EmGlo Industrial

El gobierno británico está barajando la posibilidad de utilizar un nuevo sistema de seguridad que nos acercaría un poquito más al dramático futuro de la novela 1984, de George Orwell.

Se trata, según informa The Sun, de la instalación en las calles de cámaras de rayos X que muestran a la gente desnuda.

El objetivo es detectar a posibles terroristas y personas armadas que puedan resultar peligrosas.

Los expertos en seguridad del gobierno de Tony Blair ya han mostrado los primeros esquemas de cómo funcionará esta tecnología, aunque aún están buscando una forma de conseguir que la gente acepte este sistema.

Difícil aceptación

En un documento que habla sobre el sistema se explica que las cámaras se instalarán en farolas y otros elementos del mobiliario urbano.

También se indica que “la detección de armas y explosivos será mucho más fácil”.

“Algunas tecnologías usadas en aeropuertos ya han sido empleadas en operaciones policiales para buscar drogas y armas en clubes nocturnos. Esa tecnología y muchas otras podrían desarrollarse para su utilización en espacios públicos”, añade.

El documento también revela el temor que tienen las autoridades a la reacción de la gente.

Una de las posibles soluciones que se han propuesto es que las mujeres sólo puedan ser monitorizadas por otras mujeres, pero admiten que esta idea también acabaría siendo problemática.

Aún así, explican que en muchos aeropuertos, algunos pasajeros, elegidos aleatoriamente, están obligados a someterse a una inspección completa con rayos X.

Vía 20minutos.es

“Más vale esperar”, “un murmullo más que un gran bang”, “no es necesario por ahora”, “‘yawn’ (bostezo) más que ‘wow’ (maravilla)”: los internautas se han mostrado poco entusiasmados en relación a Vista, el nuevo sistema operativo de Microsoft, sobre todo debido a los problemas en su instalación.

Microsoft lanzó este martes su nuevo sistema operativo para remplazar las versiones anteriores de Windows, que ya equipan el 95% de los 900 millones de ordenadores personales del mundo. El ingreso al mercado de Vista fue acompañado de una enorma campaña de promoción bautizada: “El ‘wow’ comienza ahora”.

Algunos expertos describen en la red las dificultades para cambiar de sistema, el coste de Vista, y aconsejan a menudo mantener por ahora el sistema operativo XP. “Esperar y ver”, recomienda la sociedad especializada Information Systems and Computing.

“Sus programas no funcionarán. Consideren que si algo funciona con XP, hay una gran probabilidad que no funcione de la misma manera con Vista, debido a nuevas protecciones de seguridad”, explica. “El nuevo Vista de Microsoft crea un bostezo colectivo”, titula por su parte Chris Cobbs en el diario Orlando Sentinel, considerando que las novedades no valen el esfuerzo para instalarlas.

“A Microsoft le gustaría que todo el mundo adopte Vista de inmediato, pero eso sería una pesadilla ya que la mayoría de las PC ni siquiera pueden hacer funcionar Vista, sobre todo sus funciones más sofisticadas”, precisó Christopher Null, asesor técnico de Yahoo!, citado por Orlando Sentinel.

La mayoría reconoce no obstante que el nuevo aspecto gráfico en 3D es agradable y se congratula por la presencia de nuevas funciones. “Todos estaremos satisfechos por el aspecto mejorado y la seguridad de Vista”, resumió Calcin Ross, del Napa Valley Register.

En el blog de la revista especializada Wired, internautas se quejan también de no haber podido instalar con Vista sus programas habituales o nuevos supuestamente compatibles. Según la prensa estadounidense, solo unos pocos fanáticos esperaban a medianoche frente a la tienda CompUSA de Nueva York, abierta especialmente para el lanzamiento de Vista, básicamente para aprovechar rebajas en impresoras más que para comprar Vista.

Vía La Flecha

Dos programadores informáticos surcoreanos han sido arrestados por haber enviado supuestamente 1.600 millones de correos electrónicos basura o spam, violando así las leyes comerciales del país, según ha señalado la policía.

Los dos hombres, de 20 y 26 años, son sospechosos de haber mandado los correos no solicitados entre los meses de septiembre y diciembre del año pasado, en lo que la policía ha descrito como una de las mayores oleadas de spam de la historia del país.

Los detenidos obtuvieron información personal y financiera de 12.000 surcoreanos que respondieron a sus correos. Después vendieron esa información a empresas de servicios de préstamos a cambio de 106.400 dólares (unos 82.300 euros), según las autoridades.

La policía ha dicho que pronto presentará las pruebas sobre la pareja a los fiscales, que revelaran a qué penas criminales se enfrentan.

“Este tipo de correos spam esta causando enormes problemas en Corea del Sur y pensamos que estos dos son los responsables de muchos de los mayores abusos”, ha dicho un oficial de la policía.

Vía La Flecha

La población en México no identifica a la piratería de software como un acto ilegal, porque no ve que existan consecuencias al utilizar programas ilegales. Además, piensan que su uso no afecta ni hace daño a nadie.

Así lo explicó Kiyoshi Tsuru, director de la Business Software Alliance (BSA) México. Agregó que los mensajes sobre las consecuencias de las copias ilegales, como pérdidas de trabajos o delincuencia, no modifican de manera importante su opinión.

Éstos fueron los resultados de una encuesta realizada a 399 personas acerca de la percepción de los mexicanos frente a la piratería, realizado por la empresa IDM. Por eso, las recomendaciones para la asociación antipiratería es emprender campañas dirigidas a la población joven del país, a fin de lograr un cambio a largo plazo.

Asimismo, los mensajes de las campañas deben partir desde los usuarios, y no de la imposición de mensajes por parte de la BSA. De este modo, la compañía desarrolló un concurso de animación digital para niños y jóvenes.

Se ha reportado una vulnerabilidad del tipo denegación de servicio (DoS), en múltiples controles ActiveX incluidos en Microsoft Internet Explorer (IE).

La vulnerabilidad puede ser explotada por páginas maliciosas, para provocar que el IE finalice abruptamente su ejecución, con un error de excepción.

Según confirma el propio Microsoft, esta vulnerabilidad no puede ser utilizada para la ejecución de código.

Los controles ActiveX vulnerables, están disponibles por defecto en todas las versiones del Internet Explorer, en Windows 2000, XP y Vista (versiones para sistemas operativos anteriores también son vulnerables, pero no tienen soporte, y por lo tanto no se publicarán actualizaciones).

La vulnerabilidad fue detectada con un “fuzzer” al “instanciar” todos los controles ActiveX en el sistema y enumerar sus propiedades.

Instanciar (en inglés “instantiate, to”), se utiliza en programación para referirse a la creación de un objeto a partir de una clase específica en la programación orientada a objetos.

Un fuzzer es una herramienta automatizada empleada por muchos cazadores de defectos para descubrir vulnerabilidades, “inyectando” los fallos.

Esta técnica permitió descubrir que múltiples controles causan errores de excepción. Cuando un programa lee o escribe en una área de la memoria que no le ha sido asignada, se produce un error (generalmente se sobrescribe el código de otro programa ubicado en esa zona). Entonces el procesador devuelve una “excepción” fuera del flujo normal de control, que el sistema interpreta con un mensaje de error y la finalización del proceso afectado.

Estos errores se produjeron cuando ciertas propiedades de los objetos eran accedidas a través de un JavaScript (bgColor, fgColor, linkColor, alinkColor, vlinkColor y defaultCharset).

La mayoría de los controles vulnerables, se encuentran en la biblioteca MSHTML.DLL, presente en todas las versiones del Internet Explorer, por ejemplo:

giffile
htmlfile
jpegfile
mhtmlfile
ODCfile
pjpegfile
pngfile
wdpfile
xbmfile
xmlfile
xslfile

Internet Explorer 7 también es vulnerable, a pesar de que Microsoft ha realizado cambios que disminuyen el escenario disponible para ataques relacionados con controles ActiveX. Esto ocurre tanto en Windows XP como en Vista, y se debe a que IE7 acepta una lista de controles preaprobados, sin solicitar ninguna clase de interacción con el usuario. Esos controles son justamente los anteriormente mencionados.

Los siguientes dos controles, presentes en la biblioteca TRIEDIT.DLL, pueden ser explotados sin ninguna interacción con el usuario, pero solamente en Internet Explorer 5 y 6:

TriEditDocument.TriEditDocument
TriEditDocument.TriEditDocument.1

Se ha publicado una prueba de concepto.

Para que un ataque tenga éxito, el usuario debe ser convencido de visitar un sitio malicioso. Se recomienda no seguir enlaces no solicitados.

Vía La Flecha

El laboratorio de Hispasec ha detectado una muestra de un phishing tradicional cuando menos curioso. Se le califica de tradicional en el sentido en que llega a través de un correo que nos invita a pulsar sobre un enlace (no usa sofisticadas técnicas víricas), pero lo que nos llama la atención es que no ataca directamente a un banco (como viene siendo más que habitual). Lo que pretende es que la víctima introduzca los datos de su tarjeta de crédito para que Hacienda le devuelva cierta cantidad.

El phishing llega a los buzones a través de la dirección Devolucion.Fiscal@aeats.eu. El dominio aeats.eu no es en realidad bajo el que se aloja la Agencia Tributaria, sino que utiliza aeat.es. En cualquier caso, es llamativo que se use un dominio de primer nivel oficial como “.eu”, referente a la Unión Europea.

Es este caso, el atacante aprovecha la imagen, o suplanta el sitio web de la Agencia Tributaria para capturar los datos de las tarjetas de crédito. No se trata por tanto de un ataque específico contra la Agencia.

ADVERTENCIA: Aunque desde el laboratorio de Hispasec no hemos detectado que la página pueda intentar infectar al sistema de forma automática con algún tipo de malware, esta situación puede ser modificada en cualquier momento. El autor del phishing puede incluir la inyección de código en la página e infectar el sistema a través de vulnerabilidades u otras técnicas desconocidas. Por tanto, visite la página de phishing bajo su responsabilidad, pues no podemos garantizar que no pueda llegar a ser dañino para el sistema.

En el cuerpo del mensaje del phishing, se puede leer:
*********
RESOLUCIÓN de 29 de enero de 2006, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se aprueban las directrices generales del Plan General de Control Tributario 2006.(B.O.E. 03-02-2006)
Por favor Nota: Después de los cálculos anuales pasados de su actividad fiscal nos hemos determinado que usted es elegible recibir una devolución fiscal desde 90�
Someta por favor la petición de la devolución fiscal y en un plazo de 6-9 días se la vamos a procesar.
Un reembolso se puede retrasar para una variedad de razones. Por ejemplo sometiendo expedientes invalidos o aplicándose después del plazo.
Para tener acceso a la forma para su devolución fiscal, Pulse aquí El Plan General de Control es el instrumento básico de planificación de la Agencia Tributaria en el que se realiza la previsión cuantitativa y cualitativa de las actuaciones que en el ámbito de control tributario y aduanero se van a realizar durante el año. Con este Plan se da cumplimiento a la obligación que establece la Ley General Tributaria en su artículo 116 de elaborar anualmente un plan de control tributario.
Madrid, 29 de enero de 2006.-El Director General, Luis Pedroche y Rojo.

**********

Donde se percibe que el autor no domina correctamente el español, aunque los datos (el nombre del director) sean ciertos.

Si se pulsa en el enlace, sin ningún tipo de ocultación de la URL, nos lleva a una página que toma de forma dinámica las imágenes e incluso las noticias de la página real y oficial de la Agencia Tributaria, pero que incluye un apartado ficticio de “Devolución Fiscal” donde se piden los datos personales de la tarjeta de crédito. Aquí también se advierte que el autor no está familiarizado los términos españoles, al referirse al “ATM Card PIN” o al “CVV Code”.

Por otro lado, la página está bastante conseguida, aunque si bien la potencial víctima decide usar el menú superior derecho para cambiar el idioma, el enlace le llevará a la página real y desaparecerá el formulario con el que se pretende estafar al visitante.

El dominio fue registrado el día 27 de enero de 2007, usando la dirección física de la British Telecommunications PLC en Londres, un servidor alojado en fasthosts.co.uk y el correo proporcionado para el registro es cristinehend@yahoo.com.

Si bien conocíamos casos de phishings que se valían de entidades distintas a los bancos (eBay, PayPal…) no es habitual que los atacantes se fijen en la Agencia Tributaria, y utilicen el cebo de la devolución como gancho para conseguir credenciales. Ingenioso.

Vía La Flecha

El país asiático lleva a cabo en Shanghai los primeros ensayos del mundo con tecnología móvil de cuarta generación (4G) completamente desarrollada por investigadores del país, según la prensa local.

La nueva tecnología 4G transmite datos hasta 50 veces más rápido que la 3G, la más reciente en los mercados mundiales, que paradójicamente aún no funciona en China por repetidos retrasos del gobierno en la concesión de licencias, aunque también en 3G cuenta con tecnología propia.

En una maniobra por posicionarse antes que nadie en el mercado, los ingenieros chinos decidieron saltar a la cuarta generación de telefonía móvil, cuyos ensayos “demuestran que la tecnología que hemos desarrollado es factible y nos coloca un paso más cerca de su utilización comercial”, afirmó el jefe del programa, You Xiaohu.

Su puesta en práctica coloca a China en una posición de ventaja mundial en el sector de la telefonía 4G, aunque otros países se le hayan adelantado en la puesta en marcha de una red de 3G, afirmó Zhu Pengjun, directivo del Centro de Investicación de Comunicación Sin Hilos al diario Shanghai Daily.

Sin embargo, según los expertos, no se esperan proyectos para desarrollar comercialmente la 4G en China durante al menos los próximos cinco años, ya que sus funciones se solapan con las redes de 3G en las que el gigante asiático ya ha realizado importantes inversiones y que empezarán a funcionar en 2007.

“Aunque la 3G supone un gran salto desde los actuales servicios 2G, seguirá sufriendo problemas si muchos usuarios descargan contenidos de alta capacidad, como películas”, afirmó Yi Mingyu, analista ligado al Ministerio de Industria de la Información.

Según Yi, la 4G permitiría evitar esas dificultades, pero seguramente no se comercializará hasta 2010 para poder rentabilizar las inversiones en la 3G.

La tecnología 4G permite acceder a internet desde el teléfono móvil, incluso viajando en un vehículo a gran velocidad, con un rendimiento de 100 megabits por segundo, comparado con los 2,84 megabits por segundo que ofrecen las redes de 3G, que hoy suponen un salto en las posibilidades de intercambio de datos, vídeos y sonido.

“Vamos a seguir aumentando la inversión en investigación y el establecimiento de la plataforma” de 4G en el país, confirmó, por su parte, Zhu. “Esto ayudará a China a ser punta de lanza de la tecnología en la nueva generación de comunicación sin hilos”.

Vía La Flecha