#31 te lo da el prompt del telnet si das con un host con la versión afectada
#34, hombre, lógicamente estos routers no son los que suelen tenerse con acceso desde internet, pero sin embargo haciendo una búsqueda en el buscador que mencionan en la noticia original puedes encontrar unos 60 afectados por lo que comentaban. Y por otro lado, se supone que son routers en plan ultima linea de defensa si fallan otras defensas mas "estandar". Está claro que para llegar a ellos hay que cargarse otras cuantas medidas de seguridad, pero.. la cosa es que tener uno de los afectados resulta peor que tener el linksys mas barato en temas de seguridad.
Vamos, teniendo en cuenta que la empresa es de Siemens ahora, es factible que estos sistemas formen parte de la red informática del AVE (que también es un producto de Siemens). Teniendo en cuenta lo puta mierda que es la web de RENFE, no creo que sea tan raro pensar que la seguridad esté solo ligeramente por encima.
Poniéndonos en el peor de los casos, imagina que alguien logra colarse en los servers de RENFE. Estos routers están ahí precísamente para asegurarse de que aunque te hayas saltado otras medidas de seguridad, a partir de ahí no puedas pasar... Y sin embargo te lleva menos de 10 segundos con este backdoor. Una vez pasado ese nivel, tal vez podrías ordenar detener todos los trenes o alterar las rutas, y eso sería un problema de seguridad MUY GORDO.
Y encima la solución que propone la compañía es casi desconectar el chisme de cualquier red... si no pueden cambiar eso remotamente ya tendrían que haber hecho un recall masivo de los modelos afectados hace tiempo. Que genera mala prensa entre los clientes, claro, pero genera peor prensa dejar el boquete abierto durante un año sin informar a los clientes.
P.D., el software de RENFE doy fé de que es una basura, no es solo la web... a mi un día me dieron en ventanilla un billete para el día anterior, no me fijé y luego el revisor me decía que era un billete falso... tras dos horas al teléfono con el jefe de estación insistiendo en que los ordenadores no se equivocaban y era imposible que dieran un billete para el pasado, pasándole el teléfono al revisor... y al final que si, que todo bien, que sin ningun problema, y que muchas gracias por "avisar" del error porque parece que habían vendido varios billetes con el mismo problema esa mañana...
Viendo cosas así, realmente me aterra como debe ser la seguridad.
#39, y aunque no te lo dé... si tienes acceso al telnet, tambien puedes nmapearlo y sacar la mac en segundos.
#5 Si la hamburguesa que más te gusta es el big mac es que has comido muuuy pocas hamburguesas de calidad o que tienes el sentido del gusto más atrofiado del planeta.
A las 6:40 ya estaban sin emisión
#2 El kernel de linux es un despropósito en cuanto a programación. Y eso que con la rearquitectura de la 3.0 ha mejorado un poquito, pero vamos... Es una cutrez. Y si no, ponte a picar drivers, verás
compilar kernels es de pobres
Estas acciones no llevan nada más que a dar la razón a los lobbies. Lo que hay que hacer es tapiar la puerta de las casas de Botín, Francisco González, ministros... para que lo sufran ellos, y no sus empleados, que es lo que pasa con estas "acciones", los DDoS y demás
#2 He hecho lo mismo que tú DDDDD
#7 Ya, pero Google les paga 1 millón de dólares para mejorar la seguridad de un producto usado por muchos, y en cambio prefieren cobrar más permitiendo que otros utilizen esas vulnerabilidades para saber qué propósitos.
#4 Dos de esos trabajadores ganaron 60.000$ que Google pagó por lo del concurso. No les dieron el millón porque por lo visto no se ajustaban a lo que se decía en las bases del Pwn2Own; creo que, entre otras cosas precisamente porque "son una empresa" y porque parece que no lograron el objetivo "final". El asunto parece que es así. Esos dos trabajadores cobraron los 60.000$ porque es uno de los premios, el que les corresponde por lo que lograron. El Millón era para el que consiguiera el reto completo (creo que lo encontrarás en la web fácilmente). Entonces ahora la empresa para la que trabajan estos dos, es la propietaria del código que crearon e utilizaron para explotar tres vulnerabilidades de Chrome y esa empresa dice que no se lo va a dar (vender) a Google por 1 millón de dólares; porque por lo visto hay agencias (también gubernamentales) dispuestas a pagar mucho más por ese sploit para poder apoderarse de los PC (con Windows 7 y esa versión del Chrome) cuando les venga bien.
#5 Entonces no son hackers, sino crackers. Creo que deberías leer un poco más acerca de que son los llamados hackers. Porque esa palabra se usa por parte de la prensa como una especie de cajón de sastre en el que entra de todo. Yo te puedo adelantar algo: la definición más clara de hacker informático que puedes conocer se llama Richard Stalman (el programador que escribió el compilador libre para el lenguaje de programación C, GCC y la mayoría de las bibliotecas del sistema GNU, además del editor Emacs...). También puedes considerar como un hacker a Linus Torbalds, el que escribió el primer kernel Linux, el mismo que sigue a día de hoy revisando todo el código que se va incorporando a las nuevas versiones del núcleo Linux. Hay otros hackers del kernel que también escriben, prueban, depuran y evalúan código para el kernel Linux. Hace pocos meses murió uno de los mejores programadores de todos los tiempos, el que creó (junto a otros), el lenguaje de programación C y buena parte del sistema operativo UNIX. Se llamaba Dennis Ritchie. Tuvo la mala fortuna de morir poco después de Steve Jobs y debido al brillo del primero no se prestó demasiada atención a su muerte, pero a ese también puedes considerarle un hacker en el más puro sentido de la palabra. Si quieres conocer algunos más, es decir, gente que ha escrito miles de líneas de código y ha desarrollados sistemas o partes muy importantes de sistemas operativos, como las capas de red, por ejemplo y una buena colección de drivers, te dejo estos links:
http://ankalima.blogspot.com.es/2012/01/todo-lo-que-no-es-facil.html
http://ankalima.blogspot.com.es/2012/01/escribiamos-ayer.html
http://ankalima.blogspot.com.es/2012/01/torvalds-y-cox-depurando-el-codigo-del.html
http://ankalima.blogspot.com.es/2012/01/gnu-linux-la-fusion-de-dos-filosofias.html
http://ankalima.blogspot.com.es/2012/01/casi-al-final-del-elementary-training.html
http://ankalima.blogspot.com.es/2012/01/la-frase-de-patrick-volkerding-la-que.html
http://ankalima.blogspot.com.es/2012/01/ewing-y-young-crean-red-hat.html
http://ankalima.blogspot.com.es/2012/01/en-los-elementary-training-que-hemos.html
http://ankalima.blogspot.com.es/2012/01/en-el-capitulo-elementary-training-de.html
Si les vas echando un vistazo en ese orden, conocerás a unos cuantos hackers y si miras las entradas del mes de enero, conocerás algunos más. Por supuesto tabién conocerás algo del código que escribieron, de las empresas para las que trabajaron, de las universidades en las que estudiaron...
Eso que tu llamas crackers, por lo general no van mucho más allá de crear o modificar código maligno en VBS, asaltar la wifi un vecino descuidado o meter troyanos en los sistemas vulnerables y mal asegurados. Me jugaría una buena cena a que ninguno de esos crackers sería capaz de hacer lo que hicieron estos dos con el Chrome sobre Windows 7. Y si el Chrome que lograron vulnerar estuviera corriendo sobre un Linux, nunca hubieran logrado entrar en el sistema operativo. Puede que llegaran a explotar esas vulnerabilidades (suponiendo que los binarios ELF las tengan) pero ahí se acabó la historia, el sistema seguiría funcionando y, al menos si la máquina es mía, no escalarían privilegios en ese tiempo ni de coña. Saludos
#7 Si. Yo conozco un par de ellas en Madrid que se prestan servicios de seguridad y recuperación de datos. Con lo de "legal" me refería a otro asunto. Es decir, en EEUU casi cualquiera puede comprar y portar un arma de fuego. Es legal. Pero algunos algoritmos de encriptación son considerados "armas de guerra" y está prohibido su uso. Se que el hecho de escribir el código no es delito a no ser que usen este tipo de algoritmos. Puede serlo después la forma en que lo utilicen. Pero eso supongo que es lo mismo que con una pistola.
#15 Entendí lo que querías decir con tu comentario. No se cuanto les paga Vupen a esos empleados* pero... como en todas las empresas que conozco, imagino que la parte del León se la llevan los directivos y si los hay, los inversores/socios/propietarios.
Imagino que el dinero del premio de Google sería directamente para ellos y en cuanto al trabajo que realizaron imagino que será propiedad de Vupen ya que se ve que pueden venderlo a quien les plazca, pero están seguros de que sacarán más que el millón que ofrecía Google como primer premio
Yo si tuviese empleados como esos, les pagaría lo mejor que pudiese. Pero... el problema es que yo no soy "ese tipo de empresario que son los de Vupen". Ni siquiera soy empresario y en los últimos años, recordando una oportunidad que tuve de serlo a lo largo de mi vida, me alegro de no haber dado el paso. Iba a hacerlo porque me apetecía no tener jefes Pero por lo que he visto después (de eso ya hace más de 30 años...), en algún momento a todos los empresarios que conozco, incluso a los que trabajan solos, les entran algunas enfermedades que prefiero no sufrir: una de ellas es la avaricia; otra es aún peor, creen que sólo ellos trabajan, creen que sólo su trabajo tiene un valor determinante para la empresa, que el de los demás no vale demasiado y que todos son prescindibles (incluso cuando a veces son difícilmente sustituibles); creen que la empresa no sobreviviría sin ellos; dejan de valorar a las personas que trabajan para ellos o con ellos y pasan a considerarlos de otra forma: como gente que le debe la vida que llevan, como menores de edad, como rivales. En fin, cualquier cosa que se te ocurra, menos "personas con una vida que, en gran medida, depende del trabajo que realizan y cuyo beneficio, la parte del león, se la quedan ellos".
No es que yo tenga alma de funcionario, ni siquiera de empleado y mucho menos de esclavo. Pero me alegra no haberme convertido en ese tipo de persona. Creo que finalmente encontré la forma de trabajar que más se adaptaba a mi forma de ser. Ahora lo llaman freelance, en mis buenos años lo llamábamos, ir por libre.
Lamento no haberme explicado mejor antes. Si te dio la impresión de que defendía las actitudes de la empresa, es que me expresé muy malamente.
Un saludo. Buen fin de semana
Esto no es emular android, es usar un emulador de android en tu pc. Errónea, antigua, cansina...
#4 porque esto es meneame.
#3 #4 #5 #6 "7. El usuario se abstendrá de crear múltiples cuentas con el fin de promocionar sitios web [...]" http://www.meneame.net/legal.php#tos
Ver @economiaft
Una buambulancia, por favor.
#6
Y tambien un gran hospital para buapacientes, que cada vez son mas numerosos desde hace unos pocos años.
#39 windows 7 es uno de los mejores sistemas operativos en cuanto a seguridad.
Toma http://en.wikipedia.org/wiki/Address_space_layout_randomization
y toma http://en.wikipedia.org/wiki/Data_Execution_Prevention
y toma http://www.windowstecnico.com/archive/2010/01/07/aslr-dep-la-lucha-contra-los-exploits.aspx
Y soy más tuxi que todos vosotros juntos, pero si una cosa está bien hecha, está bien hecha.
#41 Los mismos que han pwneado Chrome, acaban de reventar IE9 sobre Win7 (y parece que también funciona con IE10 sobre Win8) https://www.zdnet.com/blog/security/pwn2own-2012-ie-9-hacked-with-two-0day-vulnerabilities/10621
#41 Si, pero no van a devolver a la gente el dinero que pagaron por el Vista en su día-
#47 si esperas que eso te libre, estás más jodido que un pavo en nochebuena, socio.
Casi 60 comentarios y nadie comenta la falta de ortografía en el titular?
http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=retrasmitir
Meneame ya no es lo que era
El MWC es un escaparate cojonudo para empresas de IT punteras en el mundo, con esta huelga lo único que hacemos es parecer pueblerinos paletos. Cuando el MWC se lo lleven a París, Amsterdam... lloraremos porque se quedará en paro la gente de la Fira, hoteles vacíos...
En fin, spain is different.
Sí, se lo voy a explicar a mi jefe. "No, mire, que llego tarde porque me desvelé a las 3 de la mañana, esperé un par de horas, y me volví a dormir otras 4, y aquí estoy porque sabe? lo de las 8 horas es un invento moderno".
No hay tetas, no hay meneo
#118 No, traen actualizaciones de las claves de HDCP. También actualizan la lista en tu reproductor (sea cual sea)
Juegos en Tuenti incluidos desde MetroGames
tuentiadictos.esLos “Juegos de Tuenti” serán incluidos desde la web de juegos MetroGames.com. Hasta ahora Tuenti aún no disponía de juegos en la red social, pero todo parece indicar que serán lanzados en los próximos días, ya que si miras en las condiciones de uso de la red social ( http://www.tuenti.com/#m=Terms&func=view_terms_of_use ) se puede encontrar un apartado íntegramente dedicado a los Juegos de Tuenti. Gracias a AnámnesisRock por el aviso.
Un atleta de 31 años muere tras acabar la Media Maratón de Madrid
marca.comUn atleta de 31 años muere tras acabar la Media Maratón de Madrid - Un hombre de 31 años ha fallecido este domingo tras sufrir una parada cardiorrespiratoria nada más atravesar la meta del Medio Maratón de Madrid y otros dos corredores han sido trasladados a hospitales en estado grave al sufrir un golpe de calor y un síncope por esfuerzo.
Lista de ponentes de la Rooted CON
rootedcon.esListado de ponentes de la Rooted CON. Relacionada: Primera Rooted CON (Congreso de seguridad informática en Madrid)
Primera Rooted CON (Congreso de seguridad informática en Madrid)
rootedcon.esEn el mundo inseguro en el que vivimos se producen miles de incidentes de seguridad al día. La mayoría de ellos nunca se harán públicos. Pero la realidad es que millones de ordenadores de usuarios se encuentran actualmente comprometidos y cientos de servidores son “rooteados” (“hackeados”) cada día. Si te apasiona la seguridad tanto como a nosotros, éste es TU congreso... y no puedes perdértelo.
Explosión en el edificio de Alcatel-Lucent en Madrid
20minutos.esLa explosión ha tenido lugar en la zona de Delicias. Una explosión de gas destruye la última planta del edificio de Alcatel-Lucent en Madrid.
#22 salvo que el equipo esté conectado directamente a internet con una ip pública. Date una vuelta por shodan y luego vuelves a decir eso de "tranquilos, que no pasa nada".