El Pentágono está poniendo en marcha un nuevo programa que invita a los hackers a atacar sitios web del Departamento de Defensa ofreciendo recompensas financieras , es el primer programa de "Bug bounties" del gobierno federal. Este programa, que comienza en Abril, consiste en la selección de un grupo de hackers, dándoles objetivos del Departamento y pedirles que hagan tanto daño como sea posible, informando luego los fallos encontrados para ayudar al Departamento de Defensa a solucionarlos a cambio de una recompensa.
La solución que están realizando en China para ahorrarse los 220€ al cambio que cuesta la versión de 128Gb frente a la versión de 16Gb.Es increible como en unos minutos son capaces de desmontar y desoldar tu memoria, hacer una copia de esta y volcarla a la nueva memoria. Una vez instalada te instalan el sistema operativo y ya tienes un teléfono totalmente actualizado por alrededor de 54€ al cambio.
Ya esta bien de tanto despilfarro de dinero publico y que no pase nada. El dinero de todos no es para montar eventos que queden bonitos para la Television y vendernos que bien hacen las cosas, cuando luego hay que irse a los pliegos para llevarse las manos a la cabeza con como tiran el dinero que luego
Son Charlie Miller y Chris Valasek, quienes este verano ponían los pelos de punta a medio mundo demostrando cómo se hackea un Jeep. Son Mikko Hypponen y Xylitol, considerados entre los mayores expertos en virus. Es Ross Ulbricht, creador del más famoso mercado negro de los bajos fondos de internet. El empeño de un hacker indio y un dibujante argentino está convirtiendo en cómics las aventuras de los más conocidos hackers del planeta. En breve las recopilarán en dos libros.
Ha escrito una carta abierta en su página de Facebook: https://www.facebook.com/didacsanchezg/posts/1143098485706472 . Me quedo con la parte en la que dice "Que da pena ver cómo tantos jóvenes se van al extranjero porque aquí cuesta mucho salir adelante, y que yo también he pensado muchas veces en marcharme de aquí porque la envidia no tiene fin." Dejemos de juzgar a la gente sin conocerla (me refiero a nivel personal) pero viendo que la información enlazada es pública y de fácil acceso, lo que podemos juzgar es lo rápido que alguien intenta desmentir información sin aportar ninguna por su parte más que comentarios en Facebook. Si la prensa seria indagase un poco más antes de publicar artículos sobre jóvenes talentos que el único talento demostrado ha sido abrir empresas (que eso no es emprender) y pidiese pruebas reales antes de sentarse a escribir nos preocuparíamos más por los emprendedores de verdad que fueron nuestros abuelos, padres y gente currante que arriesga su salud y vida social siendo padres de familia, trabajando día y noche, haciendo malabares con un salario que da para lo que da, pasar el día a día. Eso son emprendedores, lo que la prensa siempre ha querido son jóvenes talentos, la "idea" que te lleva a Silicon Valley.. Pero no nos engañemos los "jóvenes talentos" suelen ser otra herramienta de Marketing para inversores.
La empresa Uber Technologies Inc ha contratando a dos de los principales investigadores de seguridad de vehículos. Charlie Miller que trabajaba en el equipo de seguridad de Twitter y Chris Valasek de IOActive los cuales hackearon un vehículo Jeep a distancia tal y como demostraron recientemente en la conferencia de seguridad Black Hat en las Vegas. Ahora ambos trabajaran en el Centro de Tecnologías Avanzadas para vehículos autónomos para mejorar la seguridad de los mismos.
#1 demuestra como es posible hacerlo. Por supuesto un investigador no va a ponerse de rodillas 3 horas solo para comprobar como funciona si puede tenerla sobre la mesa y estudiarla. Para nada es sensacionalista, como todo hay que estudiarlo y luego ya sabe como hacerlo desde fuera de la puerta.
El investigador de seguridad Gabriel Gonzalez analiza una de las cerraduras electrónicas mas comunes en el mercado. Esta cerradura electronica es cada vez mas usada para reemplazar el uso de llaves sobre todo en entornos empresariales donde se supone garantiza mayor seguridad. Tras desmontar y analizar la cerradura, se demuestra que es posible manipular la cerradura obteniendo el código PIN usado e incluso reemplazarlo por el código por defecto 01234.
Con este vídeo que parece desde mi punto de vista una tomadura de pelo hacia los ciudadanos tras no haber cumplido ninguna de las promesas electorales durante toda su candidatura. La frase que destacan en el video es "Aún queda mucho por hacer".
#3 La privacidad es un termino importante esta claro. Lo que no acabo de entender es porque sigue Wikileaks sin solucionar el fallo aún sabiendo que afecta a la privacidad de sus usuarios y puede ser usado para desprestigiar los contenidos de wikileaks.org tambien.
#1 ¿a que te refieres? La operacion Tornado del FBI uso exactamente eso http://www.genbeta.com/actualidad/adobe-flash-y-metasploit-asi-identifico-el-fbi-a-usuarios-de-la-red-tor
#2 Me refiero a que usan esa excusa para eliminar la privacidad en la red.
Un componente Open Source usado en la web de Wikileaks para la visualización de documentos PDF mediante Flash permite realizar ataques XSS (Cross-site scripting). Este incidente aparece justo después de que la revista Wired informase hace unas semanas que en 2012 el FBI utilizó un componente basado en Flash para descubrir y desenmascarar a los usuarios de Tor y encontrar su verdadera IP(Internet Protocol) en una operación que tuvieron como objetivo a los usuarios de los sitios web de pornografía infantil alojadas en la red Tor.
El Proyecto NTP de la NTF ha sido notificado de una serie de vulnerabilidades (con mas de 20 años de antigüedad dichos fallos) por Neel Mehta y Stephen Roettger del equipo de seguridad de Google. Las dos vulnerabilidades más graves y cuatro menos graves se han resuelto en la version NTP-4.2.8, que ha sido liberada el 18 de diciembre de 2014. Todavía hay dos vulnerabilidades menos importantes que deben abordarse. Estan esperando para solventar éstas en el próximo mes. Se recomienda actualizar dada la severidad de estas .
El numero de distribuciones no ha caído. Al contrario, ahora a diferencia de antes se lanzan mas "spins", hay que tener en cuenta que el gran problema de disponer de una distribucion es el mantenimiento de esta. Hay que contar con una infraestructura, con desarrolladores que sean los mantenedores de los paquetes de tu distribucion, que esten al tanto de los cambios, funcionalidades, parches de seguridad.. Contar hoy dia con una comunidad para esto y no hablo de usuarios si no de personas que mantengan en su tiempo libre todo esto es bastante dificil. Piensa que las decisiones cambian en muchos aspectos las distribuciones, por ejemplo la reciente discusion de systemd, y usar o no esto implica cambios en Gnome Desktop, KDE, LXDE.. Lo que quiero decir es mantener una distribucion no es facil, y lo normal es que siempre existan 3-4 principales y "spins" o "basadas en" para ahorrar tiempo y trabajo como puede pasar con Ubuntu heredando algunos trabajos de Debian.
Esta bien eso de que un Piloto que vive por encima de la media se queje de impuestos. Claro que con los impuestos que paga no puede llegar a final de mes ni le permite ejercer de piloto profesional.. No tendriamos noticia si un Autonomo decide irse (como los miles que se han ido) porque no llega a final de mes con los pagares de 90 dias.
¿Y la noticia es que se sabe desde hace 6 meses? Las vulnerabilidades son publicas por grandes corporaciones meses despues una vez ellos han parcheado, sigue el mismo proceso que puede seguir el desarrollo de software, necesitan hacer tests, asegurarse de que todo funciona bien y no hay regresiones y esto pasa por meses de trabajo de diferentes personas. Y si encima le añades que una empresa tercera como ZDI lo sabe, puede estar sin contactar a Microsoft otros cuantos meses mientras ellos hacen uso de la misma ya sea para Pentesting, para parchear o avisar a sus clientes (que suelen ser grandes corporaciones que pueden verse afectados por las vulnerabilidades). Esto para mi no es una noticia, es intentar hacer noticia de algo que es el pan de cada dia de cualquier multinacional.
#2 Esto de la NSA es un tema que cansa.. el core es abierto tu mismo puedes analizarlo, por lo que es bastante poco inteligente contratar a alguien para que deje vulnerabilidades sin parchear. Para eso te pillas a un grupo de investigadores y que auditen el código que es lo que se supone que la NSA hace al igual que comprar vulnerabilidades a empresas que se dedican a pagar a investigadores por conocer los datos de forma avanzada y hacer publica la información cuando ellos quieran, como puede ser Finfisher recientemente leakeado en Wikileaks.
#4 "el core es abierto tu mismo puedes analizarlo" Pero resulta que no puedo hacerlo, ni siquiera la fundación bitcoin podia hacerlo hasta que ha contratado a un desarrollador del nucleo especializado en seguridad. En la nsa y en cualquier empresa intentan optimizar costes y tiempo y si sale mas barato hacer lo que digo yo, frente a las otras opciones (comprar vulnerabilidades a empresas especializadas y hacer una auditoria completa de seguridad), pues se la plantearán.
Sergio Lerner se convertirá en el cuarto desarrollador del núcleo a tiempo completo financiado por la Fundación, y será responsable de revisar el código del núcleo de potenciales vulnerabilidades de seguridad. Lleva colaborando con la fundación varios años reportando fallos de seguridad y ademas fundo su propia startup Coinspect como consultora de seguridad.
#2 No la he visto y mira que la he buscado.. Si hay dupe comenta con el enlace. Gracias!
Se me ha colado un hace sin la r, alguien puede editarla? (editado)
Kiko Rivera en un acto de rebeldía hacia la justicia aplicada a su madre que ahora permanece en prisión, pública un fotomontaje con el DNI de la Infanta Cristina y le sale el tiro por la culata.
Pedro Sanchez me recuerda a Chayanne, quiere dárselas de cantante y solo aparece para vendernos la canción del verano. O lo que es lo mismo quiere ser Politico y viene a vendernos el mismo tema que nos vendian el verano pasado y que por cojones acabas escuchando en todos los chiringuitos.
#31 Ya empezamos con los flame. Si un sistema operativo lleva 13 años es porque las empresas pagan soporte como se hace con Ubuntu LTS que son 5 años extensibles y puedes tener una distribucion de GNU/Linux perfectamente 15 años a base de parches y mantenida por una empresa como Canonical. Los fallos de seguridad no es que tengan 13 años es que cada año aparecen nuevas tecnicas para explotar fallos que antes se consideraban de menos impacto o que se podian mitigar. Por ejemplo Microsoft lanza EMET que es lo maximo que hay en protecciones de software ante vulnerabilidades y a la semana se lanza un metodo para saltarse estas protecciones. Por ejemplo Chrome añade una sandbox para evitar que un fallo de seguridad salga del proceso del navegador y afecte al usuario y cada año en Pwn2Own alguien hackea la sandbox y puede ejecutar codigo en el sistema operativo. Todo eso es la misma discusion de siempre, fallos hay y habra atemporales, hace poco OpenBSD "el sistema mas seguro del mundo por defecto" parcheo un fallo de seguridad que llevaba 20 años. Lo que vengo a decir es quien es tan idiota para usar una maquina virtual por bonita y preconfigurada que sea sin tu saber que hace realmente y si alguien se ha preocupado por eso. Otro ejemplo la mayoria de personas comprando telefonos Xiaomi que son telefonos Android baratos y con unas especificaciones decentes (creo que en Dealxtreme etc los encuentras) y resulta que todos vienen con Spyware que envia tus SMS, navegacion, etc a China.. Seamos un poquito inteligentes en saber que usar ante todo con una base de confianza como puede ser Microsoft, Canonical (Ubuntu) o Mac OSX Apple y con navegadores como Firefox/Chrome
#27 Hablo de condiciones normales de usuario, haber hay de todo. No por tener una maquina virtual estando en un Windows con malware es que estes mejor digo yo.
#29 No creo que esta distribución esté diseñada para poder acceder a los servicios de la administración pública desde un equipo comprometido (lo que sería de locos). Es, simplemente, un sistema listo para acceder a ellos con todo configurado e instalado.
Los fallos de seguridad como poodle o heartbleed son inevitables
El problema de la seguridad del software es que, sinceramente, a nadie le importa una mierda hasta que algo se pega fuego. Piensa en esto un segundo: Windows XP fue lanzado al mercado en 2001 y, hoy, trece años más tarde, aún se siguen solucionando fallos de seguridad. Esto quiere decir que Windows XP ha tenido fallos de seguridad que no se han descubierto hasta trece años después de ponerlo a la venta. Y hablar de ¿quien es más seguro?, ¿Windows o Linux? es como hablar de ¿qué partido político es más honrado? ¿el PP o PSOE? (pista: la respuesta es: NO).
Una amena lectura sobre el tema: https://medium.com/message/everything-is-broken-81e5f33a24e1
#31 Ya empezamos con los flame. Si un sistema operativo lleva 13 años es porque las empresas pagan soporte como se hace con Ubuntu LTS que son 5 años extensibles y puedes tener una distribucion de GNU/Linux perfectamente 15 años a base de parches y mantenida por una empresa como Canonical. Los fallos de seguridad no es que tengan 13 años es que cada año aparecen nuevas tecnicas para explotar fallos que antes se consideraban de menos impacto o que se podian mitigar. Por ejemplo Microsoft lanza EMET que es lo maximo que hay en protecciones de software ante vulnerabilidades y a la semana se lanza un metodo para saltarse estas protecciones. Por ejemplo Chrome añade una sandbox para evitar que un fallo de seguridad salga del proceso del navegador y afecte al usuario y cada año en Pwn2Own alguien hackea la sandbox y puede ejecutar codigo en el sistema operativo. Todo eso es la misma discusion de siempre, fallos hay y habra atemporales, hace poco OpenBSD "el sistema mas seguro del mundo por defecto" parcheo un fallo de seguridad que llevaba 20 años. Lo que vengo a decir es quien es tan idiota para usar una maquina virtual por bonita y preconfigurada que sea sin tu saber que hace realmente y si alguien se ha preocupado por eso. Otro ejemplo la mayoria de personas comprando telefonos Xiaomi que son telefonos Android baratos y con unas especificaciones decentes (creo que en Dealxtreme etc los encuentras) y resulta que todos vienen con Spyware que envia tus SMS, navegacion, etc a China.. Seamos un poquito inteligentes en saber que usar ante todo con una base de confianza como puede ser Microsoft, Canonical (Ubuntu) o Mac OSX Apple y con navegadores como Firefox/Chrome
Esta cerrada y es otro medio.