Hemos realizado un estudio sobre once fabricantes para conocer cuánto tardan en corregir sus vulnerabilidades reportadas de forma privada. Sobre 1045 fallos, la conclusión es que la media global es de 177 días, mientras que RealNetworks tarda 321 días y Mozilla sólo 74.

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes "perciben" el peligro de utilizar ese software. En Hispasec hemos realizado un estudio sobre 1.045 vulnerabilidades de los fabricantes: Novell, HP, Microsoft, Apple, IBM, CA, Symantec, Oracle, Adobe, Mozilla y RealNetworks desde 2005.

Este es una actualización del estudio realizado en 2009. Si hace dos años se analizaron 449 vulnerabilidades desde 2005 hasta septiembre de 2009, ahora se amplía el cálculo desde 2005 hasta final de julio de 2011 con 1.045. Además, se añaden dos fabricantes a la comparativa: RealNetworks y Mozilla que curiosamente son el que peor y mejor media tienen respectivamente.
 http://blog.hispasec.com/laboratorio/images/noticias/mediavulns.png

Algunas de las conclusiones del nuevo estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad es solucionada dos años después de ser descubierta, y otros en los que se tardan apenas unos días. La mayoría de las vulnerabilidades se resuelven antes de 6 meses (un 67,53%), pero aun así en cerca del 10% de los casos se necesita más de un año para arreglarlas.

Los resultados obtenidos se podrían clasificar en dos grandes grupos:

* RealNetworks, Oracle, IBM, HP y Microsoft que pasan de la media global.

* Novell, Apple, CA, Symantec, Adobe y Mozilla que bajan de la media global, destacando Mozilla como el que disfruta de la media más baja.

El 93% de las vulnerabilidades de Mozilla y el 83,60% de las de Novell, se corrigen antes de los 6 meses, mientras que RealNetworks y Microsoft lo consiguen solo en el 33,3 y 52% de los casos respectivamente.

Todos los datos y el informe completo, está disponibles desde:

 http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades_v2.pdf


El anterior informe:
 http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf

Sergio de los Santos
 ssantos@hispasec.com
Twitter: @ssantosv

FUENTE :http://www.hispasec.com/unaaldia/4666

Perfect 10, un sitio web porno con una cierta trayectoria de litigios, ha ganado el primer paso de una importante demanda contra Megaupload -un popular servicio de almacenamiento en red y descarga directa- por infracción de derechos de autor.

El caso sigue adelante después de que una juez de EEUU hiciera oídos sordos a las alegaciones de Megaupload y dictaminase que el caso debe continuar debido a las sospechas de que el servicio infringe directamente derechos de propiedad intelectual, informaTechdirt.

Concretamente, la juez Irma González del Distrito Sur de California estima que puede haber infracción directa de la propiedad intelectual de Perfect 10 por parte de Megaupload, aunque niega otras reclamaciones del sitio pornográfico relacionadas, entre otras, con la marca.

Megaupload, que además opera sitios como Megarotic.com, Megaporn.com, Megavideo.com y Megaclick.com, alega que sirve más como un conducto de contenidos, dado que éstos son subidos al servicio por los usuarios y no por la compañía. No es más que una simple compañía de almacenamiento de datos, asegura, en la misma línea que lo que hace un año alegó una compañía similar, RapidShare, en Alemania.

Conducta no tan pasiva

No obstante, según la juez, la conducta de Megaupload es más que meramente pasiva. "Ha creado sitios web distintos, posiblemente como un intento por simplificar el acceso de los usuarios a diferentes tipos de medios".

"Se alienta y en algunos casos, paga a sus usuarios subir una gran cantidad de contenidos a través de sus programas de recompensas", afirma la juez.

Además, "difunde las direcciones URL de archivos" y "paga a sitios web afiliados que mantienen un catálogo de todos estos archivos". Por último, "es plausible considerar que tienen conocimiento de la creciente infracción que tiene lugar en su página web".

En la demanda Perfect 10 asegura que el servicio de almanecamiento 'online' alberga decenas de miles de imágenes de modelos y celebridades que son propiedad suya.

Megaupload.com, según la denuncia, se ha convertido en uno de los 100 sitios web más populares en Internet, con 45 millones de visitantes únicos por día.

Hace seis años, Perfect 10 exigió a Google que no facilitase imágenes de su propiedad en su buscador, un caso que ganó el gigante buscador. Entonces los jueces afirmaron que no sólo Google no era culpable de delitos de 'copyright', sino que, además, hacía publicidad de la revista sin que por ello reciba ningún tipo de remuneración.

En el punto de mira

Los sitios de almacenamiento 'online' de películas, programas de televisión, música y otros contenidos digitales -los llamadaos sitios de descarga directa- se encuentran desde hace poco tiempo en el punto de mira de las autoridades por cuestiones de protección de la propiedad intelectual, informa CNET News.

Estos sitios no suelen requerir el uso de un 'software' específico, y la realización de descargas suele ser más fácil. Además, estas descargas suelen ser más complicadas de rastrear comparadas con otras vías de intercambio de archivos, como BitTorrent.

El Senado de EEUU está considerando una legislación que convertiría en delito subir una película o música con derechos de autor sin autorización a sitios como YouTube o Megaupload.

FUENTE :http://www.elmundo.es/elmundo/2011/08/03/navegante/1312366110.html

Como ya habíamos hablado de Li-Fi, no podía dejar pasar la oportunidad de compartir lo que científicos alemanes han logrado hacer con untecho lleno de bombillas LED y "algunos componentes" de fácil acceso económico que darían la posibilidad para que cualquier persona con tiempo libre pueda hacer lo ellos lograron.

La hazaña, tal como lo menciono en el título, es que lograron crear una red inalámbrica con la capacidad de transmitir contenido con velocidad de 800 Mbps. Con esto, según ISPreview, un nuevo récord mundial se ha roto en la transmisión de datos a través de la luz (VLC oVisible Light Communications).

Como se aclaró en el artículo anterior, este tipo de conexión es bastante limitada porque necesita que el emisor y el receptor estén en la misma línea sin ningún tipo de interrupción. Pero a pesar de eso, se las arreglaron para que las pruebas arrojaran la posibilidad de transferir cuatro vídeos de manera simultanea y en alta definición a cuatro ordenadores diferencia sin ningún tipo de lag o intermitencia.

Esta tecnología es ideal para ser utilizada en autobuses, aviones o lugares cerrados con distancias entre equipos no mayor a los 10 metros cuadrados. Por lo tanto, es una alternativa que claramente no viene a sustituir los estándares de transmisión de datos actuales, pero definitivamente por la potencia y el rendimiento que ofrece es que no pasa por debajo de la mesa y seguirá estando entre las tecnologías más rápidas y económicas que se han descubierto y mejorado.

Por ahora es necesario que se siga perfeccionando y mientras haya personas como el profesor Harald Haas, de la Universidad de Edimburgo, estoy seguro que seguirá creciendo, sólo tiene que encontrar el lugar adecuado para ser explotada.

FUENTE :http://www.laflecha.net/canales/wireless/noticias/red-inalambrica-creada-con-luces-led-que-alcanza-una-velocidad-de-transferencia-de-800-mbps

Se ha publicado la actualización del kernel para OpenSUSE 11.4 a la versión 2.6.37.6, en la que se corrigen hasta 14 vulnerabilidades de diversa índole y efectos. Los problemas corregidos podrían permitir la realización de ataques de denegación de servicio, elevación de privilegios, e incluso el compromiso total del sistema a atacantes locales.

Los problemas corregidos están relacionados con la interfaz /proc/PID/io; con kernel/taskstats.c; con drivers/char/agp/generic.c; con ip_expire(); con kernel/pid.c; con los sistemas de archivos ext4, proc y NFS y con particiones LDM.

Se recomienda actualizar a la última versión del kernel, a través de la instrucción:
zypper in -t patch kernel-4932.

Antonio Ropero
 antonior@hispasec.com
Twitter: @aropero

FUENTE :http://www.hispasec.com/unaaldia/4665

Este es el gráfico del citado estudio, que ahora se demuestra falso. Las barras rojas corresponden a los resultados de este año, las azules a los de 2006.

Hace unos días empezó a distribuirse por Internet un estudio que decía que los usuarios de Internet Explorer, especialmente los de la versión 6, tienen un coeficiente intelectual menor que la media. Para los investigadores, la media de coeficiente intelectual era más o menos de 80, lo que les dejaba dentro del rango de estúpidos (literalmente: ved las tablas de referencia).

El estudio, además de tener un propósito bastante idiota, dejaba bastante que desear en cuanto a su rigor estadístico y al procedimiento de recolección de datos. Y con razón: la BBC ha investigado y el estudio ha resultado ser un hoax, una trampa, una falsedad. Es decir, que los usuarios de Internet Explorer no son tontos, ni tampoco los de Opera son casi genios, como decía el estudio.

Lo que sí es tonto es intentar relacionar el hecho de que alguien use un navegador con el nivel de inteligencia que tenga. Primero de todo, hay que tener en cuenta que Internet Explorer es un navegador que cumple su propósito: navegar por Internet. Es decir, que a mucha gente le valdrá y encajará dentro de lo que ellos buscan. ¿Es de tontos usar un navegador que se adapta a lo que yo busco? Sí, hay más alternativas, pero Internet Explorer es una perfectamente válida.

El estudio se dirigía más específicamente a Internet Explorer 6. Sí, está claro que Internet Explorer 6 es un navegador atrasado, pero hay varias razones por las que la gente lo sigue usando, y que no tienen nada que ver con que sean estúpidos.

Por ejemplo, muchas empresas siguen usando Internet Explorer 6 por falta de recursos para actualizar, o porque las aplicaciones que tienen sólo son compatibles con esa versión específica. Esto no hace a los usuarios más o menos tontos: usan el navegador su empresa les proporciona.

También está el caso de la gente que usa IE 6 en sus ordenadores personales porque ya estaba ahí. Conozco casos de gente muy inteligente, pero que por pereza o por poco conocimiento de los ordenadores no actualizan. Seguramente todos tengáis a algún familiar cercano en esta situación: gente que no se apaña con los ordenadores, pero que en otros campos es perfectamente válida (e incluso más inteligente que los que usan navegadores de “listos” según este estudio).

Aquí hay que tener en cuenta que los usuarios que buscamos alternativas somos un porcentaje pequeño. La gran mayoría se queda con lo que está simplemente porque les sirve.

Traslademos está situación para que lo entendáis mejor: imaginaos que queréis bucear en la playa. Pues cogeréis las primeras gafas, tubo y aletas que os gusten y hala, a bucear. Un experto en buceo os dirá que son mucho mejores las de tal marca. Pero, ¿qué más os dará a vosotros si lo único que queréis es bucear un rato? Mientras sirvan, el resto de detalles da un poco lo mismo.

Con muchos usuarios pasa lo mismo: mientras su navegador siga funcionando no les hará falta cambiar. Es cierto que Internet Explorer 6 ya empieza a ser incompatible con muchas webs, y precisamente es una de las razones de que su uso siga bajando. Aun así, sigue habiendo gente que sólo utiliza Internet para navegar de vez en cuando, y que usan IE6 porque están acostumbrados a él.

Encasillar a los usuarios por el software que usan, un error

Está claro que sí, habrá gente poco inteligente usando Internet Explorer 6, pero también la habrá usando Firefox, Chrome, Safari y Opera. Y del mismo modo, habrá verdaderos genios usando Internet Explorer 6, pero que estén condicionados por alguno de los casos que decía arriba.

Lo que de ningún modo se puede hacer es generalizar que los usuarios de tal navegador tienen un coeficiente intelectual de X. De hecho, estoy bastante convencido de que, si se hiciese bien un estudio con rigor estadístico no habría prácticamente diferencias entre el coeficiente intelectual de unos y otros usuarios.

Y, de la misma forma que no podemos generalizar con navegadores, tampoco podemos hacerlo con sistemas operativos ni con ningún otro tipo de software, ni con nada. No podemos clasificar a la gente por lo que usa. No sabemos si es que no necesitan más, o si tienen algún otro tipo de circunstancias que les hagan usar uno u otro navegador. Por eso, creo que la mayoría de estudios de este tipo no tiene mucho sentido y habría que cuidarse de hacerles caso.

FUENTE :http://www.genbeta.com/actualidad/los-usuarios-de-ie-no-son-mas-tontos-que-el-resto-obviamente

Relacionado : https://foro.elhacker.net/noticias/un_estudio_asegura_que_los_usuarios_de_chrome_y_firefox_son_mas_inteligentes-t335174.0.html;msg1646088;topicseen#msg1646088

La mayoría de los estadounidenses creen que su Gobierno debe autorizar ataques cibernéticos si fuera necesario, nunca han ido al psiquiatra ni al terapeuta y muchos mencionaron a James Bond como su héroe de ficción preferido.

Un 56 por ciento los 1.045 adultos estadounidenses encuestados por 60 Minutes/Vanity Fair creen que los ataques cibernéticos son una táctica de guerra necesaria, mientras un 27 por ciento se opone a la idea y un 17 por ciento dicen que no tienen idea.

Los últimos blancos de ataques cibernéticos, que incluyeron al contratista de defensa Lockheed Martin Corp., el Fondo Monetario Internacional y la Agencia Central de Inteligencia, plantearon dudas sobre la seguridad del Gobierno estadounidense y los sistemas informáticos corporativos, así como sobre la capacidad de las autoridades de perseguir a los piratas.

"Quizás debido a las películas y tal vez a causa de algunos incidentes recientes muy publicitados, los estadounidenses parecen estar conscientes de que los ataques cibernéticos son una mayor amenaza a su forma de vida que cualquier tipo de guerra tradicional", dijo Cullen Murphy, editor general de la revista Vanity Fair.

La encuesta 60 Minutes/Vanity Fair también mostró que aunque un 64 por ciento de los encuestados dijo que no han visto a un terapeuta o psiquiatra, cuatro de cada 10 estadounidenses de edades comprendidas entre 30 y 64 años dijo que han consultado uno.

James Bond, o el agente 007, fue por lejos el héroe de ficción más popular elegido por los estadounidenses, con un 31 por ciento de los votos. Lo siguió Sherlock Holmes con un 20 por ciento, el Capitán Jack Sparrow con un 18 por ciento y Harry Potter en un lejano 15 por ciento. Lara Croft, la única heroína mujer en la encuesta, obtuvo sólo un 9 por ciento.

Y a pesar de la cobertura total de los medios de la boda real británica en abril, sólo un 52 por ciento de los estadounidenses sabía que Pippa Middleton era la hermana de Kate Middleton, esposa del príncipe Guillermo.

Un 6 por ciento de las personas encuestadas pensaba que Pippa era un personaje de libro infantil y un 2 por ciento dijo que era una actriz de cine para adultos o una diseñadora de modas.

La encuesta también pidió a estadounidenses que valoraran la seguridad mundial antes y después de los ataques del 11 de septiembre del 2001. Un 41 por ciento dijo que no había diferencia, un 27 por ciento dijo que era más seguro antes de los atentados y un 25 por ciento dijo que la seguridad era mayor en la actualidad.

FUENTE :http://www.iblnews.com/story/63670

¿Recordáis cuando Twitter lanzó la nueva versión de su cliente Web? La interfaz novedosa, integración de otros servicios, atajos de teclado… Todos estábamos nerviosísimos esperando a que nos llegara. Y en septiembre de 2010 se hizo realidad, aunque tardara más o menos tiempo en llegar a todos los usuarios (yo debí ser de los últimos).

En aquel momento muchos usuarios la probaron, y a algunos no les gustó, por lo que se volvieron al viejo Twitter, que sigue activa desde entonces. Aunque es más que obvio que los tiempos cambian: es por ello que va siendo hora de jubilar al antiguo cliente Web de Twitter. Los de San Francisco lo saben y por eso planean retirarlo esta semana, como ya han anunciado. Va siendo hora, la verdad.

De hecho los pocos que quedaban usando el Twitter viejo lo hacían, justo, por su simplicidad. Mucho más rápido de cargar, sin tantas funciones útiles pero innecesarias para muchos. Hace pocas cosas, pero es experta en lo que es capaz de hacer. Me parece una decisión más que coherente que desde Twitter quieran centrarse en mantener una única versión de su cliente Web. Y para los usuarios quizá haya llegado la hora de migrar a un cliente de escritorio o a la nueva versión. Renovarse o morir, señores.

Vía | Genbeta Social Media | Mashable

FUENTE :http://www.genbeta.com/redes-sociales/el-viejo-twitter-esta-a-punto-de-desaparecer

Poco a poco el Centro de Software de Ubuntu va evolucionando. Hace unos meses os enseñamos unas capturas bastante interesantes, y hoy os traemos unas cuantas más que incluyen parte de lo que ya mostramos, junto con otros elementos nuevos.

Seguimos viendo el concepto de tener una primera presentación vistosa de todas las aplicaciones, al estilo de las tiendas de aplicaciones móviles de Android y Apple, y especialmente parecida a la web del Android Market con listas de aplicaciones más descargadas y valoradas y una clasificación por categorías.

Además, la interfaz añade unos botones para que podamos acceder rápidamente a las categorías de software, a las aplicaciones instaladas y a la historia de cambios. Podéis ver esto en la galería de imágenes (capturas tomadas por OMG! Ubuntu).

Las capturas vienen de la última versión de desarrollo del Ubuntu Software Center para Oneiric Ocelot (11.10), así que todavía puede cambiar. No es seguro que el nuevo centro de Software vaya a estar incluido en Ubuntu 11.10, pero si llega a estarlo estoy bastante convencido de que será muy parecido al que podéis ver en las imágenes.

Puede que parezca una tontería, pero el Ubuntu Software Center es una parte muy importante del sistema operativo. Es la puerta que ven los usuarios a las nuevas aplicaciones, y cuanto más simple y fácil de usar sea mejor será la experiencia de los nuevos en Ubuntu. Es, al fin y al cabo, una muestra del propósito de Canonical de convertir Ubuntu en un sistema sencillísimo de usar para todos los usuarios.

Vía e imágenes | OMG! Ubuntu

Galería de fotos
(Haz click en una imagen para ampliarla)








FUENTE :http://www.genbeta.com/linux/aparece-un-nuevo-rediseno-del-ubuntu-software-center

Publicado el 3 de agosto de 2011 por Jaime Domenech

 Según se desprende de una encuesta llevada a cabo por Appcelerator e IDC, la mayoría de los desarrolladores de aplicaciones móviles ven a la nueva red social de Google capaz de alcanzar el éxito de Facebook.

De los 2.102 expertos encuestados, alrededor de dos tercios respondió de forma afirmativa cuando le preguntaron si veía a Google+ capaz de coger a Facebook.

Esos desarrolladores argumentan su optimismo en el hecho de que Google ofrece una serie de ventajas adicionales de las que carece Facebook, como puede ser el portal de videos YouTube o su servicio de Mapas.

Por ahora Facebook puede estar tranquilo ya que tiene 750 millones de usuarios frente a los 20 millones que suma su rival, pero los expertos creen que Google+ puede convertirse en el próximo “pelotazo” en la red.

Todo apunta a que ese momento comenzará cuando la empresa de Mountain View presente herramientas para desarrolladores, ya que el 72% de los encuestados ha confirmado que tiene previsto utilizar APIs para Google+ en los próximos 12 a 18 meses.

Además, los desarrolladores esperan que Google+ llegue al sistema operativo Android y puedan aprovecharse de ello para poder programar aplicaciones con mayor facilidad.

vINQulos

Cnet

FUENTE :http://www.theinquirer.es/2011/08/03/%c2%bfpodra-google-igualar-a-facebook.html

Publicado el 3 de agosto de 2011 por Jaime Domenech

Los ciberactivistas de Anonymous están probando una nueva herramienta para ataques de denegación de servicio (DDoS) que reemplazará a LOIC, la que utilizan en la actualidad.

Con el nombre de #RefRef, el nuevo programa ya ha sido probado con éxito sobre la web de la herramienta PasteBin.

El grupo de hackers afirma que LOIC no ofrece las suficientes garantías de privacidad, ya que muchos de los miembros de Anonymous que la utilizaron en el pasado acabaron siendo arrestados.

#RefRef se estrenará oficialmente a partir de septiembre y la idea es que ayude a lanzar ataques masivos contra empresas y gobiernos.

La nueva herramienta para ataques DDoS es compatible con javascript y SQL, y en su funcionamiento utiliza una técnica con la que logra emplear la web atacada para que se produzca un excesivo procesamiento de datos y dejar fuera de combate su servidor.

Los expertos de Anonymous aclaran que una ventaja de la nueva herramienta es que es independiente de cualquier plataforma y para funcionar sólo necesita que esté instalado javascript.

Además, se puede llegar a instalar en un amplio rango de dispositivos que junto a los ordenadores, incluye teléfonos móviles o sistemas de videojuegos.

vINQulos

digitaltrends

FUENTE :http://www.theinquirer.es/2011/08/03/anonymous-trabaja-en-una-nueva-herramienta-para-ataques-ddos.html