ICWATCH: Espiando a los espías

Un adolescente de 21 años  acaba de exponer 27 mil perfiles de LinkedIn de personas que trabajan en el sector de inteligencia. Lo hizo hace pocos días en re:publica, una de las conferencias más importantes a nivel global sobre cultura digital –este año tuvo 800 expositores de 45 países distintos para sus cerca de seis mil visitantes, utilizó el buscador de Google para ubicar términos clave que, hasta hace poco, eran palabras sin significado para la mayoría de nosotros.

xkeyscore site:linkedin.com/pub

xkeyscore site:linkedin.com/pub

XKEYSCORE es uno de los programas de espionaje utilizado por la NSA y revelado al público por Edward Snowden. Utilizando ese término y limitándolo a los perfiles de LinkedIn, uno puede encontrar cientos, sino miles de perfiles de personas que presumen esa como una de sus destrezas. Si uno repite este tipo de operaciones con el catálogo de vigilancia que tienen las grandes agencias de espionaje, puede fácilmente construir una base de datos de miles de espías internacionales. Por supuesto, hay que tener cuidado porque ciertos términos, como “MUSCULAR”, son muy comunes y hay que realizar búsquedas cruzadas para no tener falsos positivos.

ICWATCH

La información no sólo ha sido recolectada y almacenada, sino que además la han organizado dentro de un motor de búsqueda para que cualquiera pueda jugar con los datos. “Yo no creo que todos sean personas malas” dijo M. C., y nos relató como una persona, tras trabajar veinte años en la comunidad de inteligencia, describe cómo en uno de sus últimos puestos antes de convertirse en vendedor de autos “hizo lobby para cambiar la forma cómo se concibe la inteligencia”. Tal vez él, como muchas otras personas que trabajaron en este campo, fue una de las víctimas de lo que se denomina el efecto Snowden.

ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos

ICWATCH, Personas trabajando para/con la NSA según sus perfiles públicos

A partir de las revelaciones del ex-agente de la NSA, cada vez menos personas asociaban su perfil con trabajar en la agencia nacional de seguridad de Estados Unidos, puede que simplemente quisieran ocultar el rastro, pero muchos ciertamente renunciaron a su trabajo.

Esta fue la primera vez que la herramienta ICWATCH fue mostrada al público, la misma se encuentra en Github junto con los datos, lo cual será de especial interés para aquellos que trabajan en periodismo, minería de datos, transparencia y contrainteligencia.

Fuente: TuCancUnix

JetPack y TwentyFifteen Vulnerable a DOM-based XSS

JetPack y TwentyFifteen vulnerables.

Cualquier Plugin de WordPress o tema que aprovecha el paquete genericons es vulnerable a una DOM-based Cross-Site Scripting (XSS) debido a un archivo inseguro incluido con genericons. Hasta el momento, el plugin JetPack (informó de que tiene más de 1 millón de instalaciones activas) y el tema TwentyFifteen (instalado por defecto) se encuentran ser vulnerable. El número exacto es difícil de entender, pero el plugin y el tema son instalaciones por defecto en millones de WordPress instala. El tema principal aquí es el paquete genericons, por lo que cualquier plugin que hace uso de este paquete es potencialmente vulnerable si se incluye el archivo example.html que viene con el paquete.

 

DOM-based XSS

La vulnerabilidad XSS es muy fácil de explotar y sucede a nivel Document Object Model (DOM). Si usted no está familiarizado con los ataques del DOM, el grupo de OWASP lo explica aqui bien:

DOM- based XSS es un ataque XSS en el que la carga útil de ataque se ejecuta como resultado de la modificación del Document Object Model (DOM) “medio ambiente” en el navegador de la víctima utilizado el script del lado del cliente original, por lo que el código del lado del cliente se ejecuta en un manera “inesperada”. Es decir, la propia página (la respuesta HTTP que es) no cambia, pero el código de cliente que figura en la página ejecuta de manera diferente debido a las modificaciones maliciosas que se han producido en el entorno de DOM.

Eso significa que la carga útil XSS nunca se envía hacia el lado del servidor y se ejecuta directamente en el navegador. Así que incluso alguien que use nuestra Sitio Web Firewall, puede ser vulnerable ya que nunca tiene la oportunidad de verlo. En este caso, hemos sido capaces de arreglar prácticamente el exploit, pero DOM-based XSS es muy difícil de bloquear.

DOM-based XSS también son un poco más difíciles de explotar, ya que requiere un cierto nivel de ingeniería social para conseguir que alguien haga clic en el enlace de explotar. Sin embargo, una vez que logren hacer esto, proporciona el mismo nivel del acceso que otros tipos de ataques de XSS (reflejado o almacenado).

0-days in the wild

Lo interesante de este ataque es que lo detectamos en los días antes de la divulgación. Conseguimos un informe sobre ello y algunos de nuestros clientes también conseguían informes que dicen que eran vulnerables y señalaban a:

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1< img/ src=1 onerror= alert(1)>

En esta prueba de concepto, el XSS impreso una alerta de javascript, pero podría ser utilizado para ejecutar javascript en tu navegador y hacerse cargo de la web si ha iniciado sesión como administrador.

Elimine el archivo genericons/example.html

Afortunadamente, la solución para esto es bastante sencillo. Elimine el archivo genericons/example.html o asegúrese de que tiene un WAF o IDS que está bloqueando el acceso a la misma. Debido a la baja gravedad, pero el impacto masivo, tendimos la mano a nuestra red de recibir relaciones en un intento de remendar prácticamente esto para millones de usuarios de WordPress tan pronto como sea posible.

Los anfitriones siguientes deberían haber remendado prácticamente o haber endurecido sus ambientes de esta cuestión desde hace una semana:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

No podemos olvidar uno de los principios básicos de la seguridad, en el que debemos mantener un ambiente prístino de la producción. Esto significa que quitar debug o archivos de prueba antes de que se mude a la producción. En este caso, Automattic y el equipo de WordPress dejaron un archivo simple ejemplo.html que había encajada la vulnerabilidad. Lo qué es más preocupante aquí es el alcanzar el plugin y el tema se han combinado; que se instalan en muchos casos, por defecto en todas las instalaciones de WordPress. Simple descuido, que podría tener devastadores impactos en incautos propietarios de páginas web y las empresas.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de nuestro Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de Sucuri Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Texto obtenido de Tucancunix.net

SAT, robo de contraseñas y cobran devolución

El Servicio de Administración Tributaria (SAT) y la Procuraduría de la Defensa del Contribuyente (Prodecon) detectaron casos de robo de la identidad del contribuyente para hacer la declaración anual y  después cobrar el monto de la devolución de impuestos.

Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez

Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez

“Se suplanta la identidad de los contribuyentes con el objeto de presentar su declaración, reportar saldos a favor de Impuesto Sobre la Renta (ISR) con información ficticia y solicitar el depósito en la cuenta bancaria de un tercero”, explicaron las dependencias en un comunicado.

Detallaron que esta problemática está lesionando gravemente los derechos de los pagadores de impuestos, en particular a las personas físicas que obtienen ingresos por sueldos.

Cuando la persona física intenta presentar su declaración anual, se da cuenta que alguien ya lo hizo utilizando su contraseña. Con ello, el delincuente obtiene saldo a favor utilizando información ficticia.

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles”, detalla el comunicado.

Cuando el contribuyente se da cuenta, el depósito ya está efectuado, colocándolo en un estado de inseguridad jurídica, pues ya no puede obtener su devolución y tiene que iniciar denuncia penal contra quien resulte responsable.

La Prodecon informó que prestará el servicio necesario para asesorar a los que resulten afectados por esta práctica.

Ni el SAT ni la Prodecon precisaron el monto a que ascendería el fraude, pero recomendaron a los contribuyentes cambiar periódicamente su contraseña y denunciar los casos para llevar a cabo la investigación correspondiente.

El SAT comunicó

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles, ya que cuando se da cuenta el contribuyente afectado de la suplantación de su identidad, el depósito ya está efectuado a la cuenta de quien defrauda, colocándolo en un estado absoluto de inseguridad jurídica, pues ya no puede obtener su devolución y tendría que iniciar denuncia penal contra quien resulte responsable”, dijo el SAT.

Por su parte, la Prodecon consideró “trascendental dar a conocer y advertir sobre este tipo de prácticas indebidas e informa que prestará todo el apoyo necesario para asesorar y acompañar a los afectados que decidan presentar denuncia en el proceso penal respectivo. Resulta necesario emprender acciones que sancionen a los defraudadores de los contribuyentes cumplidos”.
Fuente: Tucancunix.net

Apple Watch dorado sin gastar $12,000 USD

Obviamente solo sirve para quienes en realidad ven el valor practico del dispositivo, quienes si, quieren que se vea dorado pero no tienen que demostrarle al mundo su existencia gastando $12,000 USD en un gadget que no vale no la décima parte de eso. En este video el Apple Watch quedará idéntico.

Ahora lo mejor de todo, cuidado con las imitaciones, no te vayan a vender un dorado barato y te vendan gato por liebre.

Facebook confirma las videollamadas en Messenger

El día de hoy Facebook confirmó las videollamadas en Messenger, que permitirán tener conversaciones con tus contactos de Facebook a través de Messenger.

Messenger ya ofrece a los usuarios la función de llamadas de voz a sus amigos y gente de tu interés alrededor del mundo, lo cual representa más del 10% de todas las llamadas de voz sobre el protocolo de internet móvil a nivel global.

Videollamadas en Facebook
Las videollamadas ampliarán las comunicaciones en tiempo real de Messenger, permitiendo a más de 600 millones de personas que usan Messenger llegar a sus contactos en cualquier parte del mundo de manera rápida, segura y con alta calidad.

Las videollamadas en Messenger están disponibles para llamadas hechas de un celular a otro celular y no habrá problemas de incompatibilidad entre iOS y Android.

Con este anuncio y la muy reciente liberación de la función de llamadas en Whatsapp, Facebook se perfila como uno de los monopolios más poderosos dentro de la mensajería instantánea.

Lo cual puede ser visto como un monopolio por algunos suspicaces.

Fuente: tucancunix.net

Cancún continúa festejos por su 45 aniversario

Con un ciclo de conferencias, mesas redondas con una veintena de cronistas y el espectáculo de música internacional “Viva la Gente, The Journey”, las actividades culturales continuaron esta tarde-noche por el 45 Aniversario del inicio de la construcción de Cancún.

Actividades en 45 aniversario de Cancún

Dichas jornadas de trabajo se desarrollaron en la Plaza de la Reforma, Universidad del Sury Teatro 8 de Octubre.

Frente al Palacio municipal, en la plancha de concreto de la Plaza de la Reforma, se presentó el espectáculo musical internacional “Viva la Gente, The Journey”, una puesta en escena integrada por jóvenes de diferentes países, entre ellos tres cancunenses.

Viva la Gente es una organización educativa global que tiene el propósito de unir, a través del servicio y la música, diferentes nacionalidades.

En esta ocasión, en el espectáculo participaron 95 jóvenes de diferentes países, quienes pusieron a bailar a los asistentes con interpretaciones de diferentes épocas.

Cabe mencionar que su presentación en Cancún coincidió con los 50 años de la creación del grupo, por lo que al realizar un recorrido por todo el país decidieron estar en las actividades oficiales.

El gobierno municipal entregó los reconocimientos al director general de “Viva la Gente”, Carlos Gutiérrez, y a la representante del Consejo Directivo, Guadalupe Esparza.

En el escenario del Teatro “8 de Octubre”, el panel de cronistas de “México 1517-2017 a 500 años del encuentro España-México ¿Algo que celebrar?” estuvo bajo la coordinación del cronista de Cancún, Fernando Martí Brito.

En ese espacio expusieron sus conocimientos y puntos de vista los 24 catedráticos, escritores, historiadores y columnistas que forman parte de la Asociación Nacional de Cronistas de Ciudades Mexicanas, encabezados por el presidente de la agrupación, Manuel González Ramírez.

También hablaron de las repercusiones del contacto histórico cultural entre españoles y mexicanos, que tuvo lugar hace 500 años en costas de Quintana Roo.

En el marco de este diálogo, los especialistas anunciaron que en 2017 se llevará a cabo el Congreso Nacional de Cronistas y buscarán que Cancún sea la ciudad sede.

De igual forma, entre otras actividades del día, se dictó una ponencia a universitarios a cargo del investigador y profesor de la Universidad del Caribe, Óscar Reyes Hernández.

Además de la presentación del Libro “Identidad de Cancún” y la conferencia “Historia no oficial de Cancún”, a cargo del pionero Francisco Verdayes Ortiz. Estos eventos se desarrollaron en la Universidad del Sur.

En la mañana, los directivos de la delegación local de Canirac, anunciaron que se realizará una cena de gala, la cual tendrá como broche de oro la presentación de la Orquesta Sinfónica de Quintana Roo.

Dicha cena será del cierre de festejos de la semana y tendrá lugar el sábado 25 de abril, a partir de las 20:00 horas, en el Salón Cozumel del Cancún Center

Mauro Amati, presidente de la Cámara Nacional de la Industria de Restaurantes y Alimentos Condimentados (Canirac), precisó que parte de los ingresos se otorgarán a beneficio de los bomberos y al DIF Municipal.

 

Fuente: unioncancun.mx

Oscar 2015, Las nominaciones a los premios

Las nominaciones al Premio Oscar 2015 han sido reveladas. Ahora en su 87o año, el premio anual honra a los logros cinematográficos en la industria del cine. La gala de este año está programada para el 22 de febrero 2015 en el Teatro Dolby en Hollywood, California, y será conducida por Neil Patrick Harris.

Premio Oscar 2015 han sido reveladas

Las nominaciones a los Premio Oscar 2015 han sido reveladas

 

Los nominados a Mejor Película incluyen American Sniper, BirdmanBoyhoodThe Grand Budapest Hotel, The Imitation Game, SelmaThe Theory of Everything y WhiplashBoyhood ganó el Golden Globe a Mejor Drama, mientras que The Grand Budapest Hotel ganó como Mejor Musical o Comedia .

Las nominaciones a Mejor Actor incluyen a Steve Carell (Foxcatcher), Bradley Cooper (American Sniper), Benedict Cumberbatch (The Imitation Game), Michael Keaton (Birdman) y Eddie Redmayne (The Theory of Everything). En los Golden Globes, Keaton ganó como Mejor Actor en un Musical o Comedia, mientras que Redmayne ganó en la categoría de Drama.

Mejor Actriz está Marion Cotillard (Two Days, One Night) contra Felicity Jones (The Theory of Everything), Julianne Moore (Still Alice), Rosamund Pike (Gone Girl) y Reese Witherspoon (Wild). En los Golden Globes, Moore ganó como Mejor Actriz de Drama, mientras que Amy Adams (ignorada en estas nominaciones), quien ganó como Mejor Actriz en un Musical o Comedia en los Golden Globes por Big Eyes. 

La categoría de Mejor  Canción incluye a Tegan & Sara and The Lonely Island, quienes hicieron la canción para Lego: La Película con “Everything Is AWESOME!!!”. Así como Common y John Legendcon “Glory”, la cual también ganó en los Golden Globes en la misma categoría.

Les dejamos las categorías más notables y la lista completa la podrán encontrar en el Sitio web de la Academia de los Premios Oscar 2015 .

Mejor Película en los oscar 2015

American Sniper
Birdman
Boyhood
The Grand Budapest Hotel
The Imitation Game
Selma
The Theory of Everything
Whiplash

Mejor Actor en los oscar 2015

Steve Carell, Foxcatcher
Bradley Cooper, American Sniper
Benedict Cumberbatch, The Imitation Game
Michael Keaton, Birdman
Eddie Redmayne, The Theory of Everything

Mejor Actriz en los oscar 2015

Marion Cotillard, Two Days, One Night
Felicity Jones, The Theory of Everything
Julianne Moore, Still Alice
Rosamund Pike, Gone Girl
Reese Witherspoon, Wild

Mejor Actor de Reparto en los oscar 2015

Robert Duvall, The Judge
Ethan Hawke, Boyhood
Edward Norton, Birdman
Mark Ruffalo, Foxcatcher
J.K. Simmons, Whiplash

Mejor Actriz de Reparto en los oscar 2015

Patricia Arquette, Boyhood
Laura Dern, Wild
Keira Knightley, The Imitation Game
Emma Stone, Birdman
Meryl Streep, Into the Woods

Mejor Director en los oscar 2015

Wes Anderson, The Grand Budapest Hotel
Alejandro Gonzalez Inarritu, Birdman
Richard Linklater, Boyhood
Bennett Miller, Foxcatcher
Morten Tyldum, The Imitation Game

Mejor Fotografía en los oscar 2015

Emmanuel Lubezki, Birdman
Robert Yeoman, The Grand Budapest Hotel
Lukasz Zal and Ryszard Lenczewski, Ida
Dick Pope, Mr. Turner
Roger Deakins, Unbroken

Mejor Largometraje Documental en los oscar 2015

Citizen Four
Finding Vivian Maier
Last Days in Vietnam
The Salt of the Earth
Virunga

Mejor Película Extranjera en los oscar 2015

Ida (Polonia)
Leviathan (Rusia)
Tangerines (Estonia)
Timbuktu (Mauritania)
Wild Tales (Argentina)

Mejor Película de Animación  en los oscar 2015

Big Hero 6
The Boxtrolls
How to Train Your Dragon 2
Song of the Sea
The Tale of Princess Kaguya

Mejor Guión Original en los oscar 2015

The Grand Budapest Hotel
Foxcatcher
Nightcrawler
Birdman
Boyhood

Mejor Guión Adaptado en los oscar 2015

American Sniper
Imitation Game
Inherent Vice
Theory of Everything
Whiplash

Mejor Canción Original en los oscar 2015

Glen Campbell – “I’m Not Gonna Miss You”, Glen Campbell … I’ll Be Me
John Legend y Common – “Glory”, Selma
Adam Levine – “Lost Stars”, Begin Again
Rita Ora – “Grateful”, Beyond the Lights
Tegan & Sara and The Lonely Island – “Everything is Awesome”, The Lego Movie

Mejor Banda Sonora Original  en los oscar 2015

Alexandre Desplat, The Grand Budapest Hotel
Alexandre Desplat, The Imitation Game
Hans Zimmer, Interstellar
Gary Yershon, Mr. Turner
Jóhann Jóhannsson,
The Theory of Everything

 

Fuente: isopixel.net