MWR Labs ha expuesto dos vulnerabilidades en la EuSecWest Conferenceen Amsterdam que podrían permitir ejecutar código y escalar privilegios en un terminal con sistema operativo Android. El fallo, aunque reproducido a través de NFC, no está en esta tecnología.

El equipo de MWR Labs demostró en la competición Mobile Pwn2Own un exploit capaz de aprovechar una combinación dos vulnerabilidades en teléfono Samsung Galaxy S3 con Android 4.0.4 que permitía obtener completo control del sistema.

 La primera vulnerabilidad es una corrupción de memoria que podría permitir un control limitado del terminal. El fallo está en un "visor de documentos" que viene por defecto instalado en Android 4.04 de Galaxy S2, S3 y otros teléfonos HTC.

 El equipo de MRW Labs utilizó la tecnología NFC (Near Field Communication) para cargar un archivo malicioso que les permitió la ejecución de código, aunque también sería posible descargar ese fichero desde una página web, adjunto en un email, etc.

 La segunda vulnerabilidad permitiría elevar privilegios y evadir la sandbox del dispositivo, consiguiendo un control completo. De esta forma consiguieron instalar la herramienta "Mercury" y extraer de forma remota datos tales como la lista de contactos, SMS, emails, fotos, e incluso iniciar una llamada.

 Según el propio equipo, se usó NFC para enviar el payload simplemente para que resultara más espectacular. Así, basta simplemente con estar muy cerca de un atacante para poder subir el exploit al sistema. Una vez comprometido, podría establecer una red Wi-Fi con el atacante para poder recuperar los datos robados (desde los SMS hasta los contactos, pasando por las fotografías).

 La explotación es posible porque existen determinadas deficiencias en la implementación de ASLR y DEP en Android. No cubren "Bionic", el enlazador de Android, ni "/system/bin/app_process", responsable de iniciar las aplicaciones en el dispositivo.

 MWR Labs no ha hecho pública más información acerca de las vulnerabilidades y su explotación por el momento, quedando a la espera de un parche que las solucione.

 Más información:

 Mobile Pwn2Own at EuSecWest 2012 http://labs.mwrinfosecurity.com/blog/2012/09/19/mobile-pwn2own-at-eusecwest-2012/

 Galaxy S3 hacked via NFC at Mobile Pwn2Own competition http://www.techworld.com.au/article/436860/galaxy_s3_hacked_via_nfc_mobile_pwn2own_competition/

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/graves-vulnerabilidades-sin-parche-en-android-404

 La próxima versión mayor del proyecto Fedora, Spherical Cow, ya ha alcanzado la versión Alfa. Como suele ocurrir con cada lanzamiento de esta popular distribución GNU/Linux, hay novedades importantes, pero en este caso, presenta una que va a facilitar aún más la instalación para usuarios poco familiarizados con el proyecto: una nueva interfaz minimalista para Anaconda que reduce al mínimo los pasos necesarios para poner Fedora en marcha.

 

 Algunos inconvenientes
 Diversos problemas de última hora han retrasado el lanzamiento tres semanas, por lo que la hoja de ruta completa de la distribución se mueve en ese espacio temporal y la versión definitiva estaría terminada para finales de noviembre.

 

 Advierten en el proyecto que esta entrega es muy inestable, y presenta un bug cuyo resultado es que, en el modo de asignación automática de particiones, formatea los discos seleccionados sin previo aviso. Por tanto, lo mejor para realizar pruebas es el modo Live o la instalación en una máquina virtual.

 La nueva cara de Anaconda
 Ya no habrá excusas esgrimiendo dificultad para no instalar Fedora 18 Spherical Cow. La nueva interfaz minimalista de Anaconda simplifica al máximo el proceso. Como podréis ver en imagen de portada, las decisiones que ha de tomar el usuarios son simples.

 Hay tres fundamentales, señaladas con un icono de advertencia: zona horaria, selección de software y destino de la instalación. El resto son menos importantes en el proceso: idioma (se puede seleccionar antes), fuente de instalación (detecta automáticamente el soporte óptico o la imagen ISO), teclado (inglés USA por defecto), contraseña de root y configuración de red (que suele detectar de forma automática también).

 

 Sabiendo lo que estamos haciendo, no lleva más de un minuto seleccionar las opciones. En la galería de imágenes que tenéis a pie de artículo, podéis ver de forma gráfica todo el proceso. Después comienza la instalación en sí misma, que requiere varios minutos, y cuyo progreso puede seguirse en la oportuna barra destinada a tal fin. Cuando termina reiniciamos el sistema.

 Una vez se inicia la máquina quedan tres pasos adicionales: información de la licencia, la pantalla para crear el usuario normal, la de fecha y hora (que permite sincronizar estos parámetros con servidores en Internet), y ya tenemos la distribución lista para trabajar.

 

 Entornos de escritorio en Fedora 18
 Lo más destacable es la incorporación de versiones avanzadas de diversos entornos de escritorio: GNOME 3.6, KDE SC 4.9, Xfce 4.10, Cinnamon 1.6, componentes de MATE (derivado de la rama 2x de GNOME). También soporte para UEFI Secure Boot, sin terminar completamente a la hora de escribir estas líneas.

 

 Queda mucho trabajo por hacer hasta que estén disponibles las nuevas características, pero con el lanzamiento de esta versión Alfa ya podemos tener idea de lo que va a ser Fedora 18 Spherical Cow, que traerá de serie aplicaciones como RPM 4.10, Rails 3.2, Samba 4, Sugar 0.98, Python 3.3, entre otras. También destacar la posibilidad de establecer un punto de acceso mediante NetworkManage




Anaconda en Fedora 18 Spherical Cow
 (Haz click en una imagen para ampliarla)

 

 

 

 

 

 

 

 

 

FUENTE :http://www.genbeta.com/linux/fedora-18-alfa-sus-novedades-y-el-nuevo-instalador-simplificado

 Publicado el 20 de septiembre de 2012 por Jaime Domenech

La popular enciclopedia online Wikipedia está de actualidad tras haberse dado a conocer casos de corrupción que afectaban a las páginas y su ubicación en la portada de la web.

 En el primer caso se asegura que Roger Bamkin, uno de los responsables de la Wikimedia Foundation en el Reino Unido y reputado consultor de Relaciones Públicas, habría estado empleando el apartado “Did You Know” de la portada de Wikipedia en beneficio de Gibraltar, que es uno de sus clientes.

 Durante el mes de agosto Gibraltar apareció en la portada de la Wikipedia un total de 17 veces, lo que implica que el paraíso fiscal tuvo mayor espacio que los Juegos Olímpicos durante ese tiempo.

 Jimmy Wales, máximo responsable de la Wikipedia, ha reconocido los hechos y ha criticado en una carta el comportamiento inapropiado de Bamkin, ya que no es de recibo aceptar el pago de clientes a cambio de aparecer en posición destacada en la portada.

 Lo malo para Wikipedia es que los escándalos no acaban ahí, ya que miembros de la comunidad también destaparon una estrategia de posicionamiento en Google de Max Klein, editor de la revista GLAM.

 Básicamente, Klein garantizaba a sus clientes que sus páginas en Wikipedia aparecerían entre los tres primeros resultados del buscador Google.

 El profesional había ideado un método para saltarse el conocido como “Conflicto de Intereses” presente en la edición de contenidos para Wikipedia, lo que implica que pudo editar 10.000 artículos durante los últimos ocho años.

 Al conocerse esa desagradable noticia, Wales declaró que no conocía el caso, pero aseguró que si era cierto era una situación muy desagradable para su organización.

 En cualquier caso, los expertos aclaran que hay un serio problema con toda esta polémica, ya que la política de Wikimedia UK no menciona en ningún sitio que esté prohibido el pago de dinero para la edición de páginas de la Wikipedia.

 ¿Qué os parecen estos vergonzosos casos de corrupción que han afectado a la Wikipedia?

 vINQulos

 TechEye

FUENTE :http://www.theinquirer.es/2012/09/20/la-corrupcion-salpica-a-wikipedia.html

 Publicado el 20 de septiembre de 2012 por Jaime Domenech

 HP acaba de anunciar tres nuevos ordenadores portátiles de gama media que vendrán con el sistema operativo Windows 8 y prometen unos costes asequibles.

 Nos referimos al Envy m4, y los modelos Sleekbook 14 y Sleekbook 15, siendo estos dos últimos cercanos al estilo de los ultrabooks.

 En el caso del Envy m4, el ordenador tiene pantalla de 14 pulgadas y resolución de 1.366 x 768 píxeles, y destaca por una carcasa de aluminio y venir equipado con procesadores Intel, que podrán seleccionarse entre modelos de la serie i3 o i5.

 Además en el apartado de la RAM se pueden elegir configuraciones de un máximo de 8GB, mientras que para el almacenamiento se puede optar por discos duros de hasta un máximo de 1TB.

 Se completa el portátil con funciones como escáner de huellas digitales, batería con 8 horas de duración y teclado retroiluminado.

 En el caso de los Sleekbooks de la familia Pavilion, como sus nombres indican, las pantallas son de 14 y 15,6 pulgadas.

 Para el procesador se apuesta por AMD en el modelo Slekbook 14, mientras que su hermano mayor se decanta por un chip Ivy Bridge de Intel y permite instalar una tarjeta gráfica de Nvidia.

 En el apartado de almacenamiento coinciden con el Envy M4 así como en el plano de la conectividad, donde apreciamos webcam HD, Puertos HDMI y USB 3.0.

 Se espera que los nuevos modelos se estrenen en el mercado a finales de octubre aprovechando el debut de Windows 8 y tengan un coste de 899 dólares para el Envy m4, 499 dólares para el Sleekbook 14, y 599 para el Sleekbook 15.

 

 vINQulos

 DigitalTrends

FUENTE :http://www.theinquirer.es/2012/09/20/mas-propuestas-de-hp-para-el-universo-windows-8.html

 Publicado el 20 de septiembre de 2012 por Jaime Domenech

El sistema de código abierto también acabará llegando a la industria del automóvil gracias a los esfuerzos de la Fundación Linux que acaba de crear el grupo de trabajo conocido como Automotive Grade Linux Workgroup.

 Esa organización nace con el apoyo de importantes fabricantes de coches como es el caso de Toyota, Nissan, Jaguar y Land Rover, así como de empresas tecnológicas de la talla de Intel, Samsung, NEC, Texas Instruments, NVIDIA o Harman.

 La idea es que Linux Tizen, la plataforma auspiciada por Samsung e Intel, llegue a gobernar los sistemas informáticos de algunos vehículos.

 El grupo de trabajo ha anunciado que va a colaborar en el desarrollo y establecimiento de unos estándares para los dispositivos y los servicios basados en Linux que funcionen en los coches, haciendo primero hincapié en aplicaciones que estén integradas en los automóviles.

 Eso implicará que Linux Tizen llegará a estar presente en las herramientas de entretenimiento e información de los vehículos de esas marcas, así como en todo lo que se refiere a apartados técnicos como la monitorización de la velocidad, el control del kilometraje o los niveles de aceite y los diagnósticos de averías.

 vINQulos

 TechCrunch

FUENTE :http://www.theinquirer.es/2012/09/20/linux-se-asegura-la-entrada-el-mundo-del-automovil.html

 Publicado el 20 de septiembre de 2012 por Jaime Domenech

La justicia alemana ha dado la razón a Microsoft en su lucha en los tribunales contra Google, y finalmente la marca de Mountain View se verá obligada a interrumpir la venta de algunos móviles y tabletas de Motorola Mobility.

 El dictamen del juez ha indicado que la paralización debe hacerse ya efectiva, aunque primero ha obligado a Microsoft a realizar un déposito de 61,4 millones de dólares para que pueda llevarse a cabo.

 El gigante de Redmond había reclamado ante la justicia germana que una funcionalidad de Android que emplean los terminales de Motorola incumple una de sus patentes, concretamente en la que se describe “un método y sistema para recibir datos de entrada del usuario en un sistema informático con un entorno gráfico con ventanas”.

 Lo cierto es que Google ha anunciado que está barajando la posibilidad de interponer un recurso ante la decisión del tribunal, aunque no parece que le convenga demasiado esa estrategia.

 En ese sentido, conviene recordar que el resto de marcas que tienen dispositivos con Android y fueron demandadas por Microsoft acabaron llegando a un acuerdo de royalties con ella, por lo que esa parece ser la salida más sencilla al conflicto.

Más información en ITespresso

FUENTE :http://www.theinquirer.es/2012/09/20/microsoft-derrota-a-google-en-alemania.html

La Comisión de Mercado de las Telecomunicaciones (CMT) ha dado el visto bueno a la oferta de Movistar Fusión con ADSL, sin embargo, la propuesta que incluye fibra óptica con 100 megas todavía no ha sido revisada por el regulador porque la operadora no la ha presentado.

Movistar lanzará el día 1 de octubre sus cuatro propuestas de Fusión sin ningún tipo de objección. Sin embargo, la oferta de fibra óptica "empaquetada" no ha sido revisada todavía porque Movistar no la ha enviado al regulador.Visto bueno del Consejo

La CMT ha analizado dos de las cuatro propuestas de Movistar Fusión y ha dado su visto bueno. Según el regulador, ambas promociones se pueden replicar con los precios mayoristas que hay aprobados y no encuentra inconveniente en su comercialización. Además, la CMT señala que en el mercado europeo hay otros operadores incumbentes que cuentan con ofertas similares. Por tanto, Orange y Vodafone tendrán que competir en el mercado olvidándose de la vía regulatoria.

¿Qué sucede con Fusión Fibra?

En el caso de las ofertas de fibra óptica, Movistar no ha presentado sus propuestas al regulador porque entiende que al superar la velocidad regulada de 30 megas no nay necesidad, sin embargo, fuentes de la CMT reconocen que "quieren ver las promociones" ya que no son solo fibra óptica, incluyen otros servicios como la telefonía móvil.

¿Podría bloquear la CMT dichas promociones?

Parece muy improbable que el regulador decida actuar sobre Fusión Fibra, se trata de un servicio similar al que presta con ADSL que cuesta 10 euros más caro y ofrece 10 veces más velocidad, hasta 100 megas. Recordamos que Movistar tiene libertad absoluta para comercializar ofertas de fibra por encima de 30 megas. Hasta esa velocidad los operadores alternativos podrían revender las ofertas de FTTH.

FUENTE :http://www.adslzone.net/article9517-la-cmt-quiere-ver-la-oferta-de-fusion-fibra-porque-movistar-no-la-ha-presentado.html

Varios correos electrónicos dieron la voz de alerta: el presidente del Congreso llamando a "desocupar" la Cámara Baja el próximo 25 de septiembre. Estos e-mails, obviamente, eran falsos porque no los había enviado Jesús Posada, sino alguien en su nombre. Ahora la Policía investiga quién ha suplantado su identidad o pirateado su cuenta, informan a ELMUNDO.es fuentes parlamentarias.

 El presunto 'hackeo' del correo electrónico del presidente del Congreso se produce días antes de la convocatoria 'Ocupa el Congreso', que tanta polémica ha generado desde mediados de agosto por su intención acampar en los alrededores hasta obligar al Gobierno a dimitir y disolver las Cortes.

 La fecha elegida no es casual. Ese día hay convocado un pleno en la Cámara Baja. El plan de los organizadores es que varias marchas confluyan por la tarde en las plazas de la Puerta del Sol, Neptuno y Cibeles, con el objetivo de crear "un cinturón triangular" donde acampar.

 El propio Posada se pronunció al respecto el 15 de agosto, cuando al igual que hoy, los aledaños del Congreso permanecían blindados con vallas y vigilancia policial las 24 horas. Entonces hizo una firme defensa del sistema de seguridad desplegado. "Es mucho mejor prevenir con fuerza suficiente para que no haya incidentes, a que haya incidentes y luego tener que intervenir", dijo. Asimismo, y ante el temor de "algaradas callejeras", expresó su confianza en que el Ministerio del Interior adoptase "las medidas oportunas" ante cualquier concentración.

 Durante estas semanas, colectivos del 15-M se han desvinculado de la convocatoria del 25 de septiembre, cuyos objetivos fueron tildados por el diputado del PSOE, José Martínez Olmos, de "antesala de un golpe de Estado".

FUENTE :http://www.elmundo.es/elmundo/2012/09/20/espana/1348163544.html

 Aunque muchos sabréis qué es un certificado digital, ¿quién sabría usarlos para certificar un correo o una web? No es un proceso precisamente simple. Por eso hoy os hablamos de eGarante, una herramienta web que os permitirá obtener certificados con sello de tiempo de correos electrónicos y de páginas web.
 
 Estos certificados son evidencias digitales. Un certificado de una página web os asegura de forma prácticamente irrefutable el contenido de la página a una hora determinada, lo que os sería muy útil si, por ejemplo, os encontráis con un precio en una tienda por Internet y luego os cobran otro. En el caso de correos, ese certificado se podría usar como contrato privado vinculante.

 Para obtener un certificado de un correo sólo hace falta poner en copia a mailsigned@egarante.com y tanto tú como el destinatario del correo recibiréis una copia PDF certificada del correo con sello de tiempo. Si no quieres que el destinatario lo reciba tienes que usar el campo BCC (Copia oculta) en lugar de CC.

 Para firmar una web el proceso también es muy sencillo. Podéis usar la interfaz web o, si queréis, enviar un correo a websigned@egarante.com poniendo la dirección de la web en el asunto del correo. Después de un rato (sed pacientes, no es instantáneo) recibiréis un PDF firmado con sello de tiempo en el que veréis la web tal y como estaba en ese momento.

 La firma y sello se pueden verificar en Adobe Reader, aunque primero tenéis que añadir el certificado de eGarante en el menú de Identidades de Confianza. eGarante es un proyecto español creado por Yago Jesús, de Security By Default, y totalmente gratuito para uso no profesional.

 Sitio oficial | eGarante

FUENTE :http://www.genbeta.com/seguridad/egarante-certifica-digitalmente-correos-y-webs-de-forma-sencilla

Al menos 19 páginas web del Gobierno y de varias instituciones de Japón han sido atacadas desde el 11 de septiembre, cuando las autoridades niponas anunciaron la compra de las islas Senkaku/Diaoyu, cuya soberanía reivindican también China y Taiwán. La Policía ha indicado que entre las webs atacadas se encuentran la del Ministerio de Defensa, la del Tribunal Supremo y la del Instituto de Tecnología de Tokio, de acuerdo con la televisión pública NHK.

En unos casos, los accesos a las páginas permanecieron bloqueados durante 15 horas y, en otros, la portada fue sustituida por banderas chinas. Además, se han robado los datos personales de un millar de japoneses.

 Las autoridades niponas atribuyen esta oleada de ataques a los llamamientos que se han hecho desde las redes sociales chinas, donde se han publicado hasta 4.000 mensajes de este tipo y se han fijado hasta 300 objetivos.

 La tensión bilateral se disparó la semana pasada, cuando elGobierno de Japón anunció la compra de tres de las cinco islas que forman el archipiélago a su propietario privado por 2.000 millones de yenes (20 millones de euros), que saldrán de los fondos reservados.

 El plan de compra se puso sobre la mesa el pasado mes de junio, cuando el jefe de Gabinete, Osamu Fujimura, anunció la intención del Gobierno de sustituir el actual contrato de arrendamiento por uno que garantizara el control de las autoridades niponas sobre el archipiélago.

 Sin embargo, la disputa territorial se remonta a 1895, cuandoJapón se anexionó formalmente las islas para construir una planta procesadora de atún que dio empleo a 200 personas, aunque en 1940 el negocio se desplomó y las islas quedaron desiertas.

 Entre 1945 y 1972, el archipiélago permaneció bajo dominación estadounidense, como parte de los acuerdos alcanzados entreWashington y Tokio tras laSegunda Guerra Mundial. Desde la salida estadounidense de las islas, China y Taiwán reclaman su soberanía.

China alega que descubrió el archipiélago en el siglo XIV y, a pesar de las tensas relaciones que mantiene con Taiwán, reconoce que algunas islas pertenecen al territorio como parte de la ciudad de Toucheng, ubicada en el condado de Yilan.

 En cambio, Japón asegura que el archipiélago pertenece al completo a la ciudad de Ishigaki, ubicada en la prefectura de Okinawa, y, por tanto, rechaza las reivindicaciones chinas y cualquier acuerdo alcanzado entre Pekín y Taipei.

FUENTE :http://www.laflecha.net/canales/blackhats/noticias/una-veintena-de-webs-institucionales-de-japon-victimas-de-un-ciberataque