Se han descubierto varios fallos en la lógica de la comunicación de las principales páginas web de tiendas con servicios de terceros destinados al pago on-line (tipo PayPal), que permitían obtener productos de forma gratuita o a un precio arbitrario.

Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research descubrieron fallos en la lógica de comunicación de las principales tiendas online que utilizaban servicios de pago de terceros como PayPal, Amazon Payments o Google Checkout (los llamados Cashier-as-a-Service o CaaS). Las técnicas empleadas aprovechaban múltiples inconsistencias introducidas por la complejidad resultante de utilizar medios de pago de terceros. Se basaban en cómo los estados del pago eran percibidos por parte del vendedor y el CaaS y cómo se genera cierta "confusión" al actuar como cajas negras entre ellos.

En un escenario típico para la adquisición del los productos pagando a través del CaaS, el cliente es redireccionado desde la página del vendedor a la del CaaS donde se da la orden de realizar el pago, para finalmente, ser redirigido de vuelta a la web del vendedor con objetivo de validar el pago y terminar el pedido. Este es el "punto débil" de la interactuación entre la tienda y el CaaS.

Los fallos descubiertos, con cierto detalle, son:

* NopComerce integrado junto con PayPal: Una vez que el cliente decide pagar, el vendedor le indica al comprador el identificador del pedido y la cantidad a pagar, procediendo a la inmediata redirección del navegador del comprador hacia la página del CaaS, que valida el ID del pedido... pero no así la cantidad que debe pagarse, pudiendo esta ser modificada antes de ser redirigido a la página donde se realiza el pago.

* Amazon: En este caso es necesario poseer una cuenta de vendedor en Amazon, lo que está al alcance de cualquiera. Un atacante podría realizar un pago a un vendedor (él mismo en este caso) y en el paso de confirmación del pedido, donde se redirige desde la web del CaaS hacia la página del vendedor, indicar la página del vendedor al que le queremos hacer creer que el pago ha sido realizado. Esto ocurre por no verificar que el pago haya sido realizado a la página donde finalmente termina confirmándose la compra.

* Inerspire junto con PayPal: Se aprovecha el fallo de que, que tras haber realizado el pago de cierto producto, es posible cambiar el orderID, que se encarga de identificar los productos que van a ser adquiridos.

* Google Checkout: La variable que identifica el pedido no es creada hasta que se ha realizado el pago; una vez hecho, se crea el pedido con el contenido del carrito. El problema en este caso radica en que esta última operación no es atómica (no se realiza en un solo "movimiento"), por lo que podría aprovecharse para añadir más productos al carrito justo antes de indicar el contenido del mismo.

* Amazon Simple Pay: El problema reside en su SDK, que permite al comprador indicar el certificado que será utilizado para verificar los mensajes del CaaS encargados de confirmar el pago del pedido. En este caso el atacante indicaría un certificado propio y él mismo generaría los mensajes firmados que indicarían que el pago ya ha sido realizado, por lo que ni siquiera se tendría que interactuar con el CaaS, implicando que no se realizaría en ningún momento ningún pago.

Los descubridores llegaron a comprar realmente productos sin pagar y comprobaron realmente la eficacia de las técnicas. Más tarde avisaron de los fallos a los afectados de forma privada, devolvieron los productos que habían adquirido, y trabajaron juntos para arreglarlos. Ya han sido subsanados.

Estos investigadores formaron parte del equipo que descubrió vulnerabilidades en Facebook que podían permitir a sitios maliciosos acceder y compartir datos privados de los usuarios.

Javier Rascón
 jrascon@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4555

¿Harto de rascarte el bolsillo para comprar juegos de PC? ¿Tu ordenador se ha quedado obsoleto para jugar a los títulos de última generación? Si la respuesta es afirmativa en ambos casos, te presentamos una buena alternativa para asegurarte horas de diversión, algunos juegos que ya han pasado a la historia y cuya disponibilidad en la Red es absolutamente gratuita.

Gamerzona.com se hace eco de una lista publicada por Gameranx en la que aparecen hasta 25 videojuegos para PC que pueden ser descargados de forma gratuita sin que las compañías responsables de los mismos se escandalicen en materia de derechos de autor ya que muchos son de código abierto. Casi todos los géneros tienen algún representante en este listado por lo que no es difícil encontrar un juego a tu medida o alguno que ya te hiciese pasar grandes momentos frente a tu ordenador en el pasado.

Para los amantes de las aventuras gráficas encontramos los tres primeros títulos de una saga memorable: Kings Quest. El primero de ellos apareció en 1984, pero está disponible para descarga un remake que mejora el juego en su aspecto gráfico sobre todo. Es reconocido como la primera aventura gráfica de la historia, por lo que resulta imprescindible haberlo probado. También de los años 80 son sus dos siguientes secuelas, mientras que la saga llegó a tener ocho capítulos, el último de ellos lanzado en 1998.

Para los aficionados a la estrategia por turnos al más puro estilo Panzer General y Fantasy General encontramos Battle of Wesnoth. Batallas a lo largo de un mapa hexagonal inspirado en el juego de Megadrive Warsong, ofrece la posibilidad de crear unidades propias diseñándolas desde cero, aparte de un modo multijugador de lo más interesante tanto a través de Internet como compartiendo un único ordenador. Un título de estrategia sencillo, con gráficos vistosos y que merece ser probrado.

Aquellos que prefieran otro tipo de estrategia tienen a su disposición Simutrans y OpenTTD, que nos traerán los mejores recuerdos del mejor simulador de redes de transporte de todos los tiempos. Nos referimos a Transport Tycoon tanto en su versión normal como Deluxe. Conecta barrios, ciudades, edificios públicos, industrias y lugares turísticos con diversos tipos de infraestructuras a construir así como redes a nivel nacional.

Más clásicos como la revisión del clásico shooter The Castle of Wolfestein también tienen cabida en una lista que se completa con otros grandes juegos como MechWarrior 4, MechCommander Gold o Cave Story, aunque no podemos olvidarnos de otros no incluidos como Urban Terror o FreeCiv, la versión gratuita de la saga Civilization.

FUENTE :http://www.adslzone.net/article5846-conoce-algunos-de-los-mejores-juegos-para-pc-en-descarga-gratuita.html

Los usuarios que naveguen por sitios web europeos serán capaces de desactivar facilmente las 'cookies' utilizadas por los anunciantes para monitorizar sus hábitos en Internet, según ha asegurado un organismo de la industria.

El compromiso de la industria de la publicidad web europea de la autorregulación se produce un mes antes de que la directiva que obliga a los sitios web a obtener el consentimiento del usuario antes de instalar una 'cookie' de rastreo entre en vigor."Esta norma va a cambiar significativamente el punto de vista de Internet y cómo las personas interactúan con los anuncios", aseguró Kimon Zorbas, el vicepresidente de Internet Advertising Bureau Europa en Bruselas, grupo de la industria que ha desarrollado la nueva normativa.

Los sitios web de las empresas monitorean las actividades 'online' de las personas a través de 'cookies' (pequeño fragmento de 'software' que se almacena en el ordenador del usuario al entrar en un sitio web, que puede ser utuillizado para varios fines) para que puedan enviar publicidad segmentada en función de su interés potencial o según las visitas realizadas en un sitio web.

En virtud del acuerdo, los anuncios web deberán mostrar un icono con la etiqueta 'AdChoices' que permitirá a los usuarios cambiar su configuración de privacidad. Empresas como Yahoo!, Microsoft, Google y AOL están entre las empresas que tienen acordado utilizar los iconos en sus sitios web en Europa.

Zorbas aseguró que la industria ha hecho ajustes en el código basado en la retroalimentación de la Comisión Europea. Jonathan Todd, portavoz de Neelie Kroes, la Comisaria Europea para la Agenda Digital, afirmó que la Comisión ha trabajado muy estrechamente con los grupos de desarrollo del código.

"Habrá nuevas obligaciones jurídicamente vinculantes en los sitios web a partir del 25 de mayo", dijo Todd a Reuters. "Con este código se asegura el cumplimiento pleno de las obligaciones legales bajo la nueva Directiva sobre privacidad electrónica".

FUENTE :http://www.laflecha.net/canales/blackhats/noticias/los-anunciantes-facilitaran-desactivar-las-cookies-a-los-usuarios-europeos

Youtube está comprometido con la protección de las obras de creación original. Así lo demuestra con la creación de esta "escuela" dirigida exclusivamente a reeducar a piratas informáticos que hacen uso fraudulento de contenidos protegidos con derechos de autor. Los piratas serán requeridos con una 'notificación de copyright' para que asista a la 'YouTube Copyright School'.

El programa consiste en un tutorial sobre derechos de autor de menos de cinco minutos en el que los personajes de dibujos animados de 'Happy Tree Friends' creados por 'Mondo Media' se encargan de contar a grandes rasgos en qué consiste la propiedad intelectual y cómo funciona la ley que vela por su cumplimiento, según informa Youtube en su blog.
 
 Al término del vídeo, los espectadores deben pasar un examen para demostrar que "han prestado atención y que han comprendido el contenido antes de subir más vídeos", en ese caso "les serán devueltas sus cuentas", según la plataforma de vídeo online de Google.
 
 Según Youtube, la plataforma ha tenido siempre una política de "suspender a los usuarios" que han recibido tres notificaciones de derechos de autor "no impugnados". Esta política ha servido como un fuerte disuasivo para los delincuentes de derecho de autor. Sin embargo, según Youtube, se ha comprobado que "la suspensión no siempre ha sido una medida justa para todos".
 
 En algunos casos, según apunta Yotube en su blog, usuarios con dos notificaciones con una antigüedad de cuatro años y un gran historial de buenos actos "no es justo que tengan que cumplir con la misma norma que el resto de piratas que continúan vulnerando la propiedad intelectual".
 
 Por ello, se ha tomado la decisión de limpiar el historial a aquellos usuarios que tengan una buena conducta perpetuada en el tiempo gracias a esta nueva 'Youtube Copyright School'.
 
 Además, Youtube ha rediseñado su centro de ayuda sobre 'copyright' para facilitar el conocimiento del usuario sobre qué contenidos puede subir sin problemas a la página.

FUENTE :http://www.iblnews.com/story/61592

Hans Jorgen Olsen es un joven noruego de 12 años de edad que salvó a su hermana mediante el uso de algunas "habilidades" que aprendió jugando World of Warcraft.

Lo que ocurrió fue lo siguiente: el muchacho se encontraba en el bosque junto a su hermana y de pronto, sin darse cuenta, entraron en territorio de un alce. Para proteger a su hermana, usó la táctica de la "mofa", mediante la cual llamó la atención del alce, dándole a la chica la oportunidad de escapar. A continuación, para salvarse a sí mismo, fingió estar muerto, logrando engañar al alce, quien se alejó del lugar.

Curiosa historia, ¿verdad? Tal vez deberían empezar a incluir elvideojuego en cursos de guardabosques.

Fuente

LEIDO EN :http://www.laflecha.net/canales/curiosidades/noticias/un-joven-salva-su-vida-y-la-de-su-hermana-gracias-al-juego-world-of-warcraft

Con el anuncio del próximo cierre de la cadena de tiendas informáticas, los directivos de la empresa han modificado el plan de remuneración de los jefes de tienda.

La retribución de los jefes de tienda de PC City combinaba hasta ahora una parte fija y otra variable ligada al cumplimiento de objetivos de venta. Con el anuncio de cierre de las tienda, la propiedad ha decidido modificar esta parte variable introduciendo una novedad, el "bonus" anti-pillaje.

Por lo que parece, la cadena está preocupada que con el anuncio del cierre los empleados de la cadena se lleven material, equipos o accesorios directamente o haciendo la vista gorda. Con la nueva medida, los jefes de tienda deberán tener los ojos bien abiertos para que esto no suceda. Según fuentes cercanas a la empresa, en los últimos días ya se habían producido algunos casos de sustracción de productos por parte de empleados o personas allegadas.

“Lo que hemos hecho ahora es cambiar los objetivos por los que los jefes pueden cobrar su bonus”, ha explicado un ejecutivo de la cadena al periódico Cinco Dias justificando esta medida.

El pillaje interno suele producirse en muchas empresas, cuando estas anuncian un ERE o el cierre de la empresa. Algunos empleados se llevan material con el objetivo de asegurarse un pago o una indemnización extra a la pactada con la empresa o por miedo a que la compañía eche el cierre y les deje sin liquidación.


FUENTE :http://www.noticiasdot.com/wp2/2011/04/15/los-jefes-de-tienda-de-pc-city-cobrarn-un-plus-para-evitar-el-pillaje-de-sus-empleados/

Relacionado :https://foro.elhacker.net/noticias/pc_city_se_despide_definitivamente_de_espana-t324686.0.html

Publicado el 15 de abril de 2011 por Helga Yagüe

En las últimas semanas habían surgido dudas ante un posible cambio de última hora de la interfaz Unity para volver a Gnome, pero el equipo de desarrollo de Canonical ha confirmado que se mantendrá fiel a su palabra y apuestan por Unity.

Estos rumores surgieron ante la posibilidad de que Unity no llegara a tiempo para el lanzamiento de Ubuntu 11.04 debido a problemas de estabilidad.

El reciente lanzamiento de Gnome 3 añadió aún más dudas, pero el responsable de ingeniería de Ubuntu, Rick Spencer, ha dejado claro que la próxima versión apostará por Unity como entorno por defecto como ya anunció el fundador de Canonical hace varios meses.

“Unity proporcionará la mejor experiencia para la mayoría de usuarios”, señala Spencer, y añade que están convencidos de que “es lo suficientemente estable para lanzarlo y será más estable según se acerque la versión final”.

La segunda beta llega puntual según el calendario de lanzamientos de Ubuntu y será la última oportunidad para probar las mejoras y nuevas características antes del lanzamiento de la versión final, que se producirá el 28 de abril.

La beta 2 solventa algunos bugs encontrados en la primera beta e incluye mejoras en diversos aspectos como la estabilidad.

Puedes probar la beta 2 de Ubuntu 11.04 en este enlace

 vINQulos

Register, Ars Technica

FUENTE :http://www.theinquirer.es/2011/04/15/llega-la-segunda-y-ultima-beta-de-ubuntu-11-04.html

El hacker francés “Carl" se jactó en un programa de televisión de haber vulnerado los sistemas informáticos de la defensa francesa. Ahora está encarcelado.

Diario Ti: El hacker, que había participado de anónimo en el programa “Complément d´enquête", comentó haber vulnerado los sistemas del consorcio empresarial Thales, proveedores de equipos técnicos para la defensa y la industria aeronáutica francesa. “Carl" admitió además vivir del robo y venta de información sobre tarjetas de crédito en el mercado negro.

Anonymous desmiente
“Carl" declaró además ser miembro del grupo de hacktivistas “Anonymous", que en los últimos días ha hecho noticia por sus ataques y sabotaje contra servicios de Sony (ver "Artículos Relacionados" al pie de esta nota). Esta última información fue rápidamente desmentida por Anonymous mediante el sitio Anonnews.org, en un comunicado donde se recalca que “No robamos y nos oponemos a toda forma de violencia".

En el programa de televisión, el hacker se presentó con el seudónimo “Carl". El canal France 2 asegura no haber revelado la identidad del hacker a la policía, y que ese organismo tampoco les informó sobre la investigación que habían iniciado como resultado del programa. Un productor de France 2 dijo haberse enterado por un cable de la agencia noticiosa AFP.

“Carl" fue detenido la semana pasada en París y ahora se encuentra en régimen de prisión preventiva.

Fuentes: Softpedia.com y Net-Security.org

LEIDO EN :http://www.diarioti.com/gate/n.php?id=29558

Un ingeniero logra apropiarse de la infraestructura de comunicaciones gadafista y permite a los insurgentes usar teléfonos móviles en el frente

"Hasta ahora nos comunicábamos con banderas. Cuando tocaba retirada ondeábamos la amarilla, cuando nos disponíamos a avanazar, la verde". Quien habla es Ahmed al-Ghatrani, comandante de la insurgencia libia en Bengasi. "Gadafi nos obligó a volver a la edad de piedra", ha asegurado. En esta 'batalla cromática', los insurgentes también se han visto forzados a pintar sus vehículos de color rosa para no ser víctimas del 'fuego amigo'. Durante semanas ésta ha sido prácticamente la única manera de 'comunicarse' en el frente de batalla.

Y es que el régimen de Gadafi cortó las conexiones telefónicas y de internet a principios de marzo, dejando a millones de libios, entre ellos a los insurgentes, sin poder comunicarse. Hasta hoy.

Un equipo liderado por un ingeniero libio experto en telecomunicaciones ha ayudado a los rebeldes a 'piratear' la red de Muamar el Gadafi y ha permitido al Gobierno de Bengasi reestablecer sus propias comunicaciones. El cerebro de esta operación se llama Ousama Abushagur, de 31 años, ingeniero de telecomunicaciones nacido en Libia y criado en Alabama, Estados Unidos. Abushagur ha explicado a LaVanguardia.es cómo surgió esta idea y cómo se desarrolló posteriormente. "Empezó el 6 de marzo y es algo que he ido trabajando junto a amigos y compañeros en la industria", relata. La nueva red, según sus palabras, fue esbozada por primera vez en la servilleta de un avión y ha contado con la inestimable ayuda económica de "empresarios libios y de donaciones recogidas en Emiratos Árabes Unidos (EAU)". "Los gobiernos de EAU y de Qatar no están implicados económicamente en esta iniciativa", ha querido desmentir este ingeniero residente en Abu Dabi. Con todo, según informaciones publicadas en The Wall Steet Journal, parece que estos países sí han brindado ayuda diplomática para respaldar esta iniciativa, poniendo de manifiesto la buena sintonía que exhiben algunos estados árabes con la administración en Bengasi.

Ahora, estas nuevas comunicaciones, inauguradas el 2 de abril, se han convertido en una potente arma para los opositores, que logran reportar desde el frente de batalla su posición y movimientos. Estos teléfonos móviles, además, les han facilitado reunir apoyos internacionales y coordinarse con sus enviados en el extranjero.

Empresas involucradas
Según el WSJ, la empresa china Huawei Technologies Ltd., uno de los contratistas originales de 'Libyana', la red de telecomunicaciones oficial de Gadafi, centralizada al 100% en Trípoli, se ha negado a vender equipos para el proyecto de los rebeldes. Gobiernos y empresas, según el diario estadounidense, han declinado realizar cualquier declaración acerca de esta cuestión. Abushagur, no obstante, explica que el proveedor principal de la red es "Tecore, en Estados Unidos, e IDT en cuanto a conectividad internacional", todo ello "coordinado con ingenieros de telecomunicaciones en Libia". "Etisalat (empresa de telecomuncaciones de EAU) no está involucrada y los rumores acerca de la participación de Vodafone, Orascom, Qtel u otras compañías no son ciertos", aclara.

La nueva red 'creada' por Abushagur se llama 'Libyana Libre' ('Free Libyana'). Las llamadas internacionales están limitadas a unos pocos individuos y a los funcionarios del este de Libia que más lo necesitan. Las llamadas entrantes tienen que ser pagadas con tarjetas prepago, excepto aquellas que provengan de Jordania, Egipto o Qatar. En el interior del país, su funcionamiento se restringe al este, hasta Ajdabiya, la 'última' ciudad rebelde. Y eso sí, las llamadas nacionales serán gratuitas hasta que 'Libyana Libre' ponga en marcha el sistema de facturación. Para seguir los avances de esta iniciativa, desde su cuenta en twitter (@oabushagur) Abushagur informa de los progresos e incidencias que se producen en la red.

FUENTE :http://www.lavanguardia.es/internacional/20110414/54140804511/el-rebelde-libio-que-ha-pirateado-la-red-de-telecomunicaciones-de-gadafi.html

El abogado general del Tribunal de Justicia de la Unión Europea (TUE), Pedro Cruz Villalón, considera ilegal (PDF) que un tribunal obligue a un proveedor de Internet a establecer un sistema de filtrado y bloqueo de las comunicaciones electrónicas con el fin de proteger los derechos de propiedad intelectual.

En un dictamen hecho público este jueves, el abogado general resalta que este sistema supone una limitación del derecho al respeto del secreto de las comunicaciones y del derecho a la protección de los datos de carácter personal, amparados por la Carta de los Derechos Fundamentales. Del mismo modo, la instalación de tal sistema limita la libertad de información, protegida asimismo por la Carta.

Cruz Villalón recuerda no obstante que la Carta admite la posibilidad de limitar el ejercicio de los derechos y libertades que garantiza, siempre que tal limitación esté prevista por la ley.

En consecuencia, desde su punto de vista, "una limitación de los derechos y libertades de los internautas como la controvertida sólo resulta admisible si descansa en una base jurídica nacional, accesible, clara y previsible".

El dictamen se refiere al caso de Bélgica, cuya legislación permite intervenir a los jueces para impedir vulneraciones de los derechos de propiedad intelectual pero no contempla específicamente el sistema de filtrado y bloqueo. Por tanto, el abogado general ha concluido que es ilegal.

La opinión del abogado general no vincula al Tribunal de Justicia, aunque éste sigue sus recomendaciones en el 80% de los casos. Los jueces empiezan ahora a deliberar y la sentencia se dictará en un momento posterior.

FUENTE :http://www.elmundo.es/elmundo/2011/04/14/navegante/1302775812.html