Un aviso de seguridad publicado por Adobe el miércoles revela que una vulnerabilidad crítica ha sido identificada en ColdFusion. El fallo puede ser explotado por un usuario no autorizado para obtener remotamente archivos almacenados en un servidor.

ColdFusion 10, 9.0.2, 9.0.1, 9.0 y versiones anteriores para Windows, Macintosh y Linux se ven afectados.

Adobe advierte que un exploit para el error ya ha sido visto en la web.

Se espera que una actualización para el agujero de seguridad sea lanzado el 14 de mayo. Mientras tanto, los usuarios pueden protegerse contra los ataques mediante la restricción del acceso público a los siguientes directorios: CFIDE/administrator, CFIDE/adminapi and CFIDE/gettingstarted.

Las vulnerabilidades de ColdFusion son explotadas a menudo por los ciberdelincuentes para hackear empresas. El hackeo de Linode, por ejemplo, se basó en un agujero de seguridad de ColdFusion parcheado recientemente.

Además de esta actualización de ColdFusion, el 14 de mayo, Adobe también parcheará un error de seguimiento en Reader y Acrobat.

http://news.softpedia.es/Adobe-advierte-acerca-de-una-vulnerabilidad-critica-en-ColdFusion-352079.html

A partir del próximo mes de julio podremos navegar en Madrid a través del móvil a velocidades que oscilarán entre 15 y 35 megas reales. El Long Term Evolution (LTE) será una realidad comercial, y Yoigo será la primera operadora en ofrecer esta tecnología sin incrementar el precio de sus tarifas.

Después de varias pruebas piloto, el 4G estará disponible a partir del próximo verano. La filial de Telia Sonera lanzará su red móvil ultrarrápida en la Comunidad de Madrid con 405 estaciones base y llegará al 37 por ciento de la población a finales de 2013.

Los planes de la cuarta compañía móvil son muy ambiciosos. En 2014, planea ofrecer LTE en el 75% del territorio nacional cambiando por completo la experiencia de uso de sus abonados. Navegaremos tres o cuatro veces más rápido y habrá otras mejoras significativas, como un descenso de la latencia. Esto significa que las conexiones móviles podrían servir perfectamente para jugar online igual que con una conexión de banda ancha fija.

Orange será la siguiente

La filial de France Telecom también ha anunciado que lanzará LTE en otoño. Esto significa que habrá dos operadores móviles con capacidad de ofrecer alta velocidad. Vodafone y Movistar todavía no han concretado sus intenciones pero es evidente que tendrán que sumarse al carro para no perder posicionamiento en el mercado. En 2014 habrá un despliegue masivo y es que la tecnología ha llegado para quedarse, igual que ha sucedido con la migración del ADSL a la fibra óptica.

Samsung ha sido la compañía que más carne en el asador ha puesto en el LTE de Yoigo. La firma coreana acompañó a la operadora en la presentación y anunció la llegada de smartphones compatibles con esta tecnología por menos de 200 euros.

Un precio asequible que tiene como objetivo popularizar el LTE entre los usuarios. Otras firmas como Sony, Nokia, HTC o Apple también tienen modelos en el mercado capaces de conectar con la cuarta generación.

No habrá tarifas ilimitadas de datos

A diferencia de la evolución de las tarifas de voz móviles, no veremos propuestas ilimitadas en el mercado de datos. Yoigo confirmó que actualmente sus clientes consumen de media 500 megas y que con LTE esperan que el consumo se dispare hasta 3 GB. El futuro de los operadores móviles pasa por cobrar las franquicias de datos mientras que la voz tiende a ser gratuita.

Probablemente sea un problema importante para los operadores móviles virtuales que apuestan por regalar internet a cambio de cobrar un consumo mínimo por las llamadas de teléfono.

http://blogs.elconfidencial.com/tecnologia/tecno-zone/2013/05/09/el-4g-una-revolucion-que-acabara-con-las-tarifas-planas-de-datos-4855

Greg MacManus ha descubierto y publicado un grave fallo de seguridad (CVE-2013-2028) en nginx, cuando se procesan peticiones HTTP "por bloques" (chunked transfer) que puede permitir a un atacante ejecutar código arbitrario.

Nginx es un servidor web, open source y desarrollado casi íntegramente en el lenguaje C, lo que le proporciona un alto rendimiento aprovechando al máximo los recursos del sistema. Una prueba de ello es que viene por defecto instalado en algunas distribuciones para Raspberry Pi. También puede realizar la función de servidor Proxy inverso para HTTP, SMTP, POP3 e IMAP.

El error descubierto produce un desbordamiento de memoria intermedia basada en pila que generaría en una denegación de servicio del servidor. Al ser un desbordamiento de memoria, se podría producir una ejecución de código arbitrario en el lado del servidor con los permisos del servidor nginx.

Para solucionar el error se han incluido una comprobación para que el ta tamaño no sea inferior a 0 al realizar esta petición, en el archivo 'src/http/ngx_http_parse.c'

+ if (ctx->size < 0 || ctx->length < 0) { + goto invalid; + } +

El fallo se ha descubierto en las versiones 1.3.9 (de noviembre de 2012) y 1.4.0 y corregidos en la 1.5.0 y la 1.4.1 respectivamente.

Como contramedida si no se desea actualizar el servidor por alguna razón, se puede incluir este código en cada uno de los bloques "server" de la configuración:

if ($http_transfer_encoding ~* chunked) { return 444; }

que evita que se use el tipo de transferencia por bloques.

Se puede actualizar a las nuevas versiones desde su página de descargas.

Más información:

nginx download http://nginx.org/en/download.html

nginx - patch.2013.chunked http://nginx.org/download/patch.2013.chunked.txt

nginx security advisory (CVE-2013-2028) http://mailman.nginx.org/pipermail/nginx-announce/2013/000112.html

http://www.laflecha.net/canales/seguridad/noticias/ejecucion-de-codigo-arbitrario-en-servidores-nginx

Imágenes del móvil de uno de los sospechosos presentadas este jueves en una rueda de prensa en Nueva York. / REUTERS (LUCAS JACKSON)  http://ep01.epimg.net/internacional/imagenes/2013/05/09/actualidad/1368128137_318083_1368128775_noticia_normal.jpg

Un gran asalto a decenas de cajeros en pleno corazón de Manhattan, con tarjetas del tipo Mastercard como arma. En la operación participaron, que se sepa en este momento, ocho individuos. Son solo los integrantes de una célula en EE UU. Siete de ellos están bajo arresto. Pero los investigadores advierten de que se trata de un crimen financiero mucho más complejo y de dimensión global. El motín se valora en un total de 45 millones de dólares.

La fiscalía comparó lo sucedido como algo similar a un flashmob planetario, por la manera masiva en la que se ejecutó la operación. El mapa de Nueva York que mostraron las autoridades estaba lleno de puntos, que indicaban donde los individuos fueron ejecutando uno a uno el asalto. Por hacerlo sencillo, los responsables de la trama criminal accedieron a los sistemas de entidades en Oriente Medio para hacerse con datos de las tarjetas de débito. Se cree que el centro operativo está fuera de EE UU.

Esa información se pasaba después a los individuos que ejecutaban el asalto al pie de cajero, con tarjetas emitidas por el National Bank of Ras Al-Khaimah de Emiratos Árabes y del Bank of Muscat en Oman. En total se hicieron 40.500 operaciones de retirada de dinero en 27 países. Es el mayor robo en cajero que se ha visto, dicen las autoridades en EE UU. “En lugar de pistolas y máscaras, esta organización utilizó ordenadores y programas maliciosos”, informó la fiscal neoyorquina Loretta Lynch.

El objetivo del ataque fueron tarjetas de débito prepagadas. Los autores del asalto lograron manipular el límite con el que se podía sacar dinero del cajero, por lo que se teme tuvieron un acceso importante a los sistemas de los bancos. Así los equipos que tenían en la calle podían sacar la mayor cantidad de dinero posible antes de que el sistema se bloqueara. Mastercard asegura que su red nunca estuvo en compromiso, aunque esta trabajando con la investigación para ayudarle a desmantelar la trama.

El primer asalto se ejecutó a finales de diciembre del año pasado, en el que se robaron cerca de cinco millones de dólares. Y actuaron de nuevo en febrero, donde las pérdidas se estiman en 40 millones. En total se calcula actuaron en 36.000 cajeros automáticos. En Nueva York en concreto se retiraron casi tres millones dólares en sendos golpes, lo que según Lynch lo convierte en el segundo mayor robo bancario en la historia de la ciudad.

Como señalan los expertos en crímenes financieros de este tipo, los hackers solo necesitan encontrar una vulnerabilidad en el sistema para causar daños de millones de dólares en tan solo un par de días. “Las nuevas tecnologías y el rápido crecimiento de Internet eliminó las fronteras tradicionales del crimen financiero”, señaló por su parte Steven Hughes, uno de los agentes que participaron en la operación de derribo de la trama.

La investigación sigue abierta porque no está aún claro si hay más células operativas en otras ciudades en EE UU. De los ocho acusados en EE UU, uno fue asesinado el 27 de abril en la República Dominicana. No se sabe si la muerte está relacionada con este crimen financiero, indicó Lynch. La investigación del ciberataque financiero está teniendo lugar en una quincena de países, entre ellos España, Canadá y Japón.

http://internacional.elpais.com/internacional/2013/05/09/actualidad/1368128137_318083.html

Jennie Lamere es de New Hampshire (EE UU), tiene 17 años y ha inventado una herramienta que elimina -a demanda- de Twitter los spoilers sobre series y programas de televisión. Su padre también es desarrollador.

En tiempos de audiencia social, segunda pantalla y enriquecimiento de contenido, hay quien se pierde un día el capítulo de su serie favorita y le gustaría poder acceder a su timeline de Twitter sin toparse con las menciones y comentarios de los demás sobre lo que ocurre. Lo mismo pasa con los partidos de fútbol, a veces es imposible no enterarse.

Esto está concebido para emisiones en directo, que es cuando una mayoría de gente se ‘reúne’ en redes sociales para hablar sobre lo que está sucediendo en la pantalla. Véanse un Pesadilla en la Cocina o un episodio de Homeland cualquiera (aunque a estas alturas el tema de las series importadas y exitosas no aplique aquí, ya me entendéis).

Seguir leyendo: http://blogs.20minutos.es/140-y-mas/2013/05/09/spoilers-en-twitter-una-chica-de-ee-uu-desarrolla-una-herramienta-que-los-elimina/

 Publicado el 9 de mayo de 2013 por Antonio Rentero   

Nunca había dado una rueda de prensa y la primera vez que lo hace es para negar que su empresa está colaborando con el gobierno Chino a la hora de espiar las actividades de las agencias gubernamentales estadounidenses, para quien no representa una amenaza.

Ren Zhengfei es el fundador y director general de la empresa china Huawei Technologies y sus primeras palabras en más de un cuarto de siglo que lleva sin dirigirse a la prensa han ido dirigidas a defender su posición como empresa de fiar, a pesar de las acusaciones de falta de transparencia en algunas de sus actividades, incluso se le ha acusado de estar implicada en algunos cyberataques que ha sufrido últimamente el Pentágono o la propia Casa Blanca, recayendo las sospechas en una unidad secreta de expertos informáticos militares chinos.

La rueda de prensa se ha celebrado en Nueva Zelanda, donde Huawei ha ganado un concurso para construir la red de conexión 4G-LTE así como de redes de banda ultraancha. Zhengfei pone de relieve que en la actualidad las redes de comunicaciones existentes en USA carecen de instalaciones en las que haya dispositivos de su marca, no habiendo vendido sus productos por el momento a los principales operadores estadounidenses, al Gobierno o a ninguna agencia de seguridad del país, por lo que afirma no entender de dónde provienen esos rumores que por otra parte le están perjudicando seriamente hasta el punto de que no hace mucho que se ha quedado sin conseguir un jugoso contrato para desarrollar las redes de comunicaciones gubernamentales de Australia o Canadá.

En cuanto a presencia mundial de empresas suministradoras de equipamiento para operadores de comunicaciones, Huawei es la segunda por detrás de la sueca Ericsson, pero las precauciones por parte de las autoridades del país norteamericano le están impidiendo asentarse allí como desearía. Con un valor en bolsa de 35.000 millones de dólares, es asimismo la quinta empresa mundial en fabricación de teléfonos móviles, compitiendo con HTC , LG y Nokia en pos de Samsung y Apple.

El presidente de Huawei ha confesado que si ha decidido dirigirse a los medios por primera vez en 26 años es en un afán de transparencia.

vINQulo

Reuters

http://www.theinquirer.es/2013/05/09/el-director-de-huawei-rompe-26-anos-de-silencio-no-estamos-espiando-a-usa-no-somos-una-amenaza.html

 Publicado el 9 de mayo de 2013 por Antonio Rentero   

Nos aproximamos a un mundo sin secretos, o al menos en el que los conocimientos y la información que un día se mantuvieron ocultos son revelados sin complejos. A continuación te ofrecemos en flamante PDF el manual que utiliza la Agencia Nacional de Seguridad de Estados Unidos para desentrañar toda la información que está disponible en Internet. Son más de 600 páginas que si te las estudias bien ya podrás hacer como Neo en matrix y decir “ya sé espiar en la Red”.

Ahora podrás sentirte como un espía de las películas o las series de televisión, de esos que son capaces de desentrañar la Red, pues no otra es la misión de esta voluminosa y útil guía para encontrar en Internet la información que pulula por las casi infinitas páginas y recursos alojados en servidores de todo el mundo.

“Untangling the Web: an introduction to Internet research” ha sido desclasificado ahora aunque su fecha original de publicación fue 2007, por lo que es posible que si lo repasas a fondo encuentres algunos contenidos obsoletos o faltos de actualización. Los autores del manual, Robyn Winder y Charlie Speight lo escribieron para el Centro de Contenido Digital de la Agencia de Seguridad Nacional y ahora se hace público debido a las previsiones legales del Acta de Libertad de Información.

Además de servir para que los más neófitos en aquel lejano año 2007 se hicieran una idea de la información que podían extraer de los motores de búsqueda también hay jugosos capítulos como el dedicado a mostrar cómo se puede hackear mediante Google, lo que en la práctica equivale a emplear los motores de búsqueda para acceder a información disponible públicamente que en ocasiones no estaba destinada a darse a conocer y distribuirse libremente pero que sabiendo cómo y dónde buscar puede llegar a encontrarse. Desde información confidencial de las empresas a datos supuestamente secretos de organizaciones gubernamentales o información financiera que aparece en listados no especialmente accesibles salvo que sepas dónde y cómo buscar.

Para tranquilidad de muchos, algunos de esos resquicios de seguridad han sido corregidos a lo largo de estos cinco años que han pasado desde la publicación de este manual auspiciado por la NSA, por no hablar de la evolución que han experimentado desde entonces los motores de búsqueda, pero en muchos aspectos hay una base que podría seguir siendo de aplicación y como poco nos permite averiguar cómo funcionaba esta agencia que vela por la tranquilidad de los habitantes de Estados Unidos de América.

Al final de las 643 páginas del documento hay un completo listado de recursos disponibles (al menos en 2007) online y algunos de los capítulos ayudan a comprender cómo funcionan los buscadores, a descubrir la “Internet invisible”, a efectuar búsquedas en otros idiomas, consultar directorios de números de teléfono y fax por no hablar de los foros, los blogs y los agregadores de contenido o localizar físicamente una dirección IP.

vINQulo

Agencia de Seguridad Nacional

http://www.theinquirer.es/2013/05/09/untangling-the-web-sale-a-la-luz-el-documento-de-la-nsa-para-aprender-a-espiar-en-internet.html

El pasado 19 de enero se lanzó al público el servicio de almacenamiento en la nube denominado Mega.

Mega pretendía ser el sucesor de Megaupload aunque no lo ha conseguido debido a la poca confianza que tiene la gente tras perder todos los archivos. Tampoco está ganando usuarios como tenía Megaupload debido a que sus políticas restringen el almacenamiento de todo contenido con derechos de autor en sus servidores bajo la posibilidad de eliminarlo sin confirmación del usuario final.

Lo que sí que cumple el servicio Mega es la protección de nuestros archivos almacenándolos todos bajo un cifrado prácticamente indestructible lo que asegura que nuestros archivos no caerán en malas manos de forma no intencionada.

La seguridad de Mega consiste en un cifrado AES cuya clave se adjunta al link del archivo y no es conocida por nadie, ni siquiera por el propio Mega, por lo que la única forma de que la clave del archivo sea conocida es publicándola en internet junto al link. También se calcula una clave para cada fichero por lo que aunque publiquemos la clave de un archivo no será válido para otro que tengamos almacenado.

Ahora Dotcom ha confirmado el lanzamiento de un servidor de mensajería instantánea y correo electrónico con cifrado y seguridad militar que pretende proteger nuestra privacidad ante los grandes servidores como Google o Microsoft.

Kim Dotcom pretende conseguir una herramienta que ofrezca a los usuarios dicho cifrado sin que ello suponga la más mínima dificultad de uso ni consuma excesivos recursos. También quiere que dicho servicio esté integrado en el universo Mega para que, desde su propia página web podamos acceder a todo ello.

Sin duda, un servidor de correo seguro y, sobretodo, un servidor de mensajería instantánea con un cifrado extremo es necesario ya que cada vez hacemos más uso de estas tecnologías y nuestra privacidad está en constante peligro.

¿Terminará de adaptarse los servicios que ofrece Kim o finalmente será usado por unos pocos al igual que ha ocurrido con Mega debido a la desconfianza por el infortunio de Megaupload?

http://www.redeszone.net/2013/05/09/kim-dotcom-confirma-un-servicio-de-mensajeria-con-cifrado-militar/

Sí, el titular es correcto aunque evidentemente no hace falta meter el dedo por la cerradura. Únicamente basta con tocarla y llevar cerca un smartphone, ya que no hay magia de por medio, si no un software que realiza estas maravillas. La cerradura se llama Kwikset Kevo y ya está disponible, aunque de momento solo tiene aplicación para el sistema operativo de Apple.

La cerradura en sí se conecta con el teléfono móvil mediante Bluetooth 4.0, con lo cual es compatible con cualquier smartphone que lo incorpore, aunque a estas alturas la gran mayoría dispone de él. Lo que pasa es que de momento solo está disponible para los iPhone, así que los que tengan otro sistema operativo les tocará esperar de momento.

Pero el sistema es muy ingenioso. Basta tocar la cerradura y la puerta se abre, sin hacer nada en el móvil. Únicamente debemos tenerlo cerca. Además la aplicación controla cuando ya estamos dentro de nuestro domicilio y no deja pasar a nadie más a menos que se le haya indicado lo contrario. Y aunque hoy en día la gran mayoría tenemos un smartphone, y se supone que quien se instale esta tecnología en casa también dispondrá de uno, si no se tiene no pasa nada. La cerradura también viene con una llave digital que realiza la misma función que el teléfono móvil.

http://www.softzone.es/wp-content/uploads/2013/05/kevo-130508-3.jpg

Podemos prestar la llave

La entrada a la casa no es personal e intransferible. Si no estamos en casa y queremos que un familiar o un amigo puedan entrar en nuestro domicilio sin tener que dejarle una llave, podemos mandarle un permiso a través del móvil y durante un periodo de tiempo esta persona también podría abrir la puerta. Basta con dar tres toques a la cerradura para que también, cualquiera, pueda cerrar la puerta de casa.

El sistema es original, pero este tipo de tecnologías siempre llevan el debate hacia la seguridad. ¿Es suficientemente segura la cifrado del Bluetooth? Si no nos damos cuenta de que nos han robado el móvil y llevamos la dirección de nuestra casa en el propio smartphone, algo corriente, también podría resultar peligroso un sistema de este tipo. ¿Qué pensáis vosotros?

Fuente: Xataka

http://www.softzone.es/2013/05/09/ya-es-posible-abrir-cerraduras-con-el-dedo/

Aparece una nueva estafa en forma de servicio Premium de SMS que ya afecta a multitud de personas. Sin darse cuenta, los afectados comienzan a enviar mensajes al número 797969 varias veces al día. Existen casos de personas que reclaman hasta 50 euros en un mes por culpa de este número.

Cada SMS enviado al número 797969 le cuesta al usuario 1,10 euros sin incluir los impuestos indirectos. En el caso que hemos localizado, el móvil del afectado enviaba 4 mensajes de texto Premium más otros 4 mensajes normales. En total, cada día le costaba unos 5 euros en este tipo de mensajes. En los 9 días que llevamos del mes de mayo, ya lleva gastados casi 33 euros solo en mensajes de texto Premium.

Aunque no es el único caso. La Red se encuentra plagada de personas que denuncian esta estafa, como por ejemplo, en este foro de listaspam.com. Los usuarios explican que no se han dado de alta voluntariamente en ningún servicio. Las cantidades estafadas a cada uno de ellos se mueven en torno a los 30-50 euros mensuales.

La mayoría de los afectados se han puesto en contacto con sus respectivas compañías de telefonía móvil, aunque con diverso resultado. Todas han conseguido darse de baja del servicio, pero solo a unos pocos les han prometido que les reembolsarán todo su dinero. Al resto, les instan a poner una denuncia ante la autoridad de consumo de su localidad.

Llamando a nuestra operadora nos debemos dar de baja sin problema, aunque algunos usuarios apuntan a que también podemos enviar BAJA al citado número, es decir, 797969. Recomendamos revisar nuestras facturas y los consumos actuales para descartar que estemos afectados por este timo.

A continuación, os dejamos una imagen con varias evidencias de un afectado. En ella podemos ver el consumo en servicios Premium del mes actual, un detalle de estos SMS enviados y por último, el importe total pagado en el mes de abril. Si conocéis algún caso similar, nos gustaría conocer vuestra opinión en los comentarios o en nuestro foro.

http://cdn.adslzone.net/pub/adslzone.net/noticias/Timo-797969.jpg

http://www.adslzone.net/article11502-el-nuevo-timo-del-797969.html