Fernando Garcia

En IdeasLocas tenemos un pensamiento acerca de la innovación. En muchas ocasiones la innovación es generar comunidad, apoyarse en ella para crecer, para hacer que una idea pueda ser mejor de lo que en tu cabeza fue. La innovación es hacer que los compañeros opinen, ayuden, aporten. Esto es algo que define también a una comunidad, dónde el conocimiento fluye.

Figura 1: PowerToys: Microsoft recupera un proyecto de

Windows 95 y nos enseña el poder de la comunidad

Bajo esta premisa hemos sacado algunos proyectos que hemos tenido la suerte de presentar alrededor del mundo: uac-a-mola, ibombshell, homepwn o attpwn son algunos de los ejemplos de que muchas cosas de las que hacemos las hacemos para la comunidad. Ayudando con nuestro granito de arena. El protagonista es la idea, el proyecto, el repositorio de código, el usuario que lo prueba y el usuario que decide mejorarlo por, y para, la comunidad.

Figura 2: Machine Learning aplicado a Ciberseguridad de Paloma Recuero, Carmen Torrando, Fran Ramírez, Sergio Hernández y José Torres.

Seguiremos jugando con la tecnología, innovando, probando la tecnología para explorarlo, conocerla y aportar soluciones en los campos de la ciberseguridad y la inteligencia artificial, así como comenté en el Innovation Day en la Break Out Session de las FakeNews.

Microsoft PowerToys par Windows

Pero hoy, quiero hablaros de otra cosa y es cómo Microsoft sigue dando pie a la comunidad. En este caso a través de un proyecto llamado PowerToys, el cual tiene algo de historia del pasado. PowerToys es un conjunto de herramientas o utilidades que intentan proporcionar una mejora en la productividad. Lo curioso de todo esto es que es un proyecto que Microsoft lanza cuando teníamos Windows 95. Se ha retomado el proyecto y se ha aplicado a Windows 10 con el objetivo de hacer más eficiente el uso de Windows 10 y la experiencia de usuario.

Figura 3: PowerToys en Windows 95

En este artículo de la Figura 3 se puede ver cómo eran las PowerToys de Windows 95. Este artículo se encuentra en el propio Github de Microsoft, por lo que es de lectura obligatoria. Lo retro vuelve con las PowerToys. La idea de las PowerToys al final es la personalización del sistema operativo y la mejora en productividad a la hora de configurarlo como nos sea más cómodo. Lo que creo que es más interesante es que Microsoft libere a la comunidad el proyecto y cualquier pueda crear su aportación al proyecto. El proyecto se rige por el Microsoft Open Source Code of Conduct y te puede ayudar a sacar el máximo de tu Windows.

Figura 4: PowerToys disponibles en Windows 10

A continuación, vamos a dejar un listado de las PowerToys y sus principales usos. Habrá algunas que no te llamen la atención, pero habrá otras que seguro que sí, y mucho. Tras instalarlo podemos visualizar una “preview” de las herramientas que hay disponibles. Como se puede ver, algunas de las PowerToys requieren de una versión concreta de Windows 10 y no estarán disponible para cualquier versión. El listado de PowerToys os lo dejamos a continuación:

• ColorPicker: Es una utilidad para detectar de manera rápida colores en un entorno Windows. Activándose a través de la combinación Win + Shift + C, Color Picker permite seleccionar colores de cualquier aplicación o ventana que se esté ejecutando y copia los valores, tanto RGB o HEX al portapapeles.

• FancyZones: Este es uno de los que más me han llamado la atención por el potencial a la hora de optimizar espacios de trabajo. La colocación de las ventanas en espacios y “huecos” hacen que me haya gustado, y me lo apunte para utilizarlo en mi Windows10. Hablaré más adelante de éste.

• FileExplorer: Es un complemento o add-on del explorador de archivos. Este permitirá la representación de iconos SVG en el panel de vista previa del explorador de archivos. Con esta PowerToy, el panel de vista previa permitirá visualizar los markdown (.md) y los SVG (.svg).

• ImageResizer: Extensión de la shell de Windows con el que se puede cambiar fácilmente y de forma rápida los tamaños de las imágenes. Se hace un clic derecho en el explorador de archivos y se cambia el tamaño de una o varias imágenes en el mismo instante. En el siguiente GIF se puede ver. El GIF se puede encontrar junto a la documentación de la PowerToy.

Figura 5: ImageResizer demo

• Keyboard Manager: Es una PowerToy muy útil para muchos cuando utilizamos diferentes layouts de teclado o queremos cambiarlo. Permite personalizar el teclado con la reasignación de teclas y creando atajos de teclado o shortcuts.

• PowerRename: Esta PowerToy es interesante, ya que permite renombrar una serie de archivos de “golpe”. En el siguiente GIF que se puede encontrar en la documentación de la PowerToy se puede ver el ejemplo claro.

Figura 6: PowerRename Demo

• PowerToys Run: Esta PowerToy permite hacer búsquedas rápidas y ejecutar aplicaciones con la simple combinación “Alt”+”Espacio”. Esta PowerToy de código abierto es una de las más espectaculares y será del gusto de cualquier usuario de Windows. A continuación dejamos el GIF del ejemplo que se puede encontrar en su documentación.

Figura 7: PowerToysRun demo

• Shortcut Guide: Cuando se pulsa la tecla Windows de manera prolongada aparece esta guía de manejo para accesos directos o atajos en el escritorio actual. Interesante para poder tener a mano todo lo que podemos hacer con los atajos.

• Video Conference Mute: Esta es una PowerToy experimental, la cual será una de las más interesantes en un tiempo. La idea es poder “mutear” el micrófono con una combinación de teclas Win+N. Además, se podrá desactivar la cámara también. El concepto es el global “mute”.

• FancyZones: Con FancyZones se puede dividir la pantalla en un Grid o en una estructura personalizada que nos interese. Con la letra “shift” cuando seleccionamos una ventana se nos mostrarán diferentes “celdas” dónde alojar la ventana y poder estructurar la vista como a nosotros nos interese. Esto es realmente interesante cuando disponemos de pantallas reducidas y queremos aprovechar la distribución de forma eficiente. 

Figura 8: Ejemplo con FanyZones

En la imagen se puede ver una organización de 4 espacios donde se pueden ver 4 ventanas. Realmente, el orden o como se quiera configurar es indiferente, ya que se puede personalizar como a uno mejor le venga.    

En el siguiente vídeo de Microsoft se puede ver el uso de las PowerToys y el juego que pueden dar a los desarrolladores. Sin duda, un pack de herramientas a tener en cuenta para la mejora de productividad. En otras palabras, podemos decir que es un pack de utilidades necesarias en nuestro día a día, como pueden ser las SysInternals para el día a día de la seguridad.


Figura 9: PowerToys de Microsoft

Sin duda, una buena idea para mejorar la productividad, pero, además, una gran idea porque cualquier desarrollador puede proporcionar su PowerToy y podría acabar siendo una PowerToy del conjunto. Estaré atento a la comunidad y si quieres aprender cómo se programan este tipo de cosas, pásate por el Github de PowerToys.

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Contactar con Pablo González

Sigue Un informático en el lado del mal RSS 0xWord

No todo el mundo dispone de los recursos necesarios para pagar a un profesional que cree ilustraciones personalizadas para nuestro proyecto. Por suerte, en el mundo hay personas que crean recursos gratuitos para cualquiera que desee usarlos sin pedir nada a cambio, ni siquiera una atribución, y es digno de señalar.

Es el caso de karthiksri91, usuario de Reddit que ha creado más de un centenar de ilustraciones de alta calidad, totalmente gratis, que pueden usarse sin atribución y que permiten una personalización en base a la elección de un color. Además, cada día añade una nueva. Realmente sorprendente.

Cómo elegir una ilustración y descargarla

Elegir una ilustración de esta colección es bastante sencillo. Podemos simplemente navegar por la web y detenernos ante la imagen que más nos guste, usar el buscador introduciendo una palabra clave que nos interese o mediante el selector de género, que nos mostrará imágenes de mujeres u hombres.

En Genbeta

Descarga gratis estas preciosas ilustraciones 3D basadas en habitaciones icónicas y que funcionan genial como fondo para Zoom

Una vez encontrada una ilustración de nuestro gusto, o incluso sin realizar ningún tipo de búsqueda, simplemente viendo todos los diseños que hay, podemos elegir un color mediante el selector situado en la parte superior derecha y como por arte de magia todos los dibujos se colorean con ese tono o similares.

Con la imagen a nuestro gusto, tenemos la posibilidad de descargarla en formato SVG o PNG. Así de sencillo, no hace falta ni registrarse ni aportar ningún tipo de dato. Eso sí, si queremos agradecer el trabajo de la persona que hay detrás, ella misma nos sugiere compartir el proyecto en redes sociales.

-
La noticia Descarga más de 100 ilustraciones de alta calidad gratis, personalizables y sin necesidad de atribución para usar en tus proyectos fue publicada originalmente en Genbeta por Toni Castillo .

"¿Sabe que está entrando en una conferencia secreta?", le dijo Josep Borrell, responsable de política exterior de la Unión Europea a Daniël Verlaan, periodista holandés de RTL Nieuws. "¿Sabes que es una ofensa criminal? Mejor desconéctate rápido antes que llegue la policía". La amenaza vino por la inesperada aparición del periodista en una videollamada entre los ministros de defensa de la Unión Europea.

Tras varios intentos, RTL logró adivinar el código PIN de la videollamada secreta. No resultó tan difícil, pues cinco de los seis dígitos del código PIN eran visibles en una foto publicada por la ministra de Defensa holandesa en Twitter.

Un error en Twitter es suficiente para acceder a reuniones del más alto nivel

Imagen: Daniël Verlaan

Una vez dentro, el sorprendido periodista comenzó a saludar a los distintos ministros y reírse de la surrealista situación. Tras recibir la advertencia de Borrell, el periodista pidió perdón por la interrupción y se despidió en unos minutos.

That ⁦@danielverlaan⁩ hack of the EU defence ministers' meeting? This is how it looked from the inside. Comedy gold. pic.twitter.com/1qvVYKsDpt

— Michiel van Hulten (@mvanhulten) November 20, 2020

Ank Bijleveld, ministra holandesa de Defensa publicó una imagen en su cuenta de Twitter donde aparecían algunos de los dígitos necesarios para la reunión. Desde el ministerio de Defensa holandés explican a RTL que un miembro del equipo publicó accidentalmente la imagen.

Thank you @danielverlaan for hacking a EU defence ministers conference. Apart from a good laugh, I hope it will raise awareness about communication security issues in the EU institutions. If it’s the case , you will be my hero ! #Defence #EU #LetsBeSerious pic.twitter.com/5nj3kNZGmz

— Nathalie Loiseau (@NathalieLoiseau) November 21, 2020

"Esto demuestra una vez más que los ministros deben darse cuenta del cuidado que hay que tener con Twitter", explicaba el propio Primer Ministro holandés, Mark Rutte.

La aparición del periodista tiene su punto cómico, pero pone en evidencia las serias dudas sobre la seguridad de estas reuniones al más alto nivel de la Unión Europea.

En Xataka | Qué me recomiendan los expertos en ciberseguridad que estudie para ser un experto en la disciplina

-
La noticia Cuando el fallo de seguridad es que la ministra publique una foto en la que se ve la clave de acceso y el PIN en la URL fue publicada originalmente en Xataka por Enrique Pérez .

Es la batalla entre los servicios de streaming como Netflix, Prime Video o Youtube contra los canales de televisión. Lo cierto es que con los reproductores de contenido parece que la balanza se ha decantado hacia los primeros. Los usuarios de un Fire TV compran el reproductor para su televisor con el que poder ver series y películas de los servicios de streaming.

Pero, ¿qué ocurre con los proveedores de televisión? ¿Acaso RTVE o Atresmedia no tienen material para intentar rivalizar con los servicios de streaming? En este contexto, desde Amazon han decidido dar más visibilidad a las aplicaciones de TV de su plataforma.

En Xataka

Amazon Fire TV Stick (2020) y Fire TV Stick Lite, análisis: con este imbatible precio es difícil recomendar otros reproductores para el televisor

"En vivo", la nueva sección de los Fire TV de canales en directo

A partir del día de hoy, los dispositivos Amazon Fire TV en España recibirán una actualización en la que aparecerá una nueva sección dentro del menú de navegación en la parte superior. Esta nueva pestaña reunirá las aplicaciones y los contenidos de televisión. En esta sección los usuarios podrán encontrar desde contenidos de televisión recientes, acceder a la guía de canales y encontrar nuevas aplicaciones. Una sección centrada en los proveedores de televisión, de manera equivalente a como Prime Video dispone de su propia sección.

La sección lleva disponible en los Estados Unidos desde mediados de 2019, bajo el nombre de 'Live'. Allí los usuarios pueden acceder a los canales recientes y deportes en vivo. Ahora Amazon busca crear una alianza con los proveedores de televisión equivalente.

Los principales proveedores de OTT aparecerán en esta pestaña "En vivo", destacando por el momento los canales ya disponibles de RTVE A la Carta y Atresplayer, que podrán mostrar de manera separada algunos de sus últimos contenidos.

Esta sección "En vivo" supone un paso adicional en la integración de estos servicios con Fire OS. Hasta el momento únicamente se podía acceder a la aplicación y era desde ahí donde ya cada una mostraba las distintas opciones. A partir de ahora, el contenido de estas aplicaciones de TV estará mejor integrado en los Fire TV y podrá ser accesible directamente.

Entre los carruseles de información de contenido en directo aparecerán apartados como ‘Canales recientes', 'Deportes en vivo’, 'Noticias de última hora'; y diferenciados según proveedor. Si por ejemplo hay un partido de fútbol en RTVE o están dando 'La Sexta Noche', aparecerá una recomendación de contenido en esta pestaña. Amazon explica que se encuentra en conversaciones con otros operadores para ampliar los servicios de terceros integrados.

Las Rutinas de Alexa pasan de los Echo a los Fire TV

Las Rutinas de Alexa permiten configurar acciones de manera automática a través de la voz. Hasta la fecha estaban disponibles en los altavoces Echo, ahora estas Rutinas también llegan a los Fire TV.

Desde la aplicación de Alexa podremos configurar rutinas que combinen acciones como encender o apagar el TV, abrir una app específica o reproducir un contenido concreto. Interesante si queremos por ejemplo que a determinada hora se apague el televisor o decirle que encienda la tele y ponga directamente el último episodio que estamos viendo.

En Xataka

Rutinas de Alexa: qué son y cómo se configuran para automatizar tu Amazon Echo

Estas Rutinas se podrán configurar para realizarse al decir un determinado comentario, sea por ejemplo "Alexa, voy a comer" y detenga el contenido del Fire TV y active otro dispositivo compatible. O decir "Alexa, se acabó por hoy" y que apague el televisor y ponga una alarma para el día siguiente.

-
La noticia Amazon quiere que veamos los canales de televisión desde los Fire TV: la sección 'En Vivo' y las rutinas de Alexa llegan a España fue publicada originalmente en Xataka por Enrique Pérez .

La gente de NordPass ha publicado su lista anual con las 200 peores contraseñas de 2020, y los resultados, como suele suceder siempre, son lamentables. Tras analizar casi 300 millones de contraseñas filtradas durante este año, tenemos que la gran mayoría son extremadamente fáciles de adivinar.

El top 10 de este año incluye los eternos "123456" y "123456789", pero en el tercer puesto se cuela una novedad: "picture1", la contraseña "más fuerte" del tope de la lista porque toma una tres horas adivinarla, mientras que para el resto basta con menos de un segundo.

Seguimos usando las mismas contraseñas que se han filtrado millones de veces

Peores contraseñas de 2020 - NordPass

La otra nueva contraseña en el top 10 es "senha", una que en promedio toma 10 segundos adivinar, y que "solo" se ha filtrado 8.213 veces, poco si lo comparamos con los más de 23 millones de veces que "123456" ha aparecido en una brecha de datos. De forma similar, el resto también se han filtrado millones de veces.

Esta lista viene de analizar 275.699.516 de contraseñas filtradas en 2020, es decir, son passwords que forman parte de bases de datos públicas al alcance de cualquier ente malintencionado.

En Genbeta

Estos investigadores dicen haber encontrado la mejor forma de crear contraseñas seguras gracias a la ciencia

La mayoría de ellas requieren segundos, o menos de un segundo en descifrar a través de ataques de fuerza bruta (excepto la grandiosa "picture1" que toma tres horas), o incluso pueden ser fácilmente adivinadas por una persona, especialmente con listas como estas de referencia.

Incluso la mayoría de passwords que están entrando por primera vez en la lista, se han filtrado miles de veces en Internet. Con excepciones como "chatbooks" que nunca se ha filtrado y toma un día descifrar, u otras como "jobandtalent" toman hasta tres años descifrar pero ya se han visto expuestas cinco veces.

El 44% de las contraseñas de la lista son consideradas "únicas", pero no por ello más seguras (están en una lista pública de contraseñas inseguras). Como siempre, es un buen momento para recordar que la longitud es reina a la hora de elegir contraseñas seguras, y evitar usar palabras comunes como las de esta lista es un buen consejo a seguir.

-
La noticia La lista de las peores contraseñas de 2020 tiene dos nuevas en el top 10: una toma 3 horas adivinarla y la otra solo 3 segundos fue publicada originalmente en Genbeta por Gabriela González .

Una familia de malware que afecta a equipos Windows y que se conoce con el nombre de Meh está haciéndose notar en España, según han podido constatar los investigadores de Avast. Desde junio, han evitado 88.000 ataques dirigidos a usuarios españoles que usan su solución de seguridad.

El malware Meh tiene como función principal el robo de contraseñas, aunque va más allá erigiéndose poco menos que en una suite de programas maliciosos. Porque también va a por el registro de claves, la criptografía, el fraude publicitario, el robo de portapapeles, el robo de criptocarteras, la descarga de otros malware y es, a su vez, una herramienta de acceso remoto.

"La función RAT puede realizar diferentes acciones, desde obtener las contraseñas de los navegadores y cuentas de correo, hasta leer archivos y reiniciar los ordenadores", explican desde Avast. La función de fraude publicitarios, por su lado, se ocupa de esperar hasta que un ordenador queda inactivo para hacer clic en anuncios.

Principal objetivo: España

De acuerdo con los investigadores de Avast, Meh tiene como principal objetivo a los usuarios de España. Solo sus soluciones han evitado 88.000 ataques, lo que nos proporciona una idea de la dimensión que puede estar teniendo su incidencia.

En otros países, como Argentina y México, los ataques contabilizados por esta compañía son 2.000 y 1.500 respectivamente.

En Genbeta

Los mejores (y los peores) antivirus para usuarios domésticos de Windows, según AV-TEST

El origen de Meh puede estar en la descarga de archivos torrent. Los expertos en ciberseguridad creen que puede estar propagándose desde las webs de intercambio de este tipo de archivos y su recomendación es no usarlos, además de instalar un programa antivirus. "Recomendamos a los usuarios que se ciñan a los servicios de confianza en lugar de recurrir a las plataformas de intercambio de archivos", dicen.

-
La noticia El malware Meh se hace notar en España: al menos 88.000 ataques dirigidos al robo de datos y criptomonedas fue publicada originalmente en Genbeta por Toni Castillo .

Telegram es una aplicación de mensajería instántanea con las ideas bastantes claras, ofreciendo una gran seguridad al encriptar todas sus conversaciones de extremo a extremo. La herramienta se está convirtiendo en una de las más descargadas de este 2020, por delante de otros clientes que llegaron como una alternativa.

Muchos de los usuarios de esta red suelen también usarla para ir guardando fotografías, vídeos y documentos en la nube de manera gratuita, además se puede acceder a ellos en todo momento. Es por ello una alternativa a Google Fotos, quién a partir de junio de 2021 dejará almacenar unos 15 GB a cada persona.

Cómo almacenar en Telegram tus fotos, vídeos y más

Para poder guardar aquella información valiosa de tu dispositivo móvil es necesario crear un canal privado, una vez realizado vas a poder subir los archivos que quieras. Es algo más que una alternativa a Dropbox, Google Drive o otros de los servicios en la nube.

Con un canal privado dispondremos de espacio en la nube gratis para almacenar fotos, vídeos, documentos en Telegram, teniendo todo al alcance al poder acceder a él en cualquier momento. Si ya usas la aplicación no es necesario que la descargues, pero si no la tienes la puedes descargar desde la Play Store.

Telegram (Free, Google Play) →

Cómo crear un canal privado

Para la creación de un canal privado de Telegram en Android tienes que realizar los siguientes pasos:

• Abre la aplicación Telegram en tu teléfono móvil
• En la pestaña general haz clic en el lápiz en la parte inferior derecha
• Una vez dentro te mostrará varias opciones, haz clic en «Nuevo canal»
• Ahora en el nombre del canal pon aquel que quieras, por ejemplo nosotros hemos usado Nube DaniPlay y rellenamos la descripción, aquí ponemos lo que queramos, nosotros hemos puesto «fotos personales, vídeos y otros documentos»
• Ya por último tienes dos opciones, poner el canal público o privado, es aconsejable el segundo, elegir el privado por ser datos personales y dale a Aceptar en la parte superior
• Ahora te preguntará añadir a suscriptores, no lo hagas si quieres subir contenido tuyo, de familiares y archivos personales, dale a la flecha azul y te creará el canal

Subir fotos, vídeos y documentos al nuevo canal

Ahora lo importante es poder subir contenido al canal privado creado, recuerda que todo lo puedes subir aquí para tener un respaldo de tus imágenes, vídeos y documentos a tu alcance. Para llevar este proceso a cabo debes hacer lo siguiente para guardar todo en la nube:

• Abre el canal creado privado que te aparecerá en la parte superior
• Ahora pulsa en el icono del clip que te aparece al lado de la campana, ahora puedes subir cualquier tipo de archivo que creas oportuno y tenerlo a tu alcance en el teléfono cada vez que quieras, así como también en el ordenador, tienes la posibilidad de subir fotos de la galería, archivos, compartir una ubicación, música y otras opciones

Visualiza el contenido en galería

Una vez ya con el canal privado podemos visualizar el contenido en modo galería, esto sucederá si tienes muchos archivos, sobre todo si son imágenes. Hacerlo es bastante sencillo y es de la siguiente manera:

• Abre el Canal privado creado
• Pulsa en la parte superior del canal, concretamente en el nombre
• Al abrirse una nueva ventana vas a ver todos los archivos multimedia, documentos y todo el contenido

Add a bit of security to your project or make things selectable
by using different cards. In the latest issue of HackSpace magazine, PJ Evans goes contactless.

NFC (near-field communication) is based on the RFID (radio-frequency identification) standard. Both allow a device to receive data from a passive token or tag (meaning it doesn’t require external power to work). RFID supports a simple ID message that shouts ‘I exist’, whereas NFC allows for both reading and writing of data.

Most people come into contact with these systems every day, whether it’s using contactless payment, or a card to unlock a hotel or office door. In this tutorial we’ll look at the Waveshare NFC HAT, an add-on for Raspberry Pi computers that allows you to interact with NFC and RFID tokens.

Prepare your Raspberry Pi

We start with the usual step of preparing a Raspberry Pi model for the job. Reading RFID tags is not strenuous work for our diminutive friend, so you can use pretty much any variant of the Raspberry Pi range you like, so long as it has the 40-pin GPIO. We only need Raspberry Pi OS Lite (Buster) for this tutorial; however, you can install any version you wish. Make sure you’ve configured it how you want, have a network connection, and have updated everything by running sudo apt -y update && sudo apt -y upgrade on the command line.

Enable the serial interface

This NFC HAT is capable of communicating over three different interfaces: I2C, SPI, and UART. We’re going with UART as it’s the simplest to demonstrate, but you may wish to use the others. Start by running sudo raspi-config, going to ‘Interfacing options’, and selecting ‘Serial Interface’. When asked if you want to log into the console, say ‘No’. Then, when asked if you want to enable the serial interface, say ‘Yes’. You’ll need to reboot now. This will allow the HAT to talk to our Raspberry Pi over the serial interface.

Configure and install the HAT

As mentioned in the previous step, we have a choice of interfaces and swapping between them means changing some physical settings on the NFC HAT itself. Do not do this while the HAT is powered up in any way. Our HAT can be configured for UART/Serial by default but do check on the wiki at hsmag.cc/iHj1XA. The jumpers at I1 and I0 should both be shorting ‘L’, D16 and D20 should be shorted and on the DIP switch, everything should be off except RX and TX. Check, double-check, attach the HAT to the GPIO, and boot up.

Download the examples

You can download some examples directly from Waveshare. First, we need to install some dependencies. Run the following at the command line:
sudo apt install rpi.gpio p7zip-full python3-pip
pip3 install spidev pyserial

Now, download the files and unpack them:
cd
wget https://www.waveshare.com/w/upload/6/67/Pn532-nfc-hat-code.7z
7z x Pn532-nfc-hat-code.7z

Before you try anything out, you need to edit the example file so that we use UART (see the accompanying code listing).
cd ~/raspberrypi/python
nano example_get_uid.py

Find the three lines that start pn532 = and add a # to the top one (to comment it out). Now remove the # from the line starting pn532 = PN532_UART. Save, and exit.

Try it out!

Finally, we get to the fun part. Start the example code as follows:
python3 example_get_uid.py
If all is well, the connection to the HAT will be announced. You can now place your RFID token over the area of the HAT marked ‘NFC’. Hexadecimal numbers will start scrolling up the screen; your token has been detected! Each RFID token has a unique number, so it can be used to uniquely identify someone. However, this HAT is capable of much more than that as it also supports NFC and can communicate with common standards like MIFARE Classic, which allows for 1kB of storage on the card. Check out example_dump_mifare.py in the same directory (but make sure you make the same edits as above to use the serial connection).

Going further

You can now read unique identifiers on RFID and NFC tokens. As we just mentioned, if you’re using the MIFARE or NTAG2 standards, you can also write data back to the card. The examples folder contains some C programs that let you do just that. The ability to read and write small amounts of data onto cards can lead to some fun projects. At the Electromagnetic Field festival in 2018, an entire game was based around finding physical locations and registering your presence with a MIFARE card. Even more is possible with smartphones, where NFC can be used to exchange data in any form.

Get HackSpace magazine 37 – Out Now!

Each month, HackSpace magazine brings you the best projects, tips, tricks and tutorials from the makersphere. You can get it from the Raspberry Pi Press online store, The Raspberry Pi store in Cambridge, or your local newsagents.

Each issue is free to download from the HackSpace magazine website.

The post Read RFID and NFC tokens with Raspberry Pi | HackSpace 37 appeared first on Raspberry Pi.

2020 es el año en el que la cobertura 5G comenzará a ser una realidad en algunos países como España, sin embargo, tendremos que esperar todavía un par de años para poder disfrutar realmente de todas las ventajas que nos ofrecen este tipo de redes, más orientadas a mejorar la conectividad de dispositivos que realmente al usuario.

Es lógico pensar que si todavía no conseguimos disfrutar de la tecología 4G en muchos lugares, como es posible que las operadoras y los fabricantes de smartphones ya estén pensando en ofrecer conectividad 5G. El problema, en algunas ocasiones, no es del operador, sino que lo encontramos en nuestro propio entorno. Si quieres conocer como hacer que el móvil tenga más cobertura, te invito que sigas estos consejos.

Trucos para ganar cobertura

Desactivar la conexión 4G

Las redes 4G ofrecen cobertura en las zonas más pobladas y en ocasiones en algunas zonas con menos gente, lo mismo sucede con las redes 3G, aunque debido a que utilizan diferente rango de frecuencias, esta última suele tener mucho más cobertura que la 4G, y lo mismo sucederá cuando se popularicen las redes 5G.

Si vives en una zona donde la cobertura brilla por su ausencia, sobre todo en el interior de tu hogar, la mejor forma de mejorar la cobertura en tu casa es desactivando la conexión de datos 4G. Automáticamente tu smartphone buscará redes con cobertura 3G, redes que tienen una mayor alcance estas.

No esconder el teléfono

Mejorar la cobertura en el coche es tan sencillo como sacar el móvil de la mochila y situarlo cerca de nosotros (aunque no debemos contestar llamadas sin manos libres y mucho menos mensajes).

No es recomendable guardarlo en el maletero durante el transporte ya que la cobertura se ve limitada por las partes de metal que rodean el maletero y que impiden que la señal se reciba con calidad suficiente, algo que no sucede con los cristales del vehículo.

Lejos de dispositivos eléctricos

Las neveras por ejemplo, son uno de los electrodomésticos que más pueden afectar a la cobertura de tu móvil además de algunos viejos televisores. Los materiales son los que está construido un edificio o casa, también pueden afectar a la calidad de la cobertura que tiene nuestro smartphone.

Si tenemos problemas cobertura en el trabajo, una forma de mejorar la cobertura en la oficina es situándolo cerca de las ventajas. Si no es posible por que nuestra oficina se encuentra alejado de las ventajas, tendremos que comprobar si nuestro operador nos permite hacer y recibir llamadas vía Wi-Fi.

Este tipo de llamadas se tarifican igual que si utilizáramos cobertura de las antenas de telefonía, por lo que no supone ningún sobrecoste y nos permiten realizar llamadas sin tener que ir buscando la zona con mejor cobertura en nuestro centro de trabajo o en el hogar, ya que esta función está disponible, si tu operadora te la ofrece para todos los usuarios.

La falta de batería afecta a la cobertura

Cuando la batería de nuestro smartphone está a punto de agostarse, la frecuencia con la que busca antenas a las que conectarse para prestar servicio se prolonga, por lo que podemos sufrir cortes durante las llamadas. La mejor solución es evitar agotar la batería de nuestro smartphone siempre que sea posible.

La funda no afecta a la cobertura

A no ser que estemos utilizando una funda compuesta por elementos metálicos que impiden que pase la cobertura, no hay ningún problema. Las fundas tradicionales, las de toda la vida, no interfieren en la cobertura, ya que el material que las componen es principalmente plástico o telas (materiales que no interfieren en la cobertura del móvil).

No sujetarlo con toda la mano

Si cogemos el móvil con toda la mano, como si tuviéramos miedo de que nos caiga y tapamos gran parte del mismo, la cobertura se puede ver afectada considerablemente, ya que las antenas se sitúan en los bordes del dispositivo. Si tienes miedo de que se te caiga el móvil y se rompa, no hace falta cogerlo con toda la mano, compras una funda y solucionado el riesgo.

Amplificadores de señal móvil

Los amplificadores de cobertura recogen la señal, aunque sea mínima, disponible fuera de nuestro hogar o centro de trabajo, para amplificarla y estabilizarla para que podemos hacer uso de ella en el interior sin sufrir problemas de cobertura y que nos podamos mover con total libertad sin tener situar el móvil cerca de una ventana o en una zona determinada de la que no nos vamos a poder mover si queremos mantener una conversación.

Amplificadores de operadoras

Cuando las operadoras comenzaron a implementar las redes 3G, muchas de ellas ofrecían a los usuarios con problemas de cobertura la posibilidad de comprar un repetidor cobertura móvil, un repetidor compuesto por una antena exterior (encargado de captar la señal del exterior), un antena interior (reparte la cobertura en el interior) y un amplificador que se encarga de amplificar la señal del exterior.

El problema es que las operadoras dejaron hace tiempo de ofrecer este tipo de productos, por lo que usuarios se ven obligados a buscarse la vida y a realizar una inversión que va desde los 100 euros hasta lo que podamos gastar dependiendo del tipo de redes que queramos amplificar (2G, 3G, 4G)y del espacio interior que queramos cubrir.

Estos amplificadores de señal móvil son compatibles con todas las operadoras por lo que si cambiamos de compañía telefónica, no vamos a tener que cambiar el repetidor. Si tenemos en cuenta que la mayoría de operadoras utilizan las redes de Orange, Vodafone y Movistar (en España) los problemas de cobertura seguirán siendo los mismos.

Amplificadores para zonas rurales

Domic 4G es uno de los amplificadores de señal más utilizados en zonas rurales, zonas en las que la cobertura brilla por su ausencia o en suele dar muchos problemas de estabilidad. Además, es uno de los más económicos que podemos encontrar en el mercado siendo una de las mejores opciones no solo para zonas rurales sino también para nuestro hogar o centro de trabajo.

Amplificadores de señal caseros

Cuando los teléfonos eran teléfonos y no smartphones, ampliar la cobertura de nuestro terminal era un proceso muy sencillo, ya que tan solo teníamos que cambiar la antena del terminal por una más potente o añadir un elemento de metal que pudiéramos enroscar a zona de la antena, un truco que siempre funcionaba.

Sin embargo, con la llegada de los smartphones, las antenas físicas desaparecieron y formaron a formar parte del procesador, por lo que es imposible a día de hoy utilizar el viejo truco.

Mejores amplificadores de señal móvil

Si bien es cierto que en el mercado podemos encontrar un gran número de fabricantes de amplificadores de señal móvil, uno de los fabricantes que mejor relación calidad-precio nos ofrecen es ANYCALL, un fabricante con certificación CE (algo de lo que carecen la mayoría de amplificadores que proceden de China), ofrecen una señal estable y una garantía de 5 años.

Amplificador de señal 4G

Dependiendo de la cobertura que necesitemos amplificar, ANYCALL pone a nuestra disposición un gran número de modelos, modelos de ideales tanto para espacios pequeños como para grandes instalaciones y que nos permiten amplificar tanto redes 3G como 4G con una cobertura de 90 metros cuadrados.

Cuantas más prestaciones y cobertura nos ofrezca el amplificador de señal, más caro nos saldrá. Si lo que queremos es amplificar la señal de nuestro hogar, sótano, garaje… podemos optar por el modelo de más económico cuyo precio parte de los 200 euros. Si nuestras necesidades de cobertura pasan por cubrir un amplio espacio, el ANYCALL-5 es el producto que estamos buscando, un amplificador con una cobertura de hasta 400 metros cuadrados.

Amplificador de señal para vehículos

Si solemos salir de viaje, ya sea por trabajo o por placer y no movemos en zonas con poca cobertura, ANYCALL pone a nuestra disposición este modelo compatible con redes 2G/3G/4G que podemos conectar al encendedor y que incorpora un antena que podemos situar en el exterior del vehículo y que gracias a la antena interior amplifica la señal de todos los dispositivos que se encuentren en el exterior.

ANYCALL también nos ofrece un amplificador de señal para camiones con una mayor cobertura y potencia.

A tener en cuenta

Las únicas formas de poder ampliar la cobertura móvil de nuestro smartphone es a través de repetidores de señal, como los que os he mostrado en este artículo o, si tenemos una buena conexión a internet, utilizar la funcionalidad de poder realizar y recibir llamadas a través de la conexión Wi-Fi, una función que no está disponible en todos los operadoras, por lo que es una opción a tener en cuenta si estás pensando en cambiar de operador próximamente.

Si nuestro operador nos permiten realizar llamadas vía Wi-Fi, debemos mejorar la cobertura de esta señal en todo nuestro hogar u oficina, ya que de lo contrario nos veremos supeditados a no poder salir de la zona de confort donde la señal Wi-Fi es buena.

Para ampliar la señal Wi-Fi en nuestro hogar o centro de trabajo, podemos hacer uso de repetidores Wi-Fi, cuyo precio parte de los 15 euros, o bien de redes mesh, aunque estas últimas nos ofrecen la mejor señal en todo nuestro hogar, su precio se sale del presupuesto de muchos usuarios.

El mundo de la programación actualmente ha ido ganando peso con el paso del tiempo, incluso el mercado ha ido pidiendo programadores al ser fundamental para muchas pequeñas, medianas y grandes empresas. Con nociones básicas puedes aprender a programar solo, todo empezando desde cero y gratis.

Aprender a programar en Android te abre una gran oportunidad, ya que la Play Store es la tienda más grande actualmente, siendo el rey de manera indiscutible. Crear aplicaciones es rentable, igual pasa a la hora de crear un videojuego si das un paso adelante en cuanto a programación se refiere.

AIDE- IDE for Android Java C++

AIDE- IDE for Android Java C++ es una aplicación con un entorno de desarrollo integrado, está disponible para dispositivos móviles con el sistema Android. Puedes empezar a desarrollar y escribir código para poder crear una app y una vez termines poder subir este proyecto a la Google Play.

Lo importante es que añade clases interactivas de codificación para convertirte en un desarrollador de aplicaciones, apps de diseño visual y cuenta con un editor bastante potente. Tiene comprobación de errores en tiempo real, navegación de código inteligente, ejecución de la aplicación con un solo clic y usa el depurador de Java para encontrar errores.

AIDE apoya la creación de aplicaciones con Java, XML, SDK, aplicaciones con C/C ++ y NDK de Android, así como aplicaciones de consola de Java puro. AIDE es compatible con los proyectos de Eclipse, el código fuente puede ser copiado y exportado para empezar a programar.

AIDE- IDE for Android Java C++ (Free, Google Play) →

Aprender a programar con Encode

Con Encode podrás empezar a programar aprendiendo con lecciones, a ello le suma unas tareas para que puedas poner las distintas líneas de código y trabajar con ellas. Trabaja en los lenguajes Python, JavaScript y Web (HTML y CSS), tres de los lenguajes más importantes a día de hoy para el desarrollo.

Empieza con lo básico, luego las clases irán avanzando, por lo que si quieres crear una app básica inicialmente esta es tu aplicación, mientras más tarde puedes dar el paso de crear una profesional. Con el tiempo se ha convertido en una de las apps preferidas por los usuarios de la tienda por su sencillez.

Te explica paso a paso como crear aplicaciones en Android en Python, JavaScript y en entorno web con códigos HTML y CSS, mientras otras lecciones están bloqueados al ser de pago. Una app que no puedes dejar de pasar si no tienes ninguna noción desde un principio.

Encode: Learn to Code (Free, Google Play) →

Programming Hub

Es otra de las grandes opciones si empiezas desde cero a programar, añade lecciones cortas y sencillas, conceptos generales en los lenguajes Java, C++, C, HTML, JavaScript, Python 2, Python 3 y CSS. Lo mejor es que aprender código no será complejo ni tampoco ni tampoco aburrido en ningún caso.

Dispone de un compilador para trabajar con código para móvil, si has empezado a dominarlo vas a ir dando pasos adelante en la programación. Tiene una versión Pro con acceso ilimitado a los cursos que son muy completos y podemos ir probando todos los códigos en su base de datos.

Programming Hub añade un conocido compilador con el que trabajar y poder desarrollar aplicaciones, ya sean sencillas o bien ya más complejas si avanzas en el curso. Una de las aplicaciones más importantes de la Play Store si quieres manejar en todos los lenguajes disponibles.

Lightbot : Code Hour (Free, Google Play) →

Aprender a programar con Udacity

El aprendizaje en Audacity es muy útil si quieres empezar a crear aplicaciones, ya que los cursos han sido desarrollados por expertos de Facebook, Google, Amazon y GitHub. La gran mayoría de los cursos son gratuitos, muchos de ellos vídeos y aprender a programar va a ser bastante fácil.

La programación en la que se baja es Python, HTML y CSS, el primero de ellos es uno de los más necesarios, pero toca recordar que se pueden estudiar varios más. Es necesario disponer de un teléfono con Android o bien de un ordenador si quieres también trabajar con los códigos.

Una vez lo abres tiene cuatro apartados diferentes, el primero de ellos es Enrollment, aquí muestra la lista de cursos, Catalog, en este podrás buscar el curso apropiado para ti en ese momento. Los dos últimos son Notificaciones, aquí te mostrará esos avances y el último es Configuración, en este último no se suele tocar demasiado al venir ya configurada.

Descarga: UdaCity

El desembarco en España de Pluto TV ha merecido un considerable interés por parte de medios y público. Su propuesta de una televisión lineal y abierta es relativamente insólita en el panorama del streaming español. Ahora su nombre vuelve a sonar, pero por cuestiones menos agradables: 3,2 millones de cuentas de sus usuarios (que suman un total de 28 millones) y sus respectivos datos han sido expuestas en un foro de hackers.

Por suerte, Pluto TV es un servicio gratuito, por lo que no hay datos de tarjetas de crédito asociados a los nombres, pero sí nombre de usuario, correo electrónico, contraseña, fecha de nacimiento, tipo de dispositivo y dirección IP. Además, aunque el robo de datos se ha conocido ahora, la base de datos procede de octubre de 2018, así que no hay detalles, por ejemplo, sobre los recientes usuarios españoles, donde además, no se nos pide ningún tipo de registro.

En Xataka

"Pluto TV pretende convertirse en España en una plataforma líder". Manuel Gil, director de estrategia de Viacom España

Shinyhunters, hackers experimentados

El grupo detrás de la brecha es Shinyhunters, que ya se vieron implicados en el hackeo del repositorio privado de Microsoft en GitHub a principios de este año. En declaraciones al site especializado BleepingComputer, Pluto TV ha afirmado que "en el momento actual no podemos confirmar la veracidad de este suceso, pero cualquier intento de comprometer la seguridad de nuestros usuarios o plataforma son tratados con la máxima prioridad. Estamos investigando la cuestión". Pluto TV en España de momento no ha hecho comentarios.

Pluto TV llegó a España el pasado mes de octubre con una oferta de 40 canales y cientos de programas. Se ha elogiado su gratuidad y, sobre todo, su sistema de emisión, donde hay sistema bajo demanda de programas y películas, pero sobre todo, una emisión continua de programas en cualquiera de sus canales. Algunos temáticos, otros destinados a determinados tipos de público: es de esperar que esta sorprendente filtración no acarre mayores inconvenientes a Pluto TV una vez solucionen la brecha que ha comprometido los datos de sus clientes.

-
La noticia Pluto TV en EE.UU., hackeada: los datos de 3,2 millones de sus cuentas gratuitas han sido expuestos fue publicada originalmente en Xataka por John Tones .

Llevo muchos años siendo docente en diferentes universidades con temáticas de ciberseguridad. He tenido la suerte de poder conocer a muchos alumnos, de poder motivar a muchos de ellos y de poder hacerme amigos de mucha gente con un gran potencial. Para mí ha sido y es un orgullo poder decir que he tenido muchas horas de vuelo en las clases y que creo que un porcentaje alto de alumnos han estado contentos conmigo y con lo que he podido transmitirles.

Figura 1: La importancia de los laboratorios para aprender

hacking y un WAF como modSecurity a prueba

Siempre he hablado de la importancia que tiene que un alumno no se limite a observar al profesor, cuando éste les muestra un ejemplo para afinar el conocimiento. El alumno debe actuar y poner a prueba lo que le cuentan, lo que le muestran, lo que le enseñan. Es importante que los alumnos levanten sus contenedores de Docker, sus máquinas virtuales, sus entornos privados para probar sobre sus recursos lo que les enseñan.

Figura 2: Libro de Docker: SecDevOps de Fran Ramírez, Rafael Troncoso y Elías Grande

Muchos me habrán escuchado decir que no vale de nada que yo lo haga, que yo ya lo hice muchas veces, que tienes que probarlo tú, hacer el conocimiento tuyo, hacerlo interno, entenderlo a base de encontrarte problemas cuando al profesor no se le presentaron dichos problemas. Creo que en algún minuto de este video se puede ver justo lo que comento.


Figura 3: Pablo González en CiberCamp 2018: Aquellos años locos
No creáis que hoy me he levantado nostálgico o que voy a dejar algo que me llena tanto como seguir conociendo al talento, al potencial que hay detrás de cada historia que se sienta a ver lo que éste joven les tiene que contar. Solo quería dar pie al artículo técnico que quería contar hoy y es que hoy quiero hablar de la importancia de montarte tus laboratorios y aprender.  Hoy quiero dar respuesta a algunas consultas que me llegan y que me preguntan por mi buzón de MyPublicInbox por algún consejo para aprender, para iniciarse, para entrar en este mundo tan apasionante, por consultas de alguno de mis libros, etcétera. 

Figura 4: Libro de Hardening de Servidores GNU/Linux 4ª Edición

(Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

- Una máquina Ubuntu a la que instalaremos modsecurity. 

- Una máquina Kali Linux 2020 a la cual llamaremos “la mala”.

- Un entorno web vulnerable al que ayudaremos a proteger.

- Instalar apache2 y modsecurity a través de Ubuntu con apt install. Ejemplo: apt install apache2 libapache2-mod-security2. 

- Tras instalar apache2 y la librería de modsecurity hay que verificar que modsecurity está habilitado. Para ello se puede hacer uso de apachectl -M. con esta instrucción podemos verificar que modsecurity se encuentra instalado, incluso podríamos filtrar con un grep para encontrar entre todo lo disponible.

- Encontramos el módulo security2 con el valor “(shared)”. 

- Si es así, parece que todo ha ido bien, toca configurar modsecurity.

Figura 6: modsecurity.conf

La primera regla y la más importante es SecRuleEngine que habilita modsecurity. Después, modsecurity tiene un conjunto de reglas por defecto, las cuales se encuentran en el directorio /usr/share/modsecurity-crs. Es altamente recomendable descargar reglas actualizadas desde repositorios de Github, con ejemplos para aprender. 

Un ejemplo de repositorio a tener localizado es el de SpiderLabs con Owasp-modsecurity-crs. Ahora se conoce como OWASP Modsecurity Core Rule Set. Para poder descargarlo se puede hacer uso de git clone. Una vez descargado se puede copiar el fichero de configuración a /usr/share/modsecurity-crs/crs-setup.conf. 

Figura 7: modsecurity core rule set en Git Hub

Ahora se puede configurar dichas reglas editando el fichero security2.conf que se encuentra en el directorio /etc/apache2/mods-enabled. Debemos añadir un par de IncludeOptional en el fichero security2.conf.

o IncludeOptional /usr/share/modsecurity-crs/*.conf. 

o IncludeOptional /usr/share/modsecurity-crs/rules/*.conf.

Figura 8: Libro Hacking de Aplicaciones Web: SQL Injection 3ª Edición de Chema Alonso y Enrique Rando en 0xWord

Esto es algo vital, enfrentarse a las situaciones, a los entornos, es una forma interesante de aprender y encontrarse con la realidad, por compleja que pueda parecernos. DVWA (Damn Vulnerable Web Application) es un entorno de pruebas para practicar y entender las vulnerabilidades web. Una de las cosas interesantes de este entorno es que se puede ver el código web con diferentes niveles. Es decir, si tenemos un SQL Injection se puede ver en diferentes dificultades, diferentes errores en el código que introducen en la aplicación el SQL Injection. Sin duda, interesante para aprender.

Figura 9:  Aplicación DVWA

Con la configuración de DVWA en modo fácil, en la última versión hay 4 niveles, introduciendo una comilla veremos como se genera un error de sintaxis. Si aplicamos un ‘or’1’=’1 veríamos los datos de la tabla a la que se consulta. Seguramente sea el SQL Injection más sencillo y más intuitivo. Perfecto para aprender.

Figura 10: Resultado del SQL Injection Level 1

Ahora habilitamos modsecurity a través del fichero /etc/modsecurity/modsecurity.conf. Habilitamos la opción SecRuleEngine y la ponemos a ON. A partir de aquí todo el tráfico pasará por las reglas de modsecurity que descargamos y añadimos en los apartados anteriores. Ahora veremos que cuando se intenta llevar a cabo la misma operación el resultado es un “forbidden”.
 

Figura 11: modsecurity funcionando

Una forma de aprender cómo funcionan, no solo los ataques de SQL Injection, sino todas las técnicas de Hacking Web Technologies, e incluso se pueden ver los ataques Client-Side que pasan por un servidor web, y como un WAF puede ir trabajando sobre ellos para protegernos es éste. Aplicando a diferentes tipos de ataques en plataformas como DVWA se puede aprender y mucho. Siempre pensando en el ataque y en la protección. En la vida real te encontrarás protecciones y tendrás que conocer cómo funcionan para poder aplicar bypasses. Eso lo dejamos para otra historia.

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Contactar con Pablo González

Sigue Un informático en el lado del mal RSS 0xWord

Al borde de las tres de la madrugada, el cohete Vega estaba preparado para salir desde Kurú, en la Guayana Francesa, transportando en sus entrañas al mayor proyecto aeroespacial en el que se ha embarcado la industria española. Liderado por el Ministerio de Ciencia e Innovación, el satélite SEOSAT-Ingenio era el primer satélite español de observación terrestre, capaz de tomar imágenes de la superficie terrestre con una impresionante resolución de 2,5 metros.

Y despegó, como estaba previsto, a las 02:52 de la mañana. Pero, como decía Juan Luis Hortelano, la alegría nos duró ocho minutos.

Porque, según ha explicado la Agencia Espacial Europea, “ocho minutos después del despegue de la misión VV17 de Vega, tras el primer encendido del motor de la etapa superior de Avum (módulo superior de combustible líquido), se identificó una desviación de la trayectoria, lo que implica la pérdida de la misión”.

200 millones perdidos en ocho minutos

Tras años de trabajo y un presupuesto de 200 millones de euros, el Spanish Earth Observation Satellite - Ingenio era un instrumento óptico de alta resolución con dos cámaras capaces de cubrir 28 kilómetros de ancho cada una. La idea es que pudieran captar imágenes terrestres gracias a sus dos canales: uno pancromático (blanco y negro) de 2,5 metros de resolución y otro multiespectral con cuatro bandas (azul, verde, rojo e infrarrojo cercano) de 10 m de resolución.

En Xataka

Hay un lugar en España donde nos preparan para el 'Armageddon' y fabrican rovers marcianos: visitamos la sede central de GMV

Gracias a ello, prometían nuevas aplicaciones en el campo de la topografía, el control de las cosechas, el desarrollo urbanístico y la gestión del agua, además de ayudar en el control y la evolución de inundaciones, incendios o terremotos. Con el fallo de Vega, el proyecto vuelve a la casilla de salida.

Los técnicos de la ESA ya están realizando análisis telemétricos con la idea de localizar la causa del fallo y a lo largo de la mañana [14:00h] se darán los detalles que se hayan recabado. No obstante, hay algo que parece claro: el lanzamiento del mayor proyecto espacial español hasta el momento se da por perdido.

Imagen | ESA

-
La noticia Ocho minutos de alegría y un fracaso de 200 millones de euros: el lanzamiento del mayor proyecto espacial español hasta el momento se da por perdido fue publicada originalmente en Xataka por Javier Jiménez .

Hoy os quiero hablar de la herramienta CrowdSec, que tiene como objetivo aprovechar el poder de la multitud para crear una base de datos de reputación de IP muy precisa. Antes de continuar quiero...

La entrada CrowdSec un nuevo proyecto para la seguridad en Internet se publicó primero en ochobitshacenunbyte.

La desarrolladora y distribuidora japonesa de videojuegos como las franquicias Resident Evil y Street Fighter, Capcom, ha confirmado que los ciberatacantes responsables del ataque ransomware sufrido el 2 de noviembre han conseguido datos personales y de la compañía contrariamente a lo que se pensaba.

Según explican, tras la incursión no autorizada en su red, han podido verificar que algunos datos personales y financieros mantenidos por la empresa han sido comprometidos y, otros, pueden haberlo sido. Entre estos últimos encontramos información personal y corporativa que suman 350.000 elementos.

Datos comprometidos y potencialmente comprometidos

Capcom, que ofrece sus "más sinceras disculpas por cualquier complicación e inquietud que esto pueda suponer para sus clientes potencialmente afectados", ha confirmado que la investigación sigue en marcha y que, de momento, ha concluido que se ha filtrado la información de antiguos empleados, trabajadores actuales e información de ventas. Hablamos de nombres, firmas y direcciones, así como de información financiera.

Respecto a la información potencialmente comprometida, aunque no se pueda asegurar al cien por cien su posesión en manos de los atacantes, se trataría de datos personales de clientes y socios comerciales de Capcom, información del servicio de atención al cliente, nombres, direcciones, correos electrónicos, fechas de nacimiento y fotografías.

En Genbeta

Los ciberataques de ransomware siguen aumentando y los equipos más vulnerables son los que usan versiones viejas de Windows

Eso sí, entre estos datos no se encontraría información de índole bancaria como tarjetas de crédito o débito de clientes, de acuerdo con los datos publicados.

Capcom ha reconocido el posible acceso a información corporativa, como la que afectaría a futuros proyectos, y ha anunciado que está contactando con todas aquellas personas y/o empresas que se han visto afectadas por este robo de información.

-
La noticia Capcom confirma la filtración de datos personales y de la compañía tras sufrir un ataque ransomware fue publicada originalmente en Genbeta por Toni Castillo .

Hace un par de días amanecimos con una mala noticia: el almacenamiento ilimitado de Google Fotos dejará de ser gratuito en 2021. Eso significa que una vez que llenes los 15 GB de almacenamiento que ofrece Google tendrás que desempolvar la cartera. Si eres de los muchos a los que no le ha hecho gracia la idea y no te…

Read more...

Este Trivial de la Ciberseguridad de la Oficina de Seguridad del Internauta es una simpática iniciativa que pone en tarjetas de preguntas sobre diferentes temáticas la seguridad informática cotidiana. Se puede descargar en PDF e imprimir directamente; en total tiene 60 preguntas.

Las seis categorías de rigor de este Trivial son:

• Redes sociales y mensajería instantánea
• Gestión de contraseñas
• Compras online
• Fraudes online
• Navegación segura
• Protección de dispositivos

Utilizando las conocidas del Trivial Pursuit^® todo consiste en conseguir los quesitos en forma de ciberpuntos; gana el que consiga antes los seis quesitos o quien más puntos tenga cuando se acaben las tarjetas. Estaría bien que tuviera más de preguntas, porque 60 se antojan pocas; habrá que ver si lo amplían en el futuro, o incluso que lo abran a las aportaciones de gente a través de Internet para potenciarlo.

Desde luego con lo entretenido de la fórmula imprimir-y-recortar y luego el juego en sí, aunque sea breve, los más jóvenes de la casa pueden repasar algunas de las ideas básicas relacionadas con la ciberseguridad personal.

Relacionado:

• A Google a Day: el trivial estilo Google
• Carreteras de Australia con preguntas de trivial anti-aburrimiento
• Trivial científico de Star Trek

# Enlace Permanente

Un grupo de investigadores de la Universidad de Tecnología de Graz (Austria), anteriormente conocido por desarrollar métodos de ataque para MDS, NetSpectre, Throwhammer y ZombieLoad, dieron a conocer hace poco la noticia de que han estado desarrollando un nuevo método de ataque de canal lateral, con nombre en código «PLATYPUS».

El ataque permite la reconstrucción de datos calculados con base en la información recibida por un usuario sin privilegios a través de la interfaz de monitoreo de energía RAPL proporcionada en los procesadores modernos Intel (CVE-2020-8694, CVE-2020-8695) y AMD (CVE-2020-12912).

Sobre PLATYPUS

Los investigadores pudieron demostrar la extracción del enclave Intel SGX de la clave RSA privada utilizada para el cifrado utilizando la biblioteca TLS mbed, así como las claves AES utilizadas para el cifrado AES-NI en el nivel del kernel de Linux.

Además, se muestra que un ataque puede usarse para eludir los mecanismos de protección y determinar los parámetros de aleatorización del espacio de direcciones (KASLR) durante la explotación de diversas vulnerabilidades.

El ataque se basa en las fluctuaciones en el consumo de energía de la CPU al ejecutar ciertas instrucciones del procesador, procesar diferentes operandos y recuperar datos de la memoria, lo que permite juzgar la naturaleza de los datos cargados. A diferencia de los métodos de ataque similares desarrollados anteriormente que analizan las fluctuaciones de voltaje, PLATYPUS no requiere acceso físico al equipo y una conexión de osciloscopio, pero permite usar la interfaz RAPL (Running Average Power Limit) disponible en procesadores Intel y AMD, comenzando con las familias Sandy Bridge y Zen.

Aprovechamos el acceso sin privilegios a la interfaz Intel RAPL exponiendo el consumo de energía del procesador para inferir datos y extraer claves criptográficas .

El problema se ve agravado por el hecho de que el marco powercap agregado al kernel de Linux proporciona acceso a los contadores RAPL a usuarios sin privilegios, lo que hace posible rastrear el consumo de CPU y DRAM. En Windows y macOS, el ataque requiere la instalación del paquete Intel Power Gadget (este paquete requiere acceso privilegiado).

El ataque se ve obstaculizado por la resolución de medición muy baja, incomparable con la precisión lograda con un osciloscopio. En particular, RAPL puede tomar lecturas a 20 kilohercios y valores promediados, mientras que un osciloscopio puede tomar mediciones a varios gigahercios. Sin embargo, la precisión de RAPL resultó ser suficiente para extraer información del flujo general de instrucciones sobre la ejecución de instrucciones repetidas con diferentes datos u operandos.

Las empresas Intel y AMD han lanzado un código de controlador actualizado para Linux, en el que el acceso a RAPL está restringido al usuario root. Los desarrolladores del hipervisor Xen también han lanzado una solución que bloquea el acceso a RAPL desde los sistemas invitados.

Al mismo tiempo, las restricciones de acceso no son suficientes para bloquear los ataques a enclaves de Intel SGX que pueden llevar a cabo los atacantes que han obtenido acceso privilegiado al sistema.

Para protegerse contra estos ataques, Intel también ha publicado una actualización de microcódigo, que también corrige varias vulnerabilidades más que podrían conducir a la filtración de datos. En total, la actualización de noviembre de Intel corrigió 95 vulnerabilidades en varios productos.

Una gama bastante amplia de procesadores Intel de escritorio, móviles y de servidor, comenzando con la familia Sandy Bridge, está sujeta al ataque.

En los sistemas basados ​​en CPU AMD, la interfaz RAPL ha estado presente desde la familia Zen, pero los controladores del kernel de Linux solo permiten el acceso sin privilegios a las estadísticas de la CPU AMD Rome.

El ataque se puede aplicar potencialmente a procesadores ARM, que tienen sus propios sistemas para recopilar métricas sobre cambios de energía, y los controladores de los chips Marvell y Ampere brindan acceso sin privilegios a los sensores, pero no se ha realizado un análisis detallado de la posibilidad de implementar un ataque para dichos dispositivos.

Finalmente, si estás interesado en conocer mas al respecto sobre el nuevo tipo de ataque «PLATYPUS», puedes consultar los detalles en el siguiente enlace.

Proxmox, conocido por sus productos Proxmox Virtual Environment y Proxmox Mail Gateway, ha lanzado la primera versión de la distribución Proxmox Backup Server. La nueva distribución se presenta como una solución lista para usar para respaldo y recuperación de entornos virtuales, contenedores y relleno de servidores.

Proxmox Backup Server es un software de respaldo cliente-servidor de clase empresarial que respalda máquinas virtuales, contenedores y hosts físicos. Está especialmente optimizado para la plataforma Proxmox Virtual Environment y permite realizar copias de seguridad y replicar datos de forma segura.

Proporciona una gestión sencilla con una línea de comandos y una interfaz de usuario basada en web y está licenciada bajo la Licencia Pública General GNU Affero v3 (GNU AGPL, v3).

Proxmox Backup Server admite copias de seguridad incrementales, deduplicación de datos, compresión y cifrado autenticado.

El uso de Rust como lenguaje de implementación garantiza un alto rendimiento, un bajo uso de recursos y una base de código segura y de alta calidad. Cuenta con un cifrado sólido realizado en el lado del cliente. Por lo tanto, es posible hacer una copia de seguridad de los datos en objetivos que no sean completamente confiables.

La parte del sistema de la distribución se basa en la base del paquete Debian 10.6 (Buster), el kernel de Linux 5.4 y OpenZFS 0.8.4.

El sistema está diseñado sobre la base de una arquitectura cliente-servidor: Proxmox Backup Server se puede utilizar tanto para trabajar con copias de seguridad locales como servidor centralizado para realizar copias de seguridad de datos de diferentes hosts. Proporciona modos de sincronización de datos y recuperación granular rápida entre servidores.

Proxmox Backup Server admite la integración con la plataforma Proxmox VE para realizar copias de seguridad de máquinas virtuales y contenedores. La gestión de las copias de seguridad y la recuperación de datos se realiza a través de la interfaz web.

De las principales características que se destacan son:

• Soporte para Proxmox VE: El entorno virtual de Proxmox es totalmente compatible y puede realizar copias de seguridad de máquinas virtuales (que admiten mapas de bits sucios QEMU) y contenedores.
• Rendimiento: Toda la pila de software está escrita en Rust, para proporcionar alta velocidad y eficiencia de memoria.
• Deduplicación: Las copias de seguridad periódicas producen grandes cantidades de datos duplicados. La capa de deduplicación evita la redundancia y minimiza el espacio de almacenamiento utilizado.
• Copias de seguridad incrementales: Los cambios entre copias de seguridad suelen ser bajos. Leer y enviar solo el delta reduce el impacto de las copias de seguridad en el almacenamiento y la red.
• Integridad de los datos: El algoritmo de suma de comprobación SHA-256 integrado garantiza la precisión y coherencia de sus copias de seguridad.
• Sincronización remota: Es posible sincronizar datos de manera eficiente con sitios remotos. Solo se transfieren los deltas que contienen nuevos datos.
• Compresión: La compresión ultrarrápida Zstandard es capaz de comprimir varios gigabytes de datos por segundo.
• Las copias de seguridad de cifrado se pueden cifrar en el lado del cliente utilizando AES-256 en el modo Galois/Counter. Este modo de cifrado autenticado proporciona un rendimiento muy alto en hardware moderno.
• Interfaz web: Administrar las copias de seguridad de Proxmox con la interfaz de usuario integrada basada en web.
• Código abierto: Proxmox Backup Server es un software gratuito y de código abierto. El código fuente tiene licencia AGPL, v3.

Descarga

El proyecto es desarrollado y mantenido por Proxmox Server Solutions GmbH.

Una imagen de instalación ISO está disponible para descarga gratuita. Los componentes específicos de distribución están abiertos bajo la licencia AGPLv3. Para instalar actualizaciones, hay disponibles tanto un repositorio empresarial de pago como dos repositorios gratuitos, que difieren en el nivel de estabilización de la actualización.

Finalmente, para quienes estén interesados en poder probar el producto, puedes obtener las imágenes del sistema desde el sitio web oficial de Proxmox.

Los archivos se pueden descargar desde este enlace. 

El medio de instalación (CD o USB) es un sistema operativo completo. Se puede instalar de forma completa en hardware dedicado o en una máquina virtual en todas las plataformas de virtualización, además de que también se puede instalar sobre una instalación de Debian existente.

La conectividad inalámbrica basada en el estándar WiFi 6 es ya una realidad en los routers neutros que podemos encontrar en el mercado, aunque también va llegando poco a poco a los dispositivos instalados por las operadoras, como por ejemplo es el caso de Movistar, Yoigo o Vodafone, quien precisamente esta semana ha abierto una interesante prueba piloto para algunos de sus clientes de fibra.

Se trata de una promoción destinada a usuarios que quieran probar el nuevo router con WiFi 6 de Vodafone en casa antes de que su despliegue masivo comience a hacerse realidad en los próximos meses, aunque para ello deberán cumplir una serie de requisitos previos:

1. Ser cliente Vodafone.
2. Tener contratado un paquete convergente con tecnología compatible.
3. Tener contratado un Smartphone WiFi 6 con Vodafone.
4. No tener contratado el producto de Super WiFi.

Para poder participar en la promoción hay que entrar en la web que ha habilitado la operadora y rellenar los datos personales, proceso tras el que pasaremos a formar parte de un sorteo donde se elegirán a 20 ganadores que recibirán la visita de un técnico de Vodafone para dejar instalado el nuevo equipo de forma gratuita.

En Xataka

Así de malos (o de buenos) son los routers que te da tu operadora (2020)

El proceso de inscripción estará abierto desde hoy 12 de noviembre de 2020 hasta las 23.59 horas del 19 de noviembre de 2020 y en cuanto al modelo del router proporcionado, aunque no se han especificado datos técnicos sobre el mismo, es de suponer que será el nuevo modelo que Vodafone tiene listo para distribuir, el Sercomm RHG3006 con ONT integrado, WiFi 6 hasta 4 veces más rápido que en los modelos actuales, con capacidad para tener conectados 120 dispositivos y con un consumo de batería de los equipos hasta 3 veces inferior que con WiFi 5.

Más información y registro | Vodafone

-
La noticia Vodafone comienza una prueba piloto para clientes que quieran probar en casa su nuevo router con WiFi 6 fue publicada originalmente en Xataka Smart Home por Paco Rodriguez .

No es una novedad que Google cambie su política respecto a los servicios que presta de forma gratuita. Después del cierre hace unas semanas de Google Music a favor de YouTube Music, donde el contenido premium de pago está claramente priorizado frente a la biblioteca de música subida por el usuario, ahora le toca el turno a Google Photos.

Actualmente cualquier usuario con una cuenta de Google puede almacenar sus fotos en alta calidad de forma ilimitada en la nube, liberando así espacio en su terminal. La creciente demanda de espacio ha hecho a Google replantearse esta gratuidad. Google Fotos acoge más de 4 billones de fotos, sumando 28.000 millones de fotos y vídeos nuevos semanalmente, una cifra difícil de soportar incluso para los centros de datos de un gigante como Google.

Con el cambio de política las imágenes almacenadas se descontarán de los 15 GB gratuitos incluidos en todas la cuentas de Google que no estén configuradas en un móvil Pixel de Google. Este espacio ya se comparte con otros productos de Google como Drive o Gmail, por lo que es muy probable que necesites más capacidad, para lo que no queda más opción que suscribirse a unos de los planes de pago de Google One.

Antes de que esto ocurra Google promete una herramienta que facilitara eliminar las fotos que no vale la pena guardar, por ser reiterativas o tener fallos de imagen. En esta URL puedes consultar el espacio actual disponible en tus 15 GB y cuánto ocupa cada producto, además de una estimación sobre cuándo te quedarás sin espacio teniendo en cuenta tu ritmo actual al que subes los contenidos.

Ilimitado hasta el 1 de julio de 2021

¿Cómo afecta esto a los contenidos que ya tienes almacenados? Google quiere ponerlo fácil y anuncia que hasta que se aplique la nueva política en junio del próximo año, puedes seguir subiendo contenidos de forma ilimitada con el compromiso de que estos se mantendrán. Solo las fotos y vídeos que subas a partir del 1 de julio de 2021 empezarán a descontarse de los 15 GB.

Cuánto ocupan tus fotos en Google Photos y cómo descargarlas

No hay forma de saber cuánto ocupan actualmente tus contenidos almacenados en Google Photos, pero si puedes exportar tus fotos con la herramienta Takeout. Habrá que crear una exportación seleccionando como Productos Google Photos que generará un archivo .zip. Un tiempo más tarde recibiremos un enlace para su descarga en nuestro correo.

Recuerda que las fotos subidas antes del 1 de julio de 2020 no se borrarán ni descontarán espacio de tus 15 GB gratuitos, por lo que no es imprescindible que les busques una nueva ubicación.

Cómo contratar más espacio de Google Photos

Para disponer de más espacio de almacenamiento no queda otra opción que contratar uno de los planes de pago de Google One. El más básico vale 1,99 € mensuales, aunque pagándolo anualmente nos ahorraremos unos 4 € al año. Por ese precio, el plan básico de Google One trae 100 GB de alojamiento compartido para todos los productos de Google.

CrowdSec es un nuevo proyecto de seguridad diseñado para proteger servidores, servicios, contenedores o máquinas virtuales expuestos en Internet con un agente del lado del servidor. Se inspiró en Fail2Ban y pretende ser una versión colaborativa y modernizada de ese marco de prevención de intrusiones.

De alguna manera, es descendiente de Fail2Ban, un proyecto que nació hace dieciséis años. Sin embargo, ofrece un enfoque colaborativo más moderno y sus propios fundamentos técnicos para responder a los contextos modernos.

CrowdSec, escrito en Golang, es un motor de automatización de seguridad, que se basa tanto en el comportamiento como en la reputación de las direcciones IP.

El software detecta comportamientos localmente, gestiona amenazas y también colabora globalmente con su red de usuarios compartiendo direcciones IP detectadas.

Esto permite que todos puedan bloquearlos de manera preventiva. El objetivo es construir una inmensa base de datos de reputación de PI y garantizar el libre uso de la misma a quienes participan en su enriquecimiento.

¿Cómo funciona CrowdSec?

Crowdsec es un marco modular y conectable, incluye una gran variedad de escenarios populares bien conocidos, los usuarios pueden elegir de qué escenarios quieren protegerse, así como agregar fácilmente nuevos personalizados para adaptarse mejor a su entorno.

El objetivo es implementar el software en tantos entornos como sea posible.  Su rápida ejecución, su compatibilidad con contenedores, su facilidad de uso en entornos de nube así como su capacidad para ejecutarse en ecosistemas UNIX, macOS o Windows: todo esto nos permite abordar todo el mercado.

Motor de análisis de comportamiento

Es la primera capa de protección. Utiliza el escenario definido por YAML para correlacionar los eventos que ingresan a un depósito con fugas y extraer una señal si el depósito se desborda. A continuación, puede aplicar la respuesta de su elección con bouncers.

Motor de reputación

El motor de reputación es un principio muy simple, pero difícil de configurar. Básicamente, cada una de las instalaciones de CrowdSec puede beneficiarse de una lista negra de IP organizada, distribuida por nuestra API central. Si se esta usando LAMP, no se necesitan direcciones IP que ataquen otras pilas técnicas como Windows, por ejemplo.

Esta base de datos se alimenta de todas las instancias de CrowdSec, cuyas señales son filtradas y procesadas de forma centralizada por nuestra API. Los falsos positivos y los intentos de robo por parte de hackers son un problema real, de ahí la necesidad de procesar las señales que surgen de las instalaciones de CrowdSec.

Creemos que tenemos una receta bastante sólida para hacer esto, que llamamos consenso. Esto implica varias técnicas, como la comprobación de señales de otros miembros de confianza, nuestra propia red de señuelos ( honeypots), listas canarias (una lista blanca de direcciones IP), etc.

Nuestro objetivo es distribuir solo listas 100% fiables. Además, identificar quién es peligroso y cuándo depende en gran medida de un contexto y un período de tiempo específicos. Por ejemplo, una dirección IP que se consideró limpia ayer puede verse comprometida hoy y los administradores pueden limpiarla al día siguiente. Una dirección IP que busque SSH no es peligrosa para su TSE, etc.

Visualización

El software incluye un sistema de visualización local y ligero basado en Metabase. CrowdSec también está equipado con Prometheus, para proporcionar capacidades de alerta y observabilidad.

El motor de reputación tiene actualmente más de 103.000 direcciones IP de «consenso» (que han pasado las pruebas de envenenamiento y anti-falsos positivos).

Hasta la fecha, los miembros de la comunidad provienen de más de cincuenta países repartidos en seis continentes.

Si bien el software actualmente parece un Fail2Ban arreglado, el objetivo es aprovechar el poder de la multitud para crear una base de datos de reputación de IP muy precisa. Cuando CrowdSec rebota una IP específica, el escenario desencadenado y la marca de tiempo se envían a nuestra API para que se verifiquen e integren en el consenso global de IP incorrectas.

CrowdSec es gratuito y de código abierto (bajo una licencia MIT), con el código fuente disponible en GitHub. Actualmente está disponible para Linux, con puertos a macOS y Windows en la hoja de ruta

Fuente: https://doc.crowdsec.net/

Hace un tiempo hablábamos de la tecnología inalámbrica Zigbee para productos de domótica e Internet de las Cosas (IoT) al ser la elección de marcas conocidas como Amazon (con su Echo Plus), Philips, OSRAM, Samsung Electronics, IKEA o Toshiba entre otras. Y ahora a éstas se suma Lidl con sus nuevas bombillas conectadas y sensores para el hogar.

La cadena de supermercados alemana se adentra ahora en este área de productos electrónicos empezando por bombillas con control de color, enchufes inteligentes y sensores de movimiento, así como su propia central domótica para poder centralizar el manejo de los productos. Así, además de monitores de actividad ahora en su tienda web también encontramos estas posibilidades.

Bombillas, enchufes y una central para unirlos a todos

Si nos ha picado el gusanillo de las bombillas inteligentes quizás nos venga a la cabeza como ejemplo por antonomasia las Philips Hue, a cuyo catálogo se añadió no hace mucho una tira LED multicolor. Lo que ofrece ahora Lidl es precisamente su alternativa a esto, con varios modelos de bombillas con control de color e incluso su propia tira LED.

Su baza: un precio bastante competitivo. Las bombillas quedan en 7,99 euros y la tira LED en 22,99 euros, compitiendo más en la línea de las de Xiaomi o Ikea (en cuanto al coste).

En Xataka

Qué bombilla inteligente comprar: modelos más populares y compatibilidades

Además de bombillas, la propuesta de Lidl para crear un "hogar inteligente" es la de poder poner enchufes inteligentes con soporte a Google Assistant (y un cifrado no especificado), sensores de movimiento e incluso un calefactor cerámico que se controla de manera inalámbrica. Eso sí, es imprescindible tener la central domótica propia para poder controlar estos dispositivos, así como la app propia, disponible de manera gratuita en la App Store y Google Play.

Precio y disponibilidad de los productos Smart Home de Lidl

El escaparate de domótica de Lidl se compone de lo siguiente, todo disponible en su tienda web ya o bien "pronto" (sin especificar fecha). Algunos de los productos están disponibles tanto en tienda física como online, mientras que otros sólo se venderán por web de momento:

• Central domótica: 24,99 euros (online y en tienda).
• Calefactor cerámico WiFi 1800 W: 49,99 euros (online, pronto).
• Sensor de movimiento de pared: 14,99 euros (online y en tienda).
• Sensor de movimiento: 14,99 euros (online y en tienda).
• Regleta de enchufes inteligente: 24,99 euros (online y en tienda).
• Bombilla ojo de buey con tecnología Zigbee: 12,99 euros (online y en tienda).
• Bombilla ojo de buey con control de color: 7,99 euros (online y en tienda).
• Bombilla con control de color (dos modelos): 7,99 euros (online y en tienda).
• Bombilla (dos modelos): 12,99 euros (online y en tienda).
• Set básico de iluminación pack 3: 55,99 euros (sólo online).
• Tira LED (2 metros): 22,99 euros (online y en tienda).
• Enchufe adaptador de enchufes: 9,99 euros (online y en tienda).

-
La noticia Lidl pone a la venta sus propias bombillas conectadas y sensores con Zigbee fue publicada originalmente en Xataka por Anna Martí .

La gente de XDA Developers estuvo hurgando en el código de la aplicación de Google Drive para Android y encontraron varias líneas de código que hacen clara referencia a una nueva función de cifrado de archivos.

A pesar de la enorme cantidad de tiempo que lleva el servicio de almacenamiento de Google funcionando, y los cientos de millones de usuarios que tiene en todo el mundo, hasta ahora Drive no ofrece la opción de cifrar nuestros archivos, por lo que sería una muy bienvenida mejora.

Un Google Drive más seguro y privado

Son seis las líneas de código, de las cuales tres hacen mención a descifrar y descargar archivos cifrados, mientras que una hace directamente referencia a ser una "función próxima". Aparte de esas líneas no hay realmente más información al respecto.

En Genbeta

Cómo tener Google Drive ilimitado por muy poco dinero al mes y de forma totalmente legal

Google tampoco ha mencionado nada al respecto de la posible inclusión de un sistema de cifrado para los archivos que almacenamos en Drive, y aunque existan referencias en el código a esa función, no sabemos si será algo que llegará tarde o temprano al servicio, ni mucho menos cuando.

Lo que sí sabemos es que sería una función muy bienvenida para muchos usuarios, el servicio de almacenamiento en la nube de Google es uno de los más usados, además de que ofrece planes de pago por espacio muy competitivos con Google One.

-
La noticia Encuentran evidencia de una nueva función de cifrado de archivos para Google Drive fue publicada originalmente en Genbeta por Gabriela González .

A lo largo de los últimos años Google mediante su empresa matriz Alphabet ha desarrollado una serie de iniciativas para ofrecer Internet. Entre las más destacadas están Google Fiber y Project Loon. Sin embargo, no todo tiene que ser por cable u ondas como estamos acostumbrados, su última idea es utilizar rayos de luz. La iniciativa Project Taara dispara haces de luz de una antena a otra para la transmisión de datos, en vez de desplegar un cable de fibra óptica.

En Xataka

Vinton Cerf ya co-creó internet para nuestro planeta: ahora quiere crear una internet interplanetaria con el protocolo DTN

Alphabet ha decidido sacar de su división X a Project Taara. Normalmente en X desarrollan nuevas ideas y sólo si son lo suficientemente viables y rentables salen como empresas independientes en el grupo Alphabet. Project Tara parece ser que cumple con estas condiciones, por lo que a partir de ahora será una empresa nueva con el objetivo de llevar Internet mediante rayos láser a áreas con dificultades de acceso o despliegue.

Internet por rayos láser

Project Taara comenzó su desarrollo como una solución para Project Loon. El sistema utiliza cajas láser que envían y reciben rayos de luz para transmitir datos a grandes distancias. Lo cierto es que la tecnología como tal no es tan nueva, pero sí que es de las primeras veces que se aplica para la conectividad a Internet.

Esencialmente funciona como la fibra óptica, enviando información mediante luz, pero en este caso el despliegue es más fácil y económico al no tener que colocar un cable físico. Es una tecnología que también se ha planteado para utilizar en el espacio a la hora de conectar y enviar grandes cantidades de datos. Starlink de hecho es una de las que quiere hacer esto, también hay rumores de algo por parte de Facebook.

Sin embargo no todo son ventajas. A diferencia de la fibra óptica, Taara tiene limitaciones de distancia por ejemplo. Funciona mejor cuando hay un dispositivo receptor a unos 20 kilómetros de distancia como mucho. Por otra parte y como es evidente, requiere de que no haya ningún obstáculo entre el emisor y el receptor, así que generalmente se colocan en postes muy altos o lugares que no pueda pasar nada que interfiera la comunicación.

Si nos vamos al apartado de la velocidad, Project Taara promete unos 20 Gbps de velocidad. Parece mucho, pero no lo es tanto cuando se quiere conectar a miles de personas por una sola línea. Según sus creadores es suficiente para que "miles de personas estén viendo YouTube al mismo tiempo".

Project Taara sin duda es prometedor, un proyecto que busca desplegarse especialmente en zonas rurales o menos desarrolladas donde colocar fibra óptica no es tan sencillo. Uno de los primeros clientes de Project Taara es Econet, una operadora de Kenia. Previamente han hecho pruebas piloto en India.

Más información | X Blog

-
La noticia Ni fibra óptica ni ondas, Google está utilizando rayos de luz para transmitir datos y ofrecer Internet fue publicada originalmente en Xataka por Cristian Rus .

En Moscú el sistema de vigilancia por reconocimiento facial lleva un tiempo operativo. Las autoridades rusas lo implementaron con la idea de reducir la delincuencia y tener un mayor control sobre los ciudadanos en caso de ser necesario. Sin embargo también se están dando consecuencias y usos negativos, hay quien compra estos datos recopilados por las cámaras para espiar a otras personas.

El reconocimiento facial ha tenido un auge importante en los últimos años, con China como uno de los países donde más se ha desplegado. En otros lugares como Londres su eficiencia no ha sido la mejor y en algunos lugares de Estados Unidos ha llegado hasta a prohibirse su uso.

En Xataka

EEUU como China: las fotos que hemos compartido en las redes sociales ahora alimentan a la vigilancia y reconocimiento policial

79 fotografías con hora y lugar en Moscú por menos de 200 euros

En Reuters recogen la historia de Anna Kuznetsova, una activista de Moscú que decidió investigar y denunciar esta situación. Según explican, Anna Kuznetsova vio un anuncio que ofrecía acceso a los datos recopilados por el sistema de vigilancia por reconocimiento facial de Moscú. Contactó con ellos, pagó 16.000 rublos (unos 180 euros al cambió) y envió fotos de la persona a la que quería espiar, ella misma. Dos días más tarde Anna Kuznetsova recibió un completo informe con 79 fotografías y todos los lugares en Moscú donde la activista había estado durante el último mes.

Si bien en esta ocasión se hizo para denunciar la situación, indican los abogados de Anna Kuznetsova que es algo común la venta de datos para espiar a otra personas mediante la tecnología de reconocimiento facial. Por unos 200 euros al cambio es posible conseguir el historial completo de movimientos de casi cualquier persona en Moscú. Los anuncios se mueven por Telegram y otras redes de Internet y aparte de pagar tan sólo hay que dar algunos datos de la persona sobre la que se quiere obtener información.

El sistema de reconocimiento facial de Moscú cuenta con unas 105.000 cámaras desplegadas a lo largo de la capital, según Reuters uno de los sistemas mejor desplegados y completos. Las autoridades estatales han indicado que desde su despliegue ha tenido un impacto positivo para reducir la delincuencia o por ejemplo tener un mejor control del confinamiento por COVID-19.

Los activistas sin embargo dicen que este sistema también ha implicado la violación de la privacidad de los ciudadanos. Las cámaras se han utilizado para monitorear manifestaciones políticas y a menudo se denuncian casos como el de Anna Kuznetsova sobre la venta de los datos. El Departamento de Tecnología de Moscú, que gestiona el programa de vigilancia, dice que los informes de acceso ilegal al sistema son raros y los investigan. En el caso de Anna Kuznetsova se ha investigado a dos policías que abusaron de su acceso al sistema para vender los datos.

Vía | Reuters
Imagen | María Renée Batlle Castillo con licencia CC-BY-ND 2.0

-
La noticia Que alguien te espíe por toda Moscú usando las cámaras de vigilancia y reconocimiento facial tiene un "módico precio": 200 euros fue publicada originalmente en Xataka por Cristian Rus .

(credit: Pixabay)

Ubuntu developers have fixed a series of vulnerabilities that made it easy for standard users to gain coveted root privileges.

“This blog post is about an astonishingly straightforward way to escalate privileges on Ubuntu,” Kevin Backhouse, a researcher at GitHub, wrote in a post published on Tuesday. “With a few simple commands in the terminal, and a few mouse clicks, a standard user can create an administrator account for themselves.”

The first series of commands triggered a denial-of-service bug in a daemon called accountsservice, which as its name suggests is used to manage user accounts on the computer. To do this, Backhouse created a Symlink that linked a file named .pam_environment to /dev/zero, changed the regional language setting, and sent accountsservice a SIGSTOP. With the help of a few extra commands, Backhouse was able to set a timer that gave him just enough time to log out of the account before accountsservice crashed.

Read 5 remaining paragraphs | Comments

Figura 1: OSSEC: El mundo del IDS (Intrusion Detection System) y del  HIDS (Host IDS)

La última versión estable de OSSEC data de abril de 2019 y es una solución programada en Lenguaje C, un lenguaje de programación muy especial y muy relacionado con los sistemas operativos. Podemos decir que OSSEC opera como un SIM (Security Incident Management). Su función es la de analizar registros de eventos del sistema operativo, hacer comprobaciones de la integridad de los archivos del sistema de ficheros, auditar los registros de los equipos, detectar rootkits o dar respuesta activa y alertar en tiempo real.

Figura 2: GitHub de OSSEC

OSSEC es un software bastante adaptable y proporciona muchos quehaceres en la seguridad defensiva. El proyecto surgió en 2008 y en 2009 TrendMicro lo adquiere, eso sí, con la promesa de mantenerlo en Open Source. El GitHub del proyecto sigue estando abierto para que cualquiera pueda aportar a este proyecto. Detrás hay un gran número de colaboradores y programadores.

Instalación de OSSEC

La instalación se puede realizar a través de la web de https://www.ossec.net. En el apartado “Documentation” tenemos la información referente a la instalación. La instalación puede hacerse en una gran diversidad de sistemas operativos. OSSEC dispone de varias partes en su arquitectura que hay que entender para hacer el proceso correctamente.

Figura 3: Comienzo de proceso de instalación

Principalmente, tenemos un servidor que centralizará la operativa. A este servidor le podemos poner una interfaz gráfica que permite gestionar las diferentes acciones de forma más cómoda.  Además, tenemos los agentes que son herramientas que permiten recopilar la información de las máquinas remotas y enviarlas al servidor para su gestión. Toda esta información se puede encontrar en la web de OSSEC. 

Figura 4: Configuración de ficheros de log a analizar

La instalación nos devolverá todo lo necesario instalado, por defecto, en la ruta /var/ossec. A partir de aquí dispondremos de un gran número de posibilidades. Hay que pensar que OSSEC dispone de binarios encargados de la recopilación de información, del análisis, de la monitorización, del chequeo de integridad en el sistema de archivos, etcétera.

Figura 5: Finalización de la instalación

Cuando finaliza la instalación debemos ver que en la ruta /var/ossec/bin encontraremos un gran número de binarios que proporcionan todo el potencial de la herramienta. Así como en /var/ossec/etc podremos encontrar el fichero de configuración de OSSEC.

Figura 6: Arranque y comprobación del estado del servicio de OSSEC

Si queremos arrancar OSSEC podemos hacer uso del binario ossec-control con la opción “start”. Con la opción “status” podemos ver todo lo que tenemos al alcance y estamos ejecutando. Podemos instalar la solución OSSEC-WUI para poder hacer uso de Apache y PHP y poder ejecutar una interfaz gráfica que proporcione lo necesario para poder gestionar desde un entorno más amigable.

¿Dónde están las cosas?

- /bin y /etc: Son carpetas que lo dicen todo con su nombre. En la primera encontraremos los binarios de OSSEC. En la segunda veremos los ficheros de configuración. 

- /logs: Aquí encontraremos los logs: ossec.log y alerts/alerts.log. 

- /rules: En este directorio se almacenan las reglas que son utilizadas para generar alertas. 

- /stats: Directorio donde se generan estadísticas.

- Global: Es un apartado global donde se puede configurar el servicio del SMTP para notificar las alertas. 

- Rules. Es una directiva donde se “incluyen” los ficheros con las reglas de detección. Estas reglas están escritas en ficheros XML. 

- Active-response: Esta directiva muestra las diferentes respuestas activas que tiene OSSEC configuradas por defecto. Se puede configurar cómo se quiere responder ante un tipo de evento generado. 

Figura 7: Configuración de active-response

- Localfiles: Esta directiva indica los ficheros a monitorizar y analizar. Son los ficheros de log del sistema. Esta es la sección del “collector”.

Figura 8: Configuración de localfile

- Syscheck: Este apartado configura cómo trabajará el monitoreo sobre el sistema, así como los directorios y ficheros que serán chequeados para ver los posibles cambios o alteraciones. Esto es importante, ya que ante una intrusión puede haber carpetas que cambien en lo que a permisos se refiere, puede haber ficheros que son alterados en su contenido, etcétera. Otra herramienta interesante en este campo es tripwire, pero esa la dejamos para otro momento. 

- El servidor, dónde hemos instalado OSSEC, tiene una key que debemos extraer para proporcionársela al cliente (o agente). 

- El agente debe añadir esa key desde la herramienta manage_agents. 

Figura 9: Configuración del agente

En esta máquina solo obtendremos dos opciones: importar una clave de servidor o salir. Al darle a importar obtendremos información sobre el propio agente, esa info viene en la propia clave. Una vez hecho esto, tendremos al agente recopilando información y enviándola a OSSEC. Si disponemos de OSSEC-WUI instalado en la máquina del servidor, podremos empezar a ver los logs remotos que están llegando.

Figura 10: Libros de Linux Exploiting y de Hardening de Servidores GNU/Linux

OSSEC una herramienta con mucho potencial para la Fortificación de sistemas GNU/Linux que se puede descubrir a través del uso de máquinas virtuales en un laboratorio y que, si te dedicas a la ciberseguridad, debes conocer. El mundo de los IDS es apasionante, y no todo son los IDS de red o NIDS, también hay que ocuparse de los HIDS. 

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Contactar con Pablo González

Sigue Un informático en el lado del mal RSS 0xWord