El equipo de seguridad de Chrome ha publicado un boletín de seguridad para su navegador Google Chrome en el que corrigen un total de trece vulnerabilidades.

De las trece vulnerabilidades, tres han sido calificadas de gravedad baja (CVE-2013-2867, CVE-2013-2872, CVE-2013-2877), seis de gravedad media (CVE-2013-2868, CVE-2013-2869, CVE-2013-2853, CVE-2013-2874, CVE-2013-2875, CVE-2013-2876, CVE-2013-2878) y cuatro de gravedad alta (CVE-2013-2879, CVE-2013-2871, CVE-2013-2873, CVE-2013-2880).
 
•Los errores de gravedad baja se producen por el bloqueo de pop-unders, por una falta de entropía al renderizar y por un error de límites en el parseador XML.
 
•Las vulnerabilidades de gravedad media se producen por una incorrecta sincronización en el componente NPAPI, por errores de límites en los procesadores de imágenes, por pérdida en información al procesar texturas GL, por un error de permisos y por un error en la implementación HTTPS.
 
•Los errores de gravedad alta se deben al uso de memoria liberada, por un error de límites de lectura, y por un error en el proceso de confianza al sincronizar una sesión.
 
Todos estos errores tienen diversos impactos, que van desde una revelación de información hasta posibilitar la realización de ataques de phishing. Pero hay otros problemas que no tienen determinado su alcance, por lo que no se puede determinar si podrían tener mayor implicación.
 
Las vulnerabilidades han sido corregidas en la versión 28.0.1500.71 del navegador que pude ser actualizado desde el componente updater del navegador.
 
Más información:
 
Chrome Releases: Stable Channel Update http://googlechromereleases.blogspot.com.es/2013/07/stable-channel-update.html

http://www.laflecha.net/canales/seguridad/noticias/actualizacion-de-seguridad-para-google-chrome_4

Uno de los servidores más conocidos y usados en el mundo de las redes es OpenSSH, un servidor SSH de código libre y gratuito. Este servidor SSH está disponible para todos los sistemas operativos basados en Linux ya sea de escritorio, para servidores e incluso integrado en firmwares de routers como Tomato RAF, DD-WRT u OpenWRT.
 
Ahora se ha descubierto un pequeño “truco” para poder descubrir un usuario activo en dicho servidor, y de esta manera, realizar un ataque por diccionario o fuerza bruta a la clave en cuestión.
 
Según podemos leer en Cureblog.de, se han dado cuenta que hay un cierto retardo de tiempo cuando hacemos login con un usuario que no existe en el sistema. Para poder crackear el acceso al servidor, es necesario también saber el usuario, por tanto es lo primero que deberemos descubrir.
 
Al descubrir este retardo, han hecho un script para automatizar el proceso y conseguir el usuario del servidor SSH aunque la contraseña no sea la correcta.
 
Dicho script consiste en introducir 39.000 caracteres en el campo de contraseña, si el proceso tarda más de la condición de tiempo que hemos estipulado, es porque el usuario al que hacemos referencia existe en dicho servicio. De esta forma podremos averiguar de forma fácil un usuario en el sistema.
 
Si estamos probando esta pequeña herramienta en nuestro propio servidor SSH, veremos que hay un incremento muy alto en la carga de CPU ya que el demonio SSH intenta calcular la contraseña.
 
Este error ha sido probado en las versiones 6.X y 5.X de OpenSSH.
 
Una posible solución a este truco consistiría en calcular la contraseña para todos los usuarios sin comprobar si un usuario existe o no en el sistema. Otra solución sería limitar la contraseña a un determinado número de caracteres.

http://www.redeszone.net/2013/07/14/como-descubrir-usuarios-activos-en-servidores-openssh/

Publicado el 12 de julio de 2013 por Antonio Rentero   

Mientras vamos tomando conciencia de que estamos siendo continuamente espiados por las agencias gubernamentales de seguridad (y no sólo las estadounidenses) casi merece la pena tomarse la cuestión con un poco de humor y sonreír con el siguiente vídeo que os incluimos y que con un aspecto en su protagonista (una cámara de vídeo) que nos recuerda inevitablemente a Luxo (el flexo mascota de Pixar) nos demuestra qué sucede cuando alguien puede ver todo lo que hacemos.

Esa vieja lámpara que te ha acompañado durante incontables noches de estudio en tu escritorio alberga en su interior  una cámara de vigilancia.

Ha visto qué libros leíamos, qué páginas web visitábamos y que mensajes redactábamos. Y si sólo fuera la inocente lampara que antecede a las película de Pixar no sucedería nada de extraordinario, pero si no ilumina sino que capta las imágenes de lo que sucede ante ella la cosa cambia.

La pequeña animación surgió en los foros de Reddit gracias al diseño original de uno de los usuarios, el storyboard de otro y un tercero que efectuó el trabajo completo de animación de vídeo. El resultado toma como modelo los saltos de Luxo sobre las letras del estudio de animación Pixar hata ocupar el flexo la posición de una de ellas.

http://www.youtube.com/watch?feature=player_embedded&v=55D-ybnYQSs

En este caso las letras que aparecen son USA y la cámara salta sobre la U hasta aplanarla por completo y ocupar su lugar. Sólo en ese momento adopta una posición que nos permite reconocer la letra N con lo que las siglas cambian de USA a NSA (siglas de National Security Agency, Agencia Nacional de Seguridad).

Además, y como sucede en algunas películas, también tenemos otro vídeo que presenta un final alternativo.

http://www.youtube.com/watch?feature=player_embedded&v=JIgawVve63I

Riamos por no llorar.

vINQulo

Reddit

http://www.theinquirer.es/2013/07/12/esta-animacion-estilo-pixar-explica-como-nos-espia-la-nsa.html

Después de meses de resistencia, en nombre de la jurisdicción estadounidense y de la Primera enmienda, Twitter cedió y proveerá a la justicia francesa los datos necesarios para identificar a los autores de una serie de mensajes antisemitas.
 
La decisión pone fin a un largo proceso entre la empresa y la Unión de estudiantes judíos de Francia (UEFJ), los primeros en denunciar esa ola de tweets con los hashtags #unbonjuif (un buen judío) y #unjuifmort (un judío muerto), que en octubre de 2012 invadió las páginas de la red social, al punto de poner ambas palabras clave en la cima de la lista de las más usadas durante varios días.
 
"Es una gran victoria en la lucha contra el racismo y el antisemitismo, pero también un gran paso en la lucha contra el sentimiento de impunidad en Internet", dijo el presidente de la UEFJ, Jonathan Hayoun, para quien "este acuerdo recuerda a todos que no se puede hacer lo que se quiere" en la Red.
 
En enero, el tribunal de París había apoyado el pedido de la asociación estudiantil e impuso a Twitter que notificara a los peticionantes la información necesaria para identificar "a quien haya contribuido a la creación de tweet manifiestamente ilícitos", por su incitación al odio racial.
 
La empresa estadounidense se negó a ejecutar esa decisión, al sostener que no estaba sujeta a la jurisdicción francesa, sino solo a la de su país.
 
Dos meses después, la UEFJ alzó el tono de la confrontación y presentó una denuncia penal y pidió un maxi-resarcimiento de 38,5 millones de euros, en favor del memorial de la Shoa en París.
 
El último capítulo del recorrido judicial llegó el mes pasado, cuando la Corte de Apelaciones de París rechazó un recurso de Twitter, remarcando que la empresa no había provisto ninguna justificación válida para argumentar su rechazo a hacer lugar a la primera sentencia.
 
En tanto, el debate llegó al gobierno francés, por boca del ministro de Igualdad de Oportunidades, Najat Valhaud-Belkacem, que invitó a "dejar de considerar a la Web como una zona de 'no derecho'", al agregar que "es nuestro deber hacer algo para tutelar a las víctimas" de ataques "repugnantes".

http://www.iblnews.com/story/78020

Publicado el 12 de julio de 2013 por Antonio Rentero

El blog mató a la estrella del kiosko.Como trasunto de aquella canción que popularizaran The Buggles en 1979, una de las grandes y míticas revistas que llevaban décadas informando de las últimas novedades relacionadas con la tecnología y los ordenadores ha dejado de publicarse en una decisión por parte de la editorial en la que lo único que ha causado sorpresa es que no se hubiese producido antes.
 
Tras haber perdido dos terceras partes de sus lectores habituales y haber reducido su habitualmente bíblico grosor hasta una cuarta parte del que llegó a tener en sus mejores tiempos la publicación veterana de la información informática PCWorld dejará de estar mensualmente en los kioskos aunque para consuelo de sus lectores y desde luego de los trabajadores de la editorial IDC que se encargaban de sacarla adelante aún nos queda Internet puesto que los contenidos continuarán apareciendo en www.pcworld.com beneficiándose además de que no habrá que esperar un mes para disfrutar de nuevos contenidos.
 
Sigue así los pasos de su mayor competidor, PCMagazine, que ya abandonó también los kioskos en su edición impresa en 2008 para quedarse únicamente con la versión digital. El primer ejemplar de PCWorld, aparecido en 1983, ya centraba su atención en el dispositivo estrella de esa década (y la posterior) que además daba nombre a la publicación, el ordenador personal, pero aunque se ha ido adaptando a la evolución de los tiempos lo cierto es que dos cosas han cambiado de manera determinante desde entonces: el objeto de los deseos del aficionado a la tecnología y la propia difusión de la información.
 
Primero los teléfonos móviles y posteriormente los smartphones y tablets trasladaron el foco de atención pero es que además el kiosko y la periodicidad mensual dejaron paso a Internet y la actualización constante de la información. Si aquello fue la edad de oro de las publicaciones sobre ordenadores hoy ya estamos inmersos en la edad de oro de la información tecnológica.
 
vINQulo
 
Time

http://www.theinquirer.es/2013/07/12/pcworld-deja-de-editarse-el-fin-de-la-era-de-las-revistas-de-informatica-en-papel.html

ESET España pone en marcha los Premios Nacionales a los Héroes Digitales con el que pretende reconocer y premiar la labor solidaria que desempeñan instituciones y usuarios para mejorar la seguridad de todos en la red.

Los Premios Nacionales a los Héroes Digitales que ha puesto en marcha la compañía de seguridad ESET España pretende premiar a aquellas personas que contribuyen diariamente a que todos tengamos una Internet más segura. Junto a la labor solidaria de miles de entidades, cuerpos de seguridad, iniciativas públicas y privadas, también existen usuarios que ayudan a mejorar la seguridad digital de todos.

Cualquiera puede proponer su candidatura en la web de Héroes Digitales http://www.heroesdigitales.com/, y votar por los finalistas hasta el próximo 30 de septiembre cuando se notificarán los premiados. Se han creado ocho categorías diferentes que abarcan desde instituciones y organismos oficiales, a cuerpos de seguridad, usuarios, bloggers y periodistas que llevan a cabo una gran labor para toda la comunidad.

Los premios consisten en un trofeo conmemorativo en reconocimiento a la labor de los ganadores. Todos los premios correspondientes a internautas individuales se llevarán, además, una tablet de última generación. Todas las bases de los premios y participación se encuentran disponibles en la web creada para dicho fin.

Alfonso Casas - 12/07/2013

http://www.idg.es/pcworld/Se-buscan--Heroes-Digitales-/doc133831-actualidad.htm

Microsoft ha anunciado los nuevos requisitos de certificación de hardware para Windows 8.1. Las nuevas especificaciones suponen que la pegatina con el logotipo de Windows 8.1 va a ser más cara de conseguir, tanto para los fabricantes de OEM, como para los usuarios.

Los nuevos requisitos también desvelan qué tipo de dispositivos vamos a ver en los próximos meses ejecutando Windows 8.1, que en general vendrán mejor equipados, ofreciendo una experiencia de uso unificada básica. Serán después los fabricantes los encargados de salpimentar su oferta para que sea más atractiva.

Los nuevos requisitos hardware para la certificación Windows 8.1

Las nuevas directrices de certificación se implementarán de manera paulatina. Para los primeros dispositivos con Windows 8.1 que se pongan a la venta cuando se libere la versión definitiva del sistema, (finales de este año), el objetivo es que cuenten con soporte NFC y autentificación biométrica.

Otro requisito, ya presente en los dispositivos basados en ARM, denominado Precision Touchpads, que ahora es opcional en los sistemas x86/x64, será obligatorio en estos últimos para detentar la pegatina “Windows 8.1”.

Se exigirán también mejoras en la disposición vertical del aparato (modo retrato), así como InstantGo (la capacidad renombrada y actualizada, denominada Connected Standby), para que los dispositivos entren en funcionamiento al instante y sean capaces de mantener las aplicaciones actualizadas al día.

A partir de enero de 2014 serán necesarios más requisitos: conectividad Bluetooth en todos los dispositivos con Wi-Fi, y Webcam frontal de 720p en los que tengan pantalla integrada, como tabletas y ordenadores portátiles. Los requisitos de audio son más elevados en las nuevas directrices, tanto para altavoces como para micrófonos.

A partir de enero de 2015, será necesario para todos los aparatos que aspiren a la certificación Windows 8.x, disponer de TPM (Trusted Platform Module), especificación e implementación de un procesador criptográfico, para proteger información.

Microsoft está trabajando de forma conjunta con los fabricantes OEM para que, además, los dispositivos con Windows 8.x dispongan de tecnología táctil, sean más ligeros y delgados, más rápidos y dispongan de baterías de mayor duración.

Vía | ZDNet

http://www.genbeta.com/windows/microsoft-sube-el-liston-de-requisitos-hardware-para-windows-8-1

Un nuevo kit de explotación de navegadores llamado "Private Exploit Pack" ha sido anunciado desde mayo en los foros de hacking.

http://news.softpedia.com/images/news-700/New-Browser-Exploit-Pack-Private-Advertised-on-Hacker-Forums.jpg

Según Kafeine de Malware Don't Need Coffee, Private Exploit Pack ha sido probado en Windows XP, Windows 7, Windows Vista e incluso Windows 8.

En cuanto a los navegadores afectados, parece que Opera e Internet Explorer son los más vulnerables. Se dice que las tasas de infección en Chrome son bajas ya que "Google exige a los usuarios permitir la ejecución de plugins".

Las versiones más recientes de Firefox también parecen ser resistentes al kit de explotación.

Actualmente, PEK contiene tres exploits de Java, un exploit de Internet Explorer, un exploit de PDF y uno de Microsoft Data Access Components.

El autor acepta pagos vía Perfect Money, LTC, BTC y WMZ, pero advierte a los potenciales clientes que no paguen con dinero robado.

El paquete cuesta 50$ (39€) por día con tráfico ilimitado. Los que quieran alquilar Private Exploit Pack por un mes tienen que pagar 1.100$ (853€), pero se beneficiarán de descuentos.

http://news.softpedia.es/Private-Exploit-Pack-Nuevo-kit-de-explotacion-de-navegadores-anunciado-en-foros-de-hacking-366064.html

Los pasaportes, tarjetas de identificación, tarjetas de crédito y facturas de servicios públicos falsificados pueden ser de gran utilidad para los ciberdelincuentes. Los expertos han descubierto un nuevo servicio en el mercado clandestino ruso que permite a cualquier persona generar una falsa copia escaneada de cualquiera de estas cosas.

http://news.softpedia.com/images/news-700/New-Service-Allows-Fraudsters-to-Instantly-Generate-Scans-of-Fake-Documents.jpg

Según Dancho Danchev, quien descubrió el nuevo servicio, se necesitan sólo unos 40 segundos para generar una falsa copia escaneada de un pasaporte, ID, tarjeta de crédito o factura de servicios públicos.

Los propietarios del servicio pretenden tener una base de datos de más de 200 fotos para pasaportes y IDs y una gran cantidad de datos de identidad que se utilizan aleatoriamente para crear los escaneos de documentos falsos.

Los ciberdelincuentes aceptan pagos a través de Bitcoin, Paymer, WebMoney y PerfectMoney.

Echa un vistazo a la galería a continuación para ver ejemplos de pasaportes, facturas de servicios públicos, tarjetas de crédito y IDs generados aleatoriamente.

http://news.softpedia.es/Un-nuevo-servicio-permite-a-los-estafadores-generar-en-un-instante-escaneos-de-documentos-falsos-365965.html

A quienes denostaron a Edward Snowden diciendo que ni siquiera acabó el bachillerato se les puede replicar con un "no sabe usted de quién está hablando".

Snowden, de 30 años, natural de Carolina del Norte, residente en una terminal del aeropuerto moscovita de Sheremétievo y perseguido por desvelar el espionaje masivo que realiza Estados Unidos, se ha mostrado poco abierto a comentar su currículum. Pero los retazos que emergen le describen como un joven de la época tecnológica.

Que dejara el colegio antes de graduarse no resultó un obstáculo para hallar un excelente acomodo en la Administración, remunerado con más de 200.000 dólares anuales. Incluso le promocionaron un trabajo mejor pagado en Booz Allen Hamilton, empresa contratada por la Agencia Nacional de Seguridad (NSA, responsable de los operativos de vigilancia e inteligencia), donde accedió a los documentos que luego ha filtrado al diario londinense The Guardian y a The Washington Post.

Snowden se promocionó como un experto fiable porque en el 2010, cuando trabajaba para Dell -también contratada por la NSA- recibió un curso para aprender a ser un hacker o pirata informático. Le entrenaron para combatir las amenazas exteriores.

Según informó ayer The New York Times, Snowden se ganó el título de "hacker ético" a partir del estudio de materiales con los que le adiestraron para descubrir cómo los piratas informáticos obtienen el acceso a los sistemas del Gobierno y a las corporaciones manteniendo a cubierto su identidad. Este programa, ejecutado por la firma EC-Council, tiene un código de honor que requiere a sus participantes guardar en privado cualquier información confidencial obtenida en los análisis de los equipos.

La citada información señala que este curso ilustra cómo Snowden cultivó y profundizó en su pericia informática. Descrito por las fuentes oficiales de la Casa Blanca como un "operador del sistema", lo que se va conociendo de su hoja de servicios hace que se convierta en esa especie de experto en ciberseguridad que tanto anhelan organizaciones del tipo de la NSA.

De esta manera, el huido, héroe o villano según quién lo describa, dispuso de un amplio margen para observar el interior de las redes gubernamentales de cara a descubrir el intrusismo foráneo. Aunque algunos critican que los responsables del espionaje no detectaran sus movimientos y le neutralizaran, otros insisten en que, en su posición y, sobre todo, con su formación, Snowden sabía cómo debía actuar sin levantar sospechas.

Le habían entrenado para eso. Además, si alguien cuestionaba su tarea, él siempre podía responder que lo que hacía era necesario para el desarrollo de su trabajo.

Cuentan los medios estadounidenses que en el aeropuerto moscovita, bajo custodia, Snowden compra vodka y caviar. Su temor de que "nada cambiará" parece cumplirse. Se habla más de él que de lo que destapó.

http://www.lavanguardia.com/internacional/20130706/54376570622/snowden-hacker-etico.html