You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Loginen los deseos para cumplir metas no existe el tiempo aunque el cuerpo envejezca

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las futuras formaciones del ejército de EE. UU. pueden incluir nuevos drones, como Ghost-X, TRV-150 y perros robot, ya que la integración de tecnología avanzada los hará "más eficientes y letales", cree el jefe del Estado Mayor del ejército de EE. UU., general Randy George. después de experimentos de un mes en California.

Del 23 de febrero al 20 de marzo, Estados Unidos llevó a cabo una serie de experimentos sobre nueva tecnología en Camp Pendleton y Fort Irwin, California, durante el Proyecto Convergencia Capstone 4 (PC-C4), en el que participaron el Ejército, la Armada, la Fuerza Aérea, la Infantería de Marina y Fuerza Espacial.

Durante la experimentación, más de 4000 participantes probaron múltiples plataformas nuevas de tecnología avanzada. Según el comunicado de prensa del Departamento de Defensa de EE. UU., los resultados prometedores señalan la futura integración de tecnología avanzada en las unidades del ejército.

"Todos hemos visto cómo está cambiando el campo de batalla, [y] sabemos que no se pueden tener estos grandes nodos C2 [comando y control] que están ahí fuera", dijo George. "Sabemos que las máquinas pueden hacer muchas cosas ahora mismo de manera mucho más efectiva y mucho más barata, y vamos a tener que incorporarlas a nuestras formaciones".

Un ejemplo de cómo se puede integrar la tecnología avanzada es la incorporación de perros robóticos y sistemas de aeronaves no tripuladas para detectar el entorno. George quedó asombrado al observar una compañía de infantería ligera que operaba en un entorno urbano simulado junto a nuevos compañeros robóticos.

"Todo eso estaba unido por una red de comando y control muy simple que era fácil de usar e intuitiva", dijo George. "Fue increíble."

Señaló la importancia de probar los equipos en los entornos "en los que necesitará operar", y no en una sala de exposición.

En una de las fotografías proporcionadas, se ve a un soldado de infantería ensamblando el sistema de aeronave no tripulada Ghost-X durante el experimento de integración hombre-máquina.

Desarrollado por Anduril Industries, Ghost-X es capaz de volar durante 75 minutos, tiene un alcance de 25 km (15,5 millas), pesa 25 kg (55 lb) y puede transportar una carga útil de 9 kg (20 lb). Algunas de sus características incluyen "Planificación de misiones de apuntar y hacer clic", que permite vuelos seguros y efectivos con un mínimo de información y capacitación, equipos de inteligencia y permite a los operadores controlar múltiples drones para perfiles de misiones complejos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Descrito como un dron autónomo "de vanguardia", "aprovecha la inteligencia artificial, la visión por computadora y los algoritmos de fusión de sensores para detectar, clasificar y rastrear de forma autónoma objetos de interés en entornos disputados y de bajo ancho de banda", según el sitio web de Anduril.

En la otra foto, los soldados cuentan con la ayuda del Perro Robótico Fantasma (Ghost Robotic Dog). El desarrollador GgostRobotics describe su creación, denominada Vision 60, como "un dron terrestre de tamaño mediano, alta resistencia, ágil y duradero para todo clima, para uso en una amplia gama de entornos urbanos y naturales no estructurados para aplicaciones de defensa, nacionales y empresariales".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los marines estadounidenses también probaron un vehículo de reabastecimiento táctico-150 (TRV-150), que es un dron autónomo con una velocidad de crucero de 67 mph, un alcance máximo de 43 millas, un tiempo de vuelo de 36 minutos y una carga útil máxima de 150. libras (68 kg).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otros equipos probados también incluyeron cascos de realidad aumentada, vehículos de transporte todoterreno no tripulados armados con armas autónomas y otros sistemas no tripulados.

Todavía no hay una fecha o un cronograma específico para la integración de las nuevas armas. George dijo que eso depende de los presupuestos futuros y que el Ejército está centrado en una "mejora incremental".

"Tenemos un sentido de urgencia", dijo. "Creo que todo el mundo está ansioso por transformarse".

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenVPN, el protocolo VPN de código abierto más utilizado para conexiones seguras y privadas, puede "ser detectado y bloqueado de forma fiable a escala por adversarios basados en la red", según una investigación. Esto afecta a ocho de los diez principales proveedores de VPN.

Si los gobiernos o los ISP quisieran bloquear el tráfico enrutado con OpenVPN, podrían hacerlo fácilmente, incluso con técnicas de ofuscación ampliamente aplicadas.

Investigadores de la Universidad de Michigan y otras instituciones demostraron un sistema de dos fases que realiza un filtrado pasivo seguido de un sondeo activo para identificar los flujos de OpenVPN.

"Evaluamos la practicidad de nuestro enfoque en asociación con un ISP de tamaño mediano, y pudimos identificar la mayoría de los flujos OpenVPN básicos y ofuscados con solo falsos positivos insignificantes, lo que respalda que las técnicas que describimos serían prácticas incluso para los adversarios reacios a los daños colaterales", se lee en el documento.

Ciertos gobiernos de todo el mundo, incluidos China y Rusia, buscan restringir el acceso a VPN en un esfuerzo por mantener el control y evitar que los ciudadanos eludan las medidas de vigilancia y censura.

Las investigaciones demuestran que es posible tomar huellas dactilares precisas de las conexiones utilizando OpenVPN, el protocolo más popular para servicios VPN comerciales.

"Identificamos tres huellas digitales según las características del protocolo, como el patrón de bytes, el tamaño del paquete y la respuesta del servidor", dijeron los investigadores.

Mientras probaban su enfoque con un ISP regional de un millón de usuarios, pudieron identificar más del 85% de los flujos de OpenVPN con falsos positivos insignificantes. Su marco también identificó con éxito conexiones a 34 de 41 configuraciones de VPN "ofuscadas".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores utilizaron tecnologías de Inspección Profunda de Paquetes (DPI) para identificar características como el patrón de bytes, el tamaño de los paquetes y las respuestas del servidor al tráfico OpenVPN de huellas dactilares.

Los autores advierten a los usuarios sensibles, como periodistas o activistas políticos. Los investigadores también instan a los proveedores de VPN a adoptar enfoques de ofuscación más sólidos.

"De manera alarmante, de los "diez principales" proveedores de VPN clasificados por You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, ocho brindan servicios de ofuscación de algún tipo, lo que sugiere que ser indetectable está dentro del modelo de amenaza de los proveedores para sus clientes. Sin embargo, todos ellos están marcados como flujos sospechosos debido a un cifrado insuficiente (código de operación) o una confusión insuficiente sobre la longitud del paquete (ACK)", se lee en el documento. "Teniendo en cuenta que estos servicios VPN ofuscados generalmente afirman ser "indetectables" o afirman que la ofuscación "lo mantiene fuera de problemas", este resultado es alarmante ya que los usuarios que utilizan estos servicios pueden tener una falsa sensación de privacidad y seguridad.

El documento también señala que cuatro de los cinco principales proveedores de VPN utilizan ofuscación basada en XOR, que permite identificar fácilmente las huellas dactilares (fingerprints) que permiten una identificación y rastreo.

Los investigadores también sugieren varias estrategias para evitar que los ISP o los gobiernos limiten o bloqueen el tráfico VPN. A corto plazo, sugieren separar los servidores de ofuscación de las instancias de OpenVPN en el espacio de direcciones de la red, cambiar del relleno estático a aleatorio para los servicios de ofuscación, y otros.

"A largo plazo, tememos que el juego del gato y el ratón entre censores y herramientas de elusión, como el Gran Cortafuegos y Tor, se produzca también en el ecosistema VPN, y los desarrolladores y proveedores tendrán que adaptar sus estrategias de ofuscación a los adversarios en evolución", se lee en el documento.

"Instamos a los proveedores comerciales de VPN a adoptar soluciones de ofuscación más estandarizadas, como Pluggable Transports, y a ser más transparentes sobre las técnicas utilizadas por sus servicios ofuscados".

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
WASHINGTON (Reuters) - Funcionarios estadounidenses y británicos presentaron cargos el lunes, impusieron sanciones y criticaron a Beijing por una amplia campaña de ciberespionaje que supuestamente afectó a millones de personas, incluidos legisladores, académicos, periodistas y más.

Las autoridades de ambos lados del Atlántico acusaron al grupo de hackers apodado "APT31" de ser un brazo del Ministerio de Estado de Seguridad de China y enumeraron una larga lista de objetivos: empleados de la Casa Blanca, senadores estadounidenses, parlamentarios británicos y funcionarios gubernamentales de todo el mundo, que criticaron a Beijing. Los funcionarios dijeron que también resultaron afectados los contratistas de defensa, los disidentes y las empresas de seguridad.

En una acusación formal revelada el lunes contra siete de los presuntos piratas informáticos chinos involucrados, los fiscales estadounidenses dijeron que el pirateo resultó en el compromiso confirmado o potencial de cuentas de trabajo, correos electrónicos personales, almacenamiento en línea y registros de llamadas telefónicas pertenecientes a millones de estadounidenses.

El objetivo de la operación de piratería global era "reprimir a los críticos del régimen chino, comprometer las instituciones gubernamentales y robar secretos comerciales", dijo la fiscal general adjunta Lisa Monaco en un comunicado.

La embajada de China en Washington no respondió de inmediato a un mensaje en busca de comentarios sobre las acusaciones de Estados Unidos, pero la embajada de China en Londres describió las acusaciones anteriores del Reino Unido como "calumnias maliciosas y completamente inventadas".

Los anuncios se hicieron cuando tanto Gran Bretaña como Estados Unidos impusieron sanciones a una empresa que, según dijeron, era una empresa fachada del Ministerio de Seguridad del Estado.

El Departamento del Tesoro de Estados Unidos dijo en un comunicado que las sanciones estaban dirigidas a la ciencia y tecnología de Wuhan Xiaoruizhi, así como a dos ciudadanos chinos.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MADRID, 25 mar (Reuters) - El Tribunal Superior de España suspendió el lunes su propia orden que iba a bloquear los servicios de la aplicación de mensajería Telegram en el país mientras espera un informe policial sobre el impacto que la prohibición temporal tendría en los usuarios.

El viernes, el juez Santiago Pedraz acordó suspender los servicios de Telegram en España mientras investigaba las acusaciones de varias empresas de medios de que la aplicación permitía a los usuarios subir su contenido sin permiso. La suspensión debía entrar en vigor el lunes.

Pero Pedraz decidió el lunes suspender la ejecución de la orden y encargó a la policía nacional un informe sobre las "características de Telegram, así como sobre el impacto que (la suspensión temporal) puede tener en sus usuarios", según un comunicado judicial.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Empresas de medios como Atresmedia, Mediaset, EGEDA y Telefónica, han demandado a Telegram por lo que describen como una infracción continua de derechos de autor en la aplicación. Telegram se ha negado a comentar sobre las acusaciones.

Durante su investigación, Pedraz solicitó información sobre las identidades de usuarios sospechosos de compartir ilegalmente contenidos protegidos desde las Islas Vírgenes, un territorio británico de ultramar en el Caribe donde Telegram, fundada por el multimillonario de origen ruso Pavel Durov, está registrada como empresa.

El tribunal dijo que las autoridades allí no cumplieron con su solicitud.

La asociación de consumidores española FACUA celebró "que las reacciones a su medida hayan hecho reflexionar al magistrado sobre el enorme impacto que tendría" y confió en que el atestado policial le lleve a revocar la orden.

Telegram es el cuarto servicio de mensajería más utilizado en España, según la CNMC. Fue utilizado por casi el 19% de los españoles encuestados por la CNMC.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha lanzado actualizaciones de emergencia fuera de banda (OOB) para solucionar un problema conocido que provoca que los controladores de dominio de Windows bloqueen después de instalar las actualizaciones de seguridad de Windows Server del pasado 13 de marzo de 2024.

Muchos administradores de sistemas han advertido desde el martes de parches de este mes que los servidores se congelan y reinician inesperadamente debido a una pérdida de memoria en el proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS).

"Nuestros síntomas aumentaron el uso de la memoria en el proceso lsass.exe después de instalar KB5035855 (Server 2016) y KB5035857 (Server 2022) hasta el punto de que toda la memoria física y virtual se consumió y la máquina se bloqueó", le dijo un administrador de Windows.

Redmond reconoció públicamente este problema que afecta a todos los servidores de controladores de dominio con las últimas actualizaciones de Windows Server 2012 R2, 2016, 2019 y 2022.

Microsoft lanzó las siguientes actualizaciones acumulativas de emergencia de Windows Server que deberían solucionar la pérdida de memoria de LSASS y evitar que los servidores afectados colapsen y se reinicien:

•   KB5037422 (servidor Windows 2022)
 
•   KB5037423 (servidor Windows 2016)

"Esta actualización soluciona un problema conocido que afecta al Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS). Podría perder memoria en los controladores de dominio (DC)", explica la compañía.

"La pérdida ocurre cuando los DC de Active Directory locales y basados en la nube procesan solicitudes de autenticación Kerberos. Esta pérdida sustancial podría causar un uso excesivo de memoria. Debido a esto, LSASS podría dejar de responder y los DC se reiniciarán cuando no lo espere."

Para solucionar este problema conocido, los administradores deben descargar las actualizaciones OOB del Catálogo de actualizaciones de Microsoft e instalarlas en los controladores de dominio afectados.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si instaló actualizaciones anteriores de Windows Server, solo se descargarán e instalarán las nuevas actualizaciones de estos paquetes. Microsoft no ha informado de ningún problema conocido con estas actualizaciones de emergencia.
 
Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo ataque de canal lateral llamado "GoFetch" afecta a los procesadores Apple M1, M2 y M3 y puede usarse para robar claves criptográficas secretas de los datos en el caché de la CPU.

El ataque se dirige a implementaciones criptográficas de tiempo constante que utilizan captadores previos dependientes de la memoria de datos (DMP) que se encuentran en las CPU modernas de Apple. Esto le permite recrear las claves criptográficas privadas para varios algoritmos, incluidos OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber y Dilithium desde la memoria caché de la CPU.

GoFetch fue desarrollado por un equipo de siete investigadores de varias universidades de EE. UU., quienes informaron sus hallazgos a Apple el 5 de diciembre de 2023.

Sin embargo, como se trata de una vulnerabilidad basada en hardware, no hay forma de solucionarla en las CPU afectadas. Si bien sería posible mitigar las fallas mediante correcciones de software, esto afectaría el rendimiento de las funciones criptográficas de estas CPU.
Detalles de GoFetch

El ataque GoFetch tiene como objetivo los captadores previos dependientes de la memoria de datos, una característica de la CPU diseñada para mejorar el rendimiento de la computadora al ejecutar código.

Un captador previo se entrena mediante accesos previos a la memoria al recuperar datos, lo que le permite predecir qué datos necesitará la computadora a continuación. Luego, estos datos se recuperan por adelantado de partes más lentas de la memoria a regiones de memoria más rápidas, como la memoria caché de la CPU.

Si la predicción es precisa, los datos ahora están disponibles rápidamente, lo que aumenta el rendimiento de la computadora. Si la suposición es incorrecta, la CPU simplemente solicita los datos correctos como de costumbre.

El ataque GoFetch se centra en un captador previo más nuevo llamado captador previo dependiente de la memoria de datos (DMP). Este captador previo también se puede entrenar en el acceso previo a la memoria, pero también puede examinar los valores de datos en la memoria para determinar qué se debe captar previamente en el caché.

DMP está disponible en los chips de silicio de Apple y en las CPU Raptor Lake de 13.ª generación de Intel. Sin embargo, los investigadores dicen que la implementación de Intel es más restrictiva y previene el ataque.

El ataque se centra en implementaciones criptográficas que tardan la misma cantidad de tiempo en ejecutarse independientemente de la entrada (tiempo constante), lo cual es una medida de seguridad para evitar fugas de datos confidenciales.

Específicamente, los investigadores encontraron una falla en la implementación del sistema DMP por parte de Apple que viola las buenas prácticas de tiempo constante.

"Realizamos ingeniería inversa de DMP en CPU de la serie m de Apple y descubrimos que el DMP activa (e intenta desreferenciar) datos cargados desde la memoria que" parece "un puntero", se lee en el resumen del ataque.

"Esto viola explícitamente un requisito del paradigma de programación de tiempo constante, que prohíbe mezclar datos y patrones de acceso a la memoria".

Los atacantes pueden crear entradas especiales que hacen que el captador previo elimine la referencia de datos, que aparecerán como punteros si ciertos bits de la clave secreta se adivinan correctamente.

A continuación, observan si DMP se activa o no, infiriendo gradualmente fragmentos de la clave secreta. Con suficientes repeticiones del proceso, se puede reconstruir toda la clave criptográfica secreta.

Es hora de obtener claves completas (en línea - ataque en vivo, fuera de línea - posprocesamiento)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores confirmaron que los procesadores M1 son susceptibles a este esquema y, considerando que M2 y M3 tienen un comportamiento de captación previa similar, es probable que también sean vulnerables.

Se pueden encontrar más detalles sobre el ataque GoFetch en el artículo técnico publicado por los investigadores, y más adelante se lanzará una prueba de concepto de exploit.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Qué deberían hacer los propietarios de Apple?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desafortunadamente, como la debilidad es parte de la implementación del captador previo de datos dependiente de la memoria integrado directamente en las CPU de Apple, no hay forma de mitigar el ataque con una solución de hardware.

Los investigadores dicen que es posible desactivar DMP en algunas CPU, como la M3, eliminando el comportamiento de captación previa en el que se basa GoFetch. Sin embargo, esto no es posible en M1 y M2.

Otras medidas de defensa para los desarrolladores incluyen el cegamiento de entradas y el enmascaramiento de activación de DMP, que ofuscan los resultados de las entradas del atacante en el nivel de DMP.

Si bien Apple podría introducir mitigaciones en macOS como un parche de software, causaría problemas de rendimiento, como vimos en correcciones de software anteriores para ataques de canal lateral.

Como usuario de Apple, no hay mucho que pueda hacer aparte de practicar hábitos informáticos seguros. Eso significa actualizar periódicamente su sistema operativo y software e instalar únicamente software de canales oficiales y fuentes confiables para evitar infecciones de malware.

El ataque GoFetch no requiere acceso físico para su explotación, por lo que, si el atacante puede ejecutar código en la máquina de destino, por ejemplo, a través de una infección de malware, puede ejecutarlo de forma remota.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
La policía alemana se ha apoderado de la infraestructura del mercado de delitos cibernéticos Nemesis Market en la darknet en Alemania y Lituania, interrumpiendo el funcionamiento del sitio.

La Oficina Federal de Policía Criminal de Alemania (BKA) y la Unidad de Lucha contra el Cibercrimen (ZIT) de Frankfurt llevaron a cabo la acción el miércoles 20 de marzo de 2024, y las fuerzas del orden cerraron el sitio web y confiscaron aproximadamente 100.000 dólares en efectivo.

Nemesis Market se lanzó en 2021 como un nuevo mercado para comprar drogas y narcóticos ilegales, datos y tarjetas de crédito robados, y diversos servicios de delitos cibernéticos relacionados con ransomware, phishing y ataques de denegación de servicio distribuido (DDoS).

La plataforma solo prohibía la venta de material de abuso infantil, servicios de asesinato por contrato, armas y sustancias a base de fentanilo.

En su apogeo, Nemesis contaba con más de 150.000 cuentas de usuario y 1.100 cuentas de vendedor en todo el mundo, de las cuales aproximadamente el 20% tenían su sede en Alemania.

El anuncio de BKA dice que las investigaciones sobre Nemesis Market comenzaron en octubre de 2022, en las que participaron agencias alemanas, lituanas y estadounidenses, incluido el FBI, la Administración de Control de Drogas (DEA) y el Servicio de Investigación Criminal del Servicio de Impuestos Internos (IRS-CI).

El sitio web de Nemesis Market muestra el cartel de incautación a continuación, informando a los visitantes que la plataforma ahora está en manos de la policía.

Al visitar la URL también se activa una animación de videojuego retro, que se utiliza para celebrar el éxito de la operación, como se muestra a continuación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los datos incautados en la acción se utilizarán en las investigaciones en curso contra vendedores y usuarios de plataformas, lo que podría revelar sus identidades y organizar arrestos.

BKA no ha mencionado si los administradores del servidor o alguno de los operadores principales de la plataforma fueron identificados o arrestados durante la acción.

A principios de mes, la policía de Düsseldorf en Alemania se apoderó de 'Crimemarket', un mercado de habla alemana que ofrece servicios de drogas y delitos cibernéticos, que cuenta con 180.000 usuarios, y arrestó a seis personas, incluido uno de los principales operadores.

En diciembre de 2023, BKA y ZIT se apoderaron de otro importante mercado de la darknet, el 'Kingdom Market', y arrestaron a uno de los administradores en Estados Unidos.

La mayor redada de la policía alemana se produjo en abril de 2022, cuando sus investigadores interrumpieron el mercado de la darknet más grande del mundo, Hydra, que tenía 17.000.000 de miembros y 19.000 vendedores registrados.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mozilla ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades de día cero en el navegador web Firefox explotadas durante la competencia de piratería Pwn2Own Vancouver 2024.

Manfred Paul (@_manfp) ganó un premio de $100,000 y 10 puntos Master of Pwn después de explotar una falla de escritura fuera de límites (OOB) (CVE-2024-29943) para obtener la ejecución remota de código y escapar del sandbox de Mozilla Firefox usando una debilidad funcional (CVE-2024-29944) expuesta.

Mozilla dice que la primera vulnerabilidad puede permitir a los atacantes acceder a un objeto JavaScript fuera de los límites explotando la eliminación de verificación de límites basada en rangos en sistemas vulnerables.

"Un atacante pudo realizar una lectura o escritura fuera de límites en un objeto JavaScript engañando la eliminación de verificación de límites basada en rangos", explicó Mozilla.

El segundo se describe como una ejecución privilegiada de JavaScript a través de controladores de eventos que podría permitir a un atacante ejecutar código arbitrario en el proceso principal del navegador web Firefox Desktop.

Mozilla solucionó los fallos de seguridad en Firefox 124.0.1 y Firefox ESR 115.9.1 para bloquear posibles ataques de ejecución remota de código dirigidos a navegadores web sin parches en dispositivos de escritorio.

Las dos vulnerabilidades de seguridad fueron reparadas sólo un día después de que Manfred Paul las explotara y las informara en el concurso de piratería Pwn2Own.

Sin embargo, después de la competencia Pwn2Own, los proveedores generalmente se toman su tiempo para lanzar parches, ya que tienen 90 días para impulsar las correcciones hasta que la Iniciativa Día Cero de Trend Micro los divulgue públicamente.

Pwn2Own 2024 Vancouver finalizó el 22 de marzo después de que los investigadores de seguridad ganaran 1.132.500 dólares por 29 exploits de día cero y cadenas de exploits demostradas durante los dos días del concurso.

Manfred Paul ganó la edición de este año con 25 puntos Master of Pwn y 202.500 dólares en premios en efectivo después de piratear también los navegadores web Apple Safari, Google Chrome y Microsoft Edge.

El primer día, obtuvo la ejecución remota de código (RCE) en Safari mediante una derivación de PAC y una combinación de día cero con error de subdesbordamiento de enteros. También hizo una demostración de un exploit RCE de doble toque dirigido a una validación inadecuada de una cantidad especificada en una debilidad de entrada para derribar a los navegadores Chrome y Edge.

ZDI ha otorgado un total de 3.494.750 dólares y dos coches Tesla Model 3 durante los últimos tres concursos de hacking Pwn2Own (Toronto, Tokyo Automotive y Vancouver).

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El miércoles, el equipo de KDE advirtió a los usuarios de Linux que tuvieran "extrema precaución" al instalar temas globales, incluso desde la tienda oficial de KDE, porque estos temas ejecutan código arbitrario en los dispositivos para personalizar la apariencia del escritorio.

Actualmente, la Tienda KDE permite que cualquiera cargue nuevos temas y otros complementos o complementos sin realizar comprobaciones de comportamiento malicioso.

Sin embargo, como dijo KDE, actualmente carece de recursos para revisar el código utilizado por cada tema global enviado para su inclusión en su tienda oficial. Si los temas son defectuosos o maliciosos, esto puede tener consecuencias inesperadas.

"Los temas y widgets globales creados por desarrolladores externos para Plasma pueden ejecutar y ejecutarán código arbitrario. Le recomendamos que tenga extrema precaución al utilizar estos productos", advirtió KDE.

"Los temas globales no sólo cambian el aspecto de Plasma, sino también el comportamiento. Para ello ejecutan un código que puede ser defectuoso, como en el caso mencionado anteriormente. Lo mismo ocurre con los widgets y los plasmoides".

La ejecución de código es necesaria porque los temas globales están diseñados para cambiar todo en un escritorio Plasma, desde íconos hasta decoraciones de Windows, pantallas de bloqueo, pantallas de presentación, fondos de pantalla, combinaciones de colores, etc., utilizando scripts bash ejecutables.
El tema global borra los archivos del usuario usando 'rm -rf'

Según una publicación de Reddit citada por KDE, al menos a un usuario se le borraron los archivos después de instalar uno de esos temas globales de Plasma.

Después de su instalación, el tema eliminó todos los datos personales de las unidades montadas usando 'rm -rf', un comando UNIX muy peligroso que elimina de manera forzada y recursiva el contenido de un directorio (incluidos archivos y otras carpetas) sin ninguna advertencia ni solicitud de confirmación.

Cuando este comando se usa para eliminar archivos, se borran permanentemente y solo se pueden recuperar usando un software de recuperación de datos o restaurar desde copias de seguridad.

Si bien el tema global defectuoso ya se eliminó de la tienda de KDE, cualquier otro tema global disponible a través del repositorio oficial de complementos de KDE podría causar pérdida de datos si los desarrolladores no los han probado exhaustivamente antes de enviarlos.

"Ejecuta rm -rf en tu nombre [y] elimina todos los datos personales inmediatamente. Sin hacer preguntas", advirtió el usuario de KDE. "Cancelé esto cuando me pidió mi contraseña de root, pero ya era demasiado tarde para mis datos personales. Todas las unidades montadas bajo mi usuario desaparecieron, hasta 0 bytes. [Juegos, configuraciones, datos del navegador, [y] carpeta de inicio [han] desaparecido."

"Luego arrojó algún tipo de error, [y] mi plasma se atascó. [Entonces] cuando revisé y mis dos discos duros se borraron por completo, los juegos, las configuraciones, los datos personales, todo desapareció. Cualquier unidad montada con el usuario Los permisos también se eliminaron", añadió el usuario en una publicación separada de Reddit.

KDE promete comenzar a examinar el contenido de la tienda

A la luz de los riesgos que conlleva la instalación de complementos de Plasma no examinados, KDE pidió a la comunidad que informara sobre el software defectuoso que ya está disponible a través de la Tienda KDE.

El equipo también prometió seleccionar el contenido de la tienda y mejorar las advertencias que se muestran a los usuarios antes de instalar temas y complementos desarrollados por la comunidad en sus sistemas.

"Necesitamos comunicar claramente qué expectativas de seguridad deben tener los usuarios de Plasma para las extensiones que descargan en sus escritorios", dijo David Edmundson, ingeniero de software y líder de proyecto en KDE. "Luego, podemos considerar la posibilidad de proporcionar curación y auditoría como parte del proceso de la tienda en combinación con un soporte de sandbox que mejora lentamente".

"Si instalas contenido de la tienda, te recomendaría que lo revises localmente o busques reseñas de fuentes confiables".

"Sin embargo, esto llevará tiempo y recursos. Recomendamos a todos los usuarios que tengan cuidado al instalar y ejecutar software no proporcionado directamente por KDE o sus distribuciones", añadió el equipo de KDE.

Hasta entonces, los usuarios seguirán recibiendo advertencias al instalar temas globales desde la configuración del sistema KDE: "El contenido disponible aquí ha sido subido por usuarios como usted y su distribuidor no ha revisado su funcionalidad o estabilidad".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores revelaron hoy vulnerabilidades que afectan a 3 millones de cerraduras RFID electrónicas de Saflok implementadas en 13.000 hoteles y hogares en todo el mundo, lo que permite a los investigadores desbloquear fácilmente cualquier puerta de un hotel falsificando un par de tarjetas de acceso.

La serie de fallas de seguridad, denominada "Unsaflok", fue descubierta por los investigadores Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, shell y Will Caruana en septiembre de 2022.

Como informó por primera vez Wired, los investigadores fueron invitados a un evento de piratería privado en Las Vegas, donde compitieron con otros equipos para encontrar vulnerabilidades en una habitación de hotel y todos los dispositivos que contiene.

El equipo de investigadores se centró en encontrar vulnerabilidades en la cerradura electrónica Saflok de la habitación del hotel, descubriendo fallos de seguridad que podían abrir cualquier puerta dentro del hotel.

Los investigadores revelaron sus hallazgos al fabricante Dormakaba en noviembre de 2022, lo que le permitió trabajar en mitigaciones e informar a los hoteles sobre el riesgo de seguridad sin hacer público el problema.

Sin embargo, los investigadores señalan que las fallas han estado disponibles durante más de 36 años, por lo que, si bien no ha habido casos confirmados de explotación en la naturaleza, el extenso período de exposición aumenta esa posibilidad.

"Si bien no conocemos ningún ataque en el mundo real que utilice estas vulnerabilidades, no es imposible que otras personas las conozcan y las hayan utilizado", explica el equipo de Unsaflok.

Hoy, los investigadores revelaron públicamente las vulnerabilidades de Unsaflok por primera vez, advirtiendo que afectan a casi 3 millones de puertas que utilizan el sistema Saflok.

Los defectos de Unsaflok

Unsaflok es una serie de vulnerabilidades que, cuando se encadenan, permiten a un atacante desbloquear cualquier habitación de una propiedad utilizando un par de tarjetas de acceso falsificadas.

Para iniciar la explotación, el atacante sólo necesita leer una tarjeta de acceso de la propiedad, que puede ser la tarjeta de acceso de su propia habitación.

Los investigadores realizaron ingeniería inversa en el software de la recepción de Dormakaba y en un dispositivo de programación de cerraduras, y aprendieron cómo falsificar una llave maestra que pudiera abrir cualquier habitación de la propiedad. Para clonar las tarjetas, tuvieron que descifrar la función de derivación de claves de Dormakaba.

Se pueden crear tarjetas de acceso falsificadas utilizando cualquier tarjeta MIFARE Classic y cualquier herramienta disponible comercialmente capaz de escribir datos en estas tarjetas, incluidos Poxmark3, Flipper Zero y un teléfono inteligente Android con capacidad NFC.

El equipo necesario para crear las dos cartas utilizadas en el ataque cuesta menos de unos cientos de dólares.

Al explotar las fallas, la primera tarjeta reescribe los datos de la cerradura y la segunda abre la cerradura, como se demuestra en el siguiente video:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores no han proporcionado más detalles técnicos en este momento para dar tiempo a las distintas propiedades para actualizar sus sistemas.

Un amplio impacto

Las fallas de Unsaflok afectan a múltiples modelos de Saflok, incluidos Saflok MT, Quantum Series, RT Series, Saffire Series y Confidant Series, administrados por el software System 6000 o Ambiance.


Dos de los modelos afectados más comúnmente encontrados (unsaflok.com)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los modelos afectados se utilizan en tres millones de puertas en 13.000 propiedades en 131 países y, aunque el fabricante trabaja activamente para mitigar el defecto, el proceso es complicado y requiere mucho tiempo.

Los investigadores dicen que Dormakaba comenzó a reemplazar/actualizar las cerraduras afectadas en noviembre de 2023, lo que también requiere volver a emitir todas las tarjetas y actualizar sus codificadores. En marzo de 2024, el 64% de las esclusas siguen siendo vulnerables.

"Ahora estamos revelando información limitada sobre la vulnerabilidad para garantizar que el personal del hotel y los huéspedes sean conscientes del posible problema de seguridad", se lee en la publicación de los investigadores:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Se necesitará mucho tiempo para que la mayoría de los hoteles sean mejorados".

Cabe señalar además que las tarjetas de acceso maliciosas pueden anular el cerrojo, por lo que la medida de seguridad no es suficiente para evitar la entrada no autorizada.

El personal del hotel podría detectar casos de explotación activa auditando los registros de entrada/salida de la cerradura. Sin embargo, es posible que esos datos aún sean insuficientes para detectar con precisión el acceso no autorizado.

Los huéspedes pueden determinar si las cerraduras de sus habitaciones son vulnerables utilizando la aplicación NFC Taginfo (Android, iOS) para verificar el tipo de tarjeta de acceso desde su teléfono. Las tarjetas MIFARE Classic indican una posible vulnerabilidad.

Los investigadores prometieron compartir todos los detalles del ataque de Unsaflok en el futuro, cuando los esfuerzos de remediación alcancen niveles satisfactorios.

Actualización 22/3: Dormakaba compartió la siguiente declaración:

     El 21 de marzo de 2024, dormakaba publicó información sobre una vulnerabilidad de seguridad asociada tanto con el algoritmo de derivación de claves utilizado para generar claves MIFARE Classic® como con el algoritmo de cifrado secundario utilizado para proteger los datos de la tarjeta subyacente. Esta vulnerabilidad afecta a los sistemas Saflok (System 6000™, Ambiance™ y Community™).

     Tan pronto como un grupo de investigadores de seguridad externos nos informó de la vulnerabilidad, iniciamos una investigación exhaustiva, priorizamos el desarrollo y la implementación de una solución de mitigación y trabajamos para comunicarnos con los clientes de manera sistemática. No tenemos conocimiento de ningún caso reportado de explotación de este problema hasta la fecha.

     Según los principios de divulgación responsable, estamos colaborando con los investigadores para brindar una alerta más amplia que resalte cómo están evolucionando los riesgos existentes con la tecnología RFID heredada, para que otros puedan tomar medidas de precaución.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft no levanta cabeza. Las últimas actualizaciones están causando verdaderos quebraderos de cabeza y está consiguiendo que muchos usuarios se desesperen, algunos de ellos incluso sin poder usar su ordenador. El pantallazo azul ha sido uno de los más recientes, pero también acarreó fallos en el sistema, como la desaparición de la barra de tareas o el bloqueo de algunas herramientas. Esta vez, la nueva versión trae consigo pérdidas de memoria en Windows Server y así afecta a tu sistema.

No cabe duda que la compañía norteamericana propiedad de Bill Gates no está pasando por su mejor momento. El año lo arrancó con sucesivos errores que no están haciendo más que entorpecer el funcionamiento de Windows. Pero los problemas siguen encaminados tras haber recibido quejas con la última actualización del sistema.

Numerosos fallos en Windows Server

La semana pasada, Microsoft lanzó su típica actualización de seguridad para Windows Server 2016 y Windows Server 2022, provocando problemas en controladores de dominio. Esto hace que se produzcan reinicios frecuentes y forzados, según han informado algunos administradores de Reddit.

En concreto, la compañía es conciente de este percance y ha manifestado que existen problemas de rendimiento con el parche KB5035857 y que tiene conocimiento de que existen pérdidas de memoria LSASS (Servicio de Subsistema de Autoridad de Seguridad Local), un servicio responsable de hacer cumplir los términos y condiciones de seguridad al acceder al sistema, así como el manejo de los inicios de sesión de los usuarios, la creación de tokens de acceso y los cambios de contraseña.

«Esto se observa cuando los controladores de dominio de Active Directory locales y basados en la nube atienden solicitudes de autenticación Kerberos».

No obstante, Microsoft ya ha comentado que este tipo de situaciones solamente afectan a entornos corporativos que utilizan algunas plataformas de Windows Server y que los usuarios domésticos están totalmente exentos a estos errores. Por lo pronto, ya se encuentra trabajando en una solución al detectar la raíz del problema y muy pronto difundirán los nuevos resultados.

¿Hay alguna solución disponible?

Hasta que la empresa de hardware y software resuelva este imprevisto, puede llegar a tardar varios días. Pero si eres uno de los que sufren este problema y quieres remediarlo cuanto antes, lo más aconsejable es desinstalar las últimas actualizaciones del sistema que están empeorando tu experiencia de uso.

En el caso de así sea, puedes entrar en Windows Update y en Historial de actualizaciones y desplázate hasta abajo donde dice Desinstalar actualizaciones. Aquí podrás encontrar las últimas que hayas instalado.

Otra opción es empleando el Símbolo del sistema. Primero haz una búsqueda con las siglas cmd en la barra de tareas y pincha en Ejecutar como administrador. Después utiliza los siguientes comandos, según la última actualización que tengas instalada:

•   wusa /uninstall /kb:5035855
•   wusa /uninstall /kb:5035857

Ahora solo queda esperar a que Microsoft ponga en marcha un nuevo parche de seguridad que solucione de una vez por todas estos problemas. Febrero y marzo han sido dos de los peores meres de inicio de año para el gigante tecnológico. Veremos si abril le llueven menos críticas y consigue resarcirse con mejoras en su sistema
operativo.

Fuente:
Microsoft
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía (Traducción al español y compendio):
ADSLZone
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

21 mar (Reuters) - La Asamblea General de las Naciones Unidas adoptó el jueves por unanimidad la primera resolución global sobre inteligencia artificial para fomentar la protección de datos personales, monitorear la IA en busca de riesgos y salvaguardar los derechos humanos, dijeron funcionarios estadounidenses.

La resolución no vinculante, propuesta por Estados Unidos y copatrocinada por China y otras 121 naciones, tomó tres meses para negociarse y también aboga por fortalecer las políticas de privacidad, dijeron los funcionarios, informando a los periodistas antes de la aprobación de la resolución.

"Estamos navegando en aguas agitadas con una tecnología que cambia rápidamente, lo que significa que es más importante que nunca guiarnos a la luz de nuestros valores", dijo uno de los altos funcionarios de la administración, describiendo la resolución como la "primera en la historia" con un documento de consenso verdaderamente global sobre la IA".

La resolución es la última de una serie de iniciativas (pocas de las cuales son efectivas) de gobiernos de todo el mundo para dar forma al desarrollo de la IA, en medio de temores de que pueda usarse para perturbar procesos democráticos, impulsar el fraude o provocar pérdidas dramáticas de empleos, entre otros daños.

"El diseño, desarrollo, despliegue y uso inadecuado o malicioso de sistemas de inteligencia artificial... plantea riesgos que podrían... socavar la protección, promoción y disfrute de los derechos humanos y las libertades fundamentales", dice la medida. Cuando se les preguntó si los negociadores enfrentaron resistencia de Rusia o China (Estados miembros de la ONU que también votaron a favor del documento), los funcionarios admitieron que hubo "muchas conversaciones acaloradas... Pero nos involucramos activamente con China, Rusia, Cuba y otros países que "a menudo no están de acuerdo con nosotros en los problemas".

"Creemos que la resolución logra el equilibrio adecuado entre promover el desarrollo y al mismo tiempo seguir protegiendo los derechos humanos", dijo uno de los funcionarios, que habló bajo condición de anonimato.

En noviembre, Estados Unidos, Gran Bretaña y más de una docena de otros países dieron a conocer el primer acuerdo internacional detallado sobre cómo mantener la inteligencia artificial a salvo de actores deshonestos, presionando para que las empresas creen sistemas de IA que sean "seguros por diseño".

Europa está por delante de Estados Unidos, y los legisladores de la UE adoptaron este mes un acuerdo provisional para supervisar la tecnología, acercándose a la adopción de las primeras reglas de inteligencia artificial del mundo. La administración Biden ha estado presionando a los legisladores para que regulen la IA, pero un Congreso estadounidense polarizado ha logrado pocos avances.

La Casa Blanca buscó reducir los riesgos de la IA para los consumidores, los trabajadores y los grupos minoritarios y al mismo tiempo reforzar la seguridad nacional con una nueva orden ejecutiva en octubre.

Al igual que los gobiernos de todo el mundo, los funcionarios chinos y rusos están explorando con entusiasmo el uso de herramientas de inteligencia artificial para diversos propósitos. El mes pasado, Microsoft dijo que había atrapado a piratas informáticos de ambos países utilizando el software OpenAI respaldado por Microsoft para perfeccionar sus habilidades de espionaje.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Justicia de Estados Unidos acusó a Apple de operar un monopolio ilegal en el mercado de teléfonos inteligentes en una nueva y amplia demanda antimonopolio que busca cambiar muchas de las formas en que Apple bloquea los iPhone.

El Departamento de Justicia, junto con 16 fiscales generales estatales y de distrito, acusa a Apple de aumentar los precios para los consumidores y desarrolladores a expensas de hacer que los usuarios dependan más de sus teléfonos. Las partes alegan que Apple "selectivamente" impone restricciones contractuales a los desarrolladores y retiene formas críticas de acceder al teléfono como una forma de evitar que surja competencia, según el comunicado.

"Apple ejerce su poder de monopolio para extraer más dinero de consumidores, desarrolladores, creadores de contenido, artistas, editores, pequeñas empresas y comerciantes, entre otros", escribió el Departamento de Justicia.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gobierno señala varias formas diferentes en las que Apple supuestamente ha mantenido ilegalmente su monopolio:

     Interrumpir las "súper aplicaciones" que abarcan muchos programas diferentes y que podrían degradar la "fiabilidad de iOS" al facilitar a los usuarios de iPhone el cambio a dispositivos de la competencia.

     Bloquear aplicaciones de transmisión en la nube para cosas como videojuegos, lo que reduciría la necesidad de hardware más caro.

     Suprimir la calidad de la mensajería entre el iPhone y plataformas competidoras como Android

     Limitar la funcionalidad de los relojes inteligentes de terceros con sus iPhone y dificultar que los usuarios de Apple Watch cambien del iPhone debido a problemas de compatibilidad.

     Impedir que desarrolladores externos creen billeteras digitales competidoras con funcionalidad de tocar para pagar para iPhone

El caso se está presentando en el Tribunal de Distrito de los Estados Unidos para el Distrito de Nueva Jersey. Los fiscales generales de Nueva Jersey, Arizona, California, Connecticut, Maine, Michigan, Minnesota, New Hampshire, Nueva York, Dakota del Norte, Oklahoma, Oregón, Tennessee, Vermont, Wisconsin y el Distrito de Columbia se unieron al Departamento de Justicia en la denuncia.

Los encargados de hacer cumplir la ley están pidiendo al tribunal que impida que Apple "use su control de la distribución de aplicaciones para socavar tecnologías multiplataforma como súper aplicaciones y aplicaciones de transmisión en la nube", que le impida "usar API privadas para socavar tecnologías multiplataforma como mensajería, relojes inteligentes y billeteras digitales" y evitar que "utilice los términos y condiciones de sus contratos con desarrolladores, fabricantes de accesorios, consumidores u otros para obtener, mantener, ampliar o consolidar un monopolio".

También solicitan al tribunal cualquier otra reparación necesaria para restablecer la competencia. En una llamada de antecedentes con los periodistas, los funcionarios del Departamento de Justicia no abordaron si buscarían dividir a Apple si gana en la etapa de responsabilidad. Dijeron que cualquier reparación tendría que estar vinculada a lo que el tribunal finalmente determine que Apple es responsable.

En una conferencia de prensa el jueves en la que se anunció la demanda, la fiscal general adjunta del Departamento de Justicia, Lisa Monaco, dijo que Apple ha mantenido "un control estrangulado sobre la competencia" y "asfixió a toda una industria" al pasar de "revolucionar el mercado de teléfonos inteligentes a detener su avance". Kanter añadió que Apple fue un "beneficiario importante" de la demanda del Departamento de Justicia contra Microsoft hace más de 20 años, y que este caso tiene como objetivo "proteger la competencia y la innovación para la próxima generación de tecnología".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fiscal general de Estados Unidos, Merrick Garland, reconoció el desequilibrio de recursos al que se enfrenta el gobierno, frente a una empresa valorada en billones de dólares. "Cuando tienes una institución con muchos recursos que, en nuestra opinión, está dañando la economía estadounidense y al pueblo estadounidense, es importante para nosotros asignar nuestros recursos para proteger al pueblo estadounidense", dijo Garland. "Y ese es ciertamente el caso cuando los estadounidenses individuales no tienen capacidad para protegerse a sí mismos".

En un comunicado, el portavoz de Apple, Fred Sainz, dijo que la demanda "amenaza quiénes somos y los principios que distinguen a los productos Apple en mercados ferozmente competitivos. Si tiene éxito, obstaculizaría nuestra capacidad de crear el tipo de tecnología que la gente espera de Apple, donde el hardware, el software y los servicios se cruzan. También sentaría un precedente peligroso, al empoderar al gobierno para tomar mano dura en el diseño de la tecnología de las personas. Creemos que esta demanda es errónea en cuanto a los hechos y la ley, y nos defenderemos enérgicamente contra ella".

Apple planea tomar medidas para desestimar el caso, dijo un portavoz de Apple a los periodistas en una sesión informativa con varios medios de comunicación el jueves. La compañía tampoco está de acuerdo con el mercado relevante que el Departamento de Justicia definió para el caso, creyendo que debería ser el mercado global de teléfonos inteligentes, no sólo el de Estados Unidos, dijo un portavoz.

Apple es el segundo gigante tecnológico que el Departamento de Justicia ha enfrentado en los últimos años después de presentar dos demandas antimonopolio por separado contra Google durante las dos últimas administraciones. Ha revertido una larga sequía de casos de monopolización tecnológica desde la histórica demanda contra Microsoft a principios de siglo. El caso lleva años preparándose, y en junio de 2019 surgieron informes de que el Departamento de Justicia se encargaría de las investigaciones antimonopolio de la empresa.

Los desarrolladores de aplicaciones para iOS de Apple se han quejado durante años del mercado cerrado y a menudo opaco de la plataforma. Entre los más expresivos se encuentran empresas como Spotify, que ofrecen servicios de suscripción paga que Apple exige una reducción del 15 al 30 por ciento para ser ofrecidos en su plataforma. Además de eso, Apple tiene sus propias aplicaciones que compiten con las de su tienda de aplicaciones (el único lugar donde Apple permite a los usuarios descargar aplicaciones por lo que dice son razones de seguridad), lo que ha generado aún más desconfianza entre los desarrolladores sobre si están obteniendo un trato justo.

Algunos desarrolladores lograron llamar la atención del Congreso cuando un subcomité de la Cámara llevó a cabo su propia investigación sobre los gigantes tecnológicos hace unos años. Un informe de 2020 de ese panel encontró que Apple tenía un poder de monopolio en el mercado de distribución de aplicaciones en iOS. Los legisladores introdujeron leyes como la Ley de Mercados Abiertos de Aplicaciones y la Ley Estadounidense de Innovación y Elección en Línea que buscaban evitar que grandes plataformas como Apple dieran a sus propios productos una ventaja en sus mercados sobre sus competidores. Pero más de dos años después de su introducción, ninguno de los dos ha recibido votación en ninguna de las cámaras.

Europa se ha adelantado a Estados Unidos en sus esfuerzos por controlar la tecnología. Se han instituido nuevas normas a través de la Ley de Mercados Digitales para controlar el poder de los guardianes de las grandes plataformas, varias de las cuales son operadas por Apple. A principios de este mes, la Comisión Europea multó a Apple con 1.840 millones de euros (unos 2.000 millones de dólares) en relación con una queja de Spotify sobre sus prácticas restrictivas en la tienda de aplicaciones. La UE dijo que su investigación encontró que "Apple prohíbe a los desarrolladores de aplicaciones de transmisión de música informar completamente a los usuarios de iOS sobre servicios de suscripción de música alternativos y más baratos disponibles fuera de la aplicación".

El Departamento de Justicia estará muy ocupado con demandas por monopolio tecnológico en los próximos años. Concluye los argumentos finales en su caso de distribución de búsquedas contra Google en mayo y luego comenzará el juicio en un caso sobre la tecnología publicitaria de Google en el otoño.

Fuente:
The Verge
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Muchas de las personas que crean Web3 sienten que el ecosistema web tradicional se ha aprovechado de los usuarios y sus datos. Si bien beneficia a varias empresas, mineros de datos e incluso modelos de inteligencia artificial, algunos lo ven como una extralimitación.

Algunos de los problemas con la web que existen hoy en día, que algunas personas centradas en la web3 llaman web2.0, es que está centralizada, dijo Tegan Kline, director ejecutivo y cofundador de Edge y Node en el podcast Chain Reaction de TechCrunch.

"Un puñado de grandes empresas poseen y controlan todo lo que vemos en línea, son dueños de nuestros datos y nuestra huella digital y pueden quitarnos la plataforma y muchas quieren mantener nuestra atención y están monetizando esa atención", dijo Kline. "No es Internet lo que teníamos grandes esperanzas en los primeros días de la web".

Ella y otros están tratando de cambiar eso a través de integraciones web3 y de IA. "Estamos tratando de hacer realidad esa Internet descentralizada y devolver el poder a los usuarios".

Edge and Node es una empresa centrada en la creación y soporte de aplicaciones y protocolos descentralizados (dApps). Es el equipo inicial que respalda The Graph, una red descentralizada que indexa, consulta y organiza datos. Se le ha llamado el "Google de la web3" y tiene como objetivo organizar los datos abiertos de blockchain y convertirlos en un bien público.

Graph tiene "subgrafos", que son como API abiertas que atienden consultas. Entonces, cada vez que un usuario usa una aplicación creada en The Graph, los indexadores en segundo plano organizan los datos y entregan la información.

"La Web3 todavía se está construyendo, todavía estamos trabajando en la construcción de esta Internet descentralizada que sea resistente a la censura. Entonces, la innovación está ocurriendo hoy y creo que ahí es donde irá Internet, esta será la próxima evolución de Internet. Es una industria en crecimiento, en lugar de una que se contrae".

The Graph lanzó una hoja de ruta para su "Nueva Era" en noviembre, para planificar cómo utilizaría su recaudación de 50 millones de dólares del año pasado.

Los objetivos incluían expandir sus servicios de datos para llegar a un mercado más grande, apoyar a los desarrolladores, mejorar el rendimiento de la red y crear herramientas para datos, en términos simples. También incluyó planes para ayudar a habilitar grandes modelos de lenguaje, o LLM, que son uno de los métodos más populares para crear programas de chat de IA, gracias a OpenAI, señaló Kline.

"Lo único que es realmente importante acerca de la IA es que se trata de datos", dijo Kline. "Hay un dicho que dice que quien gobierna los datos gobierna el mundo y, por eso, es realmente importante que los datos no sean propiedad de ninguna empresa ni estén controlados por ella, especialmente en el espacio de la IA".

The Graph está trabajando para permitir a los usuarios tomar datos de su red y otras cadenas de bloques para entrenar IA con ese contenido. "Desde que iniciamos The Graph, los casos de uso y las necesidades de datos se han disparado", dijo Kline. "Hay tantas necesidades de datos diferentes y la red Graph estará allí para satisfacer todas esas necesidades de forma descentralizada para los emprendedores y constructores del ecosistema y los usuarios de sus aplicaciones y proyectos".

Y para la IA, es importante que estén capacitados de manera totalmente abierta, piensa Kline. "Y si nos fijamos incluso en las IA de código abierto actuales, son de código abierto en algunos aspectos, pero los datos con los que se entrenan no son de código abierto".

Tal como están las cosas hoy, la mayoría de la IA aún no está en el tren blockchain, por así decirlo. "Si vas a una conferencia tradicional sobre IA, no les importa", dijo Kline. "Creo que el espacio blockchain está un poco más interesado en la IA que la IA en el espacio blockchain".

Es necesario que haya un poco más de aceptación en la comunidad de IA, pero con el tiempo, Kline cree que la relación entre IA y blockchain evolucionará y cambiará. "Al utilizar nuevos modelos de negocio y nuevas estructuras de incentivos que han surgido a través de tokens y economías de tokens e infraestructura descentralizada, ahí es donde las cosas se pondrán realmente interesantes para la IA".

Fuente:
TechCrunch
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub introdujo una nueva función impulsada por IA capaz de acelerar la corrección de vulnerabilidades durante la codificación. Esta función está en versión beta pública y se habilita automáticamente en todos los repositorios privados para los clientes de GitHub Advanced Security (GHAS).

Conocido como Code Scanning Autofix y desarrollado por GitHub Copilot y CodeQL, ayuda a manejar más del 90% de los tipos de alertas en JavaScript, Typecript, Java y Python.

Después de activarlo, proporciona posibles soluciones que, según GitHub, probablemente abordarán más de dos tercios de las vulnerabilidades encontradas mientras se codifica con poca o ninguna edición.

"Cuando se descubre una vulnerabilidad en un idioma compatible, las sugerencias de solución incluirán una explicación en lenguaje natural de la solución sugerida, junto con una vista previa de la sugerencia de código que el desarrollador puede aceptar, editar o descartar", Pierre Tempel y Eric Tooley de GitHub. dicho.

Las sugerencias de código y explicaciones que proporciona pueden incluir cambios en el archivo actual, varios archivos y las dependencias del proyecto actual.

La implementación de este enfoque puede reducir significativamente la frecuencia de las vulnerabilidades que los equipos de seguridad deben manejar a diario.

Esto, a su vez, les permite concentrarse en garantizar la seguridad de la organización en lugar de verse obligados a asignar recursos innecesarios para mantenerse al día con las nuevas fallas de seguridad introducidas durante el proceso de desarrollo.

Sin embargo, también es importante tener en cuenta que los desarrolladores siempre deben verificar si los problemas de seguridad se resuelven, ya que la función impulsada por IA de GitHub puede sugerir correcciones que solo abordan parcialmente la vulnerabilidad de seguridad o no preservan la funcionalidad del código deseada.


"La reparación automática del escaneo de código ayuda a las organizaciones a frenar el crecimiento de esta" deuda de seguridad de las aplicaciones "al facilitar a los desarrolladores corregir las vulnerabilidades mientras codifican", agregaron Tempel y Tooley.

"Así como GitHub Copilot libera a los desarrolladores de tareas tediosas y repetitivas, la corrección automática del escaneo de código ayudará a los equipos de desarrollo a recuperar el tiempo que antes se dedicaba a la corrección".

La compañía planea agregar soporte para idiomas adicionales en los próximos meses, siendo el siguiente el soporte para C# y Go.

Más detalles sobre la herramienta de reparación automática de escaneo de código impulsada por GitHub Copilot están disponibles en el sitio web de documentación de GitHub.

El mes pasado, la compañía también habilitó la protección push de forma predeterminada para todos los repositorios públicos para detener la exposición accidental de secretos como tokens de acceso y claves API al enviar código nuevo.

Este fue un problema importante en 2023, ya que los usuarios de GitHub expusieron accidentalmente 12,8 millones de secretos confidenciales y de autenticación a través de más de 3 millones de repositorios públicos durante todo el año.

Como se ha informado, los secretos y credenciales expuestos han sido explotados para múltiples violaciones de alto impacto en los últimos años.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Elon Musk compartió un vídeo en X donde podemos ver a Nolan Arbaugh, de 29 años, mover el cursor de su ordenador con la mente

El implante le permite controlar ciertos dispositivos con tan solo "pensarlo"

A finales del pasado mes de enero, Neuralink, la empresa de neurotecnología liderada por Elon Musk, había realizado su primer implante en un humano. La noticia la dio a conocer el propio Musk a través de la red social X (antes Twitter), donde poco más tarde aseguró que el paciente se estaba recuperando bien y que hasta el momento no había detectado efectos secundarios. Ahora, un vídeo en el que aparece el propio paciente nos da pistas de su estado y sus nuevas capacidades tras el implante.

A través de una emisión en directo en X, podíamos ver a Noland Arbaugh, el primer humano con un chip de Neuralink implantado, junto a un ingeniero de la compañía. Este hombre de 29 años perdió las funciones musculares desde sus hombros hacia abajo, por lo que, debido a su desfavorable condición, es incapaz de realizar muchas tareas. Al menos, en su primera etapa con Neuralink, ha conseguido hacer algo que llevaba años sin poder hacer cómodamente: jugar al ajedrez en línea. Y lo ha hecho moviendo el ratón con la mente.

El paciente ya controla su ordenador con la mente

Neuralink llevaba años realizando pruebas en animales, mostrando las potenciales capacidades de su chip, el cual promocionan como una vía para ayudar a aquellas personas con alguna discapacidad a realizar ciertas funciones "con la mente".

Tras las pruebas en animales, Neuralink dio el paso en humanos con su primer ensaño hace un par de meses. De momento, todo marcha según lo planeado. La prueba es el propio Arbaugh, quien hace ocho años sufrió un "extraño accidente de buceo", según comenta en el vídeo. Habiendo perdido sus funciones musculares desde los hombros hacia abajo, ahora es el momento de ver cómo Neuralink evoluciona su día a día.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En el directo le pudimos ver cómo utilizaba su mente para controlar el ratón del Mac y poder jugar así al ajedrez en línea. Esto es solamente una de las pequeñas cosas que se podrían controlar con el chip de Neuralink.

"Fue como usar la fuerza sobre el cursor", asegura el paciente, quien ahora tiene la posibilidad de controlar su ordenador con mayor facilidad. "Ya ha cambiado mi vida", dice, aunque reconoce que todavía queda mucho trabajo por hacer con este tipo de implantes para ayudar a las personas.

Arbaugh fue dado de alta un día después de la intervención quirúrgica, pero no consiguió mover el cursor del ordenador inmediatamente después ya que tuvo que entrenarse para imaginar los movimientos del mismo. Poco tiempo después, parece que ya ha dejado de tener problemas en este aspecto.

Cabe destacar que el chip de Neuralink no es la primera interfaz BCI (Brain-Computer Interface) implantada en un humano. Hace más de 18 años, Matthew Nagle, de 25 años, ya pudo mover el cursor con la mente tras recibir un implante en un hospital de Massachussets. Aunque por aquel entonces la tecnología no estaba tan avanzada.

El implante de Nagle requería de una conexión física con un dispositivo externo para poder controlar cierto tipo de cosas. Por el contrario, el implante de Neuralink puede funcionar sin la necesidad de una conexión por cable con un dispositivo externo.

Aparte de Neuralink, hay ya otras empresas trabajando en desarrollar implantes similares, como es el caso de la australiana Synchron. En lo que respecta a Arbaugh, tendremos que ir siguiendo sus pasos para conocer la evolución del implante y si acaba siendo una medida segura a largo plazo para mejorar las condiciones de personas con discapacidad.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El sistema de moderación antiestafa de Certy AI dejó un archivo expuesto y reveló información confidencial, como su clave API OpenAI, según descubrieron investigadores de Cybernews.

Certy AI, una empresa de TI especializada en servicios web para empresas y ciberseguridad, dejó un archivo de entorno (env.) de acceso público, abriéndose a los atacantes.

Desde un env. el archivo sirve como un conjunto de instrucciones para programas informáticos, dejándolo abierto para que cualquiera pueda exponer datos críticos y proporcionar a los actores de amenazas varias opciones para atacar.

La empresa cerró el expediente después de que nuestros investigadores se pusieran en contacto con ellos. Nos comunicamos con la compañía para obtener comentarios oficiales, pero no recibimos una respuesta antes de la publicación.

El equipo de investigación de Cybernews descubrió un entorno accesible. en un subdominio CertyAI que contiene su clave API OpenAI y su clave API Photoroom. Mientras que una API OpenAI permite a las empresas integrar los servicios del creador de ChatGPT en sus sitios web, una API Photoroom permite a los usuarios editar imágenes.

Según el equipo, las claves API expuestas, incluida una clave API OpenAI, pueden representar una vulnerabilidad de seguridad grave.

"Las claves API son credenciales confidenciales que otorgan acceso a servicios o recursos específicos, y si caen en las manos equivocadas, pueden provocar un acceso no autorizado y un posible uso indebido de los recursos asociados", dijeron los investigadores.

Los atacantes podrían abusar de la clave API de OpenAI para agotar los recursos del propietario y causar daños financieros. Además, los actores malintencionados podrían abusar de la API con fines malévolos y comprometer la confidencialidad de las interacciones de los propietarios de claves.

"OpenAI normalmente cobra por el uso de API. Si alguien obtiene acceso a su clave y la usa de manera maliciosa, podría incurrir en cargos inesperados ya que el atacante consume los recursos asignados", dijo el equipo.

Dejar expuestas las claves de la API de OpenAI podría permitir que un actor malintencionado genere contenido inapropiado o dañino, lo que podría causar daños a la reputación de la empresa.

Otro vector de amenaza deriva de la forma en que se utiliza una clave API. Si se utiliza una clave API de OpenAI para procesar información confidencial, el acceso no autorizado podría provocar una violación de la privacidad.

El equipo aconseja a las empresas que sigan las mejores prácticas de gestión de claves API para evitar la atención innecesaria de los atacantes, incluido mantener seguras las claves API, rotarlas periódicamente, restringir el acceso según el principio de privilegio mínimo y monitorear cualquier actividad inusual asociada con la clave.

"Si sospecha que sus claves API se han visto comprometidas, es recomendable revocarlas y generar otras nuevas de inmediato. Además, es imprescindible cambiar las credenciales, como el nombre de usuario y la contraseña del correo electrónico asociados con los servicios API expuestos", dijeron los investigadores.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Organismos de la ONU han advertido que la basura de aparatos electrónicos se acumula en todo el mundo y se recicla poco y es probable que se reduzca aún más.

Los organismos definen a la "e-basura" como cualquier dispositivo descartado con un enchufe o batería, incluidos los teléfonos celulares, televisores, juguetes electrónicos, cigarrillos electrónicos, computadoras portátiles y paneles solares. Esto no incluye los desperdicios generados por vehículos eléctricos, ya que esto pertenece a otra categoría.

En un informe publicado el miércoles, la Unión Internacional de Telecomunicaciones (UIT) de la ONU y la rama de investigación UNITAR señalaron que en 2022 se generaron alrededor de 62 millones de toneladas de "e-basura", suficientes para llenar camiones de remolque que, si se alinearan uno tras otro, podrían dar la vuelta al mundo. La cantidad podría llegar a 82 millones de toneladas para 2030.

Los metales, entre ellos el cobre, oro y hierro, constituyen la mitad de las 62 millones de toneladas, con un valor de cerca de 91.000 millones de dólares, según el informe. Los plásticos sumaron 17 millones de toneladas, y los 14 millones de toneladas restantes incluyeron sustancias como materiales compuestos y vidrio.

La ONU indica que apenas poco más de 22% de la e-basura fue recolectada y reciclada adecuadamente en 2022. Se espera que esta cifra se reduzca a 20% para finales de la década debido al "asombroso crecimiento" de ese tipo de desecho provocado por el alto consumo, opciones de reparación limitadas, ciclos más cortos de la vida útil de los productos, la creciente "electronificación" de la sociedad y la infraestructura inadecuada para el manejo de la e-basura, dijeron los organismos.

Señalaron que algunos de los dispositivos electrónicos desechados contienen elementos peligrosos como el mercurio, así como tierras raras, codiciadas por los fabricantes de la industria tecnológica. Actualmente, solo 1% de la demanda de las 17 tierras raras se satisface mediante el reciclaje.

Casi la mitad de toda la e-basura se genera en Asia, donde pocos países tienen leyes sobre la misma u objetivos de recolección, según el informe. Los índices de reciclaje y recolección alcanzan 40% en Europa, donde la generación de desperdicios per cápita es la más alta: cerca de 18 kilogramos (39 libras). En África, que genera la menor cantidad de las cinco regiones globales, los índices de reciclaje recolección son de cerca de 1%, señaló.

"Las últimas investigaciones muestran que el desafío global de la e-basura no hará más que aumentar", dijo Cosmas Luckyson Zavazava, director de la oficina de desarrollo de telecomunicaciones de la UIT. "Dado que menos de la mitad del mundo ha implementado y aplicado enfoques para manejar el problema, esto hace sonar la alarma para establecer regulaciones sólidas para fomentar la recolección y el reciclaje".

Al experto en e-basura George Masila le preocupa el impacto de la basura electrónica en el suelo.

"Toda esta e-basura, ya sea en basureros o depositada inmisericordemente en cualquier otra parte, podría tener importantes efectos en el suelo", dijo Masila. "Todos los años llueve y el agua fluye y atrae todos esos elementos que se depositan en el ambiente. El agua se contamina".

Afirmó que un mayor reciclaje y reutilización de esos materiales "son algunas de las cosas que debemos considerar".

Fuente:
APNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login