de fallas y experto en seguridad más famoso del mundo.
Pwn2Own 2010 se llevará a cabo en el curso de tres días seguidos comenzando el 24 de marzo, así que, decidimos entrevistar a Charlie Miller (versión en italiano aquí) y estas son sus respuestas:
Ganaste, por dos años, la competencia Pwn2Own hackeando el Safari en el Mac OS X. ¿Será Safari y Mac también tus blancos para la competencia Pwn2Own 2010?
A esta altura todo es un blanco para mí. Me encantaría hackear uno de esos dispositivos móviles, pero probablemente terminaré haciéndolo con Safari nuevamente. Fui el primero en hackear un iPhone y un Android en el pasado, de modo que me siento a gusto con esas dos plataformas, pero es más duro explotarlas. Este año solo una persona puede ganar por objetivo, de modo que mi mayor obstáculo será que nadie me gane de mano.
Windows 7 o Snow Leopard, ¿cual de estos dos SO comerciales será más difícil de hackear y porqué?
Windows 7 es ligeramente más difícil porque tiene ASLR completo (esquema aleatorio de espacio de direccionamiento) y una menor superficie de ataque (por ejemplo, por defecto no tiene Java ni Flash). Windows solía ser más difícil porque tiene ASLR completo y DEP (prevención de ejecución de datos). Pero recientemente, en una charla en Black Hat DC se mostró como sortear esas dos protecciones en un navegador en Windows.
En Pwn2Own 2010 no hay rastros aún de Linux como un blanco posible. ¿Es demasiado difícil encontrar exploits para Linux o un sistema operativo no-comercial no es de interés para los cazadores de exploits?
No, Linux no es más difícil, de hecho probablemente es más sencillo, aunque algo de esto es dependiente del sabor en particular de Linux del que se este hablando. Los organizadores eligieron no usar Linux porque no mucha gente lo usa como sistema de escritorio. Lo otro es que las vulnerabilidades están en los navegadores, y mayormente, los mismo navegadores que funcionan en Linux, funcionan en Windows.
¿Cuál es tu opinión sobre Chrome OS? ¿Es realmente un SO seguro o puede ser un blanco sencillo en el futuro cercano?
No conozco lo suficiente como para comentarlo.
En tu opinión, ¿cuál es la combinación más segura de SO + navegador para usar?
Esa es una buena pregunta. Chrome o IE8 sobre Windows 7 sin Flash installed. Probablemente no hay suficiente diferencia entre ambos navegadores como para preocuparse. El asunto principal es no instalar Flash!
Por el lado móvil de Pwn2Own 2010, los grandes blancos serán iPhone 3GS/iPhone OS y Android/Motorola Droid. ¿Cuál será más fácilmente explotable?
Ambos son muy seguros. Supondría que el iPhone debido a que ha estado por más tiempo y hay mas investigación realizada sobre él. Entonces, no es que necesariamente sea menos seguro, sino que los investigadores comprenden mejor como funciona.
El próximo año, un blanco posible podría ser Windows Phone 7, ¿qué piensas de esta predicción?
Espero que si. Realmente me gusta la competencia pwn2own y pienso que es grandiosos como recompensan a los investigadores y consiguen que las vulnerabilidades en los productos se solucionen y que de otro modo pondrían en riesgo a los usuarios.
El mundo de las consolas de juegos es un gran negocio, las consolas de juegos están en nuestra sala pero aún hay unos pocos exploits y vulnerabilidades descubiertas. ¿Porqué sólo unos pocos investigadores de seguridad conocidos (por ejemplo George Hotz) trabajan en la explotación de consolas?
A pesar que hay un montón de consolas, hay muchas más computadoras, por ejemplo. Además, las consolas de juegos no TIENE que conectarse a Internet. He tenido una Wii por alrededor de un año y nunca fue conectada a Internet. Es difícil atacar remotamente la caja cuando no podes lograr que lleguen paquetes a ella :) También, las computadoras y los teléfonos en menor medida, están diseñados para ser adaptados, para descargarles y usar /prestar contenido desde Internet. Ahí es donde existen las vulnerabilidades y donde son creadas las explotaciones. Las consolas de juegos no lo hacen tanto así que la superficie de ataque es mucho más pequeña. La razón final, es difícil realizar investigación de ellas. No es sencillo obtener un debugger que corra en una xbox, por ejemplo.
Fianlmente pero no menos importante, ¿puedes decir algo sobre tu caja de herramientas? ¿Cuál es el software que usas para descubrir vulnerabilidades?
Busca en el Manual del Hacker de Mac, la mayoría de mis secretos están allí. Pero básicamente, uso una combinación de técnicas estáticas y dinámicas. Uso el IDA Pro para ingeniería reversa y un framework privado propio que escribí llamado Tiamat, y muchísima paciencia y trabajo duro. No hay nada que haga que otras 1000 personas en el mundo no puedan hacer si quisieran. Aún es relativamente sencillo descubrir (fallas) y explotar estas plataformas.
Fuente: Segu-Info
Read full story
Pwn2Own 2010 se llevará a cabo en el curso de tres días seguidos comenzando el 24 de marzo, así que, decidimos entrevistar a Charlie Miller (versión en italiano aquí) y estas son sus respuestas:
Ganaste, por dos años, la competencia Pwn2Own hackeando el Safari en el Mac OS X. ¿Será Safari y Mac también tus blancos para la competencia Pwn2Own 2010?
A esta altura todo es un blanco para mí. Me encantaría hackear uno de esos dispositivos móviles, pero probablemente terminaré haciéndolo con Safari nuevamente. Fui el primero en hackear un iPhone y un Android en el pasado, de modo que me siento a gusto con esas dos plataformas, pero es más duro explotarlas. Este año solo una persona puede ganar por objetivo, de modo que mi mayor obstáculo será que nadie me gane de mano.
Windows 7 o Snow Leopard, ¿cual de estos dos SO comerciales será más difícil de hackear y porqué?
Windows 7 es ligeramente más difícil porque tiene ASLR completo (esquema aleatorio de espacio de direccionamiento) y una menor superficie de ataque (por ejemplo, por defecto no tiene Java ni Flash). Windows solía ser más difícil porque tiene ASLR completo y DEP (prevención de ejecución de datos). Pero recientemente, en una charla en Black Hat DC se mostró como sortear esas dos protecciones en un navegador en Windows.
En Pwn2Own 2010 no hay rastros aún de Linux como un blanco posible. ¿Es demasiado difícil encontrar exploits para Linux o un sistema operativo no-comercial no es de interés para los cazadores de exploits?
No, Linux no es más difícil, de hecho probablemente es más sencillo, aunque algo de esto es dependiente del sabor en particular de Linux del que se este hablando. Los organizadores eligieron no usar Linux porque no mucha gente lo usa como sistema de escritorio. Lo otro es que las vulnerabilidades están en los navegadores, y mayormente, los mismo navegadores que funcionan en Linux, funcionan en Windows.
¿Cuál es tu opinión sobre Chrome OS? ¿Es realmente un SO seguro o puede ser un blanco sencillo en el futuro cercano?
No conozco lo suficiente como para comentarlo.
En tu opinión, ¿cuál es la combinación más segura de SO + navegador para usar?
Esa es una buena pregunta. Chrome o IE8 sobre Windows 7 sin Flash installed. Probablemente no hay suficiente diferencia entre ambos navegadores como para preocuparse. El asunto principal es no instalar Flash!
Por el lado móvil de Pwn2Own 2010, los grandes blancos serán iPhone 3GS/iPhone OS y Android/Motorola Droid. ¿Cuál será más fácilmente explotable?
Ambos son muy seguros. Supondría que el iPhone debido a que ha estado por más tiempo y hay mas investigación realizada sobre él. Entonces, no es que necesariamente sea menos seguro, sino que los investigadores comprenden mejor como funciona.
El próximo año, un blanco posible podría ser Windows Phone 7, ¿qué piensas de esta predicción?
Espero que si. Realmente me gusta la competencia pwn2own y pienso que es grandiosos como recompensan a los investigadores y consiguen que las vulnerabilidades en los productos se solucionen y que de otro modo pondrían en riesgo a los usuarios.
El mundo de las consolas de juegos es un gran negocio, las consolas de juegos están en nuestra sala pero aún hay unos pocos exploits y vulnerabilidades descubiertas. ¿Porqué sólo unos pocos investigadores de seguridad conocidos (por ejemplo George Hotz) trabajan en la explotación de consolas?
A pesar que hay un montón de consolas, hay muchas más computadoras, por ejemplo. Además, las consolas de juegos no TIENE que conectarse a Internet. He tenido una Wii por alrededor de un año y nunca fue conectada a Internet. Es difícil atacar remotamente la caja cuando no podes lograr que lleguen paquetes a ella :) También, las computadoras y los teléfonos en menor medida, están diseñados para ser adaptados, para descargarles y usar /prestar contenido desde Internet. Ahí es donde existen las vulnerabilidades y donde son creadas las explotaciones. Las consolas de juegos no lo hacen tanto así que la superficie de ataque es mucho más pequeña. La razón final, es difícil realizar investigación de ellas. No es sencillo obtener un debugger que corra en una xbox, por ejemplo.
Fianlmente pero no menos importante, ¿puedes decir algo sobre tu caja de herramientas? ¿Cuál es el software que usas para descubrir vulnerabilidades?
Busca en el Manual del Hacker de Mac, la mayoría de mis secretos están allí. Pero básicamente, uso una combinación de técnicas estáticas y dinámicas. Uso el IDA Pro para ingeniería reversa y un framework privado propio que escribí llamado Tiamat, y muchísima paciencia y trabajo duro. No hay nada que haga que otras 1000 personas en el mundo no puedan hacer si quisieran. Aún es relativamente sencillo descubrir (fallas) y explotar estas plataformas.
Fuente: Segu-Info
IA, UTPL, Rommel, Robotica
charlie Miller,
pwn2own
Usuarios de Twitter nuevamente bajo ataque
El asalto contra la red social ha sido diseñado con el objetivo de robar contraseñas y utilizar cuentas correo secuestradas para difundir ataques.
Sophos advierte acerca de un nuevo ataque de phishing a través de la red social Twitter. Se trata, según la compañía, de una agresión perpetrada con el objetivo de robar datos de acceso y secuestrar cuentas de correo.
La forma en la que se produce el ataque es la siguiente. Las víctimas reciben un mensaje directo “This you????", seguido por un link a una falsa página de acceso a Twitter. La estratagema ha causado tal impresión en la red de micro-blogging, que la frase en cuestión ya se considera actualmente un “hot topic" (tema candente) en el citado sitio web.
“Los usuarios de Twitter han sido golpeados con ataques de phishing en los últimos días, aprovechando la innata curiosidad de las personas", afirma Graham Cluley, Consultor Senior de Tecnología de Sophos. “Ante esta realidad es importante recordar que al pulsar sobre los enlaces e introducir los datos personales se les está poniendo en bandeja a los piratas informáticos información clave. Tanto es así, que estos amigos de lo ajeno podrían, incluso, utilizar los nombres de usuario, la dirección de correo electrónico y la contraseña, no sólo para difundir nuevos ataques a través de Twitter, sino también, para cometer abusos en otros muchos sitios webs. Por ello, cualquiera que pueda sentirse afectado debería cambiar su contraseña de inmediato".
Fuente: Diario Ti
Read full story
Sophos advierte acerca de un nuevo ataque de phishing a través de la red social Twitter. Se trata, según la compañía, de una agresión perpetrada con el objetivo de robar datos de acceso y secuestrar cuentas de correo.
La forma en la que se produce el ataque es la siguiente. Las víctimas reciben un mensaje directo “This you????", seguido por un link a una falsa página de acceso a Twitter. La estratagema ha causado tal impresión en la red de micro-blogging, que la frase en cuestión ya se considera actualmente un “hot topic" (tema candente) en el citado sitio web.
“Los usuarios de Twitter han sido golpeados con ataques de phishing en los últimos días, aprovechando la innata curiosidad de las personas", afirma Graham Cluley, Consultor Senior de Tecnología de Sophos. “Ante esta realidad es importante recordar que al pulsar sobre los enlaces e introducir los datos personales se les está poniendo en bandeja a los piratas informáticos información clave. Tanto es así, que estos amigos de lo ajeno podrían, incluso, utilizar los nombres de usuario, la dirección de correo electrónico y la contraseña, no sólo para difundir nuevos ataques a través de Twitter, sino también, para cometer abusos en otros muchos sitios webs. Por ello, cualquiera que pueda sentirse afectado debería cambiar su contraseña de inmediato".
Fuente: Diario Ti
viernes
Curso De CapacitacióN Web 2
Check out this SlideShare Presentation:
Read full story
Curso De CapacitacióN Web 2
View more presentations from Rommel .
lunes
Premio ESET 2010 al mejor trabajo de investigación en Seguridad Antivirus
ESET, compañía líder en detección proactiva de amenazas, anuncia que, desde hoy y hasta el 09 de mayo inclusive, se encuentra abierta la inscripción a su concurso para premiar y distinguir la labor de estudiantes universitarios y terciarios de carreras de tecnología informática o afines.
El Premio ESET 2010 al mejor trabajo de investigación en Seguridad Antivirus es una iniciativa de ESET Latinoamérica que reconoce la labor académica de estudiantes de toda la región. Para poder participar, los interesados deberán presentar un trabajo de investigación enfocado en algunas de las diversas temáticas de la seguridad antimalware.
“Este es el quinto año consecutivo que llevamos adelante esta iniciativa que permite, por un lado, estimular la formación en investigación de los que serán los próximos profesionales en seguridad informática y, por el otro, premiar el esfuerzo y la innovación en el desarrollo de soluciones e iniciativas para las cada vez más complejas amenazas informáticas””, declaró Ignacio Sbampato, Vicepresidente de ESET para Latinoamérica.
Desde el 2006, ESET viene premiando a estudiantes con un viaje a los principales congresos y eventos en seguridad antimalware de orden internacional. Este año no será la excepción ya que el ganador del concurso se hará acreedor de un viaje con todos los gastos pagos para asistir a la Conferencia Virus Bulletin 2010 a realizarse en la ciudad de Vancouver, Canadá, entre el 29 de septiembre y el 1º de octubre de 2010.
La Conferencia Virus Bulletin es el principal evento en la agenda internacional de conferencias antimalware. Organizada por el prestigioso laboratorio y publicación Virus Bulletin, su programa incluye charlas técnicas y corporativas para cubrir una amplia variedad de temas referidos a la seguridad antimalware y otros ataques informáticos.
El segundo premio corresponde a un curso privado de 16 horas en materia de seguridad antimalware, dictado por personal del Laboratorio de ESET Latinoamérica y a desarrollarse en sus oficinas en Buenos Aires, Argentina, entre el 25 y el 28 de octubre de 2010 con todos los gastos de estadía y transporte pagos.
El Premio ESET 2010 para el mejor trabajo de investigación en Seguridad Antivirus se suma a la estrategia de educación en seguridad informática que ESET viene realizando en América Latina desde el 2005, que incluye actividades tales como seminarios de Seguridad Antimalware en distintas universidades y casas de estudio de la región, conferencias y talleres prácticos en eventos y congresos de tecnología informática, preparación de material educativo en constante actualización y otras acciones con el fin de contribuir a la capacitación y formación de profesionales en seguridad de la información.
Fuente: ESET
Read full story
El Premio ESET 2010 al mejor trabajo de investigación en Seguridad Antivirus es una iniciativa de ESET Latinoamérica que reconoce la labor académica de estudiantes de toda la región. Para poder participar, los interesados deberán presentar un trabajo de investigación enfocado en algunas de las diversas temáticas de la seguridad antimalware.
“Este es el quinto año consecutivo que llevamos adelante esta iniciativa que permite, por un lado, estimular la formación en investigación de los que serán los próximos profesionales en seguridad informática y, por el otro, premiar el esfuerzo y la innovación en el desarrollo de soluciones e iniciativas para las cada vez más complejas amenazas informáticas””, declaró Ignacio Sbampato, Vicepresidente de ESET para Latinoamérica.
Desde el 2006, ESET viene premiando a estudiantes con un viaje a los principales congresos y eventos en seguridad antimalware de orden internacional. Este año no será la excepción ya que el ganador del concurso se hará acreedor de un viaje con todos los gastos pagos para asistir a la Conferencia Virus Bulletin 2010 a realizarse en la ciudad de Vancouver, Canadá, entre el 29 de septiembre y el 1º de octubre de 2010.
La Conferencia Virus Bulletin es el principal evento en la agenda internacional de conferencias antimalware. Organizada por el prestigioso laboratorio y publicación Virus Bulletin, su programa incluye charlas técnicas y corporativas para cubrir una amplia variedad de temas referidos a la seguridad antimalware y otros ataques informáticos.
El segundo premio corresponde a un curso privado de 16 horas en materia de seguridad antimalware, dictado por personal del Laboratorio de ESET Latinoamérica y a desarrollarse en sus oficinas en Buenos Aires, Argentina, entre el 25 y el 28 de octubre de 2010 con todos los gastos de estadía y transporte pagos.
El Premio ESET 2010 para el mejor trabajo de investigación en Seguridad Antivirus se suma a la estrategia de educación en seguridad informática que ESET viene realizando en América Latina desde el 2005, que incluye actividades tales como seminarios de Seguridad Antimalware en distintas universidades y casas de estudio de la región, conferencias y talleres prácticos en eventos y congresos de tecnología informática, preparación de material educativo en constante actualización y otras acciones con el fin de contribuir a la capacitación y formación de profesionales en seguridad de la información.
Fuente: ESET
IA, UTPL, Rommel, Robotica
eset 2010
Destacado hacker asegura que Windows 7 es más seguro que Snow Leopard
Según el fundador de Pwn2Own, el nuevo sistema operativo de Microsoft supera con creces a su equivalente para Macintosh en cuanto a seguridad informática.
Diario Ti: Aaron Portnoy es un personaje respetado en círculos internacionales de hackers. Entre otras cosas, Portnoy es el creador de la competencia de hackers Pwn2Own, que cada año es seguida atentamente por la industria informática.
En una entrevista con ComputerWorld, Portnoy afirma que el nuevo sistema operativo de Microsoft, Windows 7, es más seguro que Snow Leopard, de Apple.
Asimismo, considera que el navegador Safari de Apple, es más inseguro que Internet Explorer. En la versión 2009 del certamen, no tomó más de 10 segundos antes que el experto en seguridad informática Charlie Miller lograra vulnerar un sistema Macintosh vía Safari. En 2008, el mismo Miller sólo necesitó dos minutos para vulnerar un Macbook Airy así conservar el aparato intervenido y cobrar un premio de 10.000 dólares.
"Safari es fácil de vulnerar"
Portnoy fundamenta sus dichos mediante un comentario en Twitter , donde indica que Windows 7 tiene, entre otras cosas, un auténtico ASLR (address space layout randomization), característica que estaría ausente en MacOS. Más información sobre ASLR en este sitio.
El tema causó discrepancias, ya que el propio Charlie Miller considera que ambos sistemas operativos tienen aproximadamente el mismo nivel de seguridad.
Con todo, Miller coincide en que Safari constituye un mayor riesgo de seguridad que en los navegador es más dados a Windows.
El certamen Pwn2Own se inicia el 24 de marzo y se concentrará en los smartphones.
Fuentes: Diario Ti
Read full story
Diario Ti: Aaron Portnoy es un personaje respetado en círculos internacionales de hackers. Entre otras cosas, Portnoy es el creador de la competencia de hackers Pwn2Own, que cada año es seguida atentamente por la industria informática.
En una entrevista con ComputerWorld, Portnoy afirma que el nuevo sistema operativo de Microsoft, Windows 7, es más seguro que Snow Leopard, de Apple.
Asimismo, considera que el navegador Safari de Apple, es más inseguro que Internet Explorer. En la versión 2009 del certamen, no tomó más de 10 segundos antes que el experto en seguridad informática Charlie Miller lograra vulnerar un sistema Macintosh vía Safari. En 2008, el mismo Miller sólo necesitó dos minutos para vulnerar un Macbook Airy así conservar el aparato intervenido y cobrar un premio de 10.000 dólares.
"Safari es fácil de vulnerar"
Portnoy fundamenta sus dichos mediante un comentario en Twitter , donde indica que Windows 7 tiene, entre otras cosas, un auténtico ASLR (address space layout randomization), característica que estaría ausente en MacOS. Más información sobre ASLR en este sitio.
El tema causó discrepancias, ya que el propio Charlie Miller considera que ambos sistemas operativos tienen aproximadamente el mismo nivel de seguridad.
Con todo, Miller coincide en que Safari constituye un mayor riesgo de seguridad que en los navegador es más dados a Windows.
El certamen Pwn2Own se inicia el 24 de marzo y se concentrará en los smartphones.
Fuentes: Diario Ti
IA, UTPL, Rommel, Robotica
mas seguro,
superar snow leopard,
Windows 7
sábado
'Hackers' atacan a miles de empresas y agencias gubernamentales en 196 países
Piratas informáticos en Europa y China lograron acceder a las computadoras de casi 2.500 compañías y agencias gubernamentales en los últimos 18 meses en un ataque global coordinado que expuso al robo una gran cantidad de secretos personales y corporativos, según informó una compañía de seguridad informática que descubrió la invasión.
Aún se están determinando los daños de este último ciberataque y se está notificando a las firmas afectadas. Pero los datos compilados por NetWitness, la firma que no cotiza en bolsa que detectó los ataques, muestra que los hackers accedieron a una amplia gama de funciones de 2.411 empresas, desde transacciones de tarjetas de crédito a secretos de propiedad intelectual.
La operación, la más reciente en una serie de ciberataques que han disparado las alarmas en las empresas y los gobiernos, todavía está en marcha y se desconoce hasta qué punto se ha podido contener, dijo NetWitness. Tampoco se conoce con exactitud la totalidad de los datos sustraídos y cómo se usó esta información. Dos de las compañías afectadas, la farmacéutica estadounidense Merk & Co. y la empresa de productos y servicios de salud Cardinal Health Inc., aseguran haber aislado y contenido el problema.
Noticia Completa: The Wall Street Journal
miércoles
Windows 7 supera a Snow Leopard en grado de satisfacción de sus usuarios
En 2009, Microsoft y Apple lanzaron sendas versiones de sus sistemas operativos Windows 7 y Snow Leopard. Según sondeo británico, Windows 7 tuvo mejor desempeño que Snow Leopard al considerar la satisfacción generada entre sus clientes.
La consultora británica YouGov ha elaborado un análisis y gráfico comparativo de satisfacción entre los compradores de los sistemas operativos Mac OS 10.6 y Windows 7 durante los meses siguientes a sus respectivos lanzamientos. El informe se basa en cuestionarios cumplimentados por usuarios de ambos sistemas, a quienes se pidió calificar su grado de satisfacción con el software. La conclusión es que Windows 7 es el sistema que ha generado un mayor grado de satisfacción entre sus usuarios desde su lanzamiento.
El barómetro de satisfacción elaborado por YouGov consiste de una escala de 0 a 100. Después del lanzamiento de Windows 7 en octubre 2009, el grado de satisfacción obtenido por el software de Microsoft alcanzó los 67 puntos porcentuales. Al 31 de diciembre, el barómetro alcanzó el 73%, que sería el nivel más alto registrado por YouGov desde el inicio de comparativas similares en 2007.
Para el lanzamiento de Snow Leopard por parte de Apple, el porcentaje de satisfacción del cliente se situ en el 64% durante los primeros días. En las semanas siguientes decayó el grado de satisfacción de los compradores del producto y nunca alcanzó el nivel de Windows 7 (ver ilustración al final de este artículo).
Las estadísticas en cuestión podrían ser interpretadas de varias formas. En efecto, es un hecho probado que numerosos usuarios de Windows postergaron o descartaron la compra del criticado Windows Vista. Así, Microsoft se esforzó al máximo para presentar un sistema operativo colmado de características que le distinguieran decididamente de Vista. Estas características contribuyeron al grado de satisfacción entre los usuarios del nuevo sistema operativo de Microsoft.
Para el caso de Apple, OS 10.6 no incorpora cambios ni novedades que le distingan con igual énfasis de su predecesor. Esta situación podría haber generado una cierta decepción entre los usuarios. Cabe señalar que Apple se han negado a comentar los resultados a la investigación de YouGov.
Fuente: YouGov
Gráfico comparativo de YouGov
Read full story
La consultora británica YouGov ha elaborado un análisis y gráfico comparativo de satisfacción entre los compradores de los sistemas operativos Mac OS 10.6 y Windows 7 durante los meses siguientes a sus respectivos lanzamientos. El informe se basa en cuestionarios cumplimentados por usuarios de ambos sistemas, a quienes se pidió calificar su grado de satisfacción con el software. La conclusión es que Windows 7 es el sistema que ha generado un mayor grado de satisfacción entre sus usuarios desde su lanzamiento.
El barómetro de satisfacción elaborado por YouGov consiste de una escala de 0 a 100. Después del lanzamiento de Windows 7 en octubre 2009, el grado de satisfacción obtenido por el software de Microsoft alcanzó los 67 puntos porcentuales. Al 31 de diciembre, el barómetro alcanzó el 73%, que sería el nivel más alto registrado por YouGov desde el inicio de comparativas similares en 2007.
Para el lanzamiento de Snow Leopard por parte de Apple, el porcentaje de satisfacción del cliente se situ en el 64% durante los primeros días. En las semanas siguientes decayó el grado de satisfacción de los compradores del producto y nunca alcanzó el nivel de Windows 7 (ver ilustración al final de este artículo).
Las estadísticas en cuestión podrían ser interpretadas de varias formas. En efecto, es un hecho probado que numerosos usuarios de Windows postergaron o descartaron la compra del criticado Windows Vista. Así, Microsoft se esforzó al máximo para presentar un sistema operativo colmado de características que le distinguieran decididamente de Vista. Estas características contribuyeron al grado de satisfacción entre los usuarios del nuevo sistema operativo de Microsoft.
Para el caso de Apple, OS 10.6 no incorpora cambios ni novedades que le distingan con igual énfasis de su predecesor. Esta situación podría haber generado una cierta decepción entre los usuarios. Cabe señalar que Apple se han negado a comentar los resultados a la investigación de YouGov.
Fuente: YouGov
Gráfico comparativo de YouGov
IA, UTPL, Rommel, Robotica
superar snow leopard,
Windows 7
lunes
Presentan tecnología que podría rebasar al iPad de Apple
La empresa Cypress Semiconductor ha presentado un avanzado multitouch para pantallas tamaño tablet. A pesar que ya existen unidades que pueden reconocer y procesar la información de dos o más dedos que presionan la pantalla simultáneamente, no se trata de una plataforma disponible para el usuario promedio.
Cypress asegura que su tecnología True Touch es óptima para pantallas de 7 a 17 pulgadas, lo que ha demostrado con un prototipo de 14". El sistema puede detectar e interpretar la presión de hasta 10 dedos simultáneamente, lo que abre posibilidades altamente avanzadas.
La tecnología funciona con Windows 7 y Cypress Semiconductor anuncia los primeros productos comerciales con tales pantallas para este año.
Fuente: Diario TI
IA, UTPL, Rommel, Robotica
Ipad,
multitouch
Kevin Mitnick: "En mi época, 'hackeábamos' por diversión. Hoy, por dinero"
La ingeniería social consiste en una serie de técnicas para obtener información de los usuarios y poder entrar en sistemas supuestamente seguros. Basándose en premisas como que todo el mundo quiere sentirse halagado, pretende ayudar y que, en general, nos cuesta mucho decir no, Kevin Mitnick es capaz de conseguir claves para entrar en sitios, aunque con las redes sociales esto es cada vez más fácil.
"Los sitios de consumo y entretenimiento son el nuevo objetivo de los hackers. Twitter y Facebook son las nuevas fuentes para saber debilidades. Ahí la gente da información valiosa que les hace vulnerable. Hay que estar alerta con qué contamos ahí", expone el idolatrado ponente.
IA, UTPL, Rommel, Robotica
diversion,
hacker,
Kevin Mitnick,
seguridad
miércoles
Apple presenta el iPad, su revolucionario ordenador de tableta
San Francisco, 27 ene (EFE). Apple presentó hoy, en medio de una gran expectación, su nuevo ordenador de tableta, el iPad, una especie de iPhone de gran tamaño con las prestaciones de un ordenador, y con el que espera revolucionar el mercado informático.
Fue el propio consejero delegado de Apple, Steve Jobs, el encargado, en una de sus raras apariciones públicas, de presentar el iPad, al que calificó como un 'producto verdadero, mágico y revolucionario'.
El iPad es un híbrido entre un ordenador y un teléfono inteligente, con una pantalla multitáctil de 9,7 pulgadas que le convierte en una nueva plataforma para la distribución de contenidos, como juegos, libros y diarios electrónicos.
Read full story
Fue el propio consejero delegado de Apple, Steve Jobs, el encargado, en una de sus raras apariciones públicas, de presentar el iPad, al que calificó como un 'producto verdadero, mágico y revolucionario'.
El iPad es un híbrido entre un ordenador y un teléfono inteligente, con una pantalla multitáctil de 9,7 pulgadas que le convierte en una nueva plataforma para la distribución de contenidos, como juegos, libros y diarios electrónicos.
En la presentación, Apple describió los diferentes usos que se pueden dar al iPad, desde mirar un mapa, leer un libro o el periódico, navegar por Internet o jugar a un videojuego, lo que le convierte en una verdadera amenaza para otros productos periféricos, como las videoconsolas o los lectores de libros electrónicos.
Además, el iPad podrá disfrutar de todas las aplicaciones creadas para el iPhone, y de las que existen más de 300.000 diferentes, desarrolladas por programadores externos.
El iPad, que tiene solo media pulgada de anchura, mesa menos de 700 gramos, cuenta con conexión a Internet Wifi y con una batería de 10 horas de duración.
Además, el iPad podrá disfrutar de todas las aplicaciones creadas para el iPhone, y de las que existen más de 300.000 diferentes, desarrolladas por programadores externos.
El iPad, que tiene solo media pulgada de anchura, mesa menos de 700 gramos, cuenta con conexión a Internet Wifi y con una batería de 10 horas de duración.
El aparato de 16 GB costará 499 dólares, el de 32 GB 599 dólares, y el de 64 GB 699 dólares.
A estos precios se le pueden sumar 130 dólares si va dotado, además de WiFi, de conexión 3G.
El producto estará en el mercado en dos meses, aunque los que quieran tener un iPad con conexión 3G tendrán que esperar un mes más.
La presentación se realizó tras días de filtraciones en los medios y entre una gran expectación, que llevó a algunos analistas a bromear que el iPad es la tabla más famosa desde los diez mandamientos de Moisés.
A estos precios se le pueden sumar 130 dólares si va dotado, además de WiFi, de conexión 3G.
El producto estará en el mercado en dos meses, aunque los que quieran tener un iPad con conexión 3G tendrán que esperar un mes más.
La presentación se realizó tras días de filtraciones en los medios y entre una gran expectación, que llevó a algunos analistas a bromear que el iPad es la tabla más famosa desde los diez mandamientos de Moisés.
Fuente : EFE
AMD anuncia ATI Radeon HD 5670
ATI Radeon HD 5670 es la primera tarjeta gráfica con soporte para Microsoft DirectX 11 y la tecnología multimonitor ATI Eyefinity.
AMD presenta la tarjeta gráfica ATI Radeon HD 5670, el último lanzamiento de la gama de productos gráficos con soporte completo para Microsoft DirectX 11, tanto en juego como en cómputo, y que ofrece innovaciones, como la tecnología ATI Eyefinity.
ATI Radeon HD 5670 permite una experiencia de juego en alta definición en los últimos títulos con DirectX 11, emplea la tecnología ATI Stream para mejorar el rendimiento en reproducción de videos y aplicaciones de productividad y ayuda a aprovechar la experiencia de Windows 7.
ATI Radeon HD 5670 entrega hasta 620 GigaFLOPS de poder de cómputo y una memoria GDDR5, brindando un alto rendimiento en juegos, como Codemaster’s Colin McRae: DiRT 2, EA Phenomic’s BattleForge, entre otros. En algunos de los juegos más populares, ATI Radeon HD 5670 mostró una mejora en el rendimiento de más de un 20% sobre el competidor más cercano en su clase.
“AMD celebró recientemente la venta número 2 millones de su tarjeta gráfica apta para DirectX 11. Hemos dado la posibilidad de contar con soporte completo a DirectX 11 a la mayor parte del mercado de PCs y la introducción de ATI Radeon HD 5670 es otro indicador claro del compromiso de AMD de entregar placas gráficas con dicho soporte para el público en general", afirmó Matt Skynner, Vice Presidente y Gerente General, AMD Graphics Group.
Fuente: AMD.
Read full story
AMD presenta la tarjeta gráfica ATI Radeon HD 5670, el último lanzamiento de la gama de productos gráficos con soporte completo para Microsoft DirectX 11, tanto en juego como en cómputo, y que ofrece innovaciones, como la tecnología ATI Eyefinity.
ATI Radeon HD 5670 permite una experiencia de juego en alta definición en los últimos títulos con DirectX 11, emplea la tecnología ATI Stream para mejorar el rendimiento en reproducción de videos y aplicaciones de productividad y ayuda a aprovechar la experiencia de Windows 7.
ATI Radeon HD 5670 entrega hasta 620 GigaFLOPS de poder de cómputo y una memoria GDDR5, brindando un alto rendimiento en juegos, como Codemaster’s Colin McRae: DiRT 2, EA Phenomic’s BattleForge, entre otros. En algunos de los juegos más populares, ATI Radeon HD 5670 mostró una mejora en el rendimiento de más de un 20% sobre el competidor más cercano en su clase.
“AMD celebró recientemente la venta número 2 millones de su tarjeta gráfica apta para DirectX 11. Hemos dado la posibilidad de contar con soporte completo a DirectX 11 a la mayor parte del mercado de PCs y la introducción de ATI Radeon HD 5670 es otro indicador claro del compromiso de AMD de entregar placas gráficas con dicho soporte para el público en general", afirmó Matt Skynner, Vice Presidente y Gerente General, AMD Graphics Group.
Fuente: AMD.
martes
Señalan al "sucesor" del MP3 como un aliado en contra de la piratería
Una empresa lanzará un nuevo formato digital para archivos de música, que incluirá contenido adicional para los usuarios como letras de canciones y noticias e imágenes sobre la banda
Fuente: Reuters
Read full story
La industria de la música asegura desde hace tiempo que ha sido fuertemente golpeada por la piratería durante la última década y que busca desarrollar nuevas ofertas para motivar a los consumidores a comprar música a través de sitios de pago, en vez de descargar los archivos de sitios no autorizados.
La nueva propuesta, llamada MusicDNA y que cuenta con el respaldo del inventor del archivo digital de música MP3, permitiría a los usuarios descargar un archivo MP3 en su ordenador junto con un contenido adicional.
Las discográficas, bandas o tiendas podrán entonces enviar actualizaciones al archivo de música cada vez que tienen algo nuevo que anunciar, como la programación de giras, nuevas entrevistas, o información actualizada en los sitios de red social.
El usuario recibirá la cantidad de información que desea cada vez que se encuentra conectado a internet.
Sin embargo, las personas que descargan el archivo de manera no autorizada recibirán solamente un archivo estático y no les llegarán las actualizaciones.
BACH Technology, el grupo detrás del archivo MusicDNA, señaló que busca asociarse con minoristas, sellos discográficos, titulares de derechos y compañías tecnológicas, y que está dispuesto a ofrecer su tecnología a otros para que lo usen bajo sus propias marcas.
"Estamos recibiendo reacciones muy buenas y el hecho que esperamos incluir a todos en esto, y no competir contra ellos, ayuda", señaló el presidente ejecutivo Stefan Kohlmeyer. Los archivos musicales podrán ser usados con cualquier reproductor de MP3, incluso el iPod de Apple.
Kohlmeyer dijo que el servicio evocará la época en que los seguidores de la música disfrutaban de las letras de las canciones y del trabajo de arte del álbum tanto como la experiencia de escuchar un tema.
"Lo que estamos devolviendo al usuario final es la completa experiencia emocional de la música (...) Creemos que se perdió durante la transición hacia la era digital", dijo. "Creemos que una hermosa pieza de audio ha sido reducida a un código de números. Queremos enriquecerlo nuevamente", agregó.
La nueva propuesta, llamada MusicDNA y que cuenta con el respaldo del inventor del archivo digital de música MP3, permitiría a los usuarios descargar un archivo MP3 en su ordenador junto con un contenido adicional.
Las discográficas, bandas o tiendas podrán entonces enviar actualizaciones al archivo de música cada vez que tienen algo nuevo que anunciar, como la programación de giras, nuevas entrevistas, o información actualizada en los sitios de red social.
El usuario recibirá la cantidad de información que desea cada vez que se encuentra conectado a internet.
Sin embargo, las personas que descargan el archivo de manera no autorizada recibirán solamente un archivo estático y no les llegarán las actualizaciones.
BACH Technology, el grupo detrás del archivo MusicDNA, señaló que busca asociarse con minoristas, sellos discográficos, titulares de derechos y compañías tecnológicas, y que está dispuesto a ofrecer su tecnología a otros para que lo usen bajo sus propias marcas.
"Estamos recibiendo reacciones muy buenas y el hecho que esperamos incluir a todos en esto, y no competir contra ellos, ayuda", señaló el presidente ejecutivo Stefan Kohlmeyer. Los archivos musicales podrán ser usados con cualquier reproductor de MP3, incluso el iPod de Apple.
Kohlmeyer dijo que el servicio evocará la época en que los seguidores de la música disfrutaban de las letras de las canciones y del trabajo de arte del álbum tanto como la experiencia de escuchar un tema.
"Lo que estamos devolviendo al usuario final es la completa experiencia emocional de la música (...) Creemos que se perdió durante la transición hacia la era digital", dijo. "Creemos que una hermosa pieza de audio ha sido reducida a un código de números. Queremos enriquecerlo nuevamente", agregó.
Fuente: Reuters
IA, UTPL, Rommel, Robotica
mp3,
nuevo formato
lunes
La PlayStation 3 habría sido hackeada
La PlayStation 3 habría sido hackeada
La consola se mantuvo invicta por 3 años, 2 meses y 11 días, de acuerdo con George Hotz, un reconocido hacker que habría logrado vulnerar las protecciones del equipo para que ahora pueda reproducir programas copiados. Con sólo 17 años, ya había logrado desbloquear el iPhone.
Un notorio pirata informático estadounidense, Gaorge Hotz, ha asegurado a la BBC británica que ha conseguido entrar en la PlayStation 3 (PS3) de Sony.
Hotz se hizo conocido cuando en el 2007, con 17 años, consiguió desbloquear el sistema del iPhone, que en ese momento sólo podía utilizarse a través de la red AT&T de Estados Unidos, y lo hizo accesible desde otros proveedores.
El pirateo de la plataforma de Sony -que, según asegura, le llevó cinco semanas- significa que los usuarios podrían emplearla con programas pirata o software casero, apunta la cadena pública.
La PS3 es la única consola de videojuegos que hasta ahora no había sido hackeada, pese a haber estado en el mercado durante unos tres años.
Un portavoz de Sony ha dicho a la BBC que están "investigando la noticia" y "clarificará la situación" tan pronto como sea posible.
Por su parte, el hacker, que afirma que su motivación fue "curiosidad" y "abrir la plataforma", anunció que colgará los detalles del pirateo en internet cuando lo haya refinado.
Hotz se hizo conocido cuando en el 2007, con 17 años, consiguió desbloquear el sistema del iPhone, que en ese momento sólo podía utilizarse a través de la red AT&T de Estados Unidos, y lo hizo accesible desde otros proveedores.
El pirateo de la plataforma de Sony -que, según asegura, le llevó cinco semanas- significa que los usuarios podrían emplearla con programas pirata o software casero, apunta la cadena pública.
La PS3 es la única consola de videojuegos que hasta ahora no había sido hackeada, pese a haber estado en el mercado durante unos tres años.
Un portavoz de Sony ha dicho a la BBC que están "investigando la noticia" y "clarificará la situación" tan pronto como sea posible.
Por su parte, el hacker, que afirma que su motivación fue "curiosidad" y "abrir la plataforma", anunció que colgará los detalles del pirateo en internet cuando lo haya refinado.
Fuente: EFE
jueves
Grave vulnerabilidad en Windows permite elevar privilegios
Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema. No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio "0 day" para Microsoft.
Tavis Ormandy, reputado investigador de seguridad que ha encontrado numerosos fallos de seguridad en diferentes programas, ha publicado un exploit para una vulnerabilidad que permite elevar privilegios en Windows. Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.
El fallo reside en el soporte heredado de aplicaciones de 16 bits. No se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap.
El exploit ha sido probado y funciona a la perfección. La buena noticia es que es relativamente sencillo mitigar el problema. Incluso ha publicado vídeos en Youtube de cómo hacerlo, destinados principalmente a administradores. Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, que se supone no será ningún problema para la mayoría de usuarios.
Los pasos son los siguientes:
Desde la consola de políticas (gpedit.msc) abrir "Configuración de equipo", "Plantillas administrativas", "Componentes de Windows", "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits". Es importante asegurarse de que es aplicada a los sistemas que dependen del controlador de dominio, forzando una actualización de políticas.
Fuente: Hispasec
Read full story
Tavis Ormandy, reputado investigador de seguridad que ha encontrado numerosos fallos de seguridad en diferentes programas, ha publicado un exploit para una vulnerabilidad que permite elevar privilegios en Windows. Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.
El fallo reside en el soporte heredado de aplicaciones de 16 bits. No se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap.
El exploit ha sido probado y funciona a la perfección. La buena noticia es que es relativamente sencillo mitigar el problema. Incluso ha publicado vídeos en Youtube de cómo hacerlo, destinados principalmente a administradores. Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, que se supone no será ningún problema para la mayoría de usuarios.
Los pasos son los siguientes:
Desde la consola de políticas (gpedit.msc) abrir "Configuración de equipo", "Plantillas administrativas", "Componentes de Windows", "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits". Es importante asegurarse de que es aplicada a los sistemas que dependen del controlador de dominio, forzando una actualización de políticas.
Fuente: Hispasec
miércoles
Kingston, SanDisk y Verbatim alertan de un agujero de seguridad en sus USB
Primero fue Kingston y ahora SanDisk y Verbatim las empresas que han avisado a sus clientes sobre un posible riesgo de seguridad debido a un agujero de hardware del sistema de encriptación AES de 256 bits en sus unidades USB.
Las tradicionales memorias USB podrían tener un fallo de seguridad que podría permitir un acceso no autorizado a datos encriptados bajo el sistema AES de 256 bits. “Es un error criptográfico estúpido”, asegura el especialista en la materia Bruce Schneier.
Kingston fue la primera en anunciar este fallo que puede afectar a los modelos DataTraveler BlackBox, DataTraveler Secure-Privacy Edition y DataTraveler Elite-Privacy Edition, mientras que Verbatim avisa que el error puede estar en sus unidades Verbatim Corporate Secure y Corporate Secure FIPS Edition. Por su parte, SanDisk especifica que el error puede darse en la serie Cruzer Enterprise.
Según las dos últimas afectadas, este problema de seguridad sólo afecta a la aplicación que se ejecuta en el memorias usbsistema host y no a la unidad en sí misma ni a su firmware.
Las tres empresas aseguran, no obstante, que sus unidades USB cumplen con los criterios de seguridad establecidos por el Federal Information Processing Standard (FIPS), encargado de los algoritmos de encriptación.
Fue la empresa de seguridad alemana SySS la que localizó el agujero cuando analizaba la seguridad de las unidades y diseñó código para cada dispositivo que modifica el software que se ejecuta en la memoria del ordenador.
Fuente: PcWorld
Read full story
Las tradicionales memorias USB podrían tener un fallo de seguridad que podría permitir un acceso no autorizado a datos encriptados bajo el sistema AES de 256 bits. “Es un error criptográfico estúpido”, asegura el especialista en la materia Bruce Schneier.
Kingston fue la primera en anunciar este fallo que puede afectar a los modelos DataTraveler BlackBox, DataTraveler Secure-Privacy Edition y DataTraveler Elite-Privacy Edition, mientras que Verbatim avisa que el error puede estar en sus unidades Verbatim Corporate Secure y Corporate Secure FIPS Edition. Por su parte, SanDisk especifica que el error puede darse en la serie Cruzer Enterprise.
Según las dos últimas afectadas, este problema de seguridad sólo afecta a la aplicación que se ejecuta en el memorias usbsistema host y no a la unidad en sí misma ni a su firmware.
Las tres empresas aseguran, no obstante, que sus unidades USB cumplen con los criterios de seguridad establecidos por el Federal Information Processing Standard (FIPS), encargado de los algoritmos de encriptación.
Fue la empresa de seguridad alemana SySS la que localizó el agujero cuando analizaba la seguridad de las unidades y diseñó código para cada dispositivo que modifica el software que se ejecuta en la memoria del ordenador.
Fuente: PcWorld
Suscribirse a:
Entradas (Atom)
Entradas
