domingo, 3 de noviembre de 2013

ALERTA: router NETGEAR WNDR3700v4 vulnerable

 Graves fallos de seguridad en el router NETGEAR WNDR3700v4, Vulnerable



El investigador Zack Cutlip, ha encontrado varias vulnerabilidades de seguridad muy graves que afectan al router inalámbrico NETGEAR WNDR3700v4. Los fallos de seguridad permitirían a un usuario malintencionado el acceso a la interfaz de administración del router sin necesidad de autenticarse con una contraseña, también permitiría la inyección de comandos al firmware del propio router.
El investigador ha confirmado que las versiones afectadas por este fallo de seguridad es la 1.0.1.42 y la 1.0.1.32 del firmware de NETGEAR.

El investigador ha publicado en su web dos artículos donde explica detalladamente estas vulnerabilidades (Enlace 1 y enlace 2).
Sobre la vulnerabilidad de acceso a la interfaz de administración del router sin necesidad de contraseña el problema es debido porque cuando se pide un recurso al router se comprueba que su nombre coincida con el patrón de uno de los manejadores MIME. Uno de los patrones es “BRS_” tal y como indica el investigador en su página web, si utilizamos cualquier recurso que contenga esta cadena, no necesitaremos autenticarnos. Las páginas que cumplen esta condición en la interfaz son bastantes, incluyendo la que muestra la contraseña de la red inalámbrica: BRS_success.html

Por último, este investigador también ha descubierto un salto de restricciones persistente. La página pública de la interfaz del router BRS_02_genieHelp.html nos mostrará que el valor de hijack_process es diferente de tres, por lo que con tan sólo una petición a esta página permitiríamos desactivar la autenticación en todo el router. El valor de esta variable controla si se debe aplicar la autorización en todas las páginas de interfaz, cuando se configura la autenticación este valor toma el número tres. Esta variable se guarda en la NVRAM del router, por lo que si lo reiniciamos, la configuración persiste.
Además de este fallo de seguridad, se ha encontrado otra vulnerabilidad que permite la inyección de comandos al firmware del router a través de la página de PING a direcciones IPv6. Si en lugar de pasar una dirección IP, pasamos una cadena con forma de comando, la ejecución fallará pero habremos inyectado el código. El investigador ha publicado una prueba de concepto donde consigue acceso de administrador sin autenticación.
Según The Register, NETGEAR ha prometido actualizar el firmware corrigiendo estos graves fallos.

Fuente: Hispasec

ALERTA: router NETGEAR WNDR3700v4 vulnerable

 Graves fallos de seguridad en el router NETGEAR WNDR3700v4, Vulnerable



El investigador Zack Cutlip, ha encontrado varias vulnerabilidades de seguridad muy graves que afectan al router inalámbrico NETGEAR WNDR3700v4. Los fallos de seguridad permitirían a un usuario malintencionado el acceso a la interfaz de administración del router sin necesidad de autenticarse con una contraseña, también permitiría la inyección de comandos al firmware del propio router.
El investigador ha confirmado que las versiones afectadas por este fallo de seguridad es la 1.0.1.42 y la 1.0.1.32 del firmware de NETGEAR.

El investigador ha publicado en su web dos artículos donde explica detalladamente estas vulnerabilidades (Enlace 1 y enlace 2).
Sobre la vulnerabilidad de acceso a la interfaz de administración del router sin necesidad de contraseña el problema es debido porque cuando se pide un recurso al router se comprueba que su nombre coincida con el patrón de uno de los manejadores MIME. Uno de los patrones es “BRS_” tal y como indica el investigador en su página web, si utilizamos cualquier recurso que contenga esta cadena, no necesitaremos autenticarnos. Las páginas que cumplen esta condición en la interfaz son bastantes, incluyendo la que muestra la contraseña de la red inalámbrica: BRS_success.html

Por último, este investigador también ha descubierto un salto de restricciones persistente. La página pública de la interfaz del router BRS_02_genieHelp.html nos mostrará que el valor de hijack_process es diferente de tres, por lo que con tan sólo una petición a esta página permitiríamos desactivar la autenticación en todo el router. El valor de esta variable controla si se debe aplicar la autorización en todas las páginas de interfaz, cuando se configura la autenticación este valor toma el número tres. Esta variable se guarda en la NVRAM del router, por lo que si lo reiniciamos, la configuración persiste.
Además de este fallo de seguridad, se ha encontrado otra vulnerabilidad que permite la inyección de comandos al firmware del router a través de la página de PING a direcciones IPv6. Si en lugar de pasar una dirección IP, pasamos una cadena con forma de comando, la ejecución fallará pero habremos inyectado el código. El investigador ha publicado una prueba de concepto donde consigue acceso de administrador sin autenticación.
Según The Register, NETGEAR ha prometido actualizar el firmware corrigiendo estos graves fallos.

Fuente: Hispasec

sábado, 2 de noviembre de 2013

El retorno de Lavavit y su unión con Silent Circle

Lavabit y Silent Circle se unen para crear un correo eleсtrónico antivigilancia


pues si, parece que lavabit vuelve y esta vez en union a Silent circle, a ver que sorpresa nos deparan 





Recordais El servicio de correo electrónico Lavabit?? y ¿A la empresa de comunicaciones encriptadas Silent Circle? parece ser que han decidido aunar  fuerzas para introducir un nuevo sistema capaz de generar una encriptación segura para cualquier correo electrónico.
Según el portal de la revista 'Forbes', Lavabit y Silent Circle an decidido cooperar para crear Dark Mail Alliance, un grupo de proveedores de correo electrónico que permitirá a los usuarios controlar la privacidad de su correo de manera que sus datos no caigan en manos de terceros o sean escaneados para ofrecer publicidad o fácilmente 'hackeados' por un potencial interceptor. 

Ladar Levison, fundador de Lavabit, se hizo famoso ya que fue el creador de el correo usado por Edward Snowden, anunció  la formación del grupo el miércoles en una conferencia de informática en un campus de Microsoft en Mountain View, California. 

Tanto Lavabit, con sede en Texas, como Silent Circle, con sede en Washington, tuvieron que cerrar sus servicios, ya que no quisieron seguir funcionando sabiendo que eran vulnerables a la vigilancia a través de las presiones ejercidas por las agencias de seguridad.  



El director de Silent Circle, Mike Janke, opina que "la actual estructura de correo electrónico está básicamente rota" y que la iniciativa conjunta de los dos servicios "es una oportunidad para crear un nuevo servicio de correo electrónico donde las claves se crean en el dispositivo y solo el usuario puede descifrarlas". 

Lavabit y Silent Circle han declarado que "el correo electrónico debe ser ilegible y descifrable solo por el remitente y el destinatario", publica 'Forbes'. La herramienta asignará una clave privada a cada usuario y la introducirá a través de sus dispositivos, y almacenará claves y direcciones públicas en un servidor público. 

"Queremos que el sistema sea lo suficientemente fácil para que lo pueda usar hasta su abuela", afirmó Ladar Levison.  


Dark Mail Alliance planea presentar su proyecto, que actualmente está en proceso de desarrollo, en 2014. Janke señaló que tratarán de atraer a tantos servicios como sea posible, incluyendo a las grandes empresas como Google, Yahoo y Microsoft. En un futuro, el grupo también espera contar con proveedores más pequeños que busquen ofrecer a sus clientes servicios de correo electrónico más privados y seguros.

fuente : Forbes http://www.forbes.com/sites/kashmirhill/2013/10/30/lavabit-and-silent-circle-join-forces-to-make-all-email-surveillance-proof/

El retorno de Lavavit y su unión con Silent Circle

Lavabit y Silent Circle se unen para crear un correo eleсtrónico antivigilancia


pues si, parece que lavabit vuelve y esta vez en union a Silent circle, a ver que sorpresa nos deparan 



viernes, 1 de noviembre de 2013

Soporte Técnico: Cómo ver tus contraseñas guardadas en el llavero de iCloud con iOS 7

Cómo ver tus contraseñas guardadas en el llavero de iCloud con iOS 7


una de las cosas que mas me gustan de el ios 7 y el maverick es la vuelta del llavero y vamos a explicar un poco como funciona.



La actualización de iOS 7 nos ha  traído el llavero en iCloud. El cual, nos permite poder tener centralizadas las contraseñas, generar contraseñas seguras e incluso el autorrelleno de campos de pago al almacenar tus datos de las tarjetas de crédito.

pese a la desconfianza de algunas personas sobre que estos datos sean almacenados en iCloud, pero hay que recordar que están en la red y que, al menos Apple usa un encriptación 256-bit AES, que es de grado militar.

como se configura, Si no lo tienes configurado
Después de actualizar a iOS 7.0.3 o posterior, el asistente de configuración de IOS preguntará si quieres activar el llavero de iCloud. 
Si te has saltado este paso y deseas configurarlo ahora solo tienes que seguir estos pasos:

Para iOS 7.0.3 o posterior:
           -  Vaya a Ajustes> iCloud y gire el llavero.
           -  Siga las instrucciones en pantalla para completar la configuración.

Para OS X v10.9 o posterior Mavericks:
            - Selecciona Apple ()> Preferencias del Sistema > iCloud.
            - Selecciona llavero (keychain).
        - Opcionalmente puedes establecer una contraseña para desbloquear la pantalla      después de entrar en reposo o tras iniciarse el protector de pantalla.
            - Introduce tu ID de Apple y contraseña.
            - Sigue las instrucciones de la pantalla para completar la configuración.
como podemos ver una contraseña del llavero desde iOS 7
Puedes haberte acostumbrado, como el resto de nosotros, a que las contraseñas sean almacenadas y recordadas por el programa y verte en un apuro al querer consultar una página protegida con contraseña (un perfil, página del banco, acceso a una intranet, etc) desde otro dispositivo y no recordar la contraseña, si es que en algún momento te la aprendistes.
Sigue estos sencillos pasos y podrás consultar esa contraseña:
            - Abre Ajustes > Safari > General > Contraseñas y autorelleno > Contraseñas guardadas
                  - Introduce tu contraseña (por defecto es la de desbloqueo del terminal)
                  - Aparece una lista de los login, clica en el que te interese

                  - Ahora puedes ver las credenciales para ese login en concreto.

Soporte Técnico: Cómo ver tus contraseñas guardadas en el llavero de iCloud con iOS 7

Cómo ver tus contraseñas guardadas en el llavero de iCloud con iOS 7


una de las cosas que mas me gustan de el ios 7 y el maverick es la vuelta del llavero y vamos a explicar un poco como funciona.

jueves, 31 de octubre de 2013

Optimización osx mavericks,análisis de varios programas



Que los equipos de Apple estan menos predispuestos a errores que los PCs con Windows, es algo mas que sabido, pero sin embargo, allí están. Y para el usuario normal, pueden ser un poco más complicados de solucionar. Y aunque Mac OS X no sea demasiado propenso a tener problemas, sigue siendo un sistema operativo que podemos acomodar a nuestro uso,o mejor dicho, a la forma en la que lo usamos. lo que hay que reconocer es que no esta de más tener una utilidad que nos permita "ayudar" a mantener al ordenador en buen estado. uno de los programas mas usados es MacKeeper,  pero, ni es la única, ni la mejor, así que vamos a ver  una serie de alternativas.





Así que lo 1º que tenemos que preguntarnos es :
¿Cuáles son las cosas que tenemos que tener en cuenta a la hora de elegir un software de mantenimiento de Mac?
las opciones recomendadas son:

Que nos permita recuperar archivos eliminados accidentalmente.

Que elimine datos totalmente, sin dejar rastro en nuestro sistema.

Que nos ayude a hacer un backup de nuestra información.

Que nos permita eliminar archivos innecesarios o duplicados.



CleanMyMac



CleanMyMac es uno de los competidores más grandes de MacKeeper. Sus prioridades son simples: software para hacer que nuestro Mac corra más rápido, y sin problemas.
Algunas de estas funcionalidades son destacables:

CleanMyMac permite hacer un scan del equipo para luego determinar cuáles son los archivos que pueden removerse y cuáles deben permanecer en el ordenador. Muchos de estos archivos innecesarios terminan generando una cierta lentitud en el equipo, por lo que es mejor deshacerse de ellos. Sin embargo, hay que tener cuidado con lo que se elimina. Este programa nos permite eliminar cosas como perfiles de lenguajes innecesarios en las apps.

También nos permite eliminar los logs del sistema sin que sea peligroso para el funcionamiento del Mac. Errores, estados de aplicaciones, advertencias y cualquier otro mensaje son almacenados por el sistema, creando con el correr del tiempo una colección de logs importantes que nunca vamos a leer. Este programa permite discernir entre los logs importantes y recientes y los que ya no tienen relevancia, para eliminar los que ocupan espacio necesario.

Con la llegada de dispositivos como el iPad, tenemos que también pensar en la caché que se va acumulando. La librería de iTunes puede ocupar un espacio importante y crear una cantidad de archivos duplicados sin que nosotros nos demos cuenta. Si tenemos bien organizadas nuestras carpetas de videos, imágenes y música, no necesitaremos mucho de esta funcionalidad. Pero si recién llegamos de Windows, es posible que comencemos a crear archivos duplicados por todas partes. En este caso, CleanMyMac puede ser muy útil.



Mac Cleanse



Como indica su nombre, esta aplicación está dedicada a la limpieza del Mac. Nos permite borrar archivos innecesarios, logs, cookies, y todas las cosas que queremos fuera de nuestro ordenador.

La aplicación está diseñada para que "borremos" nuestras huellas del Mac, que no quede rastro de nuestras actividades. Si somos algo paranoicos o tenemos que compartir el equipo por cuestiones laborales, nunca está de más hacerle una limpieza asidua. Mac Cleanse nos puede ayudar con esto. En cuanto a los navegadores, en general nos permite centralizar la búsqueda y borrado de cookies, descargas, valores de formularios, historial, búsquedas recientes, íconos de sitios y la caché de las páginas que visitamos.

También nos ayuda a borrar una cantidad de logs innecesarios que quedan almacenados en el ordenador, de la misma forma que CleanMyMac. Finalmente, nos ayuda a borrar infinidad de cosas que no necesitamos: bases de datos de iTunes, iPhoto, cachés de Office, marcadores, papelera, archivos temporarios de QuickTime, nuestro clipboard, y la caché de usuario del Mac.

AppZapper



Esta aplicación de limpieza es ideal para los que prueban demasiadas aplicaciones y se olvidan de desinstalarlas. Muchas de ellas no son fáciles de desinstalar, por eso nunca está de más tener software especializado para borrarlas. Con arrastrar las aplicaciones que queremos borrar al ícono de AppZapper, el programa se encargará de rastrear todos los archivos relacionados y eliminarlos permanentemente del Mac.

Los de la compañía desarrolladora afirman que AppZapper es el "desinstalador que Apple se olvidó de incluir". Eliminar una aplicación no es simplemente arrastrarla al ícono de la papelera: tenemos que pensar en todos los archivos que estamos dejando atrás. AppZapper nos facilita de forma tremenda el trabajo y es muy eficiente, dado que realmente elimina todo lo relacionado. Por eso, y como con todas las aplicaciones que se encargan de borrar, tenemos que tener cuidado y observar detenidamente qué es lo que se va a borrar antes de aceptarlo.



OnyX


OnyX es una herramienta de limpieza y optimización para Mac, que nos permite realizar múltiples tareas como verificar los discos, chequear la estructura del sistema, programar tareas de mantenimiento y configurar parámetros ocultos de funciones como el Spotlight, el Dock y el Finder.

Como las otras aplicaciones de las que les hablamos, OnyX también nos permite borrar la caché, y borrar archivos que pueden terminar siendo simplemente "ocupadores de espacio" en nuestro ordenador. Uno de los puntos destacables es que OnyX es freeware, y podemos crear cuantas copias queramos para distribuir entre otros usuarios. Del mismo desarrollador, Titanium Software, podemos descargar además la aplicación Maintenance y Deeper, que complementa el uso de OnyX.



Cocktail



Una de las utilidades más populares de mantenimiento para Mac, Cocktail nos permite optimizar, limpiar y reparar aspectos del software de nuestra Mac. Cuenta con una gran cantidad de funcionalidades. En cuanto a mantenimiento de discos, puede deshabilitar el uso de logs, administrar controles y permisos, chequear el estado de los discos, y más. En cuanto al sistema, puede correr scripts automatizados de mantenimiento periódico, optimizar el uso de la memoria virtual, administrar el indexado de Spotlight, modificar la configuración del Time Machine, y programar el borrado de la Papelera.

La administración de archivos es uno de sus puntos fuertes, y estas son sus funcionalidades más destacadas:

Eliminar cachés de sistema, de usuarios, y de fuentes, entre otros.
Eliminar archivos temporarios, cookies, listas de descargas, valores de formularios e historial de navegadores.
Limpiar cookies y cachés de Adobe.
Rastrear y reparar archivos de preferencias corruptos.
Eliminar archivos innecesarios, como files de lenguajes en algunas aplicaciones.
Borrar archivos de logs innecesarios.
Limpiar el caché DNS.
Eliminar archivos sospechosos o protegidos con contraseña que son inaccesibles.
Finalmente, una de las funcionalidades más atractivas de Cocktail es la posibilidad de programar todas estas tareas para despreocuparnos por completo. Una vez que le ordenamos al sistema lo que tiene que hacer, hará limpieza de caché y archivos de logs, y reparación de otros archivos corriendo algunos scripts periódicos de mantenimiento. El precio no es irrisorio y tiene sentido, y si estamos en una Mac con OS X 10.5, es freeware.

Magican



a nuestro parecer la mejor de las opciones, ya que combina la mayoria de las opciones anteriores y ademas es gratis,


La última versión de Magican ha mejorado características!  ayuda a los usuarios a acelerar Mac en todas las direcciones! Utilice Magican 1.4.8 para limpiar duplicados, premios y sobras. Ayude a los sistemas de monitoreo, uso de CPU y la velocidad del ventilador en tiempo real. Garantizar la seguridad de su Mac con Anti-Trojan y con otras características Magican que tanto detectar y eliminar virus y escanear todas las descargas. El centro de software Magican incluye recordatorios de actualización y una opción de desinstalación de aplicaciones. También recomienda software gratis o con descuento en la App Store!