1998 – Navegadores inseguros

En el último mes los navegadores han sido el centro de noticias sobre
recientes fallos encontrados en ellos, tanto Communicator como Explorer
han sido cebo de las noticias sobre nuevas vulnerabilidades.

Los agujeros relacionados con el explorador de Microsoft son realmente
graves, hay que señalar que han sido descubiertas por un español. Juan
Carlos García Cuartango, que a través de las páginas
http://pages.whowhere.com/computers/cuartangojc/ ofrece toda la
información y ejemplos de cómo explotar cada una de las vulnerabilidades.

Son tres los problemas descubiertos, Mailto-hack, afecta a los usuarios
que
que utilizan Outlook 98 como cliente de correo vinculado a MS Internet
Explorer 4.0. Él problema surge cuando al navegar se pulsa sobre un
hipervínculo a una dirección de correo, momento en que se inicia el
Outlook 98. Hasta aquí todo normal, todo es como igual que siempre pero
puede pasar desapercibido que junto al mensaje también se envía un fichero
enlazado solicitado por el atacante.

La página debe estar diseñada para solicitar ficheros con un nombre estándar
o conocido por el atacante, ya que el bug no permite «robar» ficheros sin
conocer su nombre. Obviamente es una forma un tanto «absurda» de intentar
robar archivos, puesto que no se oculta la existencia del archivo enlazado
en el mensaje, pero, el problema existe. Microsoft a pesar de ello, no
cree que se trate de un problema de seguridad.

El problema denominado «Agujero de Cuartango» es similar a otros problemas ya
denunciados hace tiempo, y supuestamente corregidos. En esta ocasión y de
nuevo gracias a un código JavaScript malicioso insertado dentro de una página
web permitiría enviar archivos del disco duro a una dirección web con total
desconocimiento del usuario. También se requiere un nombre de archivo estándar
o previamente conocido. Microsoft ha confirmado la existencia de este problema,
que ha dado en llamar “untrusted scripted paste” ofreciendo un parche para el
problema en http://www.microsoft.com/security/bulletins/ms98-015.htm.

Por último, bajo el nombre de «Ventana de Cuartango» se esconde sin duda
el que puede considerarse mayor problema, ya que aprovechando está
vulnerabilidad se puede saltar el aviso que muestra MS Explorer cada vez
que un control Active-X intenta entrar en el sistema. Se trata de esconder
el mensaje original con otra ventana con información aparentemente inocente
y que nos obliga a pulsar el botón de «Aceptar» para continuar. Pero al
aceptar esa inocente ventana realmente estamos confirmando que deseamos
instalar el Active-X malicioso, lo que puede tener consecuencias
desastrosas, como pérdida de archivos, instalación de virus, control
total del disco duro por el hacker malicioso, etc. A pesar de ser reportado a
Microsoft el 9 de octubre la responsable del navegador todavía no ha
dado ninguna notificación acerca de este problema.

Detrás de este problema Juan Carlos ofrece una moraleja, «cuando estemos
navegando y vayamos a aceptar algún cuadro de diálogo pensar antes sobre
la «ventana de Cuartango. ¿Estamos respondiendo la pregunta original?¿Qué
hay detrás de la ventana?»

Otro nuevo problema relativo a la seguridad del Explorer hace referencia
a la posibilidad de acceder a las direcciones a través de un único número
de 32 bits.

Por ejemplo www.bpe.es tiene la dirección IP 194.179.52.102, pero si
ponemos http://3266524262 también accedemos a la misma dirección. Si tenemos la
dirección IP x,y,z,w podemos calcular la dirección correspondiente a
partir de x*256^3+y*256^2+z*256+w, es decir,
194*256^3+179*256^2+52*256+102=3266524262.

Esta forma de tratar las direcciones puede comprobarse y utilizarse en
cualquier aplicación y para sustituir cualquier url, pero el problema
surge en el tratamiento que da Microsoft Explorer a éste direccionamiento. Ya
que las asigna el nivel de seguridad más bajo al tratarlas como si fueran
direcciones de una intranet. El uso malintencionado de este bug es
claro, un administrador malicioso puede crear una página web en la cual se haga
referencia a las páginas en este formato, incluyendo controles Active-X,
JavaScripts, etc. malignos.

Por una vez, Microsoft actuó con rapidez ante este problema y
rápidamente se podía encontrar el parche necesario en la dirección:
http://www.microsoft.com/ie/security/dotless.htm. Una vez más
recomendamos actualizar el navegador lo antes posible para evitar cualquier tipo de
problema y navegar con tranquilidad.

Intel lanza hoy Xeon Processor Scalable Family

 

Intel Xeon Processor Scalable Family.

De acuerdo con la presentación realizada para la prensa mundial en EE.UU. por Lisa Spelman, VP & GM, Intel Xeon Products and Data Center Marketing Group de la compañía, representa “el mayor avance de la plataforma de Data Center en esta década”. Cobertura especial desde Hillsboro, Oregon.

ITware Latam fue invitado por Intel para participar de un workshop de dos días –12 y 13 de junio– para periodistas de todo el mundo –junto a un medio de Brasil, los dos únicos de Latinoamérica– en el Jones Farm Campus que la compañía tiene en Hillsboro, Oregon, en cual sus especialistas de producto dieron cuenta no solo de las innovaciones que presenta esta nueva arquitectura de procesadores diseñada desde cero, sino también mostrar los resultados de una serie de benchmarks con respecto a los Xeon de generación anterior y a la oferta de AMD.

La información estuvo embargada hasta hoy, día del lanzamiento mundial, por lo que en esta nota les presentaremos en forma detallada la presentación realizada en aquella oportunidad. Lo primero para destacar es que esta nueva arquitectura Mesh de un solo chip promete mejoras en escalabilidad con mayor ancho de banda y latenciasreducidas, ya que está optimizada para el intercambio de datos y el acceso a la memoria entre todos los núcleos e hilos de la CPU, es decir, un ancho de banda y capacidad de memoria ideales. Asimismo, que ofrece escala de flujos de datos eficiente para configuraciones de 2, 4 y 8+ sockets; y diseño pensado para implementaciones modernas de Nubes virtualizadas e híbridas.

En su introducción, Spelman dijo que la performance que ofrece la nueva familia de procesadores para servidores de Intel responde a las necesidades de los usuarios en un momento de tremendo cambio, en el que el éxito y el fracaso de las empresas depende cada vez de la forma en que pueden sacar provecho de la tecnología. En ese sentido, se refirió a la explosión de los datos que generan un número creciente de dispositivos, los cuales, gracias a las capacidades de los data Centers y las redes, se pueden convertir en valiosa información para el negocio y para brindar mejores experiencias a los clientes.
Para la ejecutiva, impulsados por la innovación en los Data Centers, de la mano de prácticas de datos inteligentes y de la economía de Nube, se da lugar a nuevos modelos de negocios emergentes, como la agricultura inteligente, los autos autónomos y conectividad 5G, la Realidad Virtual y la Realidad Aumentada, la medicina de precisión, los wearables y los precios e inventario en tiempo real en el mercado retail.

Más en detalle, informó que los drivers de crecimiento del mercado de Data Center se relacionan con el despliegue de infraestructura Cloud, que de acuerdo con IDC se incrementará en un 18% CAGR en el lapso de 2017 a 2020; la tranformación de las redes, donde se invertirán hasta 157 mil millones de dólares hasta 2020; mientras que la Inteligencia Artificial representa el mayor crecimiento en los workloads de los Data Center. En ese sentido, presentó el portfolio optimizado para workload de Intel.

Nueva arquitectura, nuevo nombre

Spelman presentó la Intel Xeon Processor Scalable Family como una infraestructura ágil y segura que ofrece un incremento promedio de rendimiento de 1,6x sobre la generación anterior de procesadores Xeon, optimizados para workloads la red y el storage para clientes empresariales. La nueva familia se reestructuró desde cero y será sucesora de las líneas de productos E5 y E7.

Esta nueva arquitectura exhibió avances en prácticamente todos los aspectos: nuevo núcleo, caché, interconexiones en el chip, controlador de memoria, etc. Entre otras innovaciones destacadas, Jennifer Huffstetler, Sr. Director, Datacenter Product Marketing en Intel Corporation, mencionó que esta nueva arquitectura ofrece más ancho de banda de memoria a través de canales añadidos; también significativamente más ancho de banda de E/S PCIe frente a la generación anterior: un más rápido tiempo de respuesta de la aplicación.

La familia Scalable cuenta, además, con aceleradores de rendimiento integrados como Intel Advanced Vector Extensions 512 (AVX-512) e Intel QuickAssist Technology (QAT), así como el Intel Volume Management Device (VMD), una nueva plataforma diseñada para ofrecer una gestión sin fisuras de las unidades de estado sólido basadas en PCIe (NVMe), como las recientemente lanzadas Optane SSD DC P4800X y SSD DC P4600.

En lo que respecta a seguridad, promete mejoras de hasta 2x en el rendimiento del algoritmo de seguridad, incluyendo tecnología de protección NewKey con Intel QAT e Intel PTT integrados.

Con todo, Huffstetler aseguró que la implementación de la arquitectura Mesh de Intel maximiza el rendimiento y acciona latencias consistentes y bajas. Asimismo, destacó que la misma está optimizada para el intercambio de datos y el acceso a la memoria entre todos los núcleos e hilos de la CPU, lo que posibilita un ancho de banda y capacidad de memoria ideales; y que está diseñada para implementaciones modernas de nubes virtualizadas e híbridas

Los 4 sabores

La familia de procesadores Intel Xeon Scalable ofrecerá cuatro niveles de rendimiento y capacidades, con variedad de opciones de configuración y un nuevo modelo basado en metales (bronce, plata, oro y platino):

 

Vea aquí los benchamarks dados a conocer por Intel durante el workshop para prensa en ITware Latam.

Galería de imágenes