Fernando Garcia

Microsoft ha anunciado la corrección de una vulnerabilidad en Windows Defender / Microsoft Defender que permitía a los potenciales atacantes obtener permisos de administrador en sistemas Windows.

Pero lo que distingue a esta vulnerabilidad en cuestión (conocida como CVE-2021-24092) es que llevaba presente nada menos que desde 2009, afectando por tanto a las versiones de Windows (tanto de cliente como de servidor) a partir de Windows 7.

Pero CVE-2021-24092 no afecta únicamente al antivirus de Microsoft (instalado, recordemos, por defecto en Windows), sino también a otros productos de seguridad de la compañía que hacen uso del Malware Protection Engine: Microsoft Endpoint Protection, Microsoft Security Essentials, etc.

Una vulnerabilidad no explotada... hasta ahora

Concretamente, la vulnerabilidad residía en un driver denominado BTR.sys (siglas de Boot Time Removal Tool), usado por Windows durante el proceso de reparación del sistema de archivos y/o de entradas del Registro tras la detección de malware en un equipo.

Y eso es, precisamente, lo que explica que esta vulnerabilidad haya permanecido tanto tiempo sin ser detectada.

En Genbeta

Microsoft explica por qué ya no podemos desactivar Windows Defender desde el registro de Windows 10

Según explica un informe publicado ayer por SentinelOne (la compañía que localizó la vulnerabilidad en noviembre del año pasado e informó de la misma a Microsoft):

"Antes de ser corregida, la vulnerabilidad permaneció oculta durante 12 años, posiblemente debido a la naturaleza del mecanismo específico que permite activarla:

[...] el controlador normalmente no está presente en el disco duro, sino que se activa cuando es necesario (con un nombre aleatorio) y luego se elimina".

Desde Redmond afirman que la actualización de seguridad se instalará automáticamente en aquellos sistemas que ejecutan versiones vulnerables de Defender, siempre y cuando se habiliten las actualizaciones automáticas.

Sin embargo, los usuarios de Windows 7, carentes ya de soporte oficial por parte de la compañía, seguirán expuestos a este agujero de seguridad. Y es que, como explican desde SentinelOne,

"aunque parece que la vulnerabilidad no ha sido explotada, los actores malintencionados probablemente descubrirán cómo aprovecharla en sistemas no parcheados".

Vía | Bleeping Computer

-
La noticia Una vulnerabilidad de Microsoft Defender ha estado 12 años activa... y los usuarios de Windows 7 seguirán expuestos a ella fue publicada originalmente en Genbeta por Marcos Merino .

Para comprobar si un servidor o un sitio web funcionan correctamente, una de las opciones que tenemos es el poder realizar ping. Así podremos diagnosticar posibles fallos y llevar a cabo acciones que los corrijan. En este artículo vamos a hablar de PingInfoView. Se trata de un sencillo programa gratuito que nos permite hacer ping a muchos sitios diferentes. Vamos a explicar cómo descargarlo y utilizarlo.

PingInfoView, el programa para hacer ping a 100 sitios

Si nos preguntamos para qué puede ser necesario lanzar un ping, podemos decir que una de las razones principales es cuando una página web no funciona. Intentamos entrar pero vemos que no se abre. Podemos comprobar si hay algún tipo de problema con el servidor o se trata de otro error.

Para realizar un ping podemos utilizar comandos en el sistema operativo, pero también tenemos herramientas que nos ayudan de forma más visual. Hay muchos programas de este tipo. Nosotros hemos probado PingInfoView, que es un software muy interesante y además totalmente gratuito.

PingInfoView tiene una peculiaridad importante, y es que nos permite hacer ping a una gran cantidad de sitios al mismo tiempo. Podemos, si así quisiéramos, apuntar a 100 sitios de golpe. Esto es muy interesante para aquellos usuarios que deseen controlar determinadas páginas y ver que todo va bien. Cuenta además con diferentes opciones y configuraciones que podemos tener en cuenta para exprimir al máximo.

Cómo usar PingInfoView

Para comenzar a utilizar PingInfoView lo primero que tenemos que hacer es descargarlo. Como hemos indicado se trata de una herramienta totalmente gratuita. Además no requiere instalación, por lo que simplemente hay que ejecutarlo una vez lo tengamos bajado en nuestro equipo. Entramos en la página web de NirSoft y bajamos hasta el enlace de descarga. También encontraremos allí toda la información referente a esta aplicación.

Una vez lo tengamos bajado en nuestro sistema solo tendremos que ejecutarlo. En la primera ventana nos encontraremos con un cuadro donde hay que poner las direcciones IP a las que queremos apuntar. Podemos pegar todas las que queramos.

Como vemos hay diferentes parámetros que podemos configurar. Podemos cambiar el tiempo que pase para volver a realizar ping, recordar direcciones, etc. Cuando tengamos todo configurado como queremos, simplemente hay que pinchar en OK y comenzará a realizar ping a esos sitios.

En nuestro caso hemos puesto 30 segundos de intervalo, por lo que es el tiempo que utiliza para hacer ping. Nos irá actualizando constantemente la aplicación y veremos datos relacionados con posibles fallos, la cantidad de veces que ha realizado ping, etc.

Cuando queramos parar simplemente hay que pulsar el botón rojo de Stop, que aparece arriba. Lo podemos reanudar en cualquier momento, así como agregar nuevas direcciones IP que nos interese controlar.

Si hacemos clic con el segundo botón del ratón encima de cualquiera de las direcciones a las que hemos hecho ping podremos ver más información. Se abrirá una nueva ventana como vemos en la imagen de arriba con datos de ese sitio, para poder tener un mayor control.

Al pinchar en el botón de Opciones que aparece arriba podremos cambiar diferentes parámetros. Por ejemplo podemos entrar en Opciones avanzadas y ver el número máximo de pings de forma simultánea. De manera predeterminada viene marcado como 500, pero es una cifra que podemos modificar si queremos.

Un punto interesante para aquellos que quieran realizar ping a decenas de sitios web es poder cargar un archivo con todas ellas. No necesitamos escribirlo de forma manual, ni tener que copiarlas de otro sitio. Simplemente con tener el archivo listo, lo subimos al programa y se agregan.

En definitiva, PingInfoView es un programa que permite realizar ping a múltiples sitios al mismo tiempo de una manera sencilla e intuitiva. Simplemente tenemos que poner las direcciones que nos interesa y configurarlo con los parámetros adecuados, como el tiempo por ejemplo. Una alternativa a tener en cuenta frente a otras herramientas similares que también podemos utilizar en Windows.

El artículo Cómo hacer ping a varias direcciones IP al mismo tiempo se publicó en RedesZone.

WireGuard VPN es un nuevo protocolo robusto y muy rápido para crear redes privadas virtuales, en RedesZone hemos comprobado cómo es capaz de duplicar e incluso triplicar en velocidad a OpenVPN o a IPsec. Este nuevo protocolo de VPN es ideal para configuraciones de acceso remoto con clientes móviles, ya sean smartphones, tablets u ordenadores portátiles, ya que consume muy pocos recursos y la conexión es realmente rápida. El sistema operativo pfSense en su versión 2.5.0 ha incorporado de manera oficial esta nueva VPN, junto a IPsec, L2TP y también OpenVPN. Hoy os vamos a enseñar cómo configurar desde cero la VPN de WireGuard en pfSense 2.5.0 para conectaros remotamente.

Características de WireGuard VPN

WireGuard VPN es un software muy liviano que nos permitirá configurar de forma rápida y fácil un túnel VPN, por defecto, hace uso de la criptografía más moderna, sin necesidad de elegir diferentes algoritmos de cifrado asimétrico, asimétrico o de hash, de manera predeterminada tenemos una suite segura por defecto, a diferencia de otros protocolos VPN. El objetivo de WireGuard es convertirse en la mejor VPN, tanto para usuarios domésticos como para empresas, y lo está consiguiendo porque ya se ha integrado en el Kernel de Linux para proporcionarnos el mejor rendimiento posible.

En cuanto a la criptografía utilizada, tenemos ChaCha20 para el cifrado simétrico, autenticado con Poly1305, por lo que tenemos AEAD. También hace uso de Curve25519 para ECDH, BLAKE2 para el hashing, SipHash24 para las claves hashtable, y HKDF para la derivación de claves. Tal y como habéis visto, tenemos los algoritmos criptográficos más modernos usados por defecto, y no lo podremos cambiar por otros de momento, deben ser estos sí o sí.

Con esta nueva VPN no necesitaremos administrar las conexiones ni hacer difíciles configuraciones, solamente funciona en modo tunneling porque es una VPN L3, y utiliza el protocolo UDP como capa de transporte y no permite seleccionar TCP, lo que sí podremos hacer es modificar el puerto de escucha por el que nosotros queramos. Por supuesto, el servidor WireGuard puede estar detrás de la NAT sin problemas, solo habría que hacer una redirección de puertos. Otras características interesantes son que permite roaming entre redes de forma rápida y fácil, para estar conectados siempre desde cualquier red WiFi o 4G/LTE sin corte en la conexión. Además, también podremos habilitar el Kill-Switch para impedir filtraciones de datos si la VPN se cae.

Por último, esta nueva VPN es compatible con múltiples sistemas operativos como Windows, Linux, MacOS, FreeBSD, Android y también iOS. Ahora el equipo de desarrollo de pfSense 2.5.0 han incorporado WireGuard en su sistema de forma predeterminada, aunque anteriormente también podíamos instalarla, pero no teníamos soporte oficial.

Configuración del servidor VPN WireGuard

Antes de la salida de pfSense 2.5.0, si queríamos tener WireGuard en este completo firewall, teníamos que instalarlo manualmente en el sistema bajándonos unos paquetes compatibles con FreeBSD. Gracias al equipo de desarrollo de pfSense, a partir de la versión 2.5.0 ya está integrada en la interfaz gráfica de usuario de manera predeterminada.

Lo primero que debemos hacer es irnos a la sección de «VPN / WireGuard» para entrar en la configuración de este nuevo protocolo de VPN. En cuanto entremos en el menú, pinchamos en «Add Tunnel».

En la configuración del túnel, deberemos habilitar el túnel, darle una descripción y ponerlo lo siguiente:

• Address: dirección IPv4 o IPv6 del servidor VPN para la interfaz del túnel.
• Puerto: por defecto es el 51820 UDP, pero podremos cambiar a cualquier puerto UDP.

pfSense incorpora un generador de claves pública/privada para el servidor VPN con WireGuard, nuestra recomendación es que generéis unas claves para el cliente VPN, y que pinchemos nuevamente en «Generate» para que las segundas que se generen sean las del servidor VPN. Por ejemplo, las siguientes claves son las que usaremos posteriormente en el cliente VPN. Os podéis ayudar de un bloc de notas o Notepad++ para apuntar la configuración.

Para facilitarte la configuración de WireGuard con las claves públicas y privadas, también puedes hacer uso de la herramienta wireguardconfig que nos permitirá generar automáticamente tanto el servidor como los clientes, para posteriormente adaptarlo a pfSense.

Y las segundas generadas son las del propio servidor VPN con WireGuard.

Una vez que ya tenemos las claves, debemos pinchar en «Save» y ya habremos creado el servidor VPN con la configuración anterior:

Una vez que ya lo tengamos, ahora tenemos que dar de alta los «peers», es decir, los clientes VPN. Volvemos a acceder a la configuración del servidor WireGuard, y pinchamos en «Add Peer» que está en color verde. Aquí deberemos rellenar algunas configuraciones, pero no es necesario rellenar todas ellas.

Ahora os vamos a explicar para qué sirven cada una de las opciones:

• Descripción: ponemos una descripción a este cliente, por ejemplo, nuestro nombre.
• Endpoint: ponemos la dirección IP pública del cliente VPN.
• Endpoint port: ponemos el puerto del cliente VPN.

Si vas a configurar un cliente VPN, donde la IP pública del cliente y el puerto cambie, entonces deberemos dejar las opciones de «Endpoint» y «Endpoint Port» vacías. Estas opciones se deben rellenar si vamos a configurar una VPN Site-to-Site, pero en acceso remoto (Roadwarrior) no es necesario rellenarlo.

• Keep alive: un valor en segundos, cada cierto tiempo verifica que el túnel sigue levantado, por defecto está deshabilitado.

Ahora llegan las configuraciones más importantes:

• Public Key: deberemos poner la clave pública del cliente VPN, anteriormente habéis visto cómo se genera para el cliente, pues aquí pondremos la public key.
• Alloweds IPs: si queremos que haya redirección de Internet y acceso a todas las redes, ponemos 0.0.0.0/0. Lo más normal es que los clientes VPN de acceso remoto salgan a Internet por la propia VPN, pero aquí podremos configurar el acceso específico a diferentes redes.
• Peer WireGuard Address: la dirección IP que tenga el peer dado de alta.
• Pre-shared key: es opcional, se puede añadir una clave precompartida para mejorar aún más la seguridad.

En nuestro caso, no hemos puesto pre-shared key, pero si la pones, tanto en el pfSense como en el cliente VPN debe ser exactamente la misma, y deberemos generar dicha clave con el botón azul que viene en el pfSense. No podemos poner de clave precompartida «12345678» por ejemplo, debemos usar el generador de pfSense.

Una vez que ya hemos configurado correctamente el servidor VPN de WireGuard en pfSense 2.5.0, vamos a configurar la parte de firewall, porque por defecto se encuentra siempre en modo bloquear todo.

Configuración del firewall en WAN y WireGuard

Antes de conectar el primer cliente VPN, debemos irnos a «Firewall / Rules» y agregar una nueva regla en la interfaz WAN de Internet. Añadimos una nueva regla con la siguiente información:

• Action: Pass
• Interfaz: WAN
• Address Family: IPv4, IPv6 o ambas
• Protocol: UDP
• Source: any (si vas a montar un Site-to-Site con WireGuard, aquí podrías poner la IP pública de origen para mejorar la seguridad).
• Destination: WAN Address en el puerto 51820

Una vez configurado, pinchamos en «Save» para guardar esta regla, y aplicamos cambios, como siempre que añadimos una nueva regla al firewall.

Una vez hecho esto, debemos irnos ahora a la interfaz «WireGuard» que se ha creado automáticamente en la sección de «Firewall / Rules«, aquí tendremos que permitir todas las comunicaciones una vez que se haya conectado, o solamente lo que nosotros queramos, tal y como ocurre con OpenVPN o con IPsec.

En la configuración siguiente, podéis ver que tenemos una regla con la siguiente configuración:

• Action: Pass
• Interfaz: WireGuard
• Address Family: IPv4, IPv6 o ambas
• Protocol: Any
• Source: any
• Destination: any

Pinchamos en «Save» y en aplicar cambios, como suele ser habitual. En estos instantes ya estamos preparados para configurar los clientes VPN con WireGuard.

Configuración de los clientes VPN WireGuard y conexión a pfSense

La configuración de los clientes VPN con WireGuard es igual en todas las plataformas, necesitaremos exactamente la misma información. En nuestro caso, hemos utilizado un smartphone con Android, podéis descargar la app oficial de WireGuard para Android y iOS a continuación:

Descargar QR-Code

WireGuard

Developer: WireGuard Development Team

Descargar QR-Code

WireGuard

Developer: WireGuard Development Team

Pero también lo tenemos para otros sistemas operativos como Windows, directamente desde la web oficial de este protocolo de VPN. Una vez que lo hayamos instalado, vamos a poder configurar el cliente fácilmente.

Tal y como os hemos dicho anteriormente, nuestra recomendación es que, al generar las claves en el pfSense, copiéis estas claves en un bloc de notas, tanto la clave pública como la clave privada. Además, también tenéis que copiar la clave pública del servidor. Una vez hecho esto, abrimos WireGuard y procedemos a añadir un nuevo túnel VPN, tenemos tres opciones:

• Importar desde archivo toda la configuración, si vais a configurar varios clientes como Windows, Linux etc, lo normal es tener una plantilla con las diferentes configuraciones.
• Escanear desde código QR: si usamos la herramienta WireGuardConfig podremos hacerlo fácilmente.
• Crear desde cero: esta es la opción que hemos elegido.

Al añadir una nueva VPN, deberemos rellenar todos o casi todos los datos que nos pregunta, es el cliente VPN:

• Nombre: pondremos una descripción al túnel VPN, un nombre descriptivo por si tenemos varios.
• Clave privada: ponemos la clave privada que hemos copiado anteriormente del bloc de notas.
• Clave pública: al introducir la clave privada, la genera automáticamente
• Direcciones: la IPv4 o IPv6 del cliente, en este caso, hemos configurado anteriormente 10.9.0.2/32, ponemos esta.
• Puerto: lo dejamos en blanco
• Servidores DNS: podemos poner un servidor DNS en concreto, o directamente que resuelva el túnel.
• MTU: lo dejamos en blanco.

Ahora pinchamos en añadir par, y se nos desplegará más configuraciones, estas configuraciones son las del servidor VPN.

• Pares: la clave pública del servidor VPN.
• Clave precompartida: si no hemos configurado, lo dejamos en blanco, si hemos configurado la copiamos exactamente igual.
• Mantenimiento persistente: el keep alive, recomendable dejarlo en blanco.
• Punto final: debemos poner sintaxis «IP:puerto», por tanto, podemos poner: «vpn.redeszone.net:51820».
• IPs permitidas: si queremos poner todas, ponemos 0.0.0.0/0. También tenemos un botón para excluir las IPs privadas.

Una vez que lo hayamos hecho, pinchamos en guardar, y podremos ver todas las configuraciones realizadas.

Una vez añadido y verificado que todo está correcto, procedemos a conectarnos y veremos que hay intercambio de tráfico y que la VPN está funcionando perfectamente.

Si no tenemos paquetes recibidos, eso significa que hay algo mal y que el túnel de la VPN WireGuard no se ha establecido correctamente. Si te ocurre esto, deberás repasar toda la configuración realizada, y revisar los logs del pfSense para ver qué está ocurriendo.

Esperamos que con este tutorial hayáis podido configurar el servidor VPN de WireGuard en vuestro magnífico pfSense 2.5.0

El artículo Configuración del servidor VPN WireGuard en pfSense 2.5.0 se publicó en RedesZone.

Google Drive es uno de los servicios de almacenamiento en la nube más populares. Lo podemos utilizar en su versión web, así como en programa para los diferentes sistemas operativos. Nos permite alojar contenido, acceder desde cualquier lugar y equipo, compartir con otros usuarios, crear copias de seguridad… En definitiva, cuenta con una gran cantidad de opciones interesantes. En este artículo vamos a explicar cómo usarlo como CDN y distribuir archivos estáticos.

Qué es un CDN

En primer lugar vamos a explicar qué es y para qué sirve un CDN. Las siglas vienen de Content Delivery Network, que en español lo podemos traducir como Red de distribución de contenidos. Básicamente es una red superpuesta de equipos que contienen copias de datos. Estos datos se colocan en diferentes puntos en una red y de esta forma conseguir maximizar el ancho de banda.

Su misión es permitir a los usuarios acceder a ese contenido. El tipo de contenido puede ser muy diverso. Podemos hablar de una página web, archivos multimedia, aplicaciones, medios de comunicación… Aparecen como una solución a los problemas derivados de una web centralizada.

Entre estos objetivos podemos mencionar el hecho de disminuir el tiempo de respuesta o reducir la pérdida de información. Tiene ventajas al reducir la carga de servidores, la latencia o incrementar el ancho de banda.

Cómo usar Google Drive como CDN

Hemos explicado en líneas generales qué es un CDN y ahora vamos a mostrar cómo podemos convertir Google Drive en uno. De esta forma podremos entregar archivos estáticos en un sitio web o aplicación web. Para ello vamos a tener que utilizar una herramienta llamada PoweredBy.Cloud. Es un programa gratuito.

Esta aplicación sirve para acceder a nuestra cuenta de Google Drive, a los archivos que tenemos ahí almacenados, y poder entregarlos a través de un CDN. Crea una URL específica en un subdomonio y de esta forma genera URL de archivos y las podemos utilizar como un recurso en una app o web.

Vamos a ver cómo utilizarlo en Google Drive ya que es la plataforma más utilizada entre los usuarios domésticos. No obstante, también podemos hacer lo mismo con OneDrive.

Lo primero que tenemos que hacer es entrar en su página web y crearnos una cuenta. Tendremos que poner nuestra dirección de e-mail y automáticamente nos enviarán un link para crear la cuenta. Puede que ese correo llegue a la carpeta de Spam, por lo que hay que estar atento.

Posteriormente nos pedirá que elijamos entre Google Drive y OneDrive. En nuestro caso le hemos dado a Google Drive. Ponemos la dirección de correo electrónico y la contraseña. Posteriormente nos envían un enlace para verificar la cuenta.

Una vez seguimos con el proceso, nos solicitará acceso a la cuenta.

Tras esto tendremos que volver a la pantalla inicial, donde seleccionamos entre Google Drive y OneDrive, pero esta vez le damos a Add Site, que aparece arriba a la derecha. Allí tendremos que poner el nombre del sitio (podemos poner letras y números) y abajo seleccionar la cuenta de Google Drive o de OneDrive.

Posteriormente solo tenemos que darle a Add. Automáticamente nos abrirá una nueva página donde nos muestra la información como vemos en la imagen de abajo. Hay que tener en cuenta que podemos agregar hasta un máximo de tres sitios. Podremos eliminarlos siempre que queramos.

Solo tendremos que copiar la URL generada y usarla donde nos interese. Podemos agregar carpetas y subir los archivos a ellas. De esta forma todo estará disponible en todo momento. Eso sí, hay que tener en cuenta que, al menos con la versión actual, no puede acceder a contenido que ya está en Drive, sino solamente a aquellos que hayamos subido desde este servicio.

En definitiva, siguiendo estos pasos y utilizando para ello la herramienta PoweredBy.Cloud podremos convertir Google Drive en un CDN. Así tendremos la posibilidad de cargar archivos de forma rápida donde nos interese. Por ejemplo una página web o una aplicación.

El artículo Cómo usar Google Drive como CDN y alojar tu web gratis se publicó en RedesZone.

Enlarge (credit: Jayson Photography / Getty Images)

A previously undetected piece of malware found on almost 30,000 Macs worldwide is generating intrigue in security circles, and security researchers are still trying to understand precisely what it does and what purpose its self-destruct capability serves.

Once an hour, infected Macs check a control server to see if there are any new commands the malware should run or binaries to execute. So far, however, researchers have yet to observe delivery of any payload on any of the infected 30,000 machines, leaving the malware’s ultimate goal unknown. The lack of a final payload suggests that the malware may spring into action once an unknown condition is met.

Also curious, the malware comes with a mechanism to completely remove itself, a capability that’s typically reserved for high-stealth operations. So far, though, there are no signs the self-destruct feature has been used, raising the question of why the mechanism exists.

Read 11 remaining paragraphs | Comments

La operadora naranja Orange, ha lanzado una nueva tarifa de fibra y fútbol y de forma paralela ha aprovechado para presentar los nuevos routers Wi-Fi que suelen instalar en las casas de sus abonados. Dos modelos como son el Livebox 6 y Livebox 6+ que vienen a sustituir al Livebox+.

Actualmente, Orange distribuye entre sus usuarios un modelo ya clásico y que muchos tendréis en casa, como es el Livebox+. Ahora, los dos nuevos modelos llegan para coincidir en el tiempo con las ofertas convergentes de fibra premium 600 Mb y 1 Gb. Dos modelos que ahora pasamos a conocer.

Compatibles con WiFi6

Y es que como podemos intuir por su nombre, esto dos routers se caracterizan por ofrecer soporte para la tecnología WiFi 6, de forma que mejora la velocidad de navegación, el rendimiento en entornos saturados y la gestión de la red si contamos con bastantes dispositivos conectados.

En Xataka

Así de malos (o de buenos) son los routers que te da tu operadora (2020)

Estos dos nuevos routers llegan con una particularidad y es que deben permanecer en posición vertical para, según Orange, "un correcto funcionamiento de las antenas internas y una óptima refrigeración del equipo", Además avisan que algunas tarjetas wireless para PC deberán tener los los drivers actualizados, ya que se pueden dar casos en los que veces no detectan la red WiFi 6.

Se trata de dos modelos que esconden en su interior un procesador ARMv8 B53 dual-core a 1.5 GHz apoyado en una memoria NAND FLASH de 512MB y DDRAM de 512MB. Integra cuatro puertos LAN Gigabit Ethernet (GE) RJ45, dos puertos (FXS) RJ11 para Telefonía fija y un puerto USB 3.0 maestro (tipo A) de alta potencia (1A). Ofrece Wi-Fi 6 compatible con las bandas de 5GHz hasta 4.8 Gbps y la banda de 2.4GHz con hasta 860 Mbps.

Sobra decir, llegado el caso, que para aprovechar todo el potencial de estos modelos y del estándar WiFi 6, debemos contar con dispositivos compatibles, ya sean teléfonos, ordenadores, televisores, etc., y en general cualquier dispositivo conectado sin cables.

Precio y disponibilidad

Los routers WiFi 6 estarán disponibles exclusivamente para altas nuevas de fibra. En el caso del Livebox 6, este se destina a clientes con fibra directa, mientras que el Livebox 6+ está destinado a clientes con fibra indirecta.

Vía | Orange

-
La noticia Compatibles con WiFi 6: así son los nuevos routers que Orange llevará a sus clientes de fibra fue publicada originalmente en Xataka Smart Home por Jose Antonio Carmona .

Calor. El peor enemigo, lo que más limita a un procesador es el calor que genera cuando trabaja a pleno rendimiento. Es lo que provoca que tu ordenador portátil suene como un avión a punto de despegar cuando abres algún juego, y la causa de que uno de los gastos más grandes de un centro de datos sea su refrigeración.

La solución para mitigar este calor ha sido casi siempre la ventilación mediante conductos de aire, con algunos ejemplos más avanzados utilizando conductos de refrigeración líquida. Pero ¿y si pudiéramos ir más allá y directamente sumergir los servidores en recipientes llenos de líquido? Eso es lo que precisamente logra la refrigeración por inmersión, y ya hay varias compañías que lo ofrecen como alternativa.

Sumergir los servidores en líquido ya no es una locura

No, no te lo estás imaginando mal: la refrigeración por inmersión consiste en sumergir servidores enteros en líquido, para que así el calor que generan se transfiera fácilmente a ese líquido y se refrigere con más eficiencia. Microsoft lo ha probado sumergiendo servidores en el mar con resultados positivos, pero en este caso hablamos de hundir los servidores de los centros de datos en tanques llenos de líquido lo suficientemente grandes para que queden completamente sumergidos. He aquí un vídeo de Fujisu mostrando el proceso:

El líquido que se utiliza en estos casos es dieléctrico, lo que significa que es capaz de aislar la corriente eléctrica que necesitan los dispositivos electrónicos (al contrario que el agua, un líquido conductor). Ese líquido puede ser un aceite mineral, agua desionizada o una solución creada específicamente para este uso.

Generalmente podemos clasificar la refrigeración por inmersión en dos grandes tipos: la inmersión por fase simple y la inmersión por fase doble. La inmersión por fase simple utiliza un líquido refrigerante que recibe el calor de los servidores sumergidos y pasa por un circuito hacia otro tanque donde un circuito de agua lo refrigera de nuevo.

Una vez enfriado, el líquido vuelve hacia los servidores para volver a cumplir su función. En este caso el líquido refrigerante no llega nunca a hervir ni a evaporarse, ni tampoco a congelarse. Gracias a ello no hacen falta instalaciones demasiado complejas.

La inmersión de dos fases va más allá: utiliza un líquido dieléctrico con un punto de ebullición bajo (la empresa Submer utiliza el ejemplo de uno que hierve a 49ºC frente a los 100ºC del agua) y deja que éste hierva y evapore debido al calor que generan los servidores sumergidos. El vapor que se eleva desde el tanque pasa por unos condensadores, para que ahí vuelva a un estado líquido y "llueva" encima del tanque pudiendo empezar el proceso de nuevo. 3M tiene un vídeo donde podemos ver uno de estos tanques lleno de refrigerante hirviendo:

Este proceso tiene la ventaja de necesitar menos circuitos y válvulas, pero el vapor que se escape de los condensadores provoca pérdidas del líquido. Aún así, compañías como la del vídeo superior anuncian ahorros de costes de energía de hasta un 95%.

Objetivos, ventajas e inconvenientes de la inmersión de servidores

Detalle de una de las soluciones de refrigeración por inmersión de la empresa Submer.

La web de la empresa Submer describe a quién puede ir enfocada este tipo de refrigeración de los servidores: empresas cuyos centros de datos no puedan estar en zonas de clima frío, o personas que necesiten exprimir el rendimiento máximo de sus servidores con actividades como el renderizado de gráficos (ojo a esos servicios de juegos en la nube como GeForce Now o Google Stadia), o bien el minado de criptomonedas que ya vuelve a ser protagonista de un gran consumo de energía.

Esa actividad es precisamente en la que se enfocan otras empresas como SCATE Ventures, quienes ponen encima de la mesa el problema de los chips con cada vez más transistores y más pequeños y que por lo tanto generan cada vez más calor. Promocionan sus métodos de inmersión garantizando de un 25% a un 55% más capacidad de hashing dependiendo de los modelos de servidores que se utilicen gracias a la eficiencia resultante de hundirlos en líquido. Según Fujitsu, la refrigeración por inmersión puede ahorrar incluso un 40% de energía frente a la refrigeración convencional por aire.

La ventaja principal es, pues, evidente: como los servidores se refrigeran mejor, sus chips pueden trabajar a más potencia y ser más eficientes. Además, podemos retirar todos los ventiladores de refrigeración por aire que puedan incluir. Eso a su vez nos da centros de datos silenciosos, y que pueden evitar averías provocadas por polvo, partículas flotantes o vibraciones que provoquen esos ventiladores.

A nivel ambiental, además de la mejor eficiencia en el consumo de energía, también podemos añadir que los líquidos dieléctricos usados pueden ser biodegradables, con una vida útil que puede superar los veinte años y que no contribuyan en absoluto al calentamiento global. Y el mismo hecho de ser un líquido hace que proteja los servidores sumergidos en él de corrosiones que pueden aparecer con el tiempo.

Sin embargo no todo son beneficios. Para empezar, la inversión inicial para tener un centro de datos que refrigere por inmersión es más alta. Y bastante definitiva, porque revertir a refrigeración estándar de nuevo cuesta mucho más por tener que cambiar toda la instalación.

También se requiere más espacio físico en el centro de datos, ya que los servidores pasan de estar colocados horizontalmente en racks a estar sumergidos de forma vertical en tanques (aunque se compensa por no tener que instalar ventilación por aire). Y los tanques llenos de líquido pesarán mucho, de modo que el centro de datos tiene que estar preparado para soportarlo con suelos reforzados si es necesario. Tampoco olvidemos que hay que estar preparados ante cualquier fuga de líquido refrigerante de esos tanques, que puede ser desastrosa.

La compañía de servidores Rittal pone un equilibrio en forma de cifra: cree que la refrigeración por inmersión es rentable sólo en casos de centros de datos que necesiten tener una densidad de servidores tal que consuman 100kW por cada rack. En casos donde las necesidades sean menos estrictas, la refrigeración convencional o la refrigeración líquida son métodos que pueden dar mejores resultados.

En Xataka

Refrigeración líquida en chips: estos investigadores han conseguido un método para implementarla

Vamos hacia un mundo cada vez más conectado, así que cada vez vamos a necesitar más y más centros de datos que consumirán más energía. Métodos como la refrigeración por inmersión, bien implementados, pueden ser un buen modo de reducir el impacto que comportan todos esos servidores funcionando constantemente.

-
La noticia Sí, esos servidores están en una bañera: así funciona la refrigeración por inmersión fue publicada originalmente en Xataka por Miguel López .

El Phishing es una de las amenazas más comunes que hay hoy en día en la red. Los piratas informáticos utilizan este tipo de estrategias para robar información y contraseñas de las víctimas. Un problema que afecta tanto a usuarios particulares como también a empresas y organizaciones. En este artículo nos hacemos eco de una nueva estafa de suplantación de identidad que permite tomar el control total de Windows.

Un nuevo ataque Phishing busca el control total de Windows

Se trata de una nueva variante del troyano Bazar. Es un malware que permite crear una puerta trasera completa en un equipo con Windows. Ahora una nueva campaña de Phishing busca que las víctimas descarguen ese software malicioso. Como suele ocurrir en este tipo de ataques, los piratas informáticos prometen una bonificación o algo positivo de cara a la víctima para tentarles a hacer clic en el enlace.

Hay que tener en cuenta que el troyano Bazar surgió por primera vez hace un año, aunque con el paso del tiempo ha ido perfeccionando. En la actualidad permite a un atacante obtener una puerta trasera en Windows con la que pueden lograr un control total del dispositivo, conseguir acceso a la red para recopilar información o incluso colar un ransomware.

Según los investigadores de seguridad de Fortinet, que están detrás del descubrimiento de la nueva cepa, indican que ahora cuenta con técnicas para que el malware sea mucho más difícil de detectar por el software antivirus. Un problema más que dificulta su eliminación.

Estas novedades se incluyeron a final de enero. Han sido introducidas en una nueva campaña de Phishing para intentar colar el troyano. Lo que hacen es redirigir a un PDF falso. Indican que se trata de una factura, extractos bancarios o cualquier documento importante. De esta forma logran atraer la atención de la víctima y que descarguen ese archivo falso.

Es al descargar ese archivo cuando los atacantes logran esa puerta trasera que pueden utilizar para colar otras variedades de malware o incluso vender ese acceso a otros ciberdelincuentes.

La campaña de Phishing está activa

Desde Fortinet indican que esta campaña se mantiene activa y constantemente se detectan intentos de ataques. Es esencial evitar ser víctimas del Phishing. Algo básico es el sentido común. No hay mejor barrera de seguridad que el hecho de evitar cometer errores que nos comprometan. Por ejemplo en este caso sería un error abrir ese archivo PDF que puede contener el troyano Bazar. Siempre debemos evitar abrir enlaces de correos en los que no podamos confiar al 100%.

Pero también es interesante tener los equipos actualizados correctamente. Son muchas las vulnerabilidades que puede haber en un equipo y que podrían ser aprovechadas por intrusos para llevar a cabo sus ataques. Por otra parte, un buen antivirus siempre va a ayudar a protegernos de muchas amenazas en forma de malware que pueden dañar nuestra seguridad y privacidad.

En definitiva, una nueva campaña de Phishing puede poner en riesgo la privacidad de los usuarios. Es importante evitar cometer errores que comprometan la seguridad en todo momento.

El artículo Una nueva estafa Phishing consigue el control total de Windows se publicó en RedesZone.

Hace pocos dias se dio a conocer un método sorprendentemente simple que permite atacar dependencias en aplicaciones que se desarrollan utilizando repositorios de paquetes internos. Los investigadores que identificaron el problema pudieron ejecutar su código en los servidores internos de 35 empresas, incluidas PayPal, Microsoft, Apple, Netflix, Uber, Tesla y Shopify.

Los hacks se llevaron a cabo como parte de los programas Bug Bounty, en coordinación con las empresas atacadas y ya se les ha aportado a los autores 130.000 dólares en forma de bonificaciones por identificar vulnerabilidades.

El método se basa en el hecho de que muchas empresas utilizan dependencias de repositorios estándar de NPM, PyPI y RubyGems en sus aplicaciones internas, así como dependencias internas que no se distribuyen públicamente ni se descargan de sus propios repositorios.

El problema es que los administradores de paquetes como npm, pip y gem intentan descargar las dependencias internas de las empresas, incluso de los repositorios públicos. Para un ataque, basta con definir los nombres de los paquetes con dependencias internas y crear sus propios paquetes con los mismos nombres en los repositorios públicos de NPM, PyPI y RubyGems.

El problema no es específico de NPM, PyPI y RubyGems, y también se manifiesta en otros sistemas como NuGet, Maven y Yarn.

La idea del método propuesto apareció después de que un investigador notó accidentalmente que en el código disponible públicamente publicado en GitHub, muchas empresas no eliminan de sus archivos de manifiesto la mención de dependencias adicionales utilizadas en proyectos internos o al implementar funcionalidades extendidas. Se han encontrado rastros similares en el código JavaScript de los servicios web, así como en los proyectos Node.JS, Python y Ruby de muchas empresas.

Las principales filtraciones estaban relacionadas con la incrustación del contenido de los archivos package.json en el código JavaScript disponible públicamente durante el proceso de compilación, así como con el uso de elementos de ruta reales en llamadas require(), que se pueden usar para juzgar los nombres de dependencias.

El escaneo de varios millones de dominios corporativos reveló varios miles de nombres de paquetes de JavaScript que no estaban en el repositorio de NPM. Habiendo recopilado una base de datos de nombres de paquetes internos, el investigador decidió realizar un experimento para piratear la infraestructura de las empresas que participan en los programas Bug Bounty. Los resultados fueron sorprendentemente efectivos y el investigador pudo ejecutar su código en muchas computadoras de desarrollo y servidores responsables de construir o probar con base en sistemas de integración continua.

Al descargar dependencias, los administradores de paquetes npm, pip y gem instalaron principalmente paquetes de los repositorios públicos primarios NPM, PyPI y RubyGems, que se consideraron de mayor prioridad.

La presencia de paquetes similares con los mismos nombres en los repositorios de empresas privadas se ignoró sin mostrar ninguna advertencia ni provocar bloqueos que pudieran llamar la atención de los administradores. En PyPI, la prioridad de descarga estaba influenciada por el número de versión (independientemente del repositorio, se descargó la versión más reciente del paquete). En NPM y RubyGems, la prioridad solo dependía del repositorio.

El investigador ha colocado paquetes en repositorios de NPM, PyPI y RubyGems que se cruzan con los nombres de las dependencias internas encontradas, agregando código al script que se ejecuta antes de la instalación (preinstalado en NPM) para recopilar información sobre el sistema y enviar la información recibida al host externo.

Para transmitir información sobre el éxito del hackeo, eludir los cortafuegos que bloquean el tráfico externo, el método de organización de las comunicaciones de canal encubierto sobre el protocolo DNS. El código que se estaba ejecutando resolvió el host en el dominio atacante bajo el control del dominio atacante, lo que hizo posible recopilar información sobre operaciones exitosas en el servidor DNS. Se pasó información sobre el host, el nombre de usuario y la ruta actual.

El 75% de todas las ejecuciones de código registradas se asociaron con descargas de paquetes NPM, principalmente debido al hecho de que había significativamente más nombres de módulos internos de JavaScript que nombres de dependencias en Python y Ruby.

Fuente: https://medium.com/

Microsoft’s Visual Studio Code is an excellent C development environment, and now it’s an easy install on Raspberry Pi. Here’s Jim Bennett from Microsoft to show you all how to get VS Code up and running on our tiny computer. Take it away, Jim…

There are a few products in the tech sphere that get me really excited. One of them is Raspberry Pi (obviously), and the other is Visual Studio Code or VS Code. I always hoped that the two would come together one day — and now, to my great pleasure, they have!

VS Code is a free, open source developer text editor originally released for Windows, macOS and x64 Linux. Out of the box it supports generic text editing and git source code control, as well as full web development with JavaScript, TypeScript and Node.js, with debugging, intellisense and all the goodness you’d expect from a full-featured IDE. What makes it super powerful is extensions — bringing a huge range of programming languages, developer tools and other capabilities.

For example my VS Code setup includes a Python extension so I can code and debug in Python, a set of Microsoft Azure extensions so I can manage my cloud services, PlatformIO to allow me to program micro-controllers like Arduino boards coupled with a C++ extension to support coding in C and C++, and even some Docker support. Not a bad setup for a completely free developer tool.

I’ve been hoping for years VS Code would come to Raspberry Pi, and finally it’s here. As well as supporting Debian Linux on x64, there are now builds for ARM and ARM64 – both of which can run on Raspberry Pi OS (the ARM build on Raspberry Pi OS, the ARM64 on the beta of the 64-bit Raspberry Pi OS). And yes — I am writing this right now on a Raspberry Pi 400 running VS Code!

Why am I so excited about this?

Well, there are a couple of reasons.

Firstly, it brings an exceptional developer tool to Raspberry Pi. There are already some great editors, but nothing of the calibre of VS Code. I can take my $35 computer, plug it into a keyboard and mouse, connect a monitor and a TV and code in a wide range of languages from the same place.

I see kids learning Python at school using one tool, then learning web development in an after-school coding club with a different tool. They can now do both in the same application, reducing the cognitive load – they only have to learn one tool, one debugger, one setup. Combine this with the new Raspberry Pi 400 and you have an all-in-one solution to learning to code, reminiscent of my ZX Spectrum of decades ago, but so much more powerful.

The second reason is to me the most important — it allows kids to share the same development environment as their grown-ups. Imagine the joy of a 10-year-old coding Python using VS Code on their Raspberry Pi plugged into the family TV, then seeing their Mum working from home coding Python in exactly the same tool on her work laptop as part of her job as an AI engineer or data scientist. It also makes it easier when Mum has to inevitably help with unblocking the issues that always come up with learners.

As a young child it was mind-blowing when my Dad brought home a work PC so he could write reports and I could use it to write up my school work – I was using what Dad used at work, making me feel important. I see this with my seven-year-old daughter, seeing her excitement that I use Microsoft Teams for work, the same as she uses for her virtual schooling (she’s even offered to teach me how to use it if I get stuck). To be able to bring that unadulterated joy of using ‘grown-up tools’ to our young learners is priceless.

Installing VS Code

The great news is VS Code is now available as part of the Raspberry Pi OS apt packages. Launch the Raspberry Pi Terminal and run the following commands:

sudo apt update 
sudo apt install code -y

This will download and install VS Code. If you’ve got your hands on a Pico, then you may not even need to do this – VS Code is installed as part of the Pico setup from the Getting Started guide.

After installing VS Code, you can run it from the Programming folder in the Raspberry Pi menu.

Getting started with VS Code

VS Code may seem daunting at first – it’s a powerful tool with a huge range of extensions. The good news is Microsoft has you covered with lots of hands-on, self-guided learning guides on how to use it with different languages and development tools, from using Git version control, to developing web applications — there’s even a guide to learning Python basics with Wonder Woman.

Go grab it and happy coding!

Brilliant Jim Bennett shares loads of Raspberry Pi builds and tutorials over on Expecting Someone Geekier and tweets @jimbobbennett. He also works in Developer Relations at Microsoft. You can learn pretty much everything there is to know about him on github.

The post Visual Studio Code comes to Raspberry Pi appeared first on Raspberry Pi.

Diciembre de 2020 se cerró, entre otras polémicas y crispaciones, con el anuncio de la nueva web del Congreso de los Diputados, renovada tras catorce años con el mismo diseño y haciendo coincidir el estreno con el Día de la Constitución. Dicha renovación tendría que haber llegado un año antes, pero la doble disolución de las Cortes por la repetición electoral y la posterior pandemia trastocó todos los planes.

El rediseño finalmente llegó, y como suele ocurrir con estos lanzamientos, no lo hizo exento de polémica. Según el corte ideológico del diario consultado se podía leer como una noticia sin mucho que rascar o como el enésimo ejemplo del derroche, ya que el coste fue de 1,6 millones de euros. El resto de la conversación es historia de los mentideros digitales, con nulo resultado en cuanto a un consenso sobre si su coste fue adecuado o si en cambio el Gobierno pagó merluza a precio de marisco la víspera de Nochebuena.

Más que un rediseño, menos que un cambio de paradigma

Un vistazo a la web permite comprobar que al menos a primera vista no ha habido una gran renovación, al menos en la parte exterior. Al menos no se aprecia un lenguaje de diseño propio de estos tiempos, sino uno que encaja que podría pasar como implementado antes de 2010. Hay iconos que responden a estilos diferentes, tampoco hay una cohesión tipográfica e incluso los iconos que llevan a las redes sociales institucionales podrían ser el equivalente en diseño a la castiza expresión "cada uno de un padre y una madre".

Es posible que el rediseño de esta web tenga raíces mucho más profundas y sean las que empiecen a contextualizar el desembolso. El anuncio del procedimiento concursal fue publicado en el BOE en noviembre de 2017, justo tres años antes de la inauguración y con el Gobierno anterior al frente de las Cortes.

En julio de 2018 se hizo pública la adjudicación a GFI Informática por 1,6 millones de euros (IVA incluido), quien se impuso a Telefónica como único contrincante en la lista de empresas admitidas y tras dejar en la lista de excluidas a Informática El Corte Inglés, Ricoh Spain, Everis o Indra, entre otras.

En Xataka

Estos son los locos que dedican años a hacer un juego para una máquina de hace 30 años

Así, fue GFI Informática quien debía encargarse del rediseño atendiendo al pliego de cláusulas administrativas y prescripciones técnicas, que ya dejaban entrever que era un proyecto que iba mucho más allá de un simple rediseño. A saber:

• Desarrollo de la nueva web del Congreso.
• Nueva herramienta de gestión de contenidos (CMS).
• Infraestructura de servidores para desarrollo, preproducción y producción de la web.
• Migración de contenidos.
• Auditoría de seguridad externa.
• Formación y transferencia tecnológica del proyecto.
• Garantía, mantenimiento y soporte por al menos tres años a partir de la entrega, tanto para el software como para el hardware, incluyendo asistencia telefónica o entrega de nuevas versiones de productos contratados sin coste adicional.

En este viaje al entendimiento de si aquel rediseño tuvo un precio adecuado o no, Beatriz Belmonte, especialista en diseño de servicios y govtech, deja una frase lapidaria para cambiar el rumbo: "No debemos quedarnos en el precio, la solución no es recortar. No basta con buscar propuestas más baratas y pensar permanentemente que las adjudicaciones se inflan. Hay que pensar que hace falta cambiar la forma de hacer diseño en la administración pública, y buscar la eficiencia. Lo que no podemos es tener webs publicadas porque peor es nada, ese es el lugar donde no nos podemos conformar".

Sobre su valoración del precio pagado, recalca que la hace "teniendo en cuenta que lo que se ve no es lo mismo que el trabajo que se ha hecho", y que parte de la base de que webs similares, sin transaccionalidad (que no permite ejecutar transacciones, sean monetarias o de otros tipos), "a una empresa privada le podría costar en torno a un millón de euros, quizás no medio millón más, pero es una estimación sin conocer a fondo las implicaciones de los pliegos, donde entran licencias, equipos físicos, servidores, alojamiento, mantenimiento...".

Sobre la web cree que "es una ocurrencia como elemento aislado, algo que ocurre de forma ajena al resto. Si abres la web del Senado, o de la Agencia Tributaria, de la Seguridad Social... vas a ver que cada una tiene un diseño distinto, un sistema de interacción diferente, y aunque quizás comparten cosas, a nivel de lenguaje visual o contenidos no hay consistencia, y la experiencia suele ser nefasta, son páginas contenedoras de enlaces que generan rutas en cascada a otras páginas que derivan en un PDF, y esto es un problema de accesibilidad".

María Izquierdo, diseñadora de estrategia y servicios en Valor Público, coincide con Beatriz. "Es mi perspectiva y no he mirado el 100% de la web, en general se ve como un rediseño, es algo congruente con lo que hay actualmente en la administración y la falta de entendimiento sobre la tecnología digital, y sobre cómo hacer que los organismos públicos funcionen en la era digital".

Apunta María que el contenido y la arquitectura de la información "asume mucho conocimiento por parte de las personas usuarias a la hora de navegar". "Hay muchísima información enterrada en PDFs, esto hace que la información sea más difícil de encontrar, usar y mantener en comparación con HTML, además de generar problemas de accesibilidad". También hay imágenes distorsionadas o sin texto alternativo, que es lo que describe a los invidentes su contenido. Lo mismo ocurre en etiquetas como las del banner de las cookies.

Web del 'portal educativo' del Congreso.

"La tipografía y su jerarquía es inconsistente en toda la web, con distintos estilos y animaciones. El 'portal educativo' tiene una estructura distinta al resto. No es muy legible y el contraste del color del texto con el fondo es insuficiente. Alguien con problemas de visión probablemente tenga dificultades para leer este contenido. Y el estilo visual y el tipo de interacciones son algo anticuadas, pero entiendo que esto es algo secundario", remata María. Por otro lado, dice que el diseño visual "es como de hace diez o quince años, pero ese limitante les puede venir por la tecnología heredada, quizás haya que usar una infraestructura donde es complicado que todo eso funcione".

Luego está la cuestión de a quién está dirigida esta web. Si a la prensa, si al ciudadano de a pie... Una pregunta difícil de responder tras visitarla y que tanto María como Beatriz ven complicada de dilucidar. "Entiendo que esta web haya costado esta cantidad, pero no sé si lo que necesita la ciudadanía es una visita virtual en 360 grados al edificio del Congreso, por ejemplo. ¿Eso crea valor?", se pregunta María, que además hace una analogía: "nadie quiere un taladro, la gente quiere un agujero en la pared para colgar un cuadro. A la gente no le interesa que haya una nueva web, sino que sea una plataforma útil".

Otros apartados de la web también hacen arquear las cejas. José Luis Antúnez, diseñador de interacción, explica que al pulsar en el apartado 'Conócenos' es esperable encontrar "el funcionamiento y las funciones del Congreso, su historia, etc. Pero no. El contenido de esa sección es un mapa de su ubicación".

En Xataka

19 mandos que demuestran lo mucho que ha cambiado nuestra forma de jugar a videojuegos en consolas

El modelo británico

Un ejemplo no muy lejano y con bastante recorrido en el que podría mirarse España de cara a reorientar su forma de gestionar las webs de instituciones públicas es el de Reino Unido. María Izquierdo lo conoce bien: trabajó para el Government Digital Service, un departamento encargado de la transformación digital del gobierno en el país anglosajón. Cuenta que allí se abrió un departamento específico para ello hace diez años, encargado de trabajar en la transformación digital de las administraciones.

Web del gobierno británico.

"Es el ejemplo perfecto de que con la web del Congreso no deberíamos hablar tanto de su coste, sino de cambiar el paradigma desde el que pensamos. No pensar en páginas web, sino en servicios. Hace diez años se gastaba muchísimo dinero en estos asuntos, y por eso se creó aquel departamento, para controlar el gasto tecnológico".

Desde entonces, todos los equivalentes a nuestros ministerios tienen la obligación de escribir qué problema quieren resolver, cómo serán las personas usuarias de esa solución o si el código debe ser abierto entre otros requisitos. Aquello lo arrancó Francis Maude, Jefe de la Oficina del Gabinete entre 2010 y 2015, para hacer más eficientes las contrataciones públicas digitales. De aquello salió la web Gov.uk, que aloja a todas las webs del gobierno británico y cuyo lema interno, según explica María, era que "nunca iba a estar terminada" en referencia a que iba a requerir de actualizaciones continuas y perpetuas. Su estilo visual es el de una aséptica elegancia que permea a todas las instituciones públicas del país.

Hoy, la web del gobierno británico es una de las referencias mundiales en diseño público digital junto a Canadá o Australia. ¿Qué estructuras impiden a España llegar a ese nivel? Entre otras, su forma de contratación: la institución que requiera hacer una ha de escribir unos pliegos y la solución que requiere, quien se lleva la adjudicación se limita a proveerla. Las empresas se adaptan a los pliegos. En Reino Unido, como hemos visto, la búsqueda de la mejor solución también se deja en manos de quien la va a ejecutar. No se asume que saldrá de quien tiene el problema. En España, por imperativo legal, sí.

Web del gobierno australiano.

Web del gobierno canadiense.

No hay visos de momento de que en España se produzca este cambio de modelo, que podría derivar como en otros países en un lenguaje visual y unas estructuras homogéneas entre las webs de cada institución. Congreso, Senado, Agencia Tributaria, los diferentes ministerios, Moncloa, Zarzuela, comunidades autónomas, diputaciones... Hoy todas completamente heterogéneas, con sus propios códigos y jerarquías de contenido. Mientras eso llega, solo podremos ver rediseños eventuales que persistan en el modelo.

Desde Xataka tratamos de contactar con GFi Informática para obtener sus declaraciones para este artículo sin haber obtenido respuesta.

-
La noticia La nueva web del Congreso por 1,6 millones de euros no es un derroche, es una oportunidad perdida fue publicada originalmente en Xataka por Javier Lacort .

Son muchos los ataques que podemos sufrir a la hora de navegar por Internet. Los piratas informáticos se adaptan a los nuevos cambios que introduzcan los usuarios. Es cierto que tenemos cada vez más herramientas y métodos para protegernos, pero también las amenazas de seguridad mejoran y evitan saltarse esa protección. En este artículo nos hacemos eco de un informe que alerta del gran aumento de los ataques contra escritorios remotos.

Se disparan los ataques contra escritorios remotos

Se trata de un informe presentado por ESET. Han indicado que los ataques contra escritorios remotos han crecido nada menos que un 768% durante el último año. Concretamente entre el primer y último trimestre. Un crecimiento que implica la necesidad de mejorar la seguridad y reducir así el impacto.

¿Por qué han crecido los ataques contra escritorios remotos? Sin duda la razón detrás de esto es la pandemia del Covid-19. En los últimos meses ha aumentado mucho el número de trabajadores en remoto. Muchos usuarios han comenzado a desempeñar sus funciones desde casa y para ello utilizan el escritorio en remoto.

Esto ha sido aprovechado por los piratas informáticos para llevar a cabo sus ataques. Como hemos podido ver en otras muchas ocasiones, los ciberdelincuentes ponen sus miras en aquello que alberga más usuarios. Siempre suelen adaptarse a los tiempos y atacar donde más probabilidad de éxito pueden tener.

Los investigadores de seguridad han indicado que la seguridad en los escritorios remotos debe estar presente en todo momento. Especialmente el ransomware es una de las amenazas más presentes. Se basan en exploits de RDP, con tácticas agresivas que representan un riesgo importante tanto para los sectores públicos como organizaciones privadas.

No obstante, esperan que en los próximos meses el aumento de este tipo de ataques se ralentice. Las medidas de seguridad tomadas por las organizaciones deberían dar resultados, aunque sigue siendo insuficiente y es necesario que mejoren. Mantener la seguridad en el trabajo es muy importante, especialmente si es en remoto.

Aumento de ataques relacionados con el Covid-19

Pero no han aumentado únicamente los ataques relacionados con el escritorio remoto. Según este informe presentado por ESET, ha habido muchos ataques relacionados con el Covid-19 que han crecido enormemente en los últimos meses.

Un ejemplo son los ataques Phishing en los que utilizan el tema del coronavirus para captar la atención de las víctimas y lograr el robo de información y contraseñas. También las vacunas han estado presentes en los asuntos de e-mails para que la víctima pique en links maliciosos y poder así infectar los equipos.

Desde ESET esperan que los piratas informáticos sigan aprovechándose de esta temática durante los próximos meses. Esto hace que sea necesario incrementar las medidas de seguridad. Ya sabemos que no basta solo con tener un buen antivirus instalado, sino que debemos actualizar los sistemas y dispositivos, así como mantener el sentido común. Esto último es muy importante para protegernos de ataques como la suplantación de identidad por correo electrónico y similares.

En definitiva, los ataques relacionados con la pandemia han crecido en los últimos meses. El escritorio en remoto es uno de los objetivos de los ciberdelincuentes y debemos siempre tomar medidas de precaución para no cometer errores.

El artículo Los ataques contra escritorios remotos se disparan y debes protegerte se publicó en RedesZone.

El Internet de las Cosas está cada vez más presente entre los usuarios. Tenemos muchos aparatos domésticos con acceso a Internet, como pueden ser bombillas, televisiones, detectores de humo… Como cualquier equipo conectado pueden sufrir fallos que pongan en riesgo la seguridad y privacidad. En este artículo nos hacemos eco de una vulnerabilidad antigua que ha expuesto millones de dispositivos IoT y pueden sufrir ataques.

Un fallo de seguridad antiguo expone millones de equipos IoT

En otras ocasiones hemos visto vulnerabilidades con muchos años y que han puesto en riesgo programas o sistemas operativos. En este caso estamos ante un ejemplo más. Un problema de seguridad conocido desde hace décadas podría utilizarse para manipular dispositivos IoT.

Hay que tener en cuenta que este tipo de vulnerabilidades que afectan a los protocolos de comunicación que se utilizan en dispositivos IoT pueden permitir interceptar y manipular los datos. Eso podría comprometer seriamente tanto el buen funcionamiento de los equipos como la propia privacidad de los usuarios.

Este problema de seguridad ha sido detectado por un grupo de investigadores de Forescout. En concreto son nueve y afectan a algunas pilas TCP/IP. Se basan en la generación del número de secuencia inicial (ISN). Estos ISN están diseñados para garantizar que cada TCP entre dos ordenadores u otros dispositivos conectados a Internet sea único y que terceros no puedan interferir o manipular las conexiones. Siempre debemos proteger los dispositivos IoT. https://www.redeszone.net/tutoriales/seguridad/proteger-dispositivos-iot-seguridad/

Para garantizar esto, los ISN deben generarse de forma aleatoria para que un atacante no pueda adivinarlo, secuestrarlo o falsificarlo. Es un aspecto fundamental de la seguridad informática que ya se conocía en los años 90, pero cuando se trata de la seguridad de los dispositivos IoT, los investigadores encontraron que esta vieja vulnerabilidad estaba presente ya que los números no eran completamente aleatorios, por lo que el patrón de los números ISN en estas comunicaciones TCP podría predecirse.

Este tipo de vulnerabilidades se ha solucionado en sistemas como Windows o Linux. Sin embargo al analizar los dispositivos IoT, podemos comprobar que vuelven a aparecer este tipo de problemas, como así indican desde Forescout.

No es complicado para un atacante encontrar estos fallos

Desde Forescout indican además que no es difícil ni para atacantes ni para investigadores de seguridad encontrar este tipo de vulnerabilidades. Esto es así ya que se puede ver claramente que la forma en la que la pila genera los números es predecible.

Al predecir una conexión TCP existente, los atacantes podrían cerrarla, provocando esencialmente un ataque de denegación de servicio al evitar que los datos se transfieran entre dispositivos.

Además, de forma alternativa podrían secuestrarlo e inyectar sus propios datos en la sesión, a través de lo cual es posible interceptar el tráfico no cifrado, agregar descargas de archivos para enviar malware o usar respuestas HTTP para dirigir a la víctima a un sitio web malicioso. También es posible que los atacantes exploten las conexiones TCP de los dispositivos integrados para eludir los protocolos de autenticación, que potencialmente brindan a los atacantes acceso adicional a las redes.

Todas estas vulnerabilidades ya han sido reveladas a los proveedores y responsables de las pilas TCP/IP. Por ello ya muchas de ellas han sido parcheadas y es importante que los usuarios siempre tengan las últimas versiones instaladas. Especialmente cualquier equipo que tengamos conectado permanentemente a la red deben estar correctamente actualizados.

El artículo Una vulnerabilidad antigua deja millones de dispositivos IoT en peligro se publicó en RedesZone.

De casi 500 webs analizadas de organismos públicos de España se ha descubierto que solo 5 son realmente seguras, según los parámetros de Mozilla Observatory y tal y como nos cuenta Rubén Martín (Nukeador en Twitter), uno de los precursores del proyecto llamado Observatorio de Seguridad Web de Pucelabits.

Este proyecto ha permitido descubrir que entre las web que no respetan los protocolos de seguridad hay algunas que manejan información tan sensible como la del INEM, la del Senado, Hacienda, la Fábrica de Moneda y Timbre, el Ministerio de Defensa o el CESID.

😍 Muy orgulloso del trabajo que se ha sacado adelante con la ayuda de todos

😱 Estoy aterrado del panorama de malas notas

📢 ¡Sigamos añadiendo webs públicas y hagamos ruido a las instituciones para exigir más seguridad! https://t.co/wumZIzsauH

— Nukeador (@nukeador) February 5, 2021

Las que sí cumplen requisitos de privacidad de acuerdo con el ranking son: la web de la Moncloa, Universidad de Murcia, Ayuntamiento de Madrid y Bibliotecas de Madrid, Universidad de Alicante y el Instituto Nacional de Ciberseguridad o INCIBE.

Un proyecto colaborativo desde Valladolid al resto de España

Esta idea surgió a finales de 2020 de la mano de Adrián de la Rosa, Guido García y Rubén Martín, que eran parte de un grupo de cultura libre y privacidad de Valladolid. Tras comprobar que diferentes webs públicas de su provincia no tenían las características de seguridad necesarias para proteger la información privada de la ciudadanía y tras contactar a los responsables de estos organismos sin recibir respuesta, decidieron lanzar una llamada para que se uniese cualquier persona dispuesta a comprobar si eso sucedía a menudo por toda España.

En Genbeta

¿Por qué es importante HTTPS y qué implica no usarlo?

Ahora ya hay más de 20 personas por todo el país que les han escrito y que han formado parte de la idea. De hecho, mientras que el pasado martes 9 de febrero Martín dijo que desde comienzos de año se habían analizado 362 webs de organismos públicos (de las que se había descubierto que solo 3 eran seguras de acuerdo con los criterios, un día más tarde se analizaron casi 100 más. Todo gracias a que muchas más personas conocieron la iniciativa justo ese día.

Aunque los tres creadores de este proyecto tienen un background de desarrollo web afirman que no hace falta ser expertos en nada para poder hacer las comprobaciones básicas de seguridad de acuerdo con un servicio ya existente y que es el mencionado Mozilla Observatory. Esta herramienta analiza diversos asuntos de las web para ver si el criterio https (que acompaña a la URL de la mayoría de webs) es realmente cierto.

No es información privada, solo que la gente no sabe que la mayoría de webs no son seguras

“La información que aportamos no es primicia. Es pública. Mozilla Observatory lleva años disponible. Los datos que desvelan no es algo oscuro u oculto. Pero el objetivo que perseguimos es el de dar visibilidad a este problema y que todos los ciudadanos puedan entenderlo" explica Rubén Martín. Él mismo recuerda que la ciudadanía está obligada en muchas ocasiones y para diversos trámites a usar las páginas de instituciones públicas y que, si estas no protegen bien los datos, será fácil para un atacante acceder a estas informaciones privadas y muchas veces delicadas.

Al mismo tiempo, sigue explicando, "las veces que hemos contactado de forma privada a estas instituciones nunca nos han hecho caso". Por ello, la iniciativa incluye la opción de compartir la información en Twitter a modo de denuncia. Y es que, consideran los promotores de PucelaBits que "creemos y está demostrado que cuando hay suficiente ruido es cuando se le pone remedio a un problema".

Los criterios de Mozilla Observatory para decir si una web es segura o no

La principal duda sobre estos análisis reside en que, si las webs tienen el certificado HTTPS en la URL, ¿qué les falta para ser seguras?. Desde Pucelabits explican que cuando nos conectamos a una página web, nuestros datos viajan ida y vuelta desde nuestro dispositivo hasta el servidor de la página web por medio de cables y servidores intermedios. Si la dirección de la web incluye HTTPS, esto quiere decir que estos datos viajan cifrados, pero no todas las webs HTTPS tienen una implementación segura.

Con todo esto, hay que decir que usar HTTPS, no es suficiente para garantizar la total seguridad de nuestras conexiones, la página debe también implementar ciertas medidas para asegurarse que las conexiones a su web siempre se realizan mediante este protocolo, de acuerdo con la iniciativa vallisoletana.

Según Mozilla Observatory detalla cuando cualquier usuario introduce una URL para su análisis, hay diversos parámetros que hay que tener en cuenta. Por ejemplo, se mira que las cookies tengan el "secure flag"; deben incluir el Content Security Policy (CSP); o que la web no redireccione al usuario a terceras páginas sin protocolo HTTPS, entre otros asuntos.

-
La noticia Casi 500 webs de organismos públicos españoles analizadas y solo 5 realmentes seguras: así es el proyecto que pide más seguridad fue publicada originalmente en Genbeta por Bárbara Becares .

Zerologon es una vulnerabilidad que afecta a los sistemas Windows. Apareció hace unos meses y desde entonces hemos podido ver diferentes campañas aprovechando este fallo. Un atacante podría falsificar una cuenta de controlador de dominio y robar credenciales y tomar el control total. Desde Microsoft lanzaron parches para corregir el problema, aunque muchos usuarios mantenían los equipos vulnerables. Ahora han forzado a abordar estas vulnerabilidades con los últimos parches de seguridad.

Microsoft se esfuerza para corregir Zerologon

Cada mes Microsoft lanza una serie de actualizaciones y parches de seguridad para sus sistemas Windows. Esto permite corregir vulnerabilidades conocidas y que podrían comprometer el buen funcionamiento de los equipos y ser la entrada de atacantes. En esta ocasión, con el objetivo de potenciar la lucha contra Zerologon, ha incluido los parches para combatir este problema.

Zerologon es un fallo crítico de seguridad del proceso de Netlogon Windows Server. La vulnerabilidad fue rastreada como CVE-2020-1472 y permite a los atacantes elevar los privilegios a los administradores en caso de llevar a cabo un ataque exitoso.

Ahora, en las actualizaciones de seguridad del mes de febrero, fuerzan el modo de cumplimiento de todos los controladores de dominio de Windows compatibles y bloquearán las conexiones vulnerables de los dispositivos que no lo cumplan. Únicamente está la excepción de los controladores de dominio que han sido agregados de forma manual por los administradores.

Desde Microsoft recomiendan encarecidamente que los clientes instalen las actualizaciones de febrero para estar completamente protegidos de esta vulnerabilidad. Aquellos equipos que estén configurados para recibir las actualizaciones de forma automática no tendrán que realizar nada. Sí tendrían que agregarlas de forma manual quienes no lo tengan configurado. Siempre conviene usar escáneres de vulnerabilidad para poder encontrar posibles fallos que puedan comprometer nuestros equipos.

Microsoft advierte de ataques Zerologon

Hay que tener en cuenta que desde Microsoft han alertado que una vez se lanzaron públicamente los exploits de Zerologon, los piratas informáticos comenzaron rápidamente a utilizarlos para explotar dispositivos que fueran vulnerables a esta amenaza.

Esto hace que sea esencial instalar todos los parches que haya disponibles. Son muchas las vulnerabilidades que pueden surgir a la hora de navegar por Internet y utilizar los dispositivos. Esto es algo que afecta a todo tipo de sistemas operativos. Siempre debemos contar con las últimas actualizaciones y corregir estos problemas para evitar que los piratas informáticos puedan explotarlos.

Especialmente cuando hablamos de servidores o equipos conectados a la red de forma permanente, cualquier vulnerabilidad de este equipo puede comprometer aún más la seguridad. Es esencial que dispongamos de todos los parches. Un ejemplo es lo que hemos visto de Zerologon y que puede afectar a los equipos con Windows Server.

En definitiva, Microsoft aumenta su lucha contra Zerologon. Busca que los equipos estén más protegidos y evitar que haya sistemas vulnerables a esta importante amenaza de seguridad. Desde RedesZone recomendamos a los usuarios que actualicen siempre sus equipos y corrijan todo tipo de vulnerabilidades que puedan encontrar, como es el caso de este ejemplo que hemos visto.

El artículo Microsoft aumenta su lucha contra la amenaza Zerologon se publicó en RedesZone.

A finales del mes de enero autoridades policiales y judiciales de Alemania, Estados Unidos, Reino Unido, Francia, Países Bajos, Lituania, Canadá y Ucrania anunciaban el desmantelamiento Emotet, el que calificaban como "malware más peligroso del mundo". La infraestructura usada por esta amenaza pasaba a estar bajo el control de los cuerpos policiales.

Se espera que esta operación internacional coordinada por Europol y Eurojust, explica Adolf Streda, analista de malware de Avast con el que hemos hablado al respecto de esta actuación, "ponga fin a la historia de uno de los malwares más peligrosos y adaptables que existen". De momento, ha sido una de las operaciones de desmantelamiento globales de infraestructuras de este tipo más grandes y efectivas hasta la fecha.

Por el momento, herramientas como este buscador permiten saber si Emotet nos ha afectado de alguna manera y, según han explicado algunos de los cuerpos policiales participantes en la acción, se ha colocado una actualización de software en los servidores centrales holandeses de esta red de bots para todos los sistemas informáticos infectados. "Es de esperar que esto elimine cualquier malware que el grupo Emotet pueda tener en los ordenadores infectados", señala Streda.

6 años de ciberdelincuencia

Adolf Streda, analista de 'malware' de Avast.

"El desmantelamiento de Emotet supone un hito muy relevante en la lucha contra la ciberdelincuencia", destaca el especialista de Avast. Y no exagera, sobre todo, si tenemos en cuenta la naturaleza de este programa malicioso.

Una suerte de navaja suiza de la ciberdelincuencia con múltiples posibilidades y a disposición de los mejores postores. Sirvió para robar contraseñas, sustraer dinero de cuentas bancarias o agregar los dispositivos de las victimas a las redes de bots para, de esta manera, lanzar más campañas de phishing y aumentar sus capacidades. Y así ha funcionado desde hace seis años.

En Genbeta

Kobalos, el malware multiplataforma que ataca a superordenadores con Linux

"Emotet comenzó como un troyano bancario en 2014 bajo el control de un grupo conocido bajo los nombres de TA542, Mealybug y MUMMY SPIDER", nos cuenta Adolf Streda. "Con el tiempo, el grupo cambió el malware y las tácticas y llegó a ser más conocido por el nombre de Emotet. Una de las cosas que ha hecho que el grupo Emotet sea tan notable es cómo profesionalizaron su negocio ilegal".

Esta profesionalización, como explicamos anteriormente en Genbeta, consistía en el arrendamiento de la infraestructura a terceros ciberdelincuentes. Grupos criminales, muchos de ellos, de alto nivel según las autoridades policiales. Era una solución fiable y profesional para acceder a sistemas informáticos de todo el mundo por una puerta trasera.

Todo esto sucedió tres años después de su nacimiento, en 2017. Fue un paso hacia la profesionalización, nos dice Streda, "que me hace recordar el apunte de Bill Gates sobre la fiebre del oro en internet cuando dijo: 'las personas que venden sartenes a los buscadores a menudo lo harán mejor que los propios buscadores'".

Un año más tarde, en 2018, sus capacidades para enviar publicidad no deseada aumentaron sustancialmente. "En septiembre, estaban entregando más de medio millón de mensajes de spam en un solo día. Para octubre, duplicaban con creces esta capacidad entregando más de un millón de mensajes de spam en un día", recuerda el analista.

En Genbeta

Google lanza un test sobre phishing para saber si eres capaz de detectar cuándo te están engañando

Los responsables de Emotet, a la postre, prácticamente funcionaban como una empresa. Como una buena empresa capaz de adaptarse a las exigencias de sus clientes y la situación del mercado. Así fue como en los últimos tiempos evolucionaron su modelo de negocio, sus cargas útiles de malware, métodos de entrega y sus cebos. "Por ejemplo, en 2020, el grupo Emotet aprovechó muchos anzuelos en torno a la Covid-19 para despertar los temores globales en torno a la pandemia", cuenta el investigador de Avast. Y no fueron los únicos, como sabemos.

"Ver la desarticulación de este malware por parte de las autoridades competentes es una noticia muy positiva para el mundo de la ciberseguridad teniendo en cuenta su amplio alcance y la gran cantidad de familias de malware reconocidas atribuidas a su infraestructura", dice Streda, que confía en que la acción de las autoridades signifique que la botnet Emotet haya dejado de existir tal y como la conocemos.

Sin embargo, destaca lo que destacábamos a finales de enero, cuando saltó la noticia: en ninguna de las informaciones facilitadas por la policía se ha hablado de cargos o arrestos. Esto abre la posibilidad de que sus responsables estén en libertad y traten de reconstruir su otrora imperio. "Hemos percibido un alto grado de adaptabilidad en este grupo, lo que hace que las posibilidades de que intenten reagruparse y reconstruirse sean mayores que con otros grupos eliminados en el pasado", concluye.

-
La noticia Emotet: auge, caída y desaparición del "malware más peligroso del mundo" fue publicada originalmente en Genbeta por Toni Castillo .

¿Cómo debería ser el teclado perfecto? Eso es lo que han tratado de responder los ingenieros de System76, una conocida empresa en Estados Unidos que lleva meses trabajando en un proyecto singular.

Ese teclado, afirman estos ingenieros, será mecánico, pero sobre todo será personalizable y Open Source: desde los esquemas para su construcción hasta el firmware están a disposición de todo el mundo para que cualquiera pueda aprovecharlos, mejorarlos y compartir el resultado.

El Open Source también conquista nuestros periféricos

System76 es una empresa muy conocida en Estados Unidos por ser una de las pocas que desde hace años apostó por ofrecer portátiles y PCs basados en Linux.

Esa apuesta ha continuado a lo largo del tiempo, y desde hace tiemo en System76 ya declararon su intención de crear los prototipos y los procesos de fabricación para desarrollar sus propios teclados.

En Xataka

No me toques las teclas: así son los teclados tenkeyless, 60% y hasta 40% que conquistan a los entusiastas de este segmento

Tras varias semanas lanzando mensajes en redes sociales con algunos detalles, estos días han publicado en GitHub el repositorio de "lanzamiento" de estos teclados, en el cual está prácticamente todo lo necesario para crear lo que ellos llaman el System76 Launch Configurable Keyboard.

En la descripción del proyecto queda claro lo mucho que se han esforzado para hacer que el teclado sea personalizable al máximo. El chasis de aluminio cuenta con unos pequeños apoyos que permiten inclinarlo 15° para una mejor ergonomía, y la disposición del teclado se puede cambiar para ajustarse a todo tipo de necesidades, como demuestra su editor.

Además cuenta con teclas (keycaps) intercambiables y también interruptores que podremos elegir entre todos los que usen el sistema MX (como Cherry MX RGB o los Kaihl BOX, indican como ejemplo).

El circuito impreso que es la base del teclado también es Open Source, y el teclado cuenta con varios puertos USB para actuar como hub, soporte N-Key rollover y también un sistema de iluminación RGB independiente.

En Xataka

La megaguía para construirte un PC desde cero en 2020: el teclado y el ratón

El último detalle es también importante: el firmware está basado en QMK y es Open Source, pudiendo modificarlo y reprogramarlo para que se ajuste a cualquier necesidad específica.

No se sabe cuándo estará disponible el modelo finalizado, pero es probable que no sea barato (sobre todo por ese chasis de aluminio), que no haya excesivas unidades disponibles y que sea algo más difícil de conseguir fuera de Estados Unidos, que es donde se fabicará.

Aún así estamos ante un proyecto realmente fantástico porque puede dar pie para esfuerzos similares que se deriven de él con los tradicionales "forks" de código que se hacen de proyectos con software Open Source.

-
La noticia System76 quiere hacer el teclado mecánico perfecto: será personalizable y, sobre todo, Open Source fue publicada originalmente en Xataka por Javier Pastor .

Enlarge (credit: Getty Images / Leon Justice)

The Florida water treatment facility whose computer system experienced a potentially hazardous computer breach last week used an unsupported version of Windows with no firewall and shared the same TeamViewer password among its employees, government officials have reported.

The computer intrusion happened last Friday in Oldsmar, a Florida city of about 15,000 that’s roughly 15 miles northwest of Tampa. After gaining remote access to a computer that controlled equipment inside the Oldsmar water treatment plant, the unknown intruder increased the amount of sodium hydroxide—a caustic chemical better known as lye—by a factor of 100. The tampering could have caused severe sickness or death had it not been for safeguards the city has in place.

Beware of lax security

According to an advisory from the state of Massachusetts, employees with the Oldsmar facility used a computer running Windows 7 to remotely access plant controls known as a SCADA—short for “supervisory control and data acquisition”—system. What’s more, the computer had no firewall installed and used a password that was shared among employees for remotely logging in to city systems with the TeamViewer application.

Read 8 remaining paragraphs | Comments

En muchas ocasiones pueden surgir fallos de seguridad que pongan en riesgo los sistemas y dispositivos. Permiten incluso la entrada de intrusos que puedan robar contraseñas e información personal. En este artículo nos hacemos eco de algunas vulnerabilidades que afectan al firewall y VPN de Fortinet. Permiten diferentes tipos de ataques que pueden poner en riesgo a los usuarios de sus aplicaciones.

Vulnerabilidades en Fortinet afectan al firewall y VPN

Fortinet es una importante empresa de ciberseguridad que cuenta con una gran cantidad de productos como antivirus, cortafuegos o VPN para proteger a los usuarios y evitar problemas como la entrada de atacantes que puedan robar información.

Han detectado una serie de vulnerabilidades que ponen en riesgo la seguridad de su cortafuegos y también de su aplicación VPN. Concretamente afecta a Fortinet SSL VPN y a FortiWeb Web Application Firewall. Han lanzado múltiples avisos para que los usuarios conozcan estos fallos y puedan corregirlos.

Algunas de estas vulnerabilidades fueron reportadas hace dos años. Una de ellas, la vulnerabilidad CVE-2018-13381, está presente en Fortinet SSL VPN y podría ser explotada por un intruso remoto sin autenticación a través de una solicitud POST. Esto podría ocurrir debido a un desbordamiento de búfer en el portal SSL VPN de FortiProxy. Podría dar lugar a una denegación de servicios.

Otro fallo ha sido registrado como CVE-2018-13383. Un atacante podría desencadenar un desbordamiento en la VPN mediante contenido HREF de JavaScript. En caso de que FortiProxy SSL VPN analice una página web creada por un atacante que contenga la carga útil de JavaScript, podría provocar la ejecución remota de código, además de DoS. Las VPN pueden ser un peligro para la privacidad cuando tienen fallos de este tipo.

Estas vulnerabilidades, que han sido publicadas en enero de 2021, permiten en ambos casos la inyección de SQL, RCE y llevar a cabo ataques DoS.

El firewall de Fortinet, vulnerable

Por otra parte, las vulnerabilidades en FortiWeb Web Application Firewall fueron descubiertas e informadas de manera responsable por el investigador Andrey Medov de Positive Technologies. En total cuatro vulnerabilidades, de las que dos fueron más importantes: CVE-2020-29015, que permite la inyección de SQL, y CVE-2020-29016, que provoca desbordamiento de búfer.

La primera de esas vulnerabilidades permitiría obtener el hash de la cuenta de administrador del sistema y la segunda podría permitir la ejecución de código arbitrario. También hay que indicar otra vulnerabilidad, la CVE-2020-29018, que podría permitir la ejecución de código, aunque su explotación sí requiere autenticación.

Estos fallos de seguridad han sido calificados como de gravedad alta o crítica. Esto hace que los usuarios deban actualizar estas aplicaciones y poder corregir las vulnerabilidades que podrían ser un peligro importante. Hay que tener en cuenta que programas como un cortafuegos o VPN pueden ser muy sensibles.

Desde RedesZone siempre recomendamos tener los equipos y sistemas actualizados correctamente. Solo así podremos corregir los posibles fallos que puedan ser explotados por parte de ciberdelincuentes y llevar a cabo sus ataques. Esto es algo que debemos aplicar sin importar el tipo de dispositivos o sistemas que estemos utilizando.

El artículo El firewall de Fortinet tiene importantes fallos de seguridad se publicó en RedesZone.

Salvo que vayas a actualizar a Windows 10 directamente desde un ordenador con una versión anterior del sistema, para poder instalar el sistema operativo desde cero será necesario que descargues una imagen ISO.

Para hacer esto tienes múltiples opciones, desde las mismas soluciones oficiales que te ofrece Microsoft y que son bastante sencilla y completas, hasta algunas opciones de terceros que en algunos casos pueden resultar incluso más cómodas para bajar un ISO y crear un disco de arranque con Windows 10.

Herramienta de Microsoft

La solución más obvia en muchos casos es utilizar la herramienta de creación de medios de Microsoft. La puedes descargar desde aquí y esta te va a guiar por el proceso, ya sea que quieras actualizar a Windows 10, crear un medio de arranque USB para instalar Windows 10 en otro ordenador, o solo descargar el ISO.

Lo único que tienes que hacer es ejecutar el archivo .exe y cuando te pregunte lo qué deseas hacer, deberás elegir "Crear medios de instalación", luego seleccionar idioma, arquitectura y edición de Windows 10, y al final marcar la opción "Archivo ISO" seleccionando una carpeta para guardar la imagen.

Rufus

Una opción de terceros es utilizar la famosa herramienta Rufus que sirve para crear unidades USB de arranque para instalar gran variedad de sistemas operativos. Rufus ofrece además de esto, la opción de descargar directamente muchas distros Linux y también varias versiones de Windows.

Con este método solo tienes que descargar y ejecutar Rufus, hacer click en el botón que dice "Seleccionar" y cambiar a "Descargar". Cuando hagas click en "Descargar" aparecerá una nueva ventana ofreciendo versiones de Windows para descargar imagen ISO y luego podrás crear un disco de arranque USB con Windows 10.

HeiDoc

Otra opción aún más granular es la herramienta de HeiDoc para bajar todos los ISOs oficiales de Windows y Office. HeiDoc los descarga directo desde los servidores de Microsoft, y te ofrece múltiples versiones de Windows 10 y no solo la última versión estable.

Es su principal ventaja, que tiene una gran variedad de builds y versiones del sistema y no solo la última actualización de Windows 10. Incluso te deja bajar las versiones chinas.

En Genbeta

Esto es todo lo que te estás perdiendo si no aprovechas la integración de Android con Windows 10

La web oficial

Suponiendo que no tienes acceso a un PC con Windows y no puedes usar estas herramientas, o que no quieres descargar la herramienta de creación de medios por cualquier razón, igual es posible descargar Windows 10 directamente desde la web de Microsoft.

Lo único que tienes que hacer es cambiar el user-agent del navegador para que este crea que estas usando otro sistema no Windows y te ofrezca descargar el ISO en lugar de la Media Creation Tool.

Entra en este enlace desde cualquier navegador y presiona el atajo de teclado CTRL + MAYÚS + I para abrir las herramientas para desarrolladores. Cambia el dispositivo en el menú desplegable que aparece arriba y selecciona iPad. Refresca la pagina y listo.

Imagen de portada | wallpaperhub

-
La noticia Cuatro formas de descargar una ISO de Windows 10 gratis fue publicada originalmente en Genbeta por Gabriela González .

Supercookie.me es un ingenioso método demostrado por Jonas Strehle (un programador de 20 años) para identificar el navegador que visita una web mediante una especie de «huella digital» imborrable. Lo hace utilizando algo tan aparentemente inofensivo como es el icono Favicon de la página. Lo verdaderamente inquietante del asunto es que a pesar de su nombre no se trata de una «cookie» convencional: no puede borrarse. Ni eliminando las cookies, ni la caché, ni el historial, ni abriendo una «ventana anónima», ni con Do-Not-Track, usando una VPN, ni con un Adblocker… Es tan intratable como el Alien después de haberse zampado a media tripulación de la Nostromo.

La idea original está descrita con sumo detalle técnico en un trabajo titulado Tales of favicons and Caches: Persistent Tracking in Modern Browsers de Solomos, Kristoff, Kanich y Polakis, de la Universidad de Chicago. La web Supercookie.me es una mera demostración de cómo funciona.

Por explicarlo de forma resumida: los favicons son esos pequeños iconos () que se muestran normalmente junto a la URL de la página, por ejemplo en la barra del navegador, en los favoritos, como icono de la app, etcétera. Como se accede a ellos muy frecuentemente, el navegador los guarda en una memoria caché especial: el «caché de favicons» (F-Cache). Pues resulta que el servidor web al que se pide la página puede detectar si el navegador del usuario tiene un favicon determinado para una página dada. De este modo, realizando varias peticiones con ciertos valores, puede reconstruir un identificador determinado para cada visitante.

Según explica en la página de Github donde está el código esta vulnerabilidad –que podría considerarse como tal, porque no funciona como se espera de ella– afecta a todos los navegadores importantes: Chrome, Firefox, Safari y Edge al menos. Algunos de ellos también en sus versiones para móviles iOS/Android, en mayor o menor medida.

Una curiosidad es que puede distinguir más usuarios cuantas más redirecciones haga la web que se visita. El número exacto es proporcional es 2ⁿ, siendo n el número de redirecciones, de modo que hay «supercookies» de estas para un sinfín de visitantes. En la demo se utilizan 14 saltos (que podrían pasar desapercibidos para los visitantes) y unos 16.000 IDs distintos. Si visitas la web te asignará un número hexadecimal, que no variará aunque borres las cookies, la caché o abras una ventana de incógnito. La única forma de que el identificador sea distinto es usar otro navegador diferente.

Relacionado:

• Privacidad en Internet: llega la «cookie eterna» casi imposible de borrar
• Nuevas preocupaciones sobre privacidad en un estudio de la EFF
• Los sitios web ya pueden identificar con distintos navegadores
• Google probando una tecnología para eliminar «cookies»
• Panopticlick 3.0: para saber cuánta privacidad proporciona tu navegador

# Enlace Permanente

El router es una pieza fundamental para nuestras conexiones. Cuando hay un problema que afecta a la seguridad de este dispositivo podría poner en riesgo todos los equipos conectados a él. En este artículo nos hacemos eco de una serie de errores críticos que afectan a los routers de Cisco. Estos fallos podrían permitir la entrada de intrusos y ejecutar ataques al obtener acceso raíz de forma remota.

Vulnerabilidades críticas en los routers de Cisco

Recientemente se han detectado una serie de vulnerabilidades críticas en routers de Cisco Small Business. Concretamente se trata de problemas que permiten la ejecución remota de código previa a la autenticación.

Este problema permitiría a los piratas informáticos ejecutar código arbitrario como root en dispositivos explotados con éxito. Cisco afirmó que hay tres errores de seguridad importantes que se descubrieron en el firmware de los RV320 y RV325. Estos fallos fueron registrados como CSCvq34465, CSCvq34469 y CSCvq34472.

Estas vulnerabilidades están presentes ya que las solicitudes HTTP no se validan correctamente. Los ciberdelincuentes podrían explotar fácilmente estos fallos transfiriendo una solicitud HTTP diseñada a la interfaz de administración basada en web de un dispositivo atacado.

Cuando se realiza este exploit, los piratas informáticos podrían ejecutar código arbitrario en ese dispositivo y comprometerlo de forma remota.

Desde Cisco han indicado que todos los routers afectados para pequeñas empresas son vulnerables a los ataques y están tratando de explotar estas vulnerabilidades si ejecutan una versión de firmware anterior a la versión 1.0.01.02. Afecta a estos routeres:

• Router VPN RV160
• Router VPN inalámbrico RV160W
• Router VPN RV260
• Router VPN RV260P con POE
• Router VPN inalámbrico RV260W

No obstante, desde Cisco han mostrado también una lista de routers que no se han visto afectados por este problema. Son los siguientes:

• Router VPN Gigabit WAN dual RV340
• Router VPN inalámbrico-AC Gigabit WAN dual RV340W
• Router VPN Gigabit WAN dual RV345
• Router VPN POE Gigabit WAN dual RV345P

Actualizaciones disponibles

Un punto importante es que desde la compañía han indicado que no hay constancia de que hayan explotado estas vulnerabilidades. Ya hay parches disponibles, por lo que los usuarios de estos routers deberían actualizar el firmware a la última versión lo antes posible y así evitar problemas que puedan comprometer la seguridad.

Actualizar el firmware del router es un proceso muy importante y que debemos llevar a cabo siempre. Por un lado vamos a obtener las mejoras en rendimiento que puedan ayudar a que la velocidad, calidad y estabilidad de la conexión sea lo mejor posible. Pero también, y esto es lo más importante, podremos evitar posibles vulnerabilidades que puedan ser explotadas por parte de los ciberdelincuentes.

Por tanto, todos aquellos usuarios que tengan un router de Cisco vulnerable a este problema que hemos mencionado deberían actualizar el software a la última versión. Esto también lo podemos aplicar a cualquier otro usuario que quiera mantener su router seguro y con las últimas versiones para mejorar el rendimiento.

En muchas ocasiones hemos visto fallos de seguridad que afectan a los dispositivos de red. Por tanto, desde RedesZone recomendamos tener siempre las últimas versiones instaladas.

El artículo Un error crítico en routers Cisco permite el acceso remoto se publicó en RedesZone.

Si utilizas Google Drive, lo más probable es que habitualmente te hayas encontrado con muchos problemas de funcionamiento, una aplicación que funciona cuando quiere, como quiere, que parecía que Google había abandonado por completo y que había obligado a muchos usuarios a dejar utilizarla (entre los que me incluyo).

El servicio de almacenamiento Google Drive pone a disposición de sus clientes dos aplicaciones de sincronización con funcionamiento diferentes. La aplicación  Copia de seguridad y sincronización está destinada a los usuarios finales y se encarga de sincronizar todos los archivos de nuestro equipo con la nube.

Por otro lado, tenemos la aplicación File Stream, una versión destinada a los clientes empresariales de Google. Esta aplicación, en lugar de descargar todos los archivos de la nube y mantenerlos sincronizados en todo momento, nos ofrece un acceso directo al archivo, que al pulsar sobre él para abrirlo, lo descarga en ese momento y nos permite editarlo.

Además, nos permite descargar en nuestro equipo carpetas concretas por si tenemos la intención de trabajar sin conexión a internet, por lo que el problema que se puede presentar en esas circunstancias está solucionado.

Google ha anunciado la versión para clientes empresariales será la que reemplace la versión actual disponible para el resto de usuarios. De momento, ya le ha cambiado el nombre a la versión para empresas, pasando de File Stream a Drive para ordenadores. Este cambio está previsto para el primer semestres de 2021.

La versión de Drive para clientes de Google funciona de la misma forma que ya lo hacen Dropbox y Outlook pero estos la ofrecen a todos los usuarios no solo para las empresas. Gracias a ello, siempre vamos a tener a mano todos nuestros archivos almacenados en la nube sin tener que descargarlo en nuestro equipo aunque no nos haga falta en la mayoría de ocasiones, tenerlo siempre a mano.

iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet. Esta nueva versión iperf3 no es compatible con el antiguo iperf2, por tanto, debemos actualizar tanto el servidor como el cliente si queremos hacer uso de este nuevo programa. Esta herramienta permite ajustar varios parámetros de manera muy avanzada, relacionado con los protocolos TCP, UDP y SCTP, por supuesto, es compatible tanto con redes IPv4 como IPv6. Iperf3 ha sufrido una gran cantidad de mejoras que permiten exprimir aún más el rendimiento real de la red local, por tanto, es ideal para realizar las pruebas de rendimiento de equipos Multigigabit e incluso 10G. ¿Quieres conocer cómo descargarlo y utilizarlo para medir el rendimiento?

En RedesZone llevamos utilizando iperf3 mucho tiempo, para medir el rendimiento que obtenemos en las pruebas LAN-LAN, LAN-WAN y también pruebas WiFi 6. Hemos comprobado que se comporta mucho mejor que iperf2 en cuanto sobrepasamos la velocidad de 1Gbps, por tanto, cuando hacemos uso de routers, switches o puntos de acceso WiFi 6, hacemos uso de este programa que nos brinda una medición más exacta de la velocidad que conseguimos.

En este tutorial os vamos a enseñar cómo utilizar este programa tan interesante para medir la velocidad real entre dos equipos, independientemente de si están conectados en la red local LAN o en Internet, ya que al hacer uso de los protocolos TCP y UDP, podremos abrir un puerto en el servidor para que uno o varios clientes se comuniquen directamente, y poder comprobar la velocidad real.

Principales características de iperf3

iperf3 es un programa completamente renovado, que nada tiene que ver con iperf2, ya que no son compatibles entre ellos. iperf3 hereda lo mejor de iperf2, e incorpora características nuevas para permitirnos realizar mediciones a velocidades Multigigabit sin problemas. Para cada prueba que realicemos, nos informará del ancho de banda de subida y descarga, de la pérdida de paquetes y de otros parámetros.

Respecto a los protocolos TCP y SCTP, es capaz de medir el ancho de banda, informar del tamaño de MTU (Maximum Transfer Unit) y del MSS (Maximum Segment Size), además, también soporta para configurar el tamaño de ventana TCP a través del buffer del socket. En cuanto a UDP, el cliente puede crear diferentes flujos de datos UDP, permite medir la pérdida de paquetes, el jitter (fluctuación del retardo), e incluso soporta Multicast. El cliente permite establecer múltiples conexiones simultáneas con el servidor, además, el servidor es capaz de recibir múltiples conexiones simultáneas de varios orígenes diferentes. Por supuesto, podremos ejecutarlo durante un tiempo determinado, o definiendo una cantidad de datos a enviar determinados.

Otras características importantes de iperf3, es la posibilidad de mostrar periódicamente el estado de la conexión, el ancho de banda hasta el momento, el jitter, la pérdida de paquetes etc. También podremos hacer funcionar el servidor iperf como demonio en el sistema operativo. Otras novedades incorporadas, es la posibilidad de ignorar TCP Slowstart del propio protocolo TCP, fijar el ancho de banda para UDP o TCP, establecer una etiqueta de flujo para IPv6, configurar el algoritmo de control de congestión, posibilidad de sacar toda la información en formato JSON, e incluso podremos realizar test de lectura y escritura directamente en el disco duro.

Este nuevo programa iperf3 tiene licencia BSD, eso significa que es código abierto y multiplataforma, es compatible con sistemas operativos Windows, Linux, Android, MacOS X, FreeBSD, OpenBSD, NetBSD, VxWorks, Solaris y muchos otros.

Descarga e instalación de iperf3

Este programa continúa su desarrollo, en la web oficial de Iperf3 tenéis las últimas versiones disponibles para los diferentes sistemas operativos. Una vez descargado, tendremos que descomprimir el archivo ZIP y ya podremos ejecutarlo, pero en este caso no tenemos una interfaz gráfica de usuario ni tampoco un script ejecutable, debemos ejecutarlo a través de la línea de comandos, ya sea en Windows o en Linux/MacOS.

Ejecución de iperf3 en Windows, Linux y macOS

Una vez que hayamos descomprimido el ZIP descargado, entramos en el símbolo del sistema (cmd) o en el terminal de Linux, nos movemos con el comando «cd» por los diferentes directorios, y cuando ya estemos en el directorio de iperf3, debemos ejecutarlo en modo servidor en un PC, y en modo cliente en otro PC:

Por supuesto, al ejecutarlo nos saldrá la ayuda de iperf, ya que no hemos puesto ningún argumento.

Funcionamiento y primer test de velocidad

El funcionamiento de iperf3 es muy sencillo, lo primero que debemos tener claro es que es un programa que se ejecuta a través de la línea de comandos, y tenemos diferentes argumentos para configurar su comportamiento. Al estar ante un programa cliente-servidor, es necesario hacer funcionar dos iperf3, uno en un PC como servidor, y otro iperf como cliente para comprobar la velocidad desde el cliente hasta el servidor.

Para arrancar el iperf3 en modo servidor:

Para arrancar el iperf3 en modo cliente con ciertas opciones que posteriormente os explicaremos:

Una vez que ya sabemos realizar una prueba de rendimiento básica con iperf3, os vamos a enseñar todas las opciones disponibles en este programa.

Opciones de configuración generales: para cliente y servidor

Los siguientes argumentos se pueden introducir después de la ejecución del propio programa, de la siguiente forma: «iperf3 -argumentos» y no importa el orden a la hora de introducir los argumentos.

• -p puerto: podremos elegir el puerto a utilizar, ya sea TCP o UDP, este puerto debe ser exactamente tanto en el servidor como en todos los clientes.
• –cport puerto: esta opción nos permite especificar el puerto en el lado del cliente, solo para iperf 3.1 o superior.
• -f formato: podremos elegir la unidad de medición que nos aparecerá a la hora de ver la velocidad.
  • k: Kbits
  • K: Kbytes/s
  • m: Mbits
  • M: MBytes/s
  • g: Gbps
  • G: GBytes/s
• -i intervalo: intervalo de tiempo medido en segundos donde iperf3 nos mostrará toda la información de ancho de banda, jitter y pérdida de paquetes. Por defecto es 0.
• -F nombre_archivo: en el cliente es el archivo leído y escrito en la red local, en lugar de usar información aleatoria. En el servidor es lo leído desde la red y escrito a un archivo.
• -B host: permite realizar un binding a una tarjeta e red en concreto, ideal por si tenemos múltiples interfaces.
• -V: salida con todos los detalles (verbose)
• -J: salida en formato JSON
• –logfile archivo: envía la salida a un archivo de registro (solo en iperf 3.1)
• –d: debug
• -v: version del programa
• -h: lanza la ayuda del programa

Opciones de configuración solo para el servidor

Los siguientes argumentos se pueden introducir después de la ejecución del propio programa, de la siguiente forma: «iperf3 -argumentos» y no importa el orden a la hora de introducir los argumentos. Estos argumentos solamente se pueden usar en el servidor iperf3.

• -s: arranca iperf en modo servidor.
• -D: arranca el programa en segundo plano como demonio.
• -I: escribe un archivo con el ID del proceso, ideal para usarlo con -D (demonio).

A continuación, podéis ver algunos ejemplos.

Podemos ejecutar el servidor iperf3 de manera predeterminada, automáticamente hará uso del protocolo TCP en puerto 5201.

Podemos ejecutar el servidor iperf3 con TCP y el puerto 5000 de la siguiente forma:

Opciones de configuración solo para el cliente

Los siguientes argumentos se pueden introducir después de la ejecución del propio programa, de la siguiente forma: «iperf3 -argumentos» y no importa el orden a la hora de introducir los argumentos. Estos argumentos solamente se pueden usar en el cliente iperf3.

• -c direccion_IP: arranca iperf en modo cliente para conectarnos a un servidor, debemos definir la dirección IP justo después.
• –sctp: utiliza este protocolo SCTP en lugar de TCP (por defecto).
• -u: utiliza el protocolo UDP en lugar de TCP (por defecto).
• -b ancho_de_banda: permite definir un ancho de banda en N bits/sec, por defecto es 1MB/s en UDP e ilimitado en TCP. Si utilizamos el argumento -P para enviar múltiples flujos de datos, este ancho de banda se aplica a cada uno de ellos.
• -t tiempo: en segundos para transmitir información a la máxima velocidad. Por defecto son 10 segundos, pero podremos poner lo que queramos.
• -n número: número de datos a transmitir, en lugar de utilizar tiempo (-t) usamos datos.
• -k paquetes: número de paquetes a transmitir, en lugar de usar tiempo (-t) o datos (-n).
• -l (L minúscula): longitud del buffer leído o escrito.
• -P número: número de flujos de datos simultáneos, recomendable poner 5 o superior para exprimir la red al máximo.
• -R: el tráfico de iperf normalmente va desde el cliente hasta el servidor, si ponemos este argumento, el tráfico irá desde el servidor hasta el cliente.
• -w tamaño: permite especificar el tamaño de ventana de TCP
• -M mss: permite configurar el MSS de TCP
• -N: configura la opción no-delay de TCP.
• -4: utilizamos redes IPv4.
• -6: utilizamos redes IPv6.
• -S: tipo de servicio para los paquetes salientes.
• -L etiqueta: permite configurar la etiqueta de flujo para redes IPv6.
• -Z: utiliza el método zero-copy, reduce muchísimo el uso de CPU por parte del programa.
• -O segundos: omite los primeros X segundos del test, para evitar problemas con el TCP slowstart y que nos proporcione una medida sin la ráfaga del principio.
• -T título: permite poner un título delante de cada cadena
• -C algoritmo: permite configurar el algoritmo de congestión, solamente en Linux con iperf 3.0 y en FreeBSD con iperf 3.1

A continuación, podéis ver algunos ejemplos.

Podemos ejecutar el cliente iperf3 con algunos argumentos muy interesantes:

• -c 192.168.1.10: actúa en modo cliente con la IP definida.
• -P 50: mandamos un total de 50 conexiones TCP
• -p 5000: hacemos uso del puerto 5000, el por defecto es 5201
• -f g: mostramos la velocidad en Gbps
• -t 5: lanzamos el test durante 5 segundos.

Tal y como habéis visto, este programa iperf3 es muy sencillo porque nos permite ejecutar un iperf con interfaz gráfica de usuario, sin necesidad de introducir complicados comandos y argumentos.

El artículo iperf3: Mide la velocidad entre dos o más equipos en LAN, WiFi o Internet se publicó en RedesZone.

OWASP y OSINT: Más sobre Ciberseguridad, Privacidad y Anonimato

Hoy, continuaremos con nuestras entradas relacionadas con el tema de la Seguridad Informática (Ciberseguridad, Privacidad y Anonimato) y para ellos nos centraremos en OWASP y OSINT.

Mientras que, OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro, OSINT es un conjunto de técnicas y herramientas utilizadas para recopilar información pública, correlacionar los datos y procesarlos, con el fin de obtener conocimiento útil y aplicable para determinados objetivos o ámbitos.

Seguridad de la Información: Historia, Terminología y Campo de acción

Antes de entrar de lleno en el tema sobre OWASP y OSINT, como ya es costumbre, les recomendamos luego de leer esta publicación, explorar el contenido de otras de nuestras anteriores publicaciones relacionadas con el tema de la Seguridad Informática.

… es bueno precisar que no se debe confundir el concepto relacionado de la Seguridad de la Información con el de la Seguridad Informática, ya que, mientras la primera se refiere a la protección y resguardo de la información integral de un Sujeto (Persona, Empresa, Institución, Organismo, Sociedad, Gobierno), la segunda solo se centra en salvaguardar los datos dentro de un sistema informático como tal. Seguridad de la Información: Historia, Terminología y Campo de acción

OWASP y OSINT: Organizaciones, Proyectos y Herramientas

¿Qué es OWASP?

Según el sitio web oficial de OWASP es:

“Un Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) que esta a cargo de una fundación sin ánimo de lucro, del mismo nombre, que trabaja para mejorar la seguridad del software. Y cuya estructura incluye el desarrollo de proyectos de software de código abierto dirigidos por la comunidad. Dicha Fundación, actualmente posee más de 200 secciones locales en todo el mundo, decenas de miles de miembros y realiza conferencias educativas y de formación líderes en el sector.”

Por ende, queda claro que el objetivo de la Fundación OWASP es:

“Ser una comunidad abierta dedicada a permitir que las organizaciones conciban, desarrollen, adquieran, operen y mantengan aplicaciones en las que se pueda confiar. Y para ellos, todos sus proyectos, herramientas, documentos, foros y capítulos creados son gratuitos y están abiertos a cualquier persona interesada en mejorar la seguridad de las aplicaciones.”

Proyectos OWASP

Todos los Proyectos y Herramientas de Software elaborados por OWASP pueden visualizarse en su Sección de Proyectos, y también en su sitio web oficial en GitHub. Y entre los más conocidos podemos citar los siguientes:

• OWASP Top 10: Proyecto que consta de un documento de concienciación estándar para los desarrolladores y la seguridad de las aplicaciones web. Y que representa un amplio consenso sobre los riesgos de seguridad más críticos para las mismas.
• Web Security Testing Guide (WSTG): Proyecto que consta de una Guía de Pruebas de Seguridad Web que produce el principal recurso de pruebas de ciberseguridad para desarrolladores de aplicaciones web y profesionales de la seguridad. Por ende, es una excelente y muy completa guía para probar la seguridad de las aplicaciones y los servicios web, ya que, proporciona un marco de mejores prácticas utilizadas por los probadores de penetración y organizaciones de todo el mundo. También hay una para aplicaciones móviles.

¿Qué es OSINT?

Dado que OSINT es, como expresamos al inicio: «un conjunto de técnicas y herramientas utilizadas para recopilar información pública, correlacionar los datos y procesarlos, con el fin de obtener conocimiento útil y aplicable para determinados objetivos o ámbitos»; la misma no posee un sitio web oficial. Sin embargo, hay varios sitios webs que aportan mucha información y herramientas OSINT útiles. Las cuales pueden usarse tanto para investigar y atacar a un sujeto objetivo, o para que cualquiera tome las medidas necesarias para prevenir dichos ataques.

Es importante aclarar sobre OSINT lo siguiente:

“El término «código abierto» dentro de OSINT no se refiere al movimiento del software de Código Abierto, aunque muchas herramientas OSINT son de Código Abierto; sino que describe la naturaleza pública de los datos que se analizan.”

¿Qué es OSINT Framework?

Entre los sitios webs relacionados con OSINT podemos mencionar a OSINT Framework. El mismo puede ser descrito como:

Un repositorio en línea que incluye una gran cantidad de herramientas (aplicaciones, servicios webs) para llevar a cabo búsquedas en fuentes de información abierta. El mismo funciona como un archivo que almacena  almacena y clasifica dichas herramientas para que sean utilizadas en investigaciones OSINT. Estas herramientas son además, un conjunto de librerías del tipo GPLv3 (código libre y abierto), que permite recopilar todo tipo de datos (información) para las investigaciones necesarias. Especificamente, dichas herramientas pueden descubrir y recopilar datos, tales como, Nombres de usuarios, Direcciones de correo electrónico, Direcciones IP, Recursos multimedia, Perfiles en redes sociales, Geolocalización, entre muchos otros.

Para aquellos, interesados en querer saber más sobre OSINT pueden visitar su sitio web oficial en GitHub o el siguiente enlace.

Esperamos que esta “pequeña y útil publicación” sobre «OWASP y OSINT», 2 interesantes temas que abarcan organizaciones, proyectos, herramientas, y muchas cosas más, en favor de una más robusta y transparente Seguridad Informática (Ciberseguridad, Privacidad y Anonimato); sea de mucho interés y utilidad, para toda la «Comunidad de Software Libre y Código Abierto» y de gran contribución a la difusión del maravilloso, gigantesco y creciente ecosistema de aplicaciones de «GNU/Linux».

Por ahora, si te ha gustado esta publicación, no dejes de compartirla con otros, en tus sitios web, canales, grupos o comunidades favoritas de redes sociales o sistemas de mensajería, preferiblemente libres, abiertas y/o más seguras como Telegram, Signal, Mastodon u otra del Fediverso, preferiblemente. Y recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, además de unirte a nuestro canal oficial de Telegram de DesdeLinux. Mientras que, para mayor información, puedes visitar cualquier Biblioteca en línea como OpenLibra y JedIT, para acceder y leer libros digitales (PDFs) sobre este tema u otros.

La semana pasada les hablábamos sobre una vulnerabilidad crítica descubierta en Sudo que permite ganar acceso root en cualquier distro Linux y que puede ser explotada por cualquier usuario local.

Si bien los investigadores solo habían comprobado su existencia hasta el momento en distros como Ubuntu, Debian, Fedora y Gentoo, además de en BSD, ya habían advertido que probablemente otros sistemas operativos estilo Unix estarían afectados, ahora sabemos que el bug también afecta a macOS.

Baron Samedit afecta incluso a macOS Big Sur

Baron Samedit es un bug en Sudo que se introdujo en la herramienta en julio de 2011, y que puede ser explotado para ganar privilegios de root, incluso si el usuario no está listado en el archivo sudoers que controla quién, cuáles, con qué privilegios y en qué máquinas se pueden ejecutar comandos.

Incluso la última versión de macOS, es decir, Big Sur, incluye la herramienta Sudo en el sistema. El experto en ciberseguridad Matthew Hickey, conocido en Twitter como HackerFantastic, explicó que, con algunas modificaciones, la vulnerabilidad también puede ser explotada en los Mac para ganar acceso root.

CVE-2021-3156 also impacts @apple MacOS Big Sur (unpatched at present), you can enable exploitation of the issue by symlinking sudo to sudoedit and then triggering the heap overflow to escalate one's privileges to 1337 uid=0. Fun for @p0sixninja pic.twitter.com/tyXFB3odxE

— Hacker Fantastic 📡 (@hackerfantastic) February 2, 2021

En Genbeta

macOS Big Sur tiene un bug que solo afecta al idioma español de España, y consume mucha CPU y batería: así se arregla

Sus hallazgos fueron verificados por otros expertos en la materia, y comprobaron que el bug puede ser explotado en macOS incluso tras actualizar el sistema con los últimos parches de seguridad que Apple publicó el lunes 1 de febrero.

Hickey reportó el problema a Apple, pero hasta ahora le empresa no ha comentado al respecto, aunque es probable que un parche para la vulnerabilidad esté en camino, siendo que es un fallo tan crítico.

-
La noticia La vulnerabilidad crítica en Sudo que permite ganar acceso root en Linux también afecta a macOS Big Sur fue publicada originalmente en Genbeta por Gabriela González .

Imaginemos una tarjeta de Nespresso que podemos usar para pagar por café en la máquina de la oficina. Ahora imaginemos que conseguimos crackear la tarjeta, añadir fondos ilimitados y engañar a la máquina. Podríamos conseguir café ilimitado (y, de paso, quizá buscarnos un problema). Algo así es lo que ha conseguido Pollen Vanhoof, un investigador de ciberseguridad que explica en su web cómo ha conseguido engañar a ciertas máquinas de Nespresso explotando las Smart Cards de la marca.

Según explica Vanhoof, las antiguas tarjetas inteligentes de Nespresso usan el chip MIFARE Classic. Este era muy común en las tarjetas hace años e incluso hoy en día se pueden encontrar algunas que lo implementan. El problema es que en 2008 unos investigadores consiguieron hacerle ingeniería inversa al sistema, siendo capaces de clonar y manipular el contenido del chip. Desde entonces, "la serie MIFARE Classic se considera insegura" porque permite, entre otras cosas, lo que ha conseguido Vanhoof.

En Magnet

La irrupción del café casero: la epidemia está disparando las ventas directas y de cafeteras

Café infinito

Después de que los investigadores publicarán sus hallazgos en marzo de 2008 (que fueron especialmente llamativos porque afectaban a las tarjetas del transporte público OV-Chipkaart de Países Bajos), la serie MIFARE Classic fue considerada insegura. La compañía, actualmente, ofrece alternativas más seguras, como MIFARE Plus, que está basado en AES-128 y es compatible con MIFARE Classic.

Usando un lector de tarjetas NFC, el comando nfc-mfclassic y mfoc, un software que crackea el encriptado de los chips MIFARE Classic, Vanhoof es capaz de acceder, visualizar y modificar los binarios de la tarjeta. Haciendo una compra con la tarjeta, Vanhoof es capaz de ver qué binarios cambian exactamente, ya que asume que el valor de la tarjeta se guarda en la tarjeta en sí, y no en un servidor ajeno.

Comparando los binarios de antes y después de la compra, Vanhoof descubrió que la tarjeta usa tres bytes para representar el valor total. "Por lo tanto, la máxima cantidad posible de dinero en una de estas tarjetas es de 167.772,15 euros", explica el investigador. Simplemente hay que usar un editor hex, modificar el archivo y escribirlo en la tarjeta. Efectivamente, la máquina detecta que tenemos el saldo mencionado anteriormente y nos permite comprar café. Si cada uno vale un euro, pues tenemos para 167.772 cafés, que son un café al día durante 459 años.

En Xataka

Café para todos: 9 tazas y termos smart y otros gadgets tech originales para tomar bebidas calientes

Nespresso está al tanto de esta vulnerabilidad. De hecho, el investigador le comentó sus hallazgos el 24 de septiembre de 2020, pero no fue hasta el 2 de febrero cuando Nespresso confirmó que Vanhoof podía publicarlos.

Es más, no solo ha expuesto la vulnerabilidad, sino que también ha ofrecido dos potenciales mitigaciones a la misma: actualizar las tarjetas con alternativas más seguras y/o modificar las máquinas para que el dinero de las tarjetas se guarde en un servidor en lugar de en las propias tarjetas, de forma que las tarjetas sirvan como un método de identificación personal. "Tras hablar con Nespresso, parece que ya ofrecen estas dos opciones", concluye el investigador.

Vía | The Register

-
La noticia Café ilimitado: este investigador ha conseguido engañar a las máquinas Nespresso modificando las tarjetas de pago fue publicada originalmente en Xataka por Jose García .

Sipke Mellema publicó hace algunas semanas un artículo sobre cómo recuperar contraseñas de capturas de pantalla pixelizadas y añadió algunos interesantes enlaces sobre la técnica (Recovering passwords from pixelized screenshots). No sólo la técnica es interesante sino que algunos de los enlaces mencionados van mucho más allá: cómo recuperar todo tipo de textos e incluso imágenes borrosas de rostros que se han ocultado malamente. El código está disponible en Github: Depix.

Al hacer un pantallazo y aplicar un filtro del tipo mosaico / pixelizar con cualquier aplicación gráfica se aplica lo que técnicamente se conoce como filtro de caja lineal. Se divide la imagen en cajas cuadradas de cierto tamaño y se promedia un tono de color/gris en función del contenido de las cajas adyacentes.

Esa operación «destruye» información y detalles, pero de forma determinista (siempre con el mismo resultado). Con tamaños de caja pequeños los textos siguen siendo reconocibles; ampliándolos un poco más dan sensación de «texto oculto» sin que resulte visualmente desagradable como sería un bloque de negro puro. Es muy típico para ocultar contraseñas, matrículas y similares, además de rostros en fotografías.

La cuestión es que debido a ese determinismo a veces hay formas de recuperar los textos originales. Una muy sencilla es crear un gran documento con todos los números posibles (por ejemplo, números de tarjetas de crédito) y aplicar el filtro. Si es necesario puede hacer con varios tamaños de cajas, o calculando ese valor de antemano. Luego se comparan uno por uno con la imagen pixelada y los que sean más parecidos estarán cerca del resultado. Normalmente hay alguno idéntico.

Otra forma es ir haciéndolo carácter por carácter, considerando válidos los que coincidan de forma individual. Pero es mejor hacerlo por parejas, utilizando una secuencia de De Burijn, del tipo «00 10 20 30 … aa ba ca da …» etcétera) donde cada pareja aparece una sola vez. Si un valor coincide perfectamente, se da por bueno el valor. La tarea no es trivial porque a veces hay que ajustar las distancias de las cajas (no me quedó claro si porque el texto no siempre es monoespaciado o no) y algunas combinaciones dan valores iguales o muy parecidos.

El resultado no siempre es perfecto, pero es suficiente: las coincidencias perfectas se dan por válidas y las que coinciden pero no tanto se «promedian» con las que son similares, dando lugar a letras que quizá estén, por ejemplo, a medio camino entre un 1 y una L, pero más cerca del 1 que de la L… Algo que luego una persona puede reconocer sin mucho esfuerzo. ¡Humanos al poder!

Para quien le interese el tema esta es la literatura citada:

• Why Blurring Sensitive Information is a Bad Idea (2006)
• On the (In)effectiveness of Mosaicing and Blurring as Tools for Document Redaction (2016)
• Deblurring Images for OSINT and more — Part 1 / Part 2 (2019)

En el caso de imágenes de rostros pixelados la solución es más ingeniosa todavía: primero se aplican filtros para «enfocar» la imagen dentro de lo posible (un truco suele ser reducirla). Luego se puede realizar una búsqueda inversa en Google Images u otros servicios similares:

A veces las fotografías originales están ahí, al alcance de Google, y el algoritmo de Google Imagenes es suficiente como para reconocer que dos fotos son las misma, aunque una esté un poco más borrosa que la otra. Algo especialmente útil para «rostros populares».

Relacionado:

• Un avanzado algoritmo para reconocimiento de imágenes
• Cómo funcionan los sistemas de reconocimiento facial
• Cómo engañar al algoritmo de visión artificial
• Avances en reconstrucción de imágenes directamente desde el cerebro
• Google que puede saber dónde se tomó una foto sin GPS
• La ciencia tras la extraña imagen en la que se ven cosas irreconocibles

# Enlace Permanente